View Full Version : Sistemi IT in ginocchio in tutto il mondo: il problema è un aggiornamento difettoso di CrowdStrike
gd350turbo
22-07-2024, 12:55
Ok, una azienda che protegge gli aeroporti di tutto il mondo, banche, uffici governativi, che vale 6 miliardi e mezzo di dollari e sponsorizza la Mercedes in F1, e non la conosce nessuno tra gli addetti ai lavori?
forse è meglio dire, che "valeva" 6.500.000.000 $
Piedone1113
22-07-2024, 13:21
Riporto un interessante commendo da questo video di spiegazione https://www.youtube.com/watch?v=wAzEJxOo1ts&ab_channel=Dave%27sGarage
Questa è una cosa gravissima.
In Usa, ma probabilmente anche in Italia, ogni richiesta di risarcimento danni ( a prescindere da quello che dice il singolo contratto) porterà ad una condanna.
Ma oltre a questo chi si fiderà mai più di un software che scavalca contraddicendo il reparto It?
destroyer85
22-07-2024, 13:22
momento, momento momento (cit)
Un conto sono gli aggiornamenti live delle classiche definizioni che sono anche a cadenza oraria e fin qua mi può andar bene, ma tutt'altro paio di maniche è l'aggiornamento dei binari del programma che vanno a toccare moduli del kernel/driver e che essendo a "basso livello" richiedono nella stragrade maggioranza dei casi un riavvio: ecco, in questo caso vorrei magari deciderlo quando pianificarlo, magari con uno snapshot/backup prima di procedere.
Ma se nemmeno i driver video richiedono più il riavvio della macchina.
A quanto pare era possibile impostare dei ring ma questi sono stati bellamente ingnorati da CrowdStrike.
Io sto prendendo la parte dei sistemisti che state attaccando, con spocchia aggiungerei, come se quello di CrowdStrike non fosse lo sfondone del secolo che voi avreste saputo prevedere o arginare.
premetto che non ho approfondito se la colpa è (edit corretto (il quote sbarrato non si nota su è -> ) sia del clauddstraich o del windows che sia,
ma oggi parlavano di 24 miliardi di dollari di danno, minimo,
se vero il calcolo, e le responsabilità, chi paga?
Vediamo intanto che succede lunedì mattina, la borsa non perdona...li vedo molto molto male questi qua...
questo lunedì... a me pare che l'eclatanza catastrofica della notizia sia scomparsa,
almeno su gugol niùss
se però fossi nella situazione del turista che è partito per le sue ferie (generalmente si fa una volta l'anno, lasciando come che sia, anche in malora :D il resto dell'organizzazione di produzione che corre come scimmia inarrestabile) e non ci è andato e ancora meno è tornato,
bè sarei partito di testa nel chiedere il rimborso per il riposo marcito: gente rimasta come profughi senza mezzi, risorse, e destinazioni incerte,
un danno all'uffizzio eletto delle ferie come il riposo meritato dal lavoratore-produttore instancabile (quindi anche in questo caso di "riposo") eletto come pedina di meccanismo inarrestabile
:rolleyes:
forse è meglio dire, che "valeva" 6.500.000.000 $
Verissimo...:D
Anzi, si potrebbe dire che "era" un'azienda che "proteggeva" aeroporti, banche, ecc...
Riporto un interessante commendo da questo video di spiegazione https://www.youtube.com/watch?v=wAzEJxOo1ts&ab_channel=Dave%27sGarage
Beh, se stanno veramente così le cose, allora si va oltre il semplice errore.
Non mi meraviglierei che saltasse fuori anche un gesto volontario, magari un sabotaggio interno...
v10_star
22-07-2024, 14:03
Ma se nemmeno i driver video richiedono più il riavvio della macchina.
A quanto pare era possibile impostare dei ring ma questi sono stati bellamente ingnorati da CrowdStrike.
Io sto prendendo la parte dei sistemisti che state attaccando, con spocchia aggiungerei, come se quello di CrowdStrike non fosse lo sfondone del secolo che voi avreste saputo prevedere o arginare.
Nei vari prodotti security in cui ho messo le mani nel corso degli anni, al rilascio di una nuova versione del motore un riavvio dell'os è mandatorio nel 95% dei casi: lo era con symantec 20 e passa anni fa, come con AVG, TrenMicro, Gdata e lo è oggigiorno con Eset (che attualmente uso in azienda su ~300 endpoint). Che poi la tua Geforce a casa tua per i giochini non richieda il riavvio del sistema con nuovi driver video ok, ma non mischiamo le cose solo perchè parliamo di driver. I prodotti di security recenti su os recenti, si basano su WFP (Windows Filtering Platform) per filtrare il traffico di rete, che gira nel kernel layer, più in basso rispetto ai driver video in user mode (wddm).
Ho premesso da subito che CS non lo conosco affatto come prodotto ma solo per sentito dire: da quel che leggo se la loro arroganza è tale anche nel rilascio degli aggiornamenti scavalcando le policy degli amministratori beh, io non mi farei tanti scrupoli OGGI a disinstallarlo totalmente da ogni endpoint e chiedere danni per il grave disservizio.
E se fossi stato tampinato dall'assitenza sui social addirittura per aggiornare gli agent io, da sistemista, gli avrei mandati a margherite già da un pezzo.
Scherziamo?
Nei vari prodotti security in cui ho messo le mani nel corso degli anni, al rilascio di una nuova versione del motore un riavvio dell'os è mandatorio nel 95% dei casi: lo era con symantec 20 e passa anni fa, come con AVG, TrenMicro, Gdata e lo è oggigiorno con Eset (che attualmente uso in azienda su ~300 endpoint).
CS(ma penso che anche la concorrenza sia simile) funziona in questo modo:
l'agent che installano e che è firmato da microsoft ha dentro una specie di virtual machine(l'installazione di questa, molto probabilmente, richiede un riavvio del sistema)
i file *.sys invece non sono firmati da nessuno ma contengono delle istruzioni che poi l'agent interpreta e di conseguenza non richiede nessuna operazione amministrativa se non quella di scrivere su %WINDIR%\System32\drivers\CrowdStrike
destroyer85
22-07-2024, 16:02
Windows Filtering Platform è solo per intercettare il traffico di rete, e tutto il resto?
Wddm è sia in userspace che in kernel space.
Non so cosa faccia ESET ma l'unica volta che devo riavviare forzatamente i server è solo dopo gli aggiornamenti di Windows o quando si disinstalla il client fortinet, ma se vuoi parlare di quanto fortinet sia imbarazzante su certi aspetti ci sto alla grande.
Driver non firmati su Windows?
Credo di aver capito che il software si aggiorna da solo, e probabilmente quando vuole lui...
D’altronde, se è un software di sicurezza, va aggiornato appena disponibile, no? :D
Sinceramente, quello che si chiedono in molti, è se tanti di questi terminali avessero realmente bisogno di Windows e di una suite di sicurezza (società terza, praticamente da monopolio, con accesso libero al kernel) per funzionare...
esatto
e non solo
tutte queste caxxo di soluzioni MSP, non sono nemmeno sotto la tua diretta supervisione
Ammesso che fosse possibile disattivare gli aggiornamenti automatici, io vorrei vedere quanti al mondo aspettano ad installare gli aggiornamenti di antivirus o EDR, dei software che per funzionare bene devono essere costantemente aggiornati.
E ancora con questa storia del monopolio, prima di venerdì non lo conosceva nessuno neppure sui forum gli addetti ai lavori. È un'azienda tra varie che offriva EDR, come lo offre Microsoft stessa. Non mi sembra nemmeno che si possa considerare leader mondiale di EDR o XDR come potrebbe esserlo TeamViewer nel suo campo per esempio.
esatto
i controlli, almeno quelli macroscopici come boot loop o BSOD, DEVONO essere fatti a monte ci mancherebbe
l'essere sempre up to date è molto importante x gli EDR/antivirus e sw simili
Sembra anche che dove il cliente ha disattivato l'aggiornamento automatico questo sia bypassato dal tipo particolare di update che crowstrike ha pushato.
una roba tipo
"ma come non lo vuoi un bel BSOD alle tue macchine?
dai acchiappatelo su
"
Nonostante tutte gli idilliaci, pensieri e proferimenti.
E questo perché crollerebbe a cascata tutto il Sistema fallato che si regge su dei castelli di carta.
Da subito anche in Italia a mezzo televisivo interviste dove si è teso a minimizzare l'accaduto.
https://www.crowdstrike.com/technical-details-on-todays-outage-it/
Marco71
giovanni69
22-07-2024, 18:19
Tuttavia, le lezioni che non si imparano col sangue si dimenticano, ergo :D
https://thenewstack.io/7-urgent-lessons-from-the-crowdstrike-disaster/
destroyer85
23-07-2024, 13:01
Ah, per inciso, le porte vanno dalla 0 alla 65535...;)
Ah per inciso le porte vanno dalla 1 alla 65535 (avevo fatto 2^16 e non avevo sottratto 1) se provi a fare binding della porta 0 il sistema operativo te ne assegna una casuale.
Ah per inciso le porte vanno dalla 1 alla 65535 (avevo fatto 2^16 e non avevo sottratto 1) se provi a fare binding della porta 0 il sistema operativo te ne assegna una casuale.
No, le porte vanno dalla 0 alla 65535, se il sistema operativo non te la lascia usare è perché è riservata, non perché non esiste.
Ritenta.
The_ouroboros
23-07-2024, 13:33
The Well-Known Ports are those from 0 ~ 1023.
The Registered Ports are those from 1024 ~ 49151.
The Dynamic and/or Private Ports are those from 49152 ~ 65535.
Piedone1113
23-07-2024, 14:29
The Well-Known Ports are those from 0 ~ 1023.
The Registered Ports are those from 1024 ~ 49151.
The Dynamic and/or Private Ports are those from 49152 ~ 65535.
Ok, ma la porta 0 dovrebbe essere di regola sempre bloccata in ingresso, e se possibile anche all'interno della rete, per ovvi e banali motivi di sicurezza.
destroyer85
23-07-2024, 16:15
Ho trovato questo Port 0 is reserved by IANA, it is technically invalid to use, but possible. It is sometimes used to fingerprint machines, because different operating systems respond to this port in different ways. Some ISPs may block it because of exploits. Port 0 can be used by applications when calling the bind() command to request the next available dynamically allocated source port number.
Piedone1113
23-07-2024, 16:27
Ho trovato questo
Vengono reindirizzati anche i pacchetti con lunghezza maggiore dello standard e poi ricostruiti alla ricezione ( il pacchetto viene troncato sulla porta appropriata e viene aggiunto un rimando al resto del pacchetto sulla porta 0 e poi ricostruito alla ricezione)
Teoricamente non viene usato nella trasmissione ( trasporto dati) essendo privo del layer 4, ma può essere utilizzato per penetrare le reti essendo non controllabile da os e da molti firewall.
Non tutti i router hanno la possibilità di gestire quella porta ( da qui i problemi di sicurezza da intrusioni.
x chi fosse interessato ad approfondire,
In this blog post, we examine the recent CrowdStrike outage and provide a technical overview of the root cause. We also explain why security products use kernel-mode drivers today and the safety measures Windows provides for third-party solutions.
https://www.microsoft.com/en-us/security/blog/2024/07/27/windows-security-best-practices-for-integrating-and-managing-security-tools/
Voglio essere sincero fino in fondo con voi.
Io odio questo posto di lavoro. Questo zoo, questa prigione, questa realtà, o come diavolo la chiamate voi, la odio, non la sopporto più. L'odore di chiuso soprattutto. Ammesso che esista, certo. Ne sono saturato, mi nausea a sentire il fetore dell'ufficio e di quegli scureggioni dei colleghi. E devo confessarvi che ho paura di rimanere in qualche modo infettato dal loro puzzo repellente. E allora io me ne devo andare di qui, devo essere libero. E la chiave che mi serve è nei vostri cervelli, la mia chiave, il pin del vostro conto in banca. Quando il vostro saldo sarà a zero e il mio in attivo di diversi milioni non avrò più bisogno di lavorare nell'IT, lo capite o no?
Voglio quei codici! Devo riuscire ad arrivare alla ricchezza ! E voi adesso dovete darmeli. O postate o, mi dispiace tanto, sarete tutti masterizzati...:ciapet:
Ecco la soluzione per i colleghi scureggioni https://www.hwupgrade.it/news/portatili/a-cosa-serve-un-erogatore-di-profumo-integrato-nel-laptop-noi-non-lo-sappiamo-ma-evidentemente-asus-si_129495.html
Ecco la soluzione per i colleghi scureggioni https://www.hwupgrade.it/news/portatili/a-cosa-serve-un-erogatore-di-profumo-integrato-nel-laptop-noi-non-lo-sappiamo-ma-evidentemente-asus-si_129495.html
Ooooh....finalmente un oggetto utile ! :D
p.s. resta un paio di domande ma mi pare che ci siamo tutto sommato...il liquido per le ricariche quanto durerà ? Quanto costerà ? :asd:
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.