[Frissül] A Crowdstrike cybersecurity platform leállt, világszerte kékhalállal álltak le miatta Windows-ok

  • bankok
  • légitársaságok - WizzAir, Ryanair, Delta, American Airlines, KLM, SAS, Lufthansa ...
  • repülőterek - Budapest Airport, LAX, Schiphol, Sydney Airport, Gatwick, ...
  • vasúttársaságok - UK, ...
  • IT vállalatok
  • Telco cégek
  • kórházak, egészségügy - Lübeck és Kiel kórházai, NHS GP
  • logisztikai vállalatok
  • segélyhívó / diszpécser szolgáltatok
  • London Stock Exchange
  • bankkártya társaságok, fizetési rendszerek
  • állam- és közigazgatás - Új Zéland parlamentje
  • médiatársaságok - Sky News, BBC
  • gyógyszergyárak
  • Párizsi olimpia rendszerei
  • HUP tagok rendszerei
  • stb (BBC élő helyzetjelentés)

... eddig az áldozatok közt. Frissülő sztori ...

         

Hozzászólások

Boldog SysAdminDay-t!

Lehet, hogy ma egyeseknek meló lesz a mulatozás helyett? :/

trey @ gépház

Azt röhögöm ilyenkor, hogy az érintett - Crowdstrike - Twitter-je zérót frissül, mintha mi sem történt volna :D :D :D

trey @ gépház

Egy orvos egy ügyvéd és egy programozó beszélgetnek, hogy melyik foglalkozás a régebbi:

-Isten megteremtette Ádámot. Ez egyértelműen orvosi munka volt.

-De isten a káoszból teremtette a világot, és csak egy jó ügyvéd tud rendet csinálni a káoszban.

A programozó is megszólal:

-És szerintetek ki okozta a káoszt?

Jól lesz ez. Az egész világ egy rohadt cég szolgáltatásaitól függ. Ideális állapot.

Szerkesztve: 2024. 07. 19., p – 10:44

workaround: recovery, command prompt, sys32/drivers-ben crowdstrike átnevez, reboot. 

Major fckupra sikerült, igazi pénteki hangulat, szépen egyesével monkey meló javítgatni, de jó hogy nem vagyok lokál ITs akinek ezzel szórakoznia kell...

Enrollolt windows desktop gépek is BSOD-val köszöntik az embereket, megállt a fél világ :D 

Két kérdésem van csak:

  1. Kubernetes (egyéb buzzword) ezen nem segít?! 🙄
  2. Home Office-ból ez hogy javítható? 🤔
  3. Degec-en született kolléga kérdezi: akinél már az AI javítja a hibákat, ott végzett-e már?!

trey @ gépház

Nem válaszba írtad de gondolom nekem szól a kérdés ha már idéztél:

1. Nemtom hogy jön ide

2. szervereknél iLO, gépek legyen a lokál ájtí problémája

3. szerintem az cseszte el cs-nál :D

(írd át három kérdésed van-ra mert így hülyén néz ki a kommented)

Én csak popcornal nézem az eseményeket, nincs wines szeró a kezem alatt szerencsére.

Kubernetes (egyéb buzzword) ezen nem segít?! 🙄

Az Windows rendszerekre annyira kezdetleges, hogy inkább nincs, hogy jön ide?

Home Office-ból ez hogy javítható? 🤔

Ahogy irodából, gondolom az érintett gépek nem az irodában vannak kéznyújtásnyira.

Degec-en született kolléga kérdezi: akinél már az AI javítja a hibákat, ott végzett-e már?!

Az AI nem erre van. Erre a droidok vannak... :D

1, miert nem a buzikkal jossz ahogy szoktal (a homofobia maga elegge buzis csak szolok)

2. Home office-ban van 99%-a a cegnek, mindenki megoldotta akinek windows-a volt, szoval megint melle mint KDNPs oregurnak a fidelitaszos segglyuk :D

3. lasd elso pont

Olyan jo nezni ahogy a hozza nem ertesed csini tullszoknyajaban tancikalsz :D

igen, 1. bitlocker recovery mode, bebaszod a recovery key-det, bebootols recovery mode-ba, letrolod a megfelelo crowdstrike filet, reboot, mukszik. Delelott 11-re mindenki kesz volt vele, aki delelott 10kor kapcsolta be a gepet. Akinek nem volt meg az recovery kay azok egy formon kerhettek es elkuldtek nekik ceges email-re amit 2fa-val barhonnan elernek. (linuxosok es apple-esek nem erintettek, hozzateszem, nalunk mar reggel kilenckor kiraktak a megoldast)

szivesen, ilyen az amikor a 90es evekben edzodott es azote tovabbfejlodni nem tudo, de magat istentelenul jo szakembernek nevezo kollega talalkozik a 21dik szazaddal :D

nem az a baj, hogyu nem ertesz a dolgokhoz, nem lattal 2003 ota semmi ujat, hanem hogy fennen hangoztatod hogy ez a kiraly :D

mondjuk jokat lehet rohogni rajtad, ahogy mint diszno a jegen csuszkalsz az IT vastag jegen :D

 

Te vagy Pityubacsi aki rohog a szekeren a mellette elsuhano autokon es valtig allitja hogy anem lehet olyan hogy repulo, mert hat hogy maradna fent a vasmadar a levegoben, es mindekozben all a fasza sajat magara :D (ami buzis valjuk be :D)

Te - ti - láttatok valamit, Crowdstrike-sérültek.

Szerênyebben adnám itt elő magam, ilyen blama után 🙄

Nekem nem kellett ma magyarázkodnom sűrű elnézézéskérések közepedte, hogy "Marika néni, lesz szíves elővenni azt a izét, mert most maga lesz az IT support"

🤭

Itt ol. várják a tanácsid, hogy hogyan kellene:

https://hup.hu/comment/3086586#comment-3086586

trey @ gépház

Te vagy Pityubacsi aki rohog a szekeren a mellette elsuhano autokon

Hát, lehet, hogy ez a szerecse tesó, mert én még hiszek az olyan old school izékben, hogy kernel módban bohóckodó szarokat csak úgy engedek ki tömegesen, hogy előtte napokig ment tesztben egy arra kijelölt csoporton. A "kék halállal elbootolt az összes kliensünk és szerverünk" az első indítaskor kormos pofa ellen ez szépen véd.

Ha kell még ilyen tanács a pro team-ed részére, van még!

Keress, óradíjunk vicc lesz nektek! Csikkzsebből kifizetitek!

🤣🤣🤣🤣

trey @ gépház

Na ezt add el itt nalunk az egybites konyvelonek, aki szerint az "internet" a kek E betu az asztalon....

 

Amugy:

 

"bebaszod a recovery key-det," miert van meg a key a usereknek?

 

"letrolod a megfelelo crowdstrike filet": hogy? mindenki admin vagy mi ??? (system32/drivers konyvtarban van a problemas file)

Ahol robotpilóta ütemmódban kb. bleedeing edge vakrepülés van, ott bármi elképzelhető:

https://hup.hu/comment/3086723#comment-3086723

(n.balazs majd megszakérti, hogy ez így jó-e)

Szakértő uraknál hol van ilyenkor a tesztcsoport, amin a mass deployment előtt tesztelünk? 🤔

trey @ gépház

Mit kell ezen "megszakérteni"? Elbaszták. Nem kicsit, hanem nagyon. A legalapabb IT alapelveket se tartották be. Tankönyvi példa a "Hogyan NE CSESZD EL" fejezetben.

Kíváncsi leszek, hogy hány CISO és security team fog ezek után repülni. Attól tartok, hogy túl kevés....

A cégek neve, akik ma említve lettek, mint érintettek, az IT szégyenpadján ülnek.

Biztos lehetsz benne, hogy kimagyarázzák, ahogy golgota úr is megpróbálta személyeskedést sem mellőzve előadni, hogy ők a prók, akik beszívták a hanyagságuk miatt. 🤷

trey @ gépház

Ezek a cégek, pontosabban ezekben a cégekben dolgozó emberek is követik a VHP elvet: védd a hátsód papírral. Tényleges felelősségvállalás nincs vagy csak szökő évente.

Aztán ha beborul a bili, akkor jön a pingvinezés, majd a bohóckodás a jogászokkal. Hónapokig, végén a szőnyeg alá kerül az ügy. (cinizmus)

Egyrészt írta, hogy kiküldték a key-t annak, akinek kellett. Másrészt rég rossz, ha a bitlocker a saját user elleni védelem miatt van. Akkor inkább ne adjanak számítógépet a kezükbe (jó, tudom, szomszéd warezpistike ellen is véd, aki usb-ről bootolná a gépet, hogy kiiktassa a vírusvédelmet).

Nem, nem mindneki admin. Raadasul a fijuk mar megjavitottak mire csomoan bekapcsoltak a gepuket (fingom sincs hogyan, mert nekem Linuxom van a kornyezetemnek meg apple izeje), de aki 10 cet utan kapcsolta be a gepet a vilagon (kb 50K dolgozobol), azokat mar nem erintette. De mar 9 elott kikuldtek, hogy ne kapcsold be. Visont voltak ugye olyanok, aik a vilag masik oldlata miatt, vagy mert mittomen ez volt a dolguk hat bekapcsoltak. Sot, aki nem kapcsolta ki a gepet azt sem erintette, mert valahogy azt is megoldottak. 

Jott level arrol is, hogy mi a faszt csinaljon aki nem admin a sajat gepen, de engem mar akkor az egesz hidegen hagyott. Hozzateszem semmi kozom a belso IT-nkhoz, tok mas dolgokat csinalok, amikrol Pityyubacsink meg nem hallott, vagy azt hiszi hogy valami kenocs a nyavajajara :D

Annyira szar az IT-nk, hogy kb. minden meg lett oldva 11-ig, akkor tajban kuldtek a managerek a koszono levelet a kemeny munkajukert. Persze tudom hogy Pityubacsinak ez nem eleg, mert neki csak sajat magara all (mondtam mar hogy ez mennyire buzis? :D) 

Te aztán igazi pró vagy! Eddig azt szajkóztad, hogy milyen nagymenők vagytok, nekem ugattál, erre kiderült, hogy

  • ja, te Linuxot használsz, nem érintett
  • azért nem érintette a legtöbb dolgozótokat, mert időben kiment a levél: ne kapcsolt be (nem ment le a szar update) - kb. szerencse
  • egyébként téged hidegen hagyott
  • olyan jó az IT-től, hogy a cégetek nem dolgozott (ne kapcsold be)

Ehhez képest azt ekézed, akinél és aki teljes ügyfélkörében max. a reggeli kávé és croissant mellett mint napi érdekes hírként olvasták - a működő gépükön ehhe, ehhe ... :D :D :D - a dolgozók ezt az bohócparádét (beleértve nálatok, hogy Marika néni, most akkor bontsa ki a borítékot és vegye ki azt a lapos izét, majd mondom hogyan indítsa csökkentett ... mondom csökk ... )

Besírok, bazmeg. Mindezt azért, mert a hiperszuper IT-tok nem volt képes összerakni egy tesztrendszert, amin mielőtt minden szétbaszódik, letesztelték volna ...

Mi a terv? Ezután meglesz majd a tesztrendszer, vagy majd finomítotok a "postán kiküldött pendrive" eljáráson?

trey @ gépház

Igen, teljesen igazad van. Ha Linuxon lett volna ilyen hiba, azt most mindenki ekézné, hogy így szar, úgy komolytalan, soseleszdeszktopéve, bezzeg ha a Windows-zal van ilyen, az érthető, elfogadható, annak elnézi mindenki, mert az komoly, domináns platform.

The world runs on Excel spreadsheets. (Dylan Beattie)

Ez a 99% honnan van? Ez szerintem max. a Covid alatt volt igaz, utána fokozatosan tértek vissza mindenhol a céges irodákba.

Buzik most ebben a történetben sajnos nincsenek, pedig nagyon kellenének, mint egy falat kenyér. Helyette van ez az indiai romacsaj a témaindítós közösségi hálós screenshoton, ennyivel kell megelégedni annak, aki sokszínűséget akar. Ha nagyon megerőlteted a fantáziád, még a tullszoknyát is ráképzelheted.

The world runs on Excel spreadsheets. (Dylan Beattie)

a banki appom csak homokórázik remélem nem Crowdstrike érintett:)))

Szerkesztve: 2024. 07. 19., p – 10:50

Budapest Airport - 23 p

Tájékoztatásunkat folyamatosan frissítjük
AZ UTASFELVÉTELI RENDSZER HIBÁJA MIATT KÉSÉSEK ÉS TORLÓDÁS A REPÜLŐTÉREN
Globális informatikai hiba miatt több légitársaság utasfelvételre használt rendszere leállt, ezért járatkésésekre, torlódásra és jelentősen megnövekedett várakozási időre kell számítani a Liszt Ferenc Nemzetközi Repülőtéren. A probléma a Eurowings, a Ryanair, és a Wizz Air járatait érinti. Több légitársaság megkezdte az utasfelvétel manuális elvégzését. A Budapest Airport a földi kiszolgáló vállalatoktól kapott információk alapján hangosbemondás útján tájékoztatja az utasokat, a helyszínen várakozóknak vizet biztosít.
A Budapest Airport arra kéri az induló utasokat, hogy a további torlódások elkerülés érdekében kísérő nélkül lépjenek be a terminálépületbe, illetve folyamatosan figyeljék a járatindulással kapcsolatos információkat a www.bud.hu oldalon.

trey @ gépház

BCP nálunk is van, aztán mégis fél napig állt minden, plusz a kifingott kliensek még most is állnak. Még azt sem sikerült megugorni, hogy a weboldalak át legyenek irányítva, egy "bocs, ma nem dolgozunk" - típusú üzenetre. Lehetett nézni a homokórát.

nincs mese meg kell regulázni az IT ipart :))

Szerkesztve: 2024. 07. 19., p – 12:29
 

Üdvözlettel Oroszországból: a banra tett Kasperky-től :D

trey @ gépház

Két hete meg 100%-ra pörgetett egy CPU magot. Most ez. Jövő héten wipeolja az összes lemezt amit talál a gépben?

Döbbenet ha ezt megússzák, remélem akik a legnagyobbat szívták most azok leperlik az anyjukról is a szoknyát.

Diszket is tudta ugyanígy 100%-ra pörgetni valamelyik tavalyi falcon verzió (csak read, nem write, ...még...). Mindezt prod MSSQL szerverek alatt... mert valahogy gyanús lett neki az sqlserver journal file-ja és végtelenciklusben elkezdte végigscannelni. A DB cluster összes szerverén egyszerre... Csak közvetve jöttünk rá, hogy a CS az, mert a kernel módban futó része csinálta, amit semmi process explorer-es alánézéssel sem tudtunk beazonosítani.

Régóta vágyok én, az androidok mezonkincsére már!

Hja, nulllskilles AV termékek sajátja a DB fájlok csócsálása, értelmesebb ilyen termékekben kb. 20 éve van kivétel a Jet adatbázisokra (Exchange store), MS SQL adatbázis fájljaira stb.

Nem véletlenül, mert ezek jb. folyamatosan vannak írva és kb. 0 esetben malware források ...

trey @ gépház

 

trey @ gépház

Crowdstrike's shares are down by more than 20% in unofficial trading in the US - equal to a $16bn loss in value

trey @ gépház

Crowdstrike mindenkit megnyugtatott az Apple és a Linux felhasznállók nem érintettek:)

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

Szokjatok hozzá. Mivel manapság minden szirbe-szarba ilyen CDN, felhős meg netAPI-is megoldásokat integrálnak, az ilyen és ehhez hasonló jellegű leállások csak még gyakoribbak lesznek.
Lassan már a Paintbrush is le fog halni, csak mert nem tud az AI-hoz kapcsolódni. Uff, én szóltam.

(Nem vagyok az online megoldások ellen, azt ellenzem, hogy valami csakis online legyen képes működni, mint pl. ez a Crowdstrike.)

Az ügyfélnek is köteelssége tesztelni. A Microsoft ajánlás pl az, hogy még egy WU update-et is úgy engedj ki mass telepítésre, hogy előtte a tesztrendszereden már deploy-oltad és nem volt vele hiba.

Ma kiderült, hogy melyik cégeknél megy az IT sec. robotpilóta üzemmódban ...

Golgota és szakértői team-jénél ... Még szerencse, hogy Marika néni megkapta reggel a pendrive-ot futárral, hogy mentse az impotens IT-juk seggét.

trey @ gépház

A jelen esetben ez annyiban problemas, hogy mint kiderult ez nem egy klient update volt, hanem egy adatbazis frissites a rendszerhez (kb mint a windows defender adatbazis frissitese). Tehat nem nagyon ert senki semmit az N-1,2,3 verziokkal sem. A Crowdstrike esetében még beleszólasod sincs, hogy ezeket mikor, milyen utemben kapod meg...

Adatbázis frissítésnél is vannak különböző csatornák egy normális terméknél. Egy normális terméknél egy szignatúra update nem vágja agyon a Windows-t.

Ha ezekre nincs normális kontroll a szoftverben, felmerül a kérdés, hogy milyen dilettáns hagyta jóvá a bevezetését a céghez, milyen dilettáns auditoron ment ez így keresztül stb.

trey @ gépház

Nem érted. AGILIS. SCRUM. Most van 1 csatorna, majd a következő sprintben / milestone-ban / major verzióban belefejlesztik a többit is. (szarkazmus)

A dilettáns döntéshozó valószínűleg soha nem teszteltette / tesztelte a terméket. Elolvasta a színes brosúrákat, aláírta a megrendelést technológiai oldalról. A többi CxO meg a saját részét írta alá (beszerzés, finance, compliance, jogi osztály stb.). Ha valaki véletlenül tesztelte és felemelte a hangját, akkor őt felülről elhallgattatták.

Ha eljutnánk oda 2024-ben, hogy végre nem hazudunk magunknak, a kollégáinknak, a főnökeinknek, az ügyfeleinknek az IT-ban, akkor gyorsan a 80-s években találnánk magunkat. Félkész, bugos vackokkal próbáljuk a víz felett tartani az IT-t. A buzzword-ökről nem is beszélve.

>AGILIS

Ha agilis, akkor vannak tesztek :-) (félig szarkazmus, nem vagyok agilis hívő, de egy valódi agilis ezt mondaná rá. Az agilis kicsit olyan mint a kommunizmus: a _valódi_ agilist még senki nem próbálta ki, akármit csinálsz, arra rá fogja mondani legalább egy agilis coach, hogy az nem jó)

nem CDN, nem API, nem felhő

Ja, mert szerinted a felhasználó tudtán és akaratán kívül lerántani a netről az "nem CDN, nem API, nem felhő". Honnét és hogy gyütt akkó'? Bözsi néni lapátolta be a biteket tán?

Egyébként PDA_FAN kolléga megjegyzéséért jár a pont, valóban az az igazi kérdés, hogy eleve mennyire lehet biztonságos egy olyan rendszer, ami csak úgy ukk-mukk-fukk leránt valamit a netről majd kernel szinten futtatja, és hogy erre a funckióra mi szükség is van egyáltalán (mármint a trójai telepítésen kívül)?

Ilyenkor azért kicsit mindig bízom benne, hogy a kurva sok kár láttán talán megjön az emberek esze kicsit, de aztán úgysem fog.

Most olyan híreket kapok, hogy az userek szerint a reboottól megjavult (azaz a falcon le tudott húzni frissítést, mielőtt kékhalálozott volna). Namost, mivel userekről van szó, nem biztos hogy tudják hogy windows, mac vagy linux gépük van, de mi baj lehet.

Használj Windowst! 640kB mindenre is elég.

"Bill G. a koronavírusról: akik nem fertőződnek meg, azok is életveszélybe kerülhetnek. "

"Bill G., aki megjósolta a járványt, most újabb elemzésbe kezdett."

Megjósolta.

A Windows után a vírusokhoz is ért.  Milyen orvosi szakképesítése is van? , Tudományos eredménye, publikációja?

Én arra lennék kíváncsi ki fogja megtéríteni az okozott kárt? Az IT cégeknél mindig rohadt nagy a pofa és simán tesztelőnek használják a usert. Na de itt most azért dollármilliókban mérhető kárt okoztak egy szaros frissítéssel. Remélem rommá perelik az összes érintett céget.

Nem mondod, hogy ekkora cégeknél (neveket olvastad?)l, több száz/ezer fős IT-val nem volt egy ember, aki automatizálta volna a napi def. update-ek tesztelését terítés előtt legalább egy boot-olni képesség szempontból?

Amikor évek óta hallgatjuk, hogy ezeknél a cégeknél már az AI szarja az automatizált IT-t? 🫢

trey @ gépház

Nálunk mikor az indiaiak átvették az IT az volt a duma hogy sokkal gyorsabban reagálunk majd az IT kihívásaira. Azóta a kollégák hónapokat várnak a laptopjaikra, bármilyen módosítás a rendszerben akárcsak egy új gép hozzáadása a hálózathoz szintén hetek..szaros wifi bridge kiépítése meg már egy évig is megtart. Marketing mindent elbír. 

Most vettük át egy ilyen, kompetens távol-keleti supportos világcég magyar branch-ének támogatását. Egy technikus kollégám 2 hónap alatt, heti két nap jelenléttel olyan rendet baszott a káoszukban, hogy a dolgozók imába foglalták a nevét, gyümölccsel, édességgel halmozzák el, hogy évek óta fennálló problémáikat oldja meg semmi perc alatt.

Nekem nem kell ezt bemutatni :D

trey @ gépház

elhiszem, mi is szétrohadunk a profi IT-tól. Minden leszabályozva szét bürokratizálva. Level 1 Level 2 kb az ikonokokat tudja poziba rendelni Level 3-at elérni meg kisebb csoda. Vicc. Az IT beszerzéskét is átvették ők tárgyalnak a magyarországi beszállítókkal. Tragikomédia. Egy VICC. De mind1 nem rossz a fizum, ennyi pénzért írom a tickitetket ha ezé fizetnek akkor ezé :D

Ugyanez. Most Marika néni, akinek azzal ment el egy fél napja, hogy ticket-eket nyitott angolul, majd utána leste a státuszukat, hogy a filippínó mikor hajlandó vele foglalkozni (természetesen a legeslegrosszabb időpontban, amikor Marika néni éppen nem volt a gép előtt, majd a filippínó szépen lejegyezte, hogy "kerestem, de nem találtatam 3x", Marika nénit meg lebaszták miatta), most egy Béla nevű hús-vér emberrel interakciózik, aki érti a nyelvét és néha megveregeti Marika néni karját, hogy nyugodjon meg.

Mindeközben a backlog csökken.

Következő kettő ilyen céggel szerződéskötés szakaszban vagyunk. Közös bennük: mindegyik németországi központú multivállalat. Biztos terjed a hír ... :D

trey @ gépház

Mi már olyan szinten rájuk támaszkodunk plusz MS felhő hogy nem tudnánk visszavenni az IT. Minden része kiszervezett. A Tüzfal, a network, a user support, a server managment, a beszerzés. Az én munkám hivatalosan Plant IT. A gyártást támogatom. Ez még lokális jelenlétet kiván kábelt nem tudnak cserélni ha baj van, de ha szükségem van egy új eszközre és portot kell konfigurálni az egyik OT switchen Change Request! Rajzokkal dokumentációval, indoklással miért kell. Szóval minden csak nem hatékony. De a marketing mindent elbír.

Pedzegetik minket is kiszerveznek és globálisan lesz egy cég ha baj van majd ők jönnek ki a gyárhoz is. Csak hát a gyár igazgatók több helyen közölték övék a működtetési felelősség és ezt nem engedik lévén van, hogy a külső mérnők hetek mire kiér.

Tapasztalatom az, hogy vissza lehet egerészni az ilyen helyet is legalább egy hibrid megoldásra. Csak kell egy küldős, aki rámutat a hiányosságokra (ezek lehetünk mi vagy hasonlóban utazó cégek) és kell nyilván egy belső ember, akinél felmerül az igény a szar megváltoztatására. Nem lehetetlen.

Ha kell, keress, segítek.

Egyik cégnél úgy jött az igény, hogy egy ismerősömet felvették nem IT projektvezetőnek, de nem haladtak a projektek. A külföldi főnöke megkérdezte, hogy miért. Mondta neki, hogy a magyar kollégái rájöttek, hogy ért az IT-hoz, ezért minden egyes apróbb-nagyobb IT problémával őt keresték. Ő meg segített nekik, de a saját dolgaival nem haladt. A magyar főnökei ezt megerősítették: kell ide local tech. support, legalább a hét 2 napján.

Azóta boldogok, a projektvezető is a dolgával foglalkozik és halad. Boldogok az userek, boldog a projektvezető, a magyar főnöke, a külföldi főnöke. Meg én is.

Mindenki happy!

trey @ gépház

Előfordul az Linuxon is, de nem ilyen szélsőséges módon, hogy több millió gép fejreáll, ráadásul egy olyan 3rd party szutyok miatt, amit nem is lenne muszáj feltenni.

Bugok jönnek update-tel Linuxra is, de általában kisebbek, nem okoznak kékhalálozást. A legsúlyosabb Linuxon eddig a GRUB-ot érintő bugok voltak, amik miatt sok gép lett bootképtelen, de a GRUB megint egy olyan, hogy nem lenne muszáj mindenkinek használni. Linuxon inkább olyan bugok szokásosak, hogy csak egy apróbb dolgot törnek el, 1-2 alkalmazás, vagy 1-2 funkció, kényelmetlenség, de 1) együtt lehet vele élni, 2) gyorsan javítják, 3) addig is általában könnyen tákolható rá valamiféle ideiglenes fix, workaround, 4) legrosszabb esetben felteszel helyette valami alternatív megoldást (mivel sok alternatívát kínál, és moduláris a Linux).

A mai rendszerek túl komplexek, túl gyakran frissül, túl sok komponens, plusz minden ki van engedve a netre, így ez felhívás eltörésre.

The world runs on Excel spreadsheets. (Dylan Beattie)

Persze,  pont ezt mondom. GRUB az akkor kell, ha valami egzotikusabb fájlrendszerről, vagy RAID-ről, hasonlóról kell bootolni, egyébként meg lehet nélküle lenni.

Linuxon még az is enyhít, hogy a frissítést nem tolják rá kötelezően a userre, utóbbi dönti el, hogy frissít-e, és mikor, így ha van is egy hibás update, kijön hírben, addig a többiek, akik még nem szopták be, egyszerűen csak nem frissítenek 1-2 napig, mire a hibát javítják, bár rolling disztrók általában 24 órán belül javítanak.

Windowson ezek a bugos frissítések viszont fel vannak erőszakolva mindenkinél, és a javítás is elég sokára szokott érkezni. Tehát itt nem az a baj, hogy bug van, hanem rátolják mindenkire.

The world runs on Excel spreadsheets. (Dylan Beattie)

Windowson ezek a bugos frissítések viszont fel vannak erőszakolva mindenkinél

Pont azt mondtam, hogy eleve nem kotelezo a Crowdstrike hasznalata, nincs rakenyszeritve senkire, ha meg kozben csendesen temat valtottal a Windows Update-re, akkor az a jo hir, hogy ott sem kotelezo, nyugodtan lehet staging kornyezetet csinalni ahhoz is, itt kell kezdeni az olvasast: https://learn.microsoft.com/en-us/windows-server/administration/windows…

Szerkesztve: 2024. 07. 19., p – 14:49

Egy vírusirtó alapvetően arra való hogy megnyugtassa a felhasználót, menedzsmentet. Egyéb funkciót nem lát el. Elvárás vele szemben az IT osztályon: ne látszódjon, hogy működik. Ne csináljon bajt...

És most tessék, világszíntű bajt csinált. A következményeket természetesen mindenki tudja: semmi. Marad minden a régiben. Az Nasdaqon jegyzik a céget. Ilyenkorra már be kellett volna dőlnie az árfolyamnak. Semmi változás, kicsike esés...

> Ilyenkorra már be kellett volna dőlnie az árfolyamnak. Semmi változás, kicsike esés...

Az amerikai tőzsde 15:30-kor nyit.

De már látszik a pre-market adat, miszerint a tegnapi 343.05 záró után most 297.70 -45.35 (-13.22%).

Vissza fog jönni egyébként, de azért ez szép büntetés.

ami engem megdöbbentett hogy életemben most hallok először hogy létezik ez a Crowdstrike, közben már ott van mindenhol
 

Valószínűleg azért, mert nem mozogsz olyan területen. XDR, EDR területen nagyon sok disznóság van. Ezek már régen nem a sima "vírusirtók". A SOC csapatok is ezekkel dolgoznak (konfigurálás, adatgyűjtés stb.).

Csak pár név még a piacon:
- Microsoft Defender for Endpoint
- SentinelOne
- Carbon Black
- Sophos
- Heimdal
- Trellix

Szerkesztve: 2024. 07. 19., p – 15:55

A cloud-idealizmus árát is meg kell fizetni, legalább egyszer egy évben.

Legutóbb okosotthonokba nem lehetett becsengetni az Amazon egyik adatközpontjának leállása miatt.

Most meg a frissítésalapú biztonság™, stabilitás™ és a hozzá tartozó szemellenzős naivitás oltárán áldoztuk fel a fent felsorolt intézményeket.

Miért is jó nekünk ezeken a multikon csüngetni-lógatni mindenünket?

Azért jó lenne, ha az "egyetemen csupa hasznos dolgot tanulunk és irtózatosan tudunk gondolkodni mert van diplománk" topicból most 1-2 egyetemhívő leírhatná ide, hogy mennyi egyetemi diplomás mennyi gondolkodása után sikerül ilyen, hogy

  • egy ekkora elterjedtségű szoftvertből ki tud menni olyan verzió, ami nem néhány speciális esetben, hanem az összes gépen BSOD-t tud okozni
  • milyen felmérések, kutatások, biztosítékok elemzése vezetnek egy ilyen rendszer bevezetéséhez ennyi nagy cégnél, amikor nyilvánvaló, hogy ez egy SPOF, bármennyire felhő meg akármi.
  • DR tervben benne van-e a biztonsági rendszer által megölt teljes IT helyrehozási forgatókönyve?
  • a sok haszontalan üzemeltetésben addig dolgozó - akiket elküldtek, mert ott az AI, meg a mindent megoldó cloud-native devops -, most hiányzik-e, mikor egyesével kell a gépeket tutujgatni, hogy életre keljenek?
  • Copilot megoldja-e? Az igyenes tesztverzió is, vagy csak a fizetős?
  • Az "open source nem jó, mert nincs hozzá támogatás, meg az auditon is megbukik", most akkor a Microsoft küld minden érintetthez embert, hogy helyrehozza a hibát, merthogy ugye ez nem open source, támogatás is van, és auditon is átmegy...

Szerintem ennyit arról, hogy az egyetemi szintű végzettség elengedhetetlen jó rendszerek tervezéséhez, kivitelezéséhez, üzemeltetéséhez, és aki ez alatt van, az mind csak india, pakisztáni szintű bér-supportos...

Véleményem szerint itt nem a Microsoftnak kellene küldeni embert, hanem a Crowdstrike-nak. Elvégre ők baszták el, az ő termékük okozott BSOD-t.

Amúgy meg sok komponens csak papíron van meg / működik. Soha senki nem teszteli le, nem nézi meg a puzzle darabkákat, hogy összeillenek-e. A divat AI (Chatgpt, Copilot és társai) semmit sem tudnak segíteni egy ilyen helyzetben. Így a nagy kép tele van repedésekkel.

Sorry, a hírek alapján úgy értettem ez a cég is MS érdekeltség.

Magát a szoftvert szerencsére nem ismerem, nem mozgok olyan nagyvállalati közegben, ahol ilyen szóba kerül. Csak a jelenség ragadott meg, hogy akkor most hogy is van a nagyon drága, nagyon supportált, mindennek megfelelő (papíron) szoftverrel, ha az hirtelen és váratlanul ilyen gondot okoz.

Node magában a crowdstrike-ban automatikusan kötelezően végigtolja a frissítést ha van, vagy valami frissítés kezelési opció, mint a WSUS? Mert ha puff felszippantja, és esélyed sincs szabályozni, bár lehet, hogy valójában lehetetlen (a frissítések sűrűsége, és mennyisége miatt), akkor erősen IJ történet.

Én nem is hallottam még erről a Crowdstrike-ról, mindenesetre nomen est omen, elég nagy csapást okozott a tömegnek, így jár aki nem hogy nem hajlandó linuxozni, de még felesleges szarokat is felrakosgat a gépeire. Remélem tanulnak belőle.

The world runs on Excel spreadsheets. (Dylan Beattie)

Volt hozzá szerencsém Crowdstrike support elhajtott azzal, hogy unsupported kernel version, Redhat meg azzal hogy 3rd party software...
Ez alapján management eldönthette, hogy "vulnerable kernel" vagy "missing endpoint protection" akar látni pirosban a reportban addig amíg kijön a fix.

Beszarok. Olvastam ezt a linkedet pár napja, de azt hittem, hogy valamit félremagyarázol, de most utánanézve valóban igazad van. Ez az okádék szoftver létezik Linuxra, és valóban okozott már galibát. Kérdés, ezt az ocsmányságot ki teszi fel Linuxra? Oda tényleg minek?

Windows-on a vírusok, ransomware-ek elleni reménytelen küzdelem elkeseredésében még megértem, hogy hozzányúlnak ilyen hülye eszközökhöz, na de Linuxnál? Ott mégis mi indokolná, hogy ilyen 3rd party gányolt kernelmodult felkókányoljon valaki? Tényleg csak a gondolatmenetét szeretném érteni, hogy ilyenkor mi játszódik le a fejekben.

The world runs on Excel spreadsheets. (Dylan Beattie)

Ja, az nem érintett, de az annyira őskőkorszaki OS, hogy azt lassan már semmilyen szoftver nem érinti, a hasznosak se. Egyébként mint mindig is szoktam mondani, nekem nincs bajom az XP-vel, csak akkor, ha valaki daily driver-ként próbálja még beállítani.

The world runs on Excel spreadsheets. (Dylan Beattie)

Igen, de az megint nem daily driving. Azok offline visznek 1-2 gépet (CNC, egyéb ipari vezérlés, lobarban teszt/mérőberendezések, orvosi felszerelés, mint pl. CT, MRI, egyéb területen info/kiosk terminál, stb.). Nem azon intézik a napi dolgaikat, nem arról neteznek, bankolnak, stb..

Ez a fajta offline használat inkább firmware-ként funkcionál. Általában az is kényszerből, mert sok speciális eszköz drága, sok évig használják, mikor még kijöttek ezek, akkor az XP volt a legújabb, csak ahhoz van driver, így azt tartották rá meg.

Mondjuk erre egy Windows overkill, túl komplex, túl sérülékeny. Mostanában rendszeresen elmegyek egy plázás divatüzlet mellett, ahol a kirakatos kijelzőkön egy hónapok óta beragadt AMI BIOS bootképernyő megy, i5-5200U, 4 GB RAM. Feltehetőleg Windowst bootolna, de nem talál booteszközt. Annyi lenne a használata, hogy diavetítő módban végigpörget a kijelzőkön egy ciklikus képsort, amin ruhareklámok mennek. Erre egy 5-10 dolláros RPi klón is elég lenne, meg Windows se kéne, de hát angolok, csak ezt ismerik. Windows meg Mac nélkül ezek meghalnak. FOSS *BSD, minimál Linux, FreeDOS is alkalmas ennyire.

The world runs on Excel spreadsheets. (Dylan Beattie)

Az a 10 dolláros RPI tokkal, táppal mindennel máris nem 10USD. És nincs készleten, várni kell rá. És akkor még konfolgatni kell, hogy read-only legyen az SD, különben hamar meg fog fáradni. Költség szempontból optimálisabb egy X86 alapú miniPC használtan (hegyekben kapni táp, tok, SSD included, AMI BIOS, i5-5200U, 4 GB RAM szintén :-) ), felpattintasz rá egy Linuxot, bekonfolod, hogy boot után a VLC induljon fullscreen kiosk módban és ágyő.

Abban igazad van, hogy x86-os cuccból, tápból nagyobb a készlet. Viszont ez a réteg nem linuxozik, előre megmondom. Nem pattintanak ezek fel semmit, pont azt mondom, hogy már 2 hónapja képtelenek megcsinálni, de még arra is lusta, hogy akkor legalább a kijelzőket kikapcsolják, akkor csak fekete üresség lenne rajtuk, és nem beakadt bootképernyő.

Gondolom kimúlt benne az SSD, mentés meg nem volt, amit vissza lehetne húzni. Ezen valóbna, az RPi se sokat segítene, mert emberi lustaság van a háttérben.

VLC, kiosk mód, se kell ide. Elég egy sxiv-szintű minimál képnéző, ami tud diavetítés módot, és x mp-ként váltogatja a képeket egy mappából. Ha startx-szel közvetlenül indítod, mindenféle WM/DE nélkül, akkor teljes képernyőn indul, és ha letiltod, nem lehet kilépni se belőle, elég a konfigjából kivenni a kilépésre a gyorsbillentyűt. Bár az még egyszerűbb, ha tty-ból, VESA módos framebufferben pörgeted ki a képeket.

The world runs on Excel spreadsheets. (Dylan Beattie)

Úgy ahogy te hinted a CLI meg TUI Linux igét, ő miért ne hírdethetné az XP igét (amit, amúgy nem tesz)?!

Teljes mértékben igaza van. Mik azok a funkciók, amik az XP-nél újabb Windows kiadásokban megvannak de az XP-ben nincsenek? Nem kell a rizsa a víruskergető meg a mindenféle "biztonsági" szoftverekről!

Mi a feladata egy grafikus operációs rendszernek? Ezekből mit nem teljesít az XP?

Az XP GUI-ja mindig is limitált volt. Se dokk, se tiling, se virtuális asztalok, elég kevés minden testreszabható benne, nem támogat rendesen gyorsbillentyűket, szarok benne a keresési funkciók, nincs benne GPU-t támogató kompozitálás, extra effektek hozzáadásának a lehetősége, a GUI elemek és fontok skálázása primitív, ronda, a fontsimítás ergya rajta. A GUI-ja már attól kifekszik, ha elindítasz egy csomó programot, aminek sok GUI eleme van, és emiatt elfogynak a GDI objektumleírók, mivel azok száma véges. A 64 bites kódja utángondolás, ütemezője elvérzik a mai több magos procikon, szar a memóriakezelése, mindent feleslegesen kilapozgat swap-ba, nem támogat egy csomó újabb protokollt/verziót, UEFI, Secure Boot, USB3-4, NVMe, Wi-Fi/BT újabb verziói, 2 TB-nál nagyobb háttértárak és partíciók kezelése, és még végtelenségig lehetne sorolni. Nincs benne se virtualizációs hypervisor, se konténerizációs lehetőség. x86/x86_64 only, nincs benne headless/tty mód. Tudom, ezek a szempontok nem fontosak mindenkinek, de ezek közül néhány szempont sok embert érint, akinek meg fontos.

De a legnagyobb hibája mégse ez, hanem hogy az iparág, fejlesztők magára hagyták, senki nem fejleszt rá jóformán semmit. Ezzel meg egy halálra ítélt szellemrendszer, igen, használhatod, 10-20 évvel ezelőtt megírt programok futtatására. Tudom, van pár utólagos fejlesztés rá, MyPal, Supermium, stb,, de azok se lesznek rá túl sokáig, mivel 1-2 emberes hobbiprojektek, és mint ilyenek, a fejlesztő idővel ráun. Újabb hardvereket meg se hajtja, mert nincsenek hozzá driverek. Már komoly felhasználói bázis, és közösség sincs körülötte, amit az is bizonyít, hogy se ultimate, végleges lemezképet nem adtak ki hozzá (amiben minden valaha kiadott frissítés rajta van), se a kiszivárgott kódjával nem kezdtek semmit, egyetlen szál fejlesztő sem, még warezként sem.

The world runs on Excel spreadsheets. (Dylan Beattie)

Amiket felsoroltál, mind olyan dolog, amire tulajdonképpen nincs szükség. De, nagyrészét lehetett volna fejleszteni, nem nulláról újraírni és telebaszni szeméttel.

Ezek mind mondvacsinált indokok.

Lehet vele fájlokat kezelni? Szöveget szerkeszteni? Képet/videót nézegetni? Zenét hallgatni?

Mi a feladata egy (akár grafikus) operációs rendszernek?

Nem, ezt te titulálod nem szükségesnek, mert neked nincs rá szükséged, de ez nem jelenti azt, hogy másoknak sincs rá szüksége.

A végén felhozott indokaid se tudom elfogadni, fájlokat kezelni, szöveget szerkeszteni, videót, képet nézni, zenét hallgatni lehet DOS-on is, mégse használja senki fő rendszerként.

Itt egyébként nem az operációs rendszerről van szó. Annak eleve nem lenne feladata a GUI, ez a Windows hibája, hogy egyféle GUI hozzá van drótozva, és nem lehet cserélni. Persze ennek az előnye is megvan, de a hátránya is.

The world runs on Excel spreadsheets. (Dylan Beattie)

mindenki szoftverhibát írogat ilyenkor

mi van ha vki szándékosan engedte ki?

annak nagyobb valószínűsége van hogy vki tudta hova kell nyúlni hogy átmenjen

sose fogják bevallani

Egyébként most fel lehetne tenni a kérdést itt a szakértő uraknak, hogy mennyi idő alatt tudnának összeállítani egy olyan tesztrendszert, ami letiltja a napi def. update-ek terítését mindaddig, amíg az egy tesztgépen fel nem települ, a gép újra nem indul, azon alapvető funkcionálist ellenőrző tesztek le nem futnak ... meglepődnék, ha ez mondjuk _Franko_-nak 30 perc törpölésnél tovább tartana 😄

Azon meg mégjobban, ha azt mondaná, hogy ilyet még nem csinált és egyébként is évek óta így működik minden helyen, ahova betette a kezét 😄

trey @ gépház

Mondjuk az értelmesebb mobiltelefon cégek nem véletlenül teszik fokozatosan elérhetővé a frissítéseket. Kb. az ilyen baklövések kajak elkerülhetők lennének:

  • dogfooding - Crowdstrike
    • saját nem kritikus rendszerén
      • kritikus rendszerén
  • kisebb, amerikai (egy időzónában levő) nem kritikus ügyfelek részére
  • nagyobb, amerikai ügyfelek részére
  • ..
    • ...

Kb. ezzel az egész szart már a dogfooding szakaszban (nem kerül nyilvánosságra) meg lehetett volna előzni ... 

trey @ gépház

Azért azt ne feledd ez nem egy felhasználói program vagy OS. Ez az eszköz véd a 0day-ek ellen (is) meg az ismeretlen támadási formák ellen is (elméletileg). Mire végigtesztelgetsz addig védtelen vagy ismert támadások ellen. 10+ éve a szakmában vannak, most hibáztak. Gondolod eddig csak szerencséjük volt?

Nagyon érdekes lenne tudni mi is történt valójában.

Itt sokan még a nevüket de tudták a mai napig pedig 10+ éve ezt csinálják. Több ezer hasonló frissítést terítettek már. Ha annyira kutyaütők akkor, eddig tényleg óriási szerencséjük volt. 

A hiba jellege miatt a javítás lehetősége kicsúszott a lehetőségeik közül. A cégek ITja kell rendet rakjon utánuk amihez a segítséget ha jól tudom már megadták.

Dehogynem. 20+ éve voltak az intrusion detection systemek aztán az endpoint detection and response (EDR) most meg az XDR a menő. 20+ éve láttam PA-RISC/HP-UX-on kernel panic-ot intrusion detection rendszer kernel modulja miatt. 😉

Ezekben a rendszerekben benne van ez a kockázat...

(Persze csökkenteni lehet, de milyen áron? A piac ezt az árat egyáltalán megfizetné?)

Érdekes, hogy ahhoz képest, hogy 20+ éve miket láttál, úgy beszélsz, mint aki tegnap esett be az IT-ba. 10+ éve jelen vannak :D

Kb. a vírusirtók 99%-a pontosan ugyanígy, SYSTEM/kernel jogokkal fut, pont így távolról frissül, pont így, ilyen gyorsan kell, hogy reagáljanak, ráadásul egyik sem vírusirtó már, hanem integrált megoldások, mégis

  • nem döntötték romba a világot
  • rendelkeznek def. update csatornákkal
  • szabályozható a frissítések kitolása a kliensek számára

Persze csökkenteni lehet, de milyen áron?

Olcsóbban. Abban biztos vagyok. Kb. ez akkora blama, hogy nem vagyok biztos benne, hogy egy cég életében nem okozott-e nagyobb kárt, hogy jelen volt, mintha sose lett volna.

trey @ gépház

Akkor elmondom, nálunk (is) miért van ilyen szoftver. (XDR - de nem CrowdStrike)

- hekkerek célzott támadással szétdöntötték a céget 2019ben.

- a cég rendelkezett minden "hagyományos" security technológiával. Igen, víruskeresővel is. Két jó nevű klienseken telepített víruskeresővel se állította meg a ransomwaret. Vírusitotalon 0 találat volt a motyóra pedig nem az első cég voltunk akinél használták...

- a helyreállítás után természetesen a tulajdonosokat képviselő "Board of Directors" (tőzsdei cég) felmerült a cégvezetés felelőssége (jogosan). Mit tesz ilyenkor? Jön valamelyik big4 (akár több is) és készítenek egy vagy több jelentést.

- ezekben közös, hogy ilyen támadások ellen hatékonyabb védelem kell és a technológiai ajánlások között ott van az MDR, EDR, XDR. Sőt azt is állították, ha lett volna nem lett volna a nagy kár...

- A védelmi képességek emelésére a cég programot indított (invesztált nem kevés pénzt). Ezek között volt egy XDR bevezetése is.

Ezt több cég is hasonlóan csinálta, más cégek meg tanultak a "más" kárából és azért vezettek be ilyen technológiát.

Sajnos amióta nagy üzlet lett a ransomware ha célponttá válsz a víruskeresővel semmire sem mész...

Pontosan tudom hogyan megy ez. Meg azt is, hogy fogalmuk sem volt hol mentek be, de született egy kb. inkompetens vezetői döntés, ahogy szokott.

Majd esetleg megírhatnád, hogy most milyen tanulságot vontak le ebből a fiaskóból.

Sajnos amióta nagy üzlet lett a ransomware ha célponttá válsz a víruskeresővel semmire sem mész...

Rossz hírem van: ha célzottan támadnak, ezekkel se ... ugyanis mivel kernel módban futnak, ha meg tudják sikeresen támadni az ellátási láncot, akkor egy speciálisan összeállított frissítéssel magát a HIPERSZUPER szoftvert fogják megtörni és ... profit .... Ahogy az ábra mutatja, most egy szar frissítéssel egy cégnél akár több (száz)ezer gépet lehetett volna ownolni, beleértve a szervereket és a kllienseket is.

Tavis Ormandy egy időben sportot űzött abból, hogy demózza a Windows Defender és társai milyen könnyen támadható és kb. többet árt, mint használ.

Szóval a technikai hasznosságuk ezeknek minimum megkérdőjelezhető, a marketingjük viszont szuper.

Egyetlen értelmes érvet tudok felhozni mellettük egy vállalatnál és ezt aláírom: a vezetés a picsáját védi vele: "Lám, minden nagy cégnél ott van, mi is megtettünk mindent!"

Csakhogy ez kb. önámítás, annyit ér kb. mint vámpír ellen a fokhagymafüzér. Egy ilyen esetben, amikor még támadás se érte a céget, hanem maga a MEGOLDÁS bassza gajra a vállalatot, akkor van kellemetlen helyzet, mert nélküle lehet, hogy sose lett volna ilyen probléma és anyagi kár.

trey @ gépház

Nálunk a forensics mindent kiderített. E-mailen jöttek be egy jól irányzott link-el. Persze előtte már az ügyfél rendszerét feltörték és onnan e-maileztek. Amivel bejöttek átment a csoda proxyn ami szinte az összes víruskereső motorjával átnézi a letöltendő fájlokat. Azt se fogták a víruskeresők, pedig az egy másik eszköz volt nem ugyanaz mint amivel a kárt okozták.

Na látod az érved az OK. Melyik vezetés fogadja el, hogy "ez ilyen, nem tudunk ellene semmit sem tenni" főleg, ha kijelentik előre "ilyen többet elő ne forduljon".

A secu megoldások alapvetően problémásak a rendelkezésre állás szempontjából... Az üzletfolytonosságnak viszont jótt tehetnek mert nem járnak vissza havonta random hekkerek bitcoint követelve...

Tehát, akkor elsősorban az e-mail irány védelmét kellett volna cizellálni, nem pedig egy hiper-szupernek kernel módban futó kliens-szerver védelmet telepíteni. Megelőzés vs. utólagos kergetés.

A secu megoldások alapvetően problémásak a rendelkezésre állás szempontjából... Az üzletfolytonosságnak viszont jótt tehetnek mert nem járnak vissza havonta random hekkerek bitcoint követelve...

Semmi ilyet nem garantálnak, tekintve, hogy minden security megoldás kb. az események után kullog. Ha mákod van, akkor éppen lesz valami válasza a támadó szarára, ha nincs, akkor semmit sem fog érni. Mivel a def. update-ek a már ismertté vált támadási formákra adnak választ, kb. érezheted, hogy mit érnek egy 0day szar ellen.

Az meg a másik röhej, hogy még egy - ezekhez a megoldásokhoz képest - fillérekért árusított ESET sem a helyi def. update-ekkel bohóckodik már, hanem felhőben tárolt összügyfélnél összeszedett tudás alapján összeállított adatbázisból, valamit felhőbe felküldött bizonytalan fájlok elemzésén alapuló tech.-et alkalmaz.

Nem is nagyon tudom hová tenni ezt a "letöltötte a napi def. update-et" az ilyen kifinomult cucc esetén. Természetesen van az ESET-nek is alap def. update-je, főleg az olcsó terméke - ESET Antivirus - támaszkodik arra. De a drágább cuccai - ESET Livegrid stb. - már rég nem abból élnek (mivel lassú az előállítása és terítése).

Szóval ezekkel a három betűs, nagyon tudományosnak ható rövidítésekkel max. a laikusokat és a műkedvelőket lehet megvezetni, akik valamit is karistolnak a IT sec.-hez, azokat azért ... na ... :D

trey @ gépház

Azért erről kérdezz meg valakit aki ért az IT biztonsághoz ;-)

Leírtam neked Tavis Ormandy nevét, esetleg nézz utána kicsoda. De, akár én is megmondom neked: ez a szoftver, ezen produkciója után kijelenthető, hogy egy rakás szar. Azt is leírtam, hogy miért. A CTO/CISO-tokat majd kérdezed meg, hogy milyen garanciákat kértek a CrowdSteike-tól, hogy ilyen (vagy rosszabb - szándékos károkozás rajta keresztül) a jövőben nem történik meg. Ha meg ilyen garanciát nem kapnak, akkor meddig marad nálatok ez az időzített bomba még (nálam másnap menne a kukába).

Valós személy által írt teljesen legit e-mailt amit a fogadó oldal már várt hogyan fogsz meg? Mesélj...

Hát, ha tényleg ilyen partnereitek vannak, hogy a nevükben 0day támadásokat kaptok e-mail-en keresztül, akkor minimum oktatással, a partnertől meg max. faxot fogadni, amíg a szarát ki nem pucolja.

trey @ gépház

Ha utána kijelenthető... - akkor már késő.

...amíg meg ki nem pucolja - akkor már késő.

Ismerem Tavis Ormandy munkásságát. Amit állít teljesen jogos, viszont megoldást nem ajánl a problémára. Abban meg nem értek egyet vele, hogy ez óriási probléma amit állítasz.

A támadók a legkisebb ellenállás irányába mennek és a legkisebb zajjal járó módszereket szeretik. A rendszerek meg tele vannak lyukakkal. Nem kell a security eszköztárát felhasználni (ami növelheti a lebukás esélyét). Vannak gyengébb pontok. Nem is volt ismert támadás ezeken keresztül. Persze elméletileg igaza van.

Nálunk nincs CrowdStrike. Egyáltalán nem voltunk ebben érintettek. Érdeklődünk csak utána mert az egyik piacvezető. Szerintem a CISO nem lesz olyan bátor ezután ahogy ismerem, hogy kérje a bevezetését. :) Másik XDR meg már van.

Jaj, hagyjuk már a hasba akasztó, kampó szöveget, ezt tartsd meg a cégedben a főnökség részére, amikor ki kell magyarázni ezt. Olyan licencárak mellett, amit ezek zsebretesznek, éjjel-nappal tesztelő majmoknak kellene ugrálniuk a világ minden pontján. Egy ilyen fiaskót - 1 millióból 1 millió Windows nem bootolt el - 10 perc alatt ki lehet tesztelni.

NEM TÖRTÉNT SEMMILYEN TESZT a terítés előtt.

trey @ gépház

Majd értesíts, csak remélni tudjuk, hogy a postmortem nem olyan "alapos" lesz, mint amit az Apple adott ki a legutóbbi több milliárdos fiaskója után :D :D :D (nulla)

Arról, hogy milyen transzparencia várható tőlük, itt egy demó:

https://hup.hu/comment/3086445#comment-3086445

trey @ gépház

Bill Gatesnek elromlik a kocsija.
 Nem tudom, mi történt. Megállt. Kiszálltam, beszálltam, és nem indult újra. Nem értem.

Szerkesztve: 2024. 07. 19., p – 17:42

Ezt már próbálták? Hátha segít, ha mégse elég 640Kb.

DEVICE=C:\himem.sys
DEVICE=C:\emm386.exe NOEMS RAM I=C800-EFFF
DOS=HIGH,UMB
FILES=50

Mi van ha öntudatra ébredt a Skynet   AI?

vkinek az ánusza exponenciális tágulás elé néz ma

Üdvözöljük önöket a világ első teljesen robotizált replőgépjáratán, amelyet windows operációs rendszer irányít. Repülőgépünk most elindul a kifutópályán, és megkezdjük az emelkedést.....és megkezdjük az emelkedést....és megkezdjük az emelkedést...és megkezdjük az emelkedést.

Nem ilyen Péntekről álmodtam... 80 gépet vakartunk ki a g.ciből, egész nap nyomtuk. 
Kéne valami póló, hogy "2024-07-19 - OTT VOLTAM" :D 

A bitlockerhez megvan a kulcs, úgy oldjátok ki? Vagy van a kaliban a bitlocker ellen valami csodaszer?

Azért kérdem, mert az én laptopom is lehalt az elsők között (így jár, aki korán kel), és edig az IT a bitlocker kódomat nem bírta kiadni. Van a laptopomon néhány hétnyi meló, amit nem szívesen csinálnék meg újra...

Ha sikerül helyreállítani, asszem nálam is napi mentés lesz :-(

=======================================
https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/comment/ldx54v6/?…

Our IT guys discovered that if you try rebooting borked machines multiple times then most of them somehow eventually boot up at least once, and then can be quickly downgraded to two versions down (7.14.xxx I think), which fixes the issue.

=======================================
https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/comment/ldw8fjn/?…

While we were working on detaching ec2 volumes, mounting elsewhere, etc. one of the greybeards here just started using "DEL /F /Q \servername\c$\Windows\System32\Drivers\Crowdstrike\C-00000291*.sys" from a server that was working.

Open a cmd window and do a "ping -t servername". You get 5-6 pings during a reboot cycle. If you are quick you can execute the other command before the bugcheck happens.

=======================================
Microsoft's Outage Tip for Customers: Try Rebooting Your System 15 Times

https://www.pcmag.com/news/microsofts-outage-tip-for-customers-try-rebo…

=======================================

Revolut működött ma egész nap.

hup.hu##article[data-comment-user-id="16401"]

hup.hu##article[data-comment-user-id="4199"]

na működnek újra az amerikai backdoorok? bicózni voltam, amíg ment a nagyon fontos "helyreállításuk"

Ja, kijött egy képmutató szar terelés:

Why It Happened: Cause of Incident

The crashes were due to a defect in the Rapid Response Content, which went undetected during
validation checks. When the content was loaded by the Falcon sensor, this caused an out-of-
bounds memory read, leading to Windows crashes (BSOD).

Nem nem ez volt. Ez volt az incidens oka:

Az incidens azért történt, mert egy lamer faszok voltunk és elfelejtettünk alaposan tesztelni. A kékhalálozások ennek a KÖVETKEZMÉNYEI voltak.

trey @ gépház

Én szeretem az ilyen riportokat. Tökéletesen megmutatja, hogy ki viszi a puskát a cégnél - sales, marketing, mérnöki csapat stb. Továbbá fokmérője ez az őszinteség faktornak is.

Vajon hány ügyfelet veszítenek emiatt 2024-ben? Mert aki az ügyfelük marad ezek után, az egy idióta véleményem szerint.