Cybersecurity platform Crowdstrike down worldwide, many users logged out of systems

HUP cikkturkáló

https://www.digit.in/news/general/cybersecurity-platform-crowdstrike-do…

 

Nalunk is elhalt az egesz rendszer, minden all...

  • 7688 megtekintés

( snq- | 2024. 07. 19., p – 08:42 )

mint minden ilyen szar, életciklusa során több kárt okoz, mintha nem lenne

Nem ezzel, de tetszőleges másik gyárt termékével van tapasztalat.

Bátran mondhatom, hogy több hasznot csinál mint kárt...feltételezem Neked nulla a tapasztalat

Ha nem talált, akkor elnézést -> de amit írtál, az tipikus "anti", szemellenzős, tapasztalathiányos hátteret sejtet.

 

De magáról a konkrét esetről -> nem véletlen van a teszt...és mint minden ilyen szar, tuti hogy csak ott bukott meg, ahol szarul volt beállítva az update...De elismerem, hogy ez meg most részemről egy erős feltételezés, mert más gyártó más termékéből indulok ki....

 

Nálunk ment minden tegnap is, de tény hogy partneri oldalon éreztük a hatását és nálunk is volt beszélgetés üzletmenet folytonosságról...

( Vamp | 2024. 07. 19., p – 08:47 )

Ausztráliában bankok, légitársaságok álltak meg...

Alapvetően be lehet állítani policyben, hogy melyik falcon verzió legyen a gépen és up/downgrade-eli magát arra. Nyilván aki simán "latest"-en hagyja a policy-t, az eddig is rázta a pofonfát. Nem ez az első eset, hogy a falcon-sensorban valami prod-ot megborítani képes bug volt. Lehet N-1, N-2 verzióbeállítás a prod-ra és a latest a QA környezetre, akkor elvileg van esélye kiderülnie a bajnak.

A hátulütője ennek a megoldásnak (legalábbis linuxon), hogy kernel-mode része nem fogja a legfrissebb kernel verziót támogatni, ilyenkor RFM (reduced functionality mode)-ba kerül. Ilyenkor a SecOps team elkezd mammogni, hogy "dehátazúgy nemkomplájent", és jönnek a "vicces" szituációk, mikor a kernelt high-severity CVE miatt kellene frissíteni, de nem frissíthetjük, mert az általunk használt falcon-sensor verzió még nem támogatja. Általában ezen elég jól le lehet mérni, hogy az adott cég security csapata valójában mire is játszik...

Régóta vágyok én, az androidok mezonkincsére már!

Ez jó kérdés. Ennyire mély részletet sajnos nem tudok a mostani problémáról.

EDIT: szóval nem hagyott nyugodni és megpróbáltam kideríteni, hogy mi a bánat ez a channel file. A hivatalos doksi (már amihez még hozzáférek, knowledge base cikkek) ugyan említi, hogy ezeket a SYS fileokat hívják "channel file"-nak, elvileg akár ügyfélspecifikusak is lehetnek, de azt már nem köti a tisztelt vevő orrára, hogy mi a szerepe.

Okkal.

Windowsban egy jó ideje a kernel driverekhez meg van követelve a WHQL minősítés, vagyis a Microsoft is kell hogy QA-zza a drivereket, ez viszont időigényes. Ezek a jómadarak (falcon ugye...) kitaláltak egy workaroundot és interpretert raktak a driverbe. Egyes források ezt koncepcionálisan az eBPF-hez hasonlítják, de a technikai megvalósítás nem teljesen ugyanazon a szinten van. Vagyis ezek a SYS file-ok nem vírus (vagy bármi malware) definíciós file-ok, hanem konkrétan a kernel driver business logikája van leimplementálva bennük. Amit anélkül tudnak kicserélni, hogy a kernel driver natívan lefordított részéhez hozzá kéne nyúlniuk és a WHQL folyamatot újra kéne csináltatni.

Régóta vágyok én, az androidok mezonkincsére már!

Nade igen (láttam Dave videóját :) ), de épp ez a baj. Azaz hogy hiába fixálja valaki ügyesen, hogy az adott verzió lehet csak a gépen, az attól még lelkesen frissíti ezeket a channel fájlokat, és lám: kékhalál.

Nekem semmi közöm magához a CrowdStrike-hoz, be sem tudok lépni (na nem mintha annyira hiányozna), de ugye az lenne a kérdés, hogy lehet-e az adott szi... channel fájlokat előbb egy konkrét gépcsoportra ledobni, és csak utána a prod rendszerekre.

 

(Igen, igen, ilyenkor hallatszanak a sikolyok, hogy miért a teszt rendszereken naprakész a védelem, és miért a prod rendszerek kapják meg csak később, de ez nem az én problémám.)

Nekem is csak read-only access-em volt a CS-hez, úgyhogy én sem tudom lecsekkolni, hogy lehet-e pinnelni verzióra a channel file-okat is. Az állítás az, hogy ezek ügyfélspecifikusak, ebből arra tippelek, hogy talán ezt is lehet policy-ből szabályozni. Csak gondolom eddig nem sok security adminnak esett le (a CS nem tette túl egyértelművé, sőt kifejezetten úgy beszéltek róla, hogy "a channel file a rapid response kulcseleme"), hogy nem elég a falcon verziót lekötni, mert a hibák ebből az irányból is bejöhetnek.

Régóta vágyok én, az androidok mezonkincsére már!

Ez alapján szerintem, amennyire lehet, biztos:

"Channel file "C-00000291*.sys" with timestamp of 0527 UTC or later is the reverted (good) version.
Channel file "C-00000291*.sys" with timestamp of 0409 UTC is the problematic version."

A hajnali négy UTC az kb. az az idő, amikor elkezdtek bezúdulni a ticketek.

"A hátulütője ennek a megoldásnak (legalábbis linuxon), hogy kernel-mode része nem fogja a legfrissebb kernel verziót támogatni, ilyenkor RFM (reduced functionality mode)-ba kerül."

Ezek "ilyenek"... Van, ami Ubuntuban 16.04...22.04 támogatást tud, 24.04 "majd valamikor lesz", és persze a kernelverziókra is háklis, amellett, hogy egy do-release-upgrade után az alkalmazást is le kellett szedni és újratelepíteni, aztán vagy sírt a "túl friss" kernel miatt, vagy épp jó volt neki... Fun fact: ez a sz@r azért sírt, mert _már_ x.y.z kernelverzión ment a gép, a másik motyó meg azért rinyált, mert _még_ x.y.z verzión... (mert volt már x.y.z+akármennyis kernel is)

Én mondtam is, hogy az a trutymó, ami 2024-ben még a 16.04-es támogatást is életben tartja, miközben a 22.04-es verzió kerneleit sem bírja érdemben követni, az minden, csak nem jó választás... (Azon felül, hogy 0.6...1.1CPU-magot eszik, egy upgrade minimum dupla idő, ha futkorászik az agent-je, de mondjuk ez is olyan dolog, hogy minden ilyen röptében a legyet is meg...vizsgálja cucc zabálja a procit meg az I/O-t... )

 

( wladek1 | 2024. 07. 19., p – 09:09 )

SPOF, szebb bemutato nem is letezik erre.

Error: nmcli terminated by signal Félbeszakítás (2)

( arpi_esp v | 2024. 07. 19., p – 09:22 )

ez amugy mit csinal ha epp mukodik?

Falcon is the CrowdStrike platform purpose-built to stop breaches via a unified set of cloud-delivered technologies that prevent all types of attacks — including malware and much more. Today’s sophisticated attackers are going “beyond malware” to breach organizations, increasingly relying on exploits, zero days, and hard-to-detect methods such as credential theft and tools that are already part of the victim’s environment or operating system, such as PowerShell. CrowdStrike Falcon® responds to those challenges with a powerful yet lightweight solution that unifies next-generation antivirus (NGAV)endpoint detection and response (EDR)cyber threat intelligence,managed threat hunting capabilities and security hygiene — all contained in a tiny, single, lightweight sensor that is cloud-managed and delivered.

Mindegyik ilyen "röptében ellenőriz mindent is" sz@r ezzel jár... Én már számolom, hogy a (szerencsére más gyártó terméke) megoldásunkhoz hány plusz fizikai CPU-t kell majd a VM-ek alá  berakni... Bár sajnos az I/O-t is gyalázatosan tudja zabálni, ha "rájön a hoppáré"... De "kell, mert komplájensznek kell lenni..."

konkretan manapsag  4 GB RAM es 2 CPU egy Windows vagy linux gepen siman elmegy csak az ceg altal eloirt agentekre (ennel az ugyfelnel nincs Crowdstrike, de van minden mas: viruskergeto, malware-figyelo, konfiguraciomenedzsment, konfiguracios adatbazis,  logolas, monitorozas...). Tehat, ha kiraksz ezekkel a parameterekkel egy VM-et (Redhat vagy Windows Server OS-sel), akkor azon a CPU/RAM nagyjabol ki is lesz hasznalva, ha _semmi mast_ nem csinal az a gep. 

Ismerős... csak ugye amikor az infrát tervezték, akkor úgy számolták, hogylesz rajta x VM, y VCPU, estébé, aztán bejöttek ezek a "csodák", és lehet pingvinezni, hogy egy rohadt alkalmazásszerveres konténer nem bír elindulni, vagy egyéb feladatok időigénye nőtt meg rettenetesen... És a gáz nem csak a cpu/ram igény, mert azt "lehet venni a bótban", de I/O-ban is elég jó étvágyuk bír lenni/az I/O performanciát is alaposan haza tudják vágni, és ugye egy virtualizált környezetben annyi iops van, amennyit az alárakott (shared) storage tud, azt növelni hááát.. nem olcsó, ellenben drága...
 

( Vamp | 2024. 07. 19., p – 09:50 )

Szerkesztve: 2024. 07. 19., p – 09:50

A nagy gaz, h ezt nem lehet javitani egy patchel... ha egyszer kek halalozik. nalunk tobszaz szerverrol es több ezer (tizezres nagysagrend) kliensrol beszelunk vilagszinten.. a hetvegenek lottek....

Némileg off.

Aki security/ops-ban dolgozik, péntekekre vegyen ki szabadságot. Mindig akkor jön a gyász. Ja meg sátoros ünnepek környékén (előtte 3-4 nappal már érdemes menekülni). Mert a faszok ilyenkor érnek rá / unatkoznak és csüffögnek otthon a gépük előtt h. betörjenek valahova.

( pepelopez | 2024. 07. 19., p – 09:53 )

"csak az nem hibázik, aki nem dolgozik" :))

( hunluki | 2024. 07. 19., p – 10:02 )

workaround: recovery, command prompt, sys32/drivers-ben crowdstrike átnevez, reboot. 

Major fckupra sikerült, igazi pénteki hangulat, szépen egyesével monkey meló javítgatni, de jó hogy nem vagyok lokál ITs akinek ezzel szórakoznia kell...

Enrollolt windows desktop gépek is BSOD-val köszöntik az embereket, megállt a fél világ :D 

Aha, csak a kibaszott IT a kurva nagy biztonságra hivatkozva bekapcsolta a bitlockert minden gépen, így amelyik most lehalt, annak a gazdája hiába ért hozzá, nem tud hozzáférni a meghajtóhoz, hiszen a bitlocker kulcs ki tudja, hol van. Ha szerencsések leszünk, a kulcsokat tároló szerver is meghalt, és lehet majd a gépeket radírozni. Lokálisan tárolt adatoknak annyi.

Nekem ki volt nyomtatva előző helyen, mert 2-3 hetente volt h. megbaszódott a csodálatos lattitude-om a sok feltelepített szekurity, compliance, meg kémkedős céges szartól. Olyankor a reggeli bekapcsoláskor menetrend szerint a bitlocker recovery fogadott mindig. A 3. után már inkább nem zaklattam a helpdesk-et, hanem szépen lementettem offline használatra a szekvenciát, és kinyomtattam elraktam a fiókba hogy amikor (nem HA, hanem amikor) kell, akkor pikk-pakk meglegyen.

( realrob | 2024. 07. 19., p – 10:09 )

Szerkesztve: 2024. 07. 19., p – 10:10

nem így kezdődött a SkyNet is?

Remek! Szóval most már nemcsak a buzi hekker meg a ransomware miatt aggódjon az ember a műtétje előtt, hanem azért is h. az a biztonsági szenny hulladék szoftver se fossa össze magát, és okozzon effektíve pont ugyanolyan kárt, mint aminek a kivédésére eredetileg szánták.

( arpi_esp v | 2024. 07. 19., p – 10:17 )

olvasva a kommenteket ez nagyon kiraly cucc lehet :) egy update es a fel vilag BSOD? a QA biztos nyaralni van...

Amennyiben az rasszizmus, hogy megállapítom, hogy egy történelmileg fehér nemzeti 11-ben mennyi a fekete ember, akkor igen!

Mondjuk a ti svájci csapatotok se kutya ... :D Ha kiöregszik a kövérkés Shaquiri ki lesz helyette? :D

trey @ gépház

Az semmi, de a Fradiban is milyen sokan vannak, akik ferencvárosiak, mi?

Igen, 10 féle ember van, aki érti a klubfoci és a nemzeti 11 közti különbséget, meg aki nem.

(Hint: a klubfociban nincs olyan klub tán a világon, amelyikben kizárólag helyiek játszanának, így lehet, hogy mondjuk a portugál Ronaldo az araboknál játszik, az argentin Messi meg Amerikában stb.)

trey @ gépház

Hát pont ez az. Miért nevezik ferencvárosinak, ha semmi köze a kerülethez, de lassan már Magyarországhoz sem? Ha a mostani játékosokat kilóra megveszi egy olajsejk, akkor holnaptól a fradi drukkerek az Arab Emirátusoknak fognak szurkolni? Ha nincs se területi, sem pedig személyhez kapcsolódó hűség ebben az üzletben, akkor hol van itt az érték?

A foci a legnagyobb globalista üzlet.

Orbán 15 éve még Újpest szurkoló volt. Most azt haluzza, hogy maximum gyerekként volt Újpest szurkoló, benne Fradi szív dobog…

Hogy is van ez? Asszonyt, országot cserélünk, csapatot nem! Nincs is gonoszabb mint a globalizáció, aztán a szuverén harcosok egy globalista focicsapat után rajonganak!? A Forma1 dettó: globalista sorozat.

szerintem az lenne a rasszizmus, ha nyilvánosságra kerülne, hogy mennyi a német csapat banán fejadag :-)

A régi NSZK-ban NULL volt, de mára jelentős mértéket öltött.

1920. augusztus 01. a Magyarországi Tanácsköztársaság vége.

1918. március 21. – 1920. augusztus 01. Magyarországi Szocialista Szövetséges Tanácsköztársaság.

Nagyon nagy történelmi bűn, hogy létrejöhetett Magyarországon, 1918-ban a tanácsköztársaság.

na ide is teherautóval kell hozni már az edzésekre a banánt..

Ha összevesznek rajta, akkor egymást vagy a gondozót dobálják meg.

Mint tudjuk a banán őshonos Kanadában.

1920. augusztus 01. a Magyarországi Tanácsköztársaság vége.

1918. március 21. – 1920. augusztus 01. Magyarországi Szocialista Szövetséges Tanácsköztársaság.

Nagyon nagy történelmi bűn, hogy létrejöhetett Magyarországon, 1918-ban a tanácsköztársaság.

képzeld tudom, itt nem az volt a kérdés, hogy ki volt ott (Kanadában) elsőnek.

Azokért a bűnökért a mai napig nincs vezeklés. Olyan kevesen maradtak (őslakos indiánok), hogy nem számít a szavazatuk ellenben a niggerekkel, akik már túlszaporodtak és a gazdáik fejére nőttek.

1920. augusztus 01. a Magyarországi Tanácsköztársaság vége.

1918. március 21. – 1920. augusztus 01. Magyarországi Szocialista Szövetséges Tanácsköztársaság.

Nagyon nagy történelmi bűn, hogy létrejöhetett Magyarországon, 1918-ban a tanácsköztársaság.

meg az arabokat, sárgákat meg az olyan f@sz fejeket mint te willy gyerek, aki buzi témában mindig aktív.

1920. augusztus 01. a Magyarországi Tanácsköztársaság vége.

1918. március 21. – 1920. augusztus 01. Magyarországi Szocialista Szövetséges Tanácsköztársaság.

Nagyon nagy történelmi bűn, hogy létrejöhetett Magyarországon, 1918-ban a tanácsköztársaság.

téged válasszanak helyettük. 

ezt nem értem!

ki és minek válasszon engem?

1920. augusztus 01. a Magyarországi Tanácsköztársaság vége.

1918. március 21. – 1920. augusztus 01. Magyarországi Szocialista Szövetséges Tanácsköztársaság.

Nagyon nagy történelmi bűn, hogy létrejöhetett Magyarországon, 1918-ban a tanácsköztársaság.

a QA biztos nyaralni van

Nem értem miről beszélsz :).

A Microsoft QA módszere az, hogy kirakja élesbe, aztán a botrány méretétől függően kiad valami nyilatkozatot.

"előre menekülés" mint mindig. Esetleg kirúgnak valami szerencsétlen bűnbakot és megy minden tovább ahogy eddig.

( nagyjoco | 2024. 07. 19., p – 10:29 )

Vajon mekkora lehet az ūzleti kàr globàlisan percenkènt?

Ha tartós rendszert építesz és okos csapatot nevelsz, akkor száz kiadásban sem érheti baj; ha csak a gépekre hagyatkozol, akkor egyszer jól jársz, máskor rosszul; de ha sem a rendszer nem bírja a terhet, sem a csapat nem tanul a hibákból, akkor minden egyes kiadás kockázat.

( tamas.hornos | 2024. 07. 19., p – 10:32 )

😅 főnök írja a Balatonról: i'm happy we are not using crowdstrike

( Tom | 2024. 07. 19., p – 10:39 )

Még a végén kiderül hogy a hiba egy "becsempészett", hibás backdoor miatt van.

Ha egy ilyen ceget az oroszok a mosogepcsipjeikkel meg a 350nm -es gyartasi technologiajukkal megborithatnak, az azert vicces kategoria (lenne, ha nem erre epitene a fel "halado" vilag).

Erdekelne mindenesetre a kivalasztasi folyamata egy ilyen szolgaltatas igenybevetelenek. Mondjuk pl a Visa/Bankok eseteben.

Error: nmcli terminated by signal Félbeszakítás (2)

Az ilyen céget nem technológiával borítanak meg, hanem jelentkezik John Smith (orosz|kínai|izraeli|amerikai) ügynök 2017-ben a céghez. Mindig jó munkát végez megbecsült dolgozója a cégnek. Majd egyszer a megbízói kérnek valamit ami egyszerű hibának is tűnhet amit bárki elkövethet...

Egy egyszerű cég ez ellen nem tud hatékonyan védekezni: lást supply chain attack, 3rd party risk...

A CrowdStrike nem orosz, nem kinai, tehat annyira fognak tole elkoszonni, mint a SolarWinds -tol. Meg azt sem tartom kizartnak, hogy kotelezove teszik majd a hasznalatat. Azer megsem egy Kaspersky, csak el lehet nezni az ilyesmit a patriotizmus jegyeben, nahh :)

Error: nmcli terminated by signal Félbeszakítás (2)

Ha igazi McCarthysta lennék azért megnézném az alapítókat: https://en.wikipedia.org/wiki/Dmitri_Alperovitch ja bocs:  Дмитрий Альперович.

Cégként, meg miért szavaznék nekik újra bizalmat azután, hogy óriási kárt okoztak? Kártalanítani fognak mindenkit?

https://en.wikipedia.org/wiki/Dmitri_Alperovitch#U.S._Government
A CIA/NSA/FBI tuti lájkolja a csávót. Ők meg a világon a legjobbak. Még Trump is csak fülelni tud a Secret Service jelenlétében, annyira jók...

Error: nmcli terminated by signal Félbeszakítás (2)

Amúgy nem vagyok McCarthysta 😉 Arra nem gondoltál, hogy egy orosz alapítású cégbe könnyebben vesznek fel oroszországból jövőket? Főleg az IPO előtti időkből?

Ezt gondolatkísérletnek szántam - az egész egy "rossz" spekuláció, de mások is gondolkodhatnak akár így is...

Ja lehet ez is Biden miatt van és Trump az egész pikk-pakk a bal fülével megoldaná egyMAGA 😜

De az ugye megvan, hogy ez a cucc konkrétan, deklaráltan, feature lista szerint, egy backdoor?

A céged IT security csapatának teljes out of band remote control-t ad a gépek felett. (És nyilván mivel a C&C szerver "cloudos", ezért másnak is, csak ez utóbbira jogilag cserkészbecsszó vállalják, hogy nem)

Régóta vágyok én, az androidok mezonkincsére már!

( Vamp | 2024. 07. 19., p – 10:40 )

Kecskemeti Merci gyar is megallt... Ok is ezt hasznaljak...

( ricsip v | 2024. 07. 19., p – 11:06 )

Szerkesztve: 2024. 07. 19., p – 11:19

Mikor a hülye szakértők azt szajkózzák h. a heterogén védekezésben van az erő. Ne 1 féle szekuriti szar állásán v. bukdácsolásán múljon egy infrastruktúra működőképessége.

Deez jobbmintamásik és gyorsabbanfrissül ésegységesinfrát könnyebbmenedzselni... Gondolom ez volt a legtöbb helyen az indok - most azért remélhetőleg sokan újragondolják ezt a baromságot - ha nemis fognak a tényleges felelősei a dolognak ai-t kapni a hátsójukba...(Nem, az i az nem intelligence, hanem intruder...)

 

( KGer | 2024. 07. 19., p – 11:18 )

van az a alert nyomás amikor a manager már csak kér egy kávét és leül sportújságot olvasni

( mraacz | 2024. 07. 19., p – 11:41 )

Tegnap az Alzában még a lift se műkösött (azt isWindows hajtja?), mindenesetre a fizetős terminálok a használhatatlanságig lassultak és mindenféle ostoba Windows hibaüzeneteket hajigáltak. Azt hittem talán szabira ment az operátor és áztatja valahol a tökeit, de úgy tűnik megint nem alsó szintű humán faktorral van a hiba, hanem a Windows nevű elterjedt betegség osztja a problémát. Nesze neked, a "Windows jó,mert megfelel a compliance-en és nagy hálózatokat azzal lehet jól menedzselni": 

Ja, vagy nem.

Ugyanarra amire Windows-on: Mancika USB-n áthúzott / internetről letöltött malware-jét megfogja.

Windows legalább - szerintem erőssebben és okosabban is - olyan szinten korlátozható mint egy Linux
nem a rendszerek itt a szűk keresztmetszett.

...eddig azt hittem, hogy ez vicc, de most már látom, hogy komoJ.

BINGO. Nálunk Mancika nincsen már régen. Helyette Fatima van, aki hiszterikusan reagál arra a szóra, hogy USB. "I told you several times that I missed a degree on IT so please do not speak to me like that." Van olyan Fatima, aki ugyanezt németül is tudja, folyékonyan. Namost, nálatok onnan a Windows terhe alól, nekünk meg innen szép győzni. 

Ha Fatima mégis megtáltosodna és mégis be tudna dugni egy a legfrissebb Linux virusokkal teli USB-t a Debian laptopjába, akkor nyugodtan tegye meg. Jóleszazúgy.

( dorsy v | 2024. 07. 19., p – 11:54 )

Szerkesztve: 2024. 07. 19., p – 11:55

azert az eleg szar, ha nem tud valaki 10-30 perc alatt rollbackelni egy utolso mukodo image backupra, majd betolni az utolso mukodo DB mentest ha arra volna szukseg. :D

ezeknek a cegeknek hol a disaster recovery planjuk?

Hogyne lenne macerásabb.
Amig szerveren egy scripttel véghúzod az összes vdisk-en.
Addig a munkaállomások tulajdonosát be kell hívni az irodába, ki kell keresni a recovery key-t, be kell jelentkezni a Windows-ba safe mode-ban, kézzel kell kínlódni.
Vagy újrahúzni minden gépet, usereknek minden beállítást visszahozni és minden cuccot telepíteni.
Mindenképpen rengeteg időbe kerül, az pedig drága.

nem kell. mert akkor az mar definition szerint sem OOB.
"OOB allows a system administrator to monitor and manage servers and other network-attached equipment by remote control regardless of whether the machine is powered on or whether an OS is installed or functional. It is contrasted to in-band management which requires the managed systems to be powered on and available over their operating system's networking facilities. "
ilyenkor lehet eloallni a vezetoseg fele a managelheto eszkozok beszerzese iranyaban :) ha eddig nem lett volna ra igeny.

Engem is érdekelne hogy van-e olyan hely ahol az Intel AMT/ME/whatever remote funkciót tényleg használják nem trusted hálózaton?

Azért a szerverekkel némileg más a helyzet mert az OOB menedzsment elérése erősen szeparálva van mindentől, még a normál menedzsment-től is (remélhetőleg).

Mondjuk tökmindegy,  mert a legtöbbet nyakon lehet vágni OS oldalról is :)

A mindenféle ILO/IDRAC/whatever OOB menedzsment kártyák security reputációja a rossz vicc kategóriát sem üti meg legtöbbször.

Ezt egyáltalán hogyan lehetne védeni és hogyan lehetne elérni egy remote dolgozó kliensen? 

Ha a cég kliens VPN-t használ, az nem fogja lefedni a management portot, NAT mögött nem lesz elérhető, publikus internetre meg csak nem tehetik ki..

felejtsuk mar el a natot

ha nekem kene ilyet implementalnom 2024-ben: feltalatak mar a(z) (e)SIM-et, kap egy publik ipv6-ot, oszt' nem kell ilyen faszsagokkal cseszodni, mint pa'rtforward... tudod, mint az osszes modern autoban pl. :) arra, hogy elmanagelgesd egy remote API-n, arra pont eleg is.
ahogy nezem nem en vagyok az elso akinek ez eszebe jut :) "Built-in high-speed LTE with HSPA+, UMTS, EDGE, and GPRS/GSM fallback networks to protect against wired LAN failure. It can also be used to transmit serial data or establish a direct serial to serial peer connection, over cellular networks. "

rendesebb os-ek pedig ilyennel jonnek: https://support.system76.com/articles/pop-recovery/ (windowsnal is van ilyen megoldas), ugyebar nem csak a topikban emlegetett esetben teglasodhat meg egy OS.
csak el kell inditani a recovery-t, oszt' az majd szepen be is VPN-ezik ha valakinek ez volna a fetise.

publikus internetre meg csak nem tehetik ki.. > mert miert nem? egyaltalan hogyan tiltod meg Mancika laptopjanak, h pub ip-t kapjon vagy felmenjen egy inszekur halora? :D (hint: pont ezert hasznalsz te is vpn-t). certes auth, oszt' csokolom. pont ugyanaz a szekuricsi, mint a VPN-nel...

azt teszel a recoverybe amit akarsz. :) akar egy full OS-t is (lasd system76)
mobiloknal feltunt mar, h par gomb megnyomasaval vissza tud allni az eszkoz az alaptelepitesre? :)
ugyanennyi (lenne) megcsinalni ezt egy laptop eseten is. hogy erre az okosok miert nem gondolnak, azt majd megmondjak az okosok. :)

amugymeg: https://docs.fedoraproject.org/en-US/fedora-silverblue/updates-upgrades…
https://www.truenas.com/docs/core/13.0/coretutorials/systemconfiguratio…
vannak megoldasok, hogy ne fajjon egy elcseszett upgrade vagy egy osszeszarodott OS. nem kell 0-rol ujrafeltalalni a spanyolviaszt.

miert kene a usernek barmit nyomkodnia, ha ott az OOBM? ezzel inditottam a szalat...
max annyi dolga van (ha megse lenne OOBM), h megnyomja a "kontrolaltdelwindowsshiftsupermeta+X" billkombot es rabok amire azt mondod, hogy kell. onnantol meg mehet a restore/rebuild/reinstall/delete .sys file... kinek mi a szive vagya.

de ezt sem en talaltam fel eloszor...

nem ertem a ketto miert zarna ki egymast es hogy egyebkent hogy jon ide, mikor egy recovery env bootolasakor "betelefonalo" rendszerrol beszelgetunk.
ha indokolt volt, akkor az operator szepen ra tud nyomni a 2FA-ra. ha nem, akkor pedig lehet lebaszni mancikat miert szorakozik a recovery envvel :P

nem kell ismernie semmit, a VPN kulcs a recovery image resze. ha jol csinalod, azt pedig crypt-tel nyitod (ahogyan a win particiot is) akar TPM-ben levo kulccsal (ha veletlen kilopnak az ssd-t). aka: bitlocker.
onnantol pedig 2FA csipog az operatornal, mikor jon a recovery betelefonalni, akkor opi ellenorzi, h "jogos-e a boges, oroszlan". ennyi.

De ha ennyire parazol vagy ez tul bonyi, akkor marad a "tolsd le a bootable USB-t innen, dugd be, bootolj be rola". onnan meg majd az "hazatelefonal", goto 10, 2FA opinal, stb. ha vegeztetek, revoke a kulcsra.

pont ez a jo a kulcsos authban :)
ugyanez mukodik forditva is. addig nem aktiv a kulcs, amig nincs az, hogy mancika hibajegye aktiv, "szerelni kell a komputert". akkor beengeded... goto 10

Igen OS gyártó (Microsoft) oldaláról is el kellene gondolkodni ennyi ransomware meg a mostani eset után, hogy a képernyőről helyett egy teljes OS snapshot amit a felhasználó is vissza tud állítani kicsit hasznosabb lenne.

Ennek így kéne mennie. Kék képernyő: boot. Újra kell képernyő. Boot. Látom nem tudod elindítani a rendszert szeretnéd a tegnapit ami még működött? Igen. Bejelentkezés. Munka...

Az LKGC-t kellene kiegészíteni azzal, hogy milyen driverek, egyéb vitális szoftverkomponensek kerültek betöltésre a legutóbbi sikeres boot során, és azokra kellene tudni visszaállni. (Egy sw vagy OS frissítés esetén azokat a fájlokat, amik az aktuális "sikeresen bebootolt velük" listában vannak, az OS-nek törlés helyett el kell raknia egy erre szolgáló területre, ami azért nem triviális, bár szerintem is megoldható...)
 

csak smittelni kell a letezo megoldast: https://docs.fedoraproject.org/en-US/fedora-silverblue/updates-upgrades… dobhatod be MS-nek, mint ficsorrekveszt.
amugy nem'tom, de en ugy emlekszem anno minden fontosabb update/upgrade elott volt restore point keszites windozon, az mar megszunt? :)

FYI: az aktuális problémán az OS visszaállítási pont sem segít, mivel _nem_ az OS frissült/változott, hanem egy 3rd party alkalmazás - ami olyan komponenst is érintett, aminek a hibája ilyen problémát okoz. (A kérdés persze ott motoszkál az emberben, hogy mik azok a peremfeltételek, amik esetén _nem_ BSoD az "eredménye" a frissítésnek? Mert ugye a release előtt legalább néhány gépen ugye tesztelte a gyártó a sz@rát...?)

És a 3rd party nem az OS működésének a része? Az OS elméletileg tudhatta melyik DLL volt a problémás. Meg működni is tud nélküle (csökkentett mód). Ha van mentése (snapshot akármi) meg azt is tudhatja, hogy volt jól működő verziója. Legnagyobb privilégiumszintű sw komponenssel nem foglalkozok mert nem én (OS gyártó) gyártottam???

Próbáltad már a "clean install w/o wiping userdata"-t? Na akkor ha sok időd lesz, akkor rakj fel néhány(tucat) alkalmazást, kezdd el használni - majd csinálj egy "clean install w/o wiping userdata" visszaállítást.

Utána csak a mentett adatokat kell hozzáférhetővé tenned az új-régi usernek, illetve az alkalmazásokat és azok beállításait kell visszaraknod...

ha ti ezeket kezzel allitgatjatok, akkor mit csinaltok egy hw hiba utani restore-kor? jahogy ugyanezt? :)
akkor nem is volt olyan fontos automatikusan allitgatni.
a fontos %userdata% meg legyen a halozaton. oda valo. nem a munkaallomasra. es legyen rola mentes! meg recovery plan...

pont arrol beszeltem a legelejetol, hogy legyen image szintu mentes, amit 10-30 perc visszatolni. mindennel egyutt is. mivel image szintu. kulonben ezt a szopast kell vegigtolnod...

amugy elarulom, egy major win update pontosan ugyanaz, mint az "OS refresh". regebben meg windows.old-ot is hagyott maga utan, rollback celjabol (azota nem tudom megvaltozott-e ez a menetirany)

A "clean install" alatt én az üres, tiszta OS-telepítést értem, amivel utána még bőven van matatni való, nem az előre pimpelt image-ből történő helyreállítást.

Emlékeim szerint a clean install az mintha nem vinné magával a régiből a felhasználókat (SID), ergo ha ntfs, akkor lehet szórakozni a jogosultságokkal, ha lokális userrel megy valami...
 

A 3rd party _nem_ az OS része, mág akokr sem, ha az OS-t meg tudja borítani. Ezt az "OS elméletileg tudhatta melyik DLL volt a problémás." hogy valósítanád meg? Boot során a rendszer sorban felírja, hogy melyik dll, melyik sys melyik lóhitty fájl után ment tovább, és egy recovery boot során azt, aminél megakadt, azt "valahogy" a legutolsó lista alapján kihagyja? Ez a lista príma támadási felület arra, hogy tetszőleges komponenst "kiiktasson" egy támadó a rendszerből...

A probléma a "van mentése" témában az, hogy n+1 féle telepítő van, és nincs kötelezően bedrótozva, hogy adott pl. könyvtárba bekerülő módosítás mentését el _kell_ rakni/vagy az OS elrakja.

Ez az összes lehet_ne_ arra jó, hogy az ilyen hibákat a jövőben hogyan lehetséges elkerülni. Ahogy az is, hogy azonos funkciót ellátó gépekre nem teszünk ugyanolyan mondjuk védelmi szoftvert, vagy ha igen, akkor nem "latest" és "azonnal" frissülő módon. (Az üzemeltetés rendelkezésre állásától függően minimum 6-12-24 órás különbség elég lehet a frissítéseknél...)

 

attol meg az atomic upgrade lenyege ugyanaz. kb. mint mikor visszaallsz egy snapshotra. nezd meg hogy mukodik fedoran, aztan fogod erteni. ha meg a 3rdparty SW nem tamogatja a downgrade-et, az nem az OS hibaja ugyebar.
pl. DNF mar 5+ eve is tudott downgrade/rollback-et. a csomagkezeles csodakra kepes :)
windowson pedig GPO-bol lehet szepen terjeszteni mindent, imho 3rdparty szoftvert is. meg is lehet tiltani, h teszteletlen frissitesek kimenjenek. :)

ha a kedves uzemelteto macik hasznalnak a toolokat, akkor nem lett volna ekkora baszakodas ebbol. jahogy tesztelni draga! most ugy tunik megvolt a tanulopenz :)

akkor nem nalad a kontroll.
az hogy ment at a szekurucsi auditon es a business continuity auditon, hogy olyan szoftver van a gepen, ami felett nincs kontrollotok, hogy mikor frissulhet? :) ezen kene elgondolkozni elso korben.

ha beszopnatok a ransomware-t, akkor is allna a cegetek napokig? mert az pont ugyanez a szitu (csak szarabb, mert ott tenyleg mentesbol kell visszaallnotok, ami tobb ido, mint egy rm -rf akamicsoda.sys)

Hány cégnél láttál példát arra hogy dedikált sim-et tartanak fent a laptopok management rendszereihez?

Egyáltalán erre fel vannak készülve a management szolgáltatások, tehát boot-loop-ba kerül OS esetén a management firmware-re biztosítani tud mindent ahhoz hogy az esim-en keresztül fel tudjon épülni egy client VPN?

... vs. törölni egy sys fájlt.

Vajon melyik könnyebb? (Amúgy nagyon nem egyértelmű, mert ilyenkor derülnek ki, hogy jajj, nincs meg a lokáladmin jelszó, jajj, hogy lépek be az iLO-ba, iDRAC-ba, IMPI az mi, mi a kvm jelszava, kivittehazaakvmet... szóval csomó vicces dolog).

( KoGa v | 2024. 07. 19., p – 12:07 )

Akkor most feltenném a kérdést, senki nem tesztelte az update-et mielőtt felrakta? Vagy mindenki bízik az auto update-ben?

Hát ugye, most egy channel file miatt dőlt be a sok windows, amit én úgy fordítok, hogy egyféle szignatúrafájl. Aztán lehet hogy nem. Nade van olyan hely, ahol ülnek 1-2-n órát-napot-hetet egy-egy szignatúrafrissítéskor, hogy vajon hol okoz hibát?

Pláne úgy, hogy mindennaposak a 0day-ek.

Persze ettől még ez nem lesz jó, csúfos blamázs az egész.

Ha egy ilyen hiba miatt BSOD van akkor:

1. Szar a szoftver, nem szabadna hogy egy adatbázis hiba megborítsa, főleg nem úgy hogy a teljes OS működésképtelen lesz.
2. Nem futottak le a legalapvetőbb automata teszek sem az új szignatúrával. Ezt nem az ügyfeleknek kellene felfedeznie.

Mindkét pont miatt kukás a szoftver, a továbbiakban tilos használni.

( uid_17626 | 2024. 07. 19., p – 12:58 )

Vajon egy ilyen esemény mekkora kárt okoz a gazdaságban, emberi életben?

( uid_17626 | 2024. 07. 19., p – 13:06 )

Pont ezért van saját vasam. Most ülhetnék tehetetlenül a gépem előtt. Nekem ez elfogadhatatlan.

Azt bazdmeg. Meg a legalsó szintű rabszolgák a repi tollat is menjenek beregisztrálni az ajcsi redzsisztrésön portálon, ha véletlenül kaptak olyat az ügyféltől. Nehogy a korrupció az árnyéka is rádvetüljön!

A prodákt ónerek meg a beszállító cég ügyvezetőjével golfozgatás közben megállapodnak a hozott bizniszből való lóvé visszaosztásában.

De az fontos, h. a melósrabszolgaparasztja beregisztrálja a kapott repis tollat, meg évente vizsgázzon a antikorrupsönből.

Te is tisztában vagy a "nyílt titok" kifejezéssel.

Az életben sok dolgot ki lehet következtetni úgy is, h. nincs rá egyértelmű bizonyítékod.

Vagy sejted h. lop a közös képviselő (ugye ez minden kis-közepes-nagy társasháznál így van?), de bebizonyítani nem fogod tudni, mert ha érti a dolgát, akkor jól csinálja.

Nem így működik.

Ahhoz, hogy ISO27000 meg hasonló compliance plecsnijeid meglegyenek céges szinten - ha nem valami kicsi KKV vagy, akkor sajnos lesz olyan ügyfeled, aki kiköveteli - kénytelen leszel valamelyik ilyen "security as a service" rootkit-backdoor mocskot bevezetni. Ha nem CS-t, akkor valamelyik hasonszőrű másikat, Solarwinds, Rapid7, stb.

Régóta vágyok én, az androidok mezonkincsére már!

Igen... mondjuk a security vendor selection folyamatot még sosem láttam belülről. Mindig felülről jött az ukász, hogy mostantól ez a vendorunk, ezt kötelező az összes szerverre felrakni. Időnként váltottak vendort, ami külön öröm volt (mint afféle jó rootkitben, a falcon-ban is van "uninstall protection", egyesével kell a securitysek-től az összes gépre uninstall token-t kikönyörögni és manuálisan uninstallálni).

Feltételezem, a szempontok olyanok lehetnek, hogy:

- Beszállítóként megfelel-e a <insert cég aktuális audit plecsnijei> compliance követelményeknek
- Milyen feature listája van - minél invazívabb, low-level controlt ad a security csapatnak, annál jobb. Minél több dolgot ki lehessen pipálni a compliance-re. Legyen benne AI-alapú early anomaly detection, mert az trendy.
- Miket vállal szerződésben (cserkészbecsszó az adataid nem hagyják el az EU területet, cserkészbecsszó NDA van, bármit amit megtudunk az infrádról azt nem áruljuk el senkinek*. * kivéve, ha törvényileg köteleznek minket... ugye...)
- Mennyibe kerül, X évre mennyi discountot adnak

Régóta vágyok én, az androidok mezonkincsére már!

Én őszintén reménykedek benne, hogy ez hoz valami szemléletváltást (a kezemet közben kiveszem a biliből...). Mert az utóbbi 5-6 évben eléggé azt látom, hogy a cégek az IT security témában szélsőségesen elmentek a "jogilag secure vagyunk" irányba. Vagyis nem a valódi security a fontos, hanem hogy legyen valaki külső beszállító, aki papíron vállalja. Nyilván, papíron azt is vállalják, hogy az ügyféladatokba nem néznek bele, nem élnek vissza a hátsóajtóval stb. És ez a legtöbb cégnek így 100%-osan meg is felel. Ha valami megborul, ahogy most is, az meg jogilag vis maior.

Régóta vágyok én, az androidok mezonkincsére már!

Az mondjuk egy általam is sokszor felvetett érdekes kérdés, hogy ezeknek a security provider cégeknek mennyi ráhatásuk van az ilyen compliance követelményrendszerekre. Hogy esetleg nem teljesen véletlenül alakul úgy, hogy a követelményeket csak úgy tudod teljesíteni, ha 100%-ban rábízod magad valamelyik ilyen vendorra...

Régóta vágyok én, az androidok mezonkincsére már!

Úgy érted hogy Windows mellett tudja monitorozni a:

  • Mac masinákat
  • Linux (és elég sok disztrót, de sajnos inkább kernelfüggő, szóval ez se mindig szentírás) desktopokat, szervereket
  • ESXi masinákat
  • ChromeOS (bár használja azt valaki?) izéket
  • AWS pár motyóját

is? Mi ennek az MS terméknek a neve? Bevallom nem ismerem hogy mit nyújtanak, de nekünk (is) kellene egy alternatíva.

Ez a szoftver és a társai működési módjukban hordozták azt, hogy kockázatot jelentenek a rendelkezésre állásra. Aki telepíti ezzel tisztában kell legyen. Kérdezhetném, hogy akkor ki és miért telepíti. Erre az a válasz, hogy más kockázatokat viszont csökkent.

Gondolom a CIA-ra gondoltál mint 3 kulcsszó. Lehet, hogy az az "A" nem véletlenül az utolsó a sorban...

( mark7 | 2024. 07. 19., p – 13:31 )

jaku, evone mikor jön, hogy csak a konteosok használnak készpénzt?

Ezt? Random komment:

"Voltam ma  pénzügyet intézni egyik bankban. Ahogy ott latolgatom lehetőségeket, hozzám lép a bank egyik hölgyalkalmazottja és kérdezi, segíthet-e valamiben. Még épp csak belekezdek, amikor közli, hogy összeomlott a rendszer, csak nagyon kevés műveletre képesek. Mondom neki, hogy gyakorlatilag csak pár számtani alapműveletre lenne szükség, a 4 alapból csupán csak az összeadás-kivonásra. A válasz: nem biztos, hogy menni fog. (Ez azt jelenti, hogy semmi esélyem.) Rákérdezek: remélem, az abacusok megvannak még? Mert ilyen esetben jó hasznukat venné a bank. Válasz: Nem tudom, de mindjárt megkérdezek egy kollégát, aki régebben van itt. (Közben látom, fingja nincs... nem arról, hogy megvan-e, hanem arról, hogy mi az?)
Tisztelettel megköszönöm, közlöm, hogy nem tudok várni és távozok. Közben magamban "üdvözlöm" azokat, akik szerint a kártyás fizetés sokkal jobb és gyorsabb, mint a kp."

( hokuszpk | 2024. 07. 19., p – 13:32 )

mindig aszontak a pentek 13 a kritikus, de ezekszerint a pentek 19 se kutya.

vagy csak valaki benézte, ha jóltudom jövőhéten van a sysadminday.

HUP te Zsiga !

Nekem igen, nyertem a tombolan egy Star Warsos hivatalosan Whiskey -s, poharat, amiert a 10 eves fiam meg fog orulni, leven o most eppen Start Wars orult, barmit kezd epiteni legobol, abbol tutira X szarnyu lesz a vegen.  :-)

Meg egy powet bankot, ami fasza. :-)

( hajbazer v | 2024. 07. 19., p – 15:50 )

A cloud-idealizmus árát is meg kell fizetni, legalább egyszer egy évben.

Legutóbb okosotthonokba nem lehetett becsengetni az Amazon egyik adatközpontjának leállása miatt.

Miért is jó nekünk ezeken a multikon csüngetni-lógatni mindenünket?

( tobi | 2024. 07. 19., p – 16:31 )

2024 - A Linux (Desktop) éve .... 😈😈😈
 

( mbael | 2024. 07. 19., p – 17:20 )

Szerkesztve: 2024. 07. 19., p – 17:36

Amikor babzsakmenedzserek benyelik a kulonbozo jpeg certek varazsat es egy rootkit szart tetetnek a gepre mer szepen csillog meg sok idegenszo van a marketing szovegukben, de ha latnak hogy egy atlag ilyen ceg mogott milyen processek vannak, vezetok es fejlesztok, meg virtualba se tennek fel a szarjukat.

ez lehetne egy reality check is de nem lesz, mivel ugyis azt fogjak leszurni hogy nem a koncepcioval van baj. Majd inkabb atnyargalnak egy alternativara, amit ugyanugy hugyagyuak menedzselnek csak frissebb marketinggel.

Oldalukon latom hogy nagyon diverzek es kvotakban is hisznek ugyhogy biztos nem a toloszekes they/her transz demiszexualis torpe baszta tesztelni hanem valamelyik feher ferfi 

( mark7 | 2024. 07. 19., p – 17:25 )

Bill Gatesnek elromlik a kocsija.
 Nem tudom, mi történt. Megállt. Kiszálltam, beszálltam, és nem indult újra. Nem értem.

( Tassadar v | 2024. 07. 19., p – 17:42 )

Szerkesztve: 2024. 07. 19., p – 17:44

Nagyvállalati IT életképek:

Global P1 incidenst hoztak létre, ami elkezdett megtelni teljesen irreleváns child incidensekkel, jellemzően az elmúlt évekről:
Windows Serveren kevés a hely, oroszok támadnak minket, Outlook jelszót kér - 4600 db ilyen került hirtelen alá.

Hogy miért?
Mert a global incidens le lesz zárva, ezek pedig vele együtt lezáródnak.

Hubazz, mekkora otlet, amint hazaerek beloggolok, es en is felveszek egy ilyen infidensjegyet, ami ala berakom az elfekboben levo kenyelmetlen jegyeket. A legszebb, hogy hetfon meg azelott le tudom zarni, hogy barki ranezne, mert csak belekommentelem, hogy minket nem erintett a problema, es mehet a close.

Bakker, gyakrabban kellenenek ilyen globalis megrohadasok, ez eszmeletlen jo buli! :-)

( m.informatikus | 2024. 07. 19., p – 19:27 )

=======================================
https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/comment/ldx54v6/?…

Our IT guys discovered that if you try rebooting borked machines multiple times then most of them somehow eventually boot up at least once, and then can be quickly downgraded to two versions down (7.14.xxx I think), which fixes the issue.

=======================================
https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/comment/ldw8fjn/?…

While we were working on detaching ec2 volumes, mounting elsewhere, etc. one of the greybeards here just started using "DEL /F /Q \servername\c$\Windows\System32\Drivers\Crowdstrike\C-00000291*.sys" from a server that was working.

Open a cmd window and do a "ping -t servername". You get 5-6 pings during a reboot cycle. If you are quick you can execute the other command before the bugcheck happens.

=======================================
Microsoft's Outage Tip for Customers: Try Rebooting Your System 15 Times

https://www.pcmag.com/news/microsofts-outage-tip-for-customers-try-rebo…

=======================================

"Have you tried turning it off and on and off and on and off and on and off and on and off and on and off and on and off and on and off and on and off and on and off and on and off and on and off and on and off and on and off and on and off and on again?"

Eszerint invalid memory reference okozta, nem teszteltek NULL-ra.

Invalidnak invalid, de nem null :) szoval kizart hogy a 0x000...0009C-re bemappel barki is barmi ertelmeset, de ez nem null pointernek tunik. Inkabb ilyen "void * tipuson keresztul adjunk at (s)size_t-re cast-olt kis egesz szamokat parameterkent" dolognak latszik akkor mar.

ha ezt egy privileged process futtatja, az egész Windows elcrashel.

A filozofia az kene hogy legyen hogy egy access fault szeru exception-t egy valamelyik magasabb privilegezalasi szint fog meg. Ha a legmagasabb szintu privilegezalasi szint koveti ezt el, akkor mar az is a szerencsen/programozoi teljesitmenyen mulhat hogy megjelenitse a kek halalt :)

Aha, igen, ilyesmi is lehet, jogos :) Talan csak azert nem ugrott be ez az opcio mert egy 

x = obj->field;

altalaban mar

mov rxx, obj
...
mov x, [rxx + offsetof(field)]

forman fordul le a legtobb architekturan, beleertve az x86-ot is. Szoval ha a hivatkozott dword a 0x9C-s offset lenne, akkor inkabb az r8 lenne a 0x0000...0000 es [r8+0x9c] lenne ottan.