Sistemi IT in ginocchio in tutto il mondo: il problema è un aggiornamento difettoso di CrowdStrike - Pagina 12

Qarboz · 20-07-2024, 17:17

Quote:

Originariamente inviato da Saturn

Voglio essere sincero fino in fondo con voi.

Io odio questo posto di lavoro. Questo zoo, questa prigione, questa realtà, o come diavolo la chiamate voi, la odio, non la sopporto più. L'odore di chiuso soprattutto. Ammesso che esista, certo. Ne sono saturato, mi nausea a sentire il fetore dell'ufficio e di quegli scureggioni dei colleghi. E devo confessarvi che ho paura di rimanere in qualche modo infettato dal loro puzzo repellente. E allora io me ne devo andare di qui, devo essere libero. E la chiave che mi serve è nei vostri cervelli, la mia chiave, il pin del vostro conto in banca. Quando il vostro saldo sarà a zero e il mio in attivo di diversi milioni non avrò più bisogno di lavorare nell'IT, lo capite o no?

Voglio quei codici! Devo riuscire ad arrivare alla ricchezza ! E voi adesso dovete darmeli. O postate o, mi dispiace tanto, sarete tutti masterizzati...

Di mestiere fai il cowboy?

---

Questo è il pin del mio cc

Mydrhael · 20-07-2024, 17:33

Ma chi ha messo online un file .sys ,prima lo controlla?

Piedone1113 · 20-07-2024, 18:11

Quote:

Originariamente inviato da marcram

E quindi?
Se devo fare 3 cose che avrebbero bisogno di 2 porte aperte, vanno lasciate aperte le altre 65534 solo perché si chiama LAN?

Ancora:
la porta 80 e 443 servono giusto per la navigazione web.
I gestionali useranno le loro porte, il dominio altre, kerberos altre, ecc.
Quanti server possono stare in ascolto sulla porta 80 e 443?
Come distribuisci gli aggiornamenti, le security, le nuove password ecc?
Puoi continuare a credere che dalla porta 80 e 443 non passi nulla di malevolo ( falso) ma se tutti i sistemi hanno tutte le porte abilitate di default qualche domanda me la porrei ( tutti i sistemi, non solo windows).
Ps se la porta 443 è usata da un processo ed abbiamo necessità di una ulteriore sessione ssh questa viene traslata su un'altra porta ( 8080, 5000, 5001, quello che ti pare) e poi riallocata alla 443 in destinazione quindi bloccare la rete e costringerla ad usare solo 443 e 80 ti impedirebbe anche di navigare sul web o di loggarti alla tua banca ( dato che la porta 443 è usata per la pagina di accesso al login in fase di login non avresti nessuna risposta dal server con un bel connection timeout).
Oltre queste piccole parentesi i terminali in rete dovrebbero avere tutte le porte bloccate in ingresso peccato che è impossibile farlo senza creare rallentamenti in rete ( rallentamenti che cresceranno in modo esponenziale con l'aumento dei dispositivi)
Puoi lasciare in ascolto solo alcune porte sul/sui server ma questi tracceranno le richieste su quelle porte come legittime con tutti i rischi del caso ( e le porte in ascolto/aperte non saranno sicuramente meno di 30).
Il compito del server non è analizzare il traffico in ingresso ( che compete al firewall) altrimenti per un semplice supermercato con 10 casse servirebbero più server che terminali.
Tutti quello del reparto IT applicherebbero quello che proponi, peccato che sia inapplicabile in intranet ( e più si è incapaci più si vorrebbe poter attuare questa politica).

cresg82 · 20-07-2024, 18:27

Quote:

Originariamente inviato da Mydrhael

Ma chi ha messo online un file .sys ,prima lo controlla?

Evidentemente no ... vai poi a capire cosa esattamente non ha funzionato.

Oggi è stato pubblicato un post mortem ma non dice nulla più di quello che già si sapeva e temo che cercheranno di insabbiare/depistare il tutto ... anche perché le conseguenze legali variano in base alla root cause.

Quando andranno in causa poi ci sarà da ridere, questi di cloudstrike avranno fatto fare audit a società esterne che verranno poi chiamate in causa per aver certificato la bontà dei processi interni a cloudstrike.

cresg82 · 20-07-2024, 18:42

Quote:

Originariamente inviato da Piedone1113

Ancora:
la porta 80 e 443 servono giusto per la navigazione web.
I gestionali useranno le loro porte, il dominio altre, kerberos altre, ecc.
Quanti server possono stare in ascolto sulla porta 80 e 443?
Come distribuisci gli aggiornamenti, le security, le nuove password ecc?
Puoi continuare a credere che dalla porta 80 e 443 non passi nulla di malevolo ( falso) ma se tutti i sistemi hanno tutte le porte abilitate di default qualche domanda me la porrei ( tutti i sistemi, non solo windows).
Ps se la porta 443 è usata da un processo ed abbiamo necessità di una ulteriore sessione ssh questa viene traslata su un'altra porta ( 8080, 5000, 5001, quello che ti pare) e poi riallocata alla 443 in destinazione quindi bloccare la rete e costringerla ad usare solo 443 e 80 ti impedirebbe anche di navigare sul web o di loggarti alla tua banca ( dato che la porta 443 è usata per la pagina di accesso al login in fase di login non avresti nessuna risposta dal server con un bel connection timeout).
Oltre queste piccole parentesi i terminali in rete dovrebbero avere tutte le porte bloccate in ingresso peccato che è impossibile farlo senza creare rallentamenti in rete ( rallentamenti che cresceranno in modo esponenziale con l'aumento dei dispositivi)
Puoi lasciare in ascolto solo alcune porte sul/sui server ma questi tracceranno le richieste su quelle porte come legittime con tutti i rischi del caso ( e le porte in ascolto/aperte non saranno sicuramente meno di 30).
Il compito del server non è analizzare il traffico in ingresso ( che compete al firewall) altrimenti per un semplice supermercato con 10 casse servirebbero più server che terminali.
Tutti quello del reparto IT applicherebbero quello che proponi, peccato che sia inapplicabile in intranet ( e più si è incapaci più si vorrebbe poter attuare questa politica).

Pur condividendo cioè che dici c'è anche da dire che negli ultimi anni in campo IT siamo caduti un po tutti vittima dei reparti commerciali e marketing(molto aggressivo) delle società che si occupano di cybersecurity e si è passato da "faccio poco o nulla" a "faccio tutto e di più e spesso solo per spuntare una casella in qualche checklist di compliance".

Prendendo l'esempio della terminale di cassa la cosa che mi chiedo è:

serve davvero il non plus ultra della tecnologia antivirus su un sistema blindato?
assumendo che serva il non plus ultra della tecnologia, serve davvero che questo sia aggiornato near real time con le ultimissime patch che rilascia il vendor?

insane74 · 20-07-2024, 20:26

8.5 milioni di PC affetti dal problema.

https://www.theverge.com/2024/7/20/2...ws-bsod-outage

raxas · 20-07-2024, 21:50

premetto che non ho approfondito se la colpa è del clauddstraich o del windows che sia,
ma oggi parlavano di 24 miliardi di dollari di danno, minimo,

se vero il calcolo, e le responsabilità, chi paga?

Saturn · 21-07-2024, 06:44

Quote:

Originariamente inviato da barzokk

Ti ammiro perchè porsi degli obbiettivi ambiziosi è sempre un bene, è uno stimolo per fare grandi cose,
ma bisogna iniziare da obbiettivi più raggiungibili,
per esempio ai colleghi potresti suggerire del carbone attivo, oppure apri le finestre

Con questo caldo ???? Tenterò con carbone...

Quote:

Originariamente inviato da Qarboz

Di mestiere fai il cowboy?

---

Magari !

Quote:

Originariamente inviato da Qarboz

Questo è il pin del mio cc

É sorprendente...è la stessa combinazione della mia valigia !

Quote:

Originariamente inviato da insane74

8.5 milioni di PC affetti dal problema.

https://www.theverge.com/2024/7/20/2...ws-bsod-outage

Assurdo. Ma per quanto è diffuso Windows ci sta assolutamente...

Quote:

Originariamente inviato da raxas

premetto che non ho approfondito se la colpa è del clauddstraich o del windows che sia,
ma oggi parlavano di 24 miliardi di dollari di danno, minimo,

se vero il calcolo, e le responsabilità, chi paga?

Vediamo intanto che succede lunedì mattina, la borsa non perdona...li vedo molto molto male questi qua...

Piedone1113 · 21-07-2024, 08:49

Quote:

Originariamente inviato da cresg82

Pur condividendo cioè che dici c'è anche da dire che negli ultimi anni in campo IT siamo caduti un po tutti vittima dei reparti commerciali e marketing(molto aggressivo) delle società che si occupano di cybersecurity e si è passato da "faccio poco o nulla" a "faccio tutto e di più e spesso solo per spuntare una casella in qualche checklist di compliance".

Prendendo l'esempio della terminale di cassa la cosa che mi chiedo è:

serve davvero il non plus ultra della tecnologia antivirus su un sistema blindato?
assumendo che serva il non plus ultra della tecnologia, serve davvero che questo sia aggiornato near real time con le ultimissime patch che rilascia il vendor?

Condivido tutto quello che hai scritto:
Gli aggiornamenti non dovrebbero mai essere automatici in un'infrastruttura ( ne degli os, ne dei software ne dei sistemi di protezione)
Testare gli aggiornamenti dovrebbe essere compito del reparto it ( non sono rari aggiornamenti che rendono inaccessibile un database con tutti i crismi del caso.
Un endpoint su tutti i terminali è buona cosa, sopratutto su sistemi estesi e complessi dove è difficile mantenere le corrette policy perfettamente funzionanti negli anni ( a furia di aggiornamenti, patch sostituzione sistemi ecc parti da una tela di un bel bianco candido e dopo 3/4 anni è una serie mi macchie alla quale nonostante il massimo impegno non riesci più ad avere una visione di insieme ne a percepire più i nuovi punti deboli o le cattive implementazioni costrette da modifiche.
Praticamente sempre mi ritrovo dopo 3 anni di modifiche, nuove implementazioni, nuove richieste ecc, la voglia di voler fare tabula rasa e reimplementare in modo diverso tutta la struttura.
Insomma credo che un endpoint aiuti molto, ma questo deve essere al servizio del reparto IT e non il reparto IT al suo servizio ( come in questo caso).

Unax · 21-07-2024, 11:07

ma io mi domando, ma una mega azienda che offre un qualunque servizio diciamo critico come i trasporti o medicina non ha un sistema ridondante in maniera tale che se l'infrastruttura principale cade (per una qualunque ragione) interviene e quantomeno fa funzionare i servizi minimi?

ok il mio italiano sta scadendo e cadendo ma penso si sia capito cosa voglio dire

ninja750 · 21-07-2024, 11:19

Quote:

Originariamente inviato da cresg82

Quando andranno in causa poi ci sarà da ridere, questi di cloudstrike avranno fatto fare audit a società esterne che verranno poi chiamate in causa per aver certificato la bontà dei processi interni a cloudstrike.

sicuramente non loro in prima persona

credo che qualora ci saranno risarcimenti, saranno fatti da fondi assicurativi

anche perchè è impensabile non siano assicurati a questi livelli

Piedone1113 · 21-07-2024, 12:08

Quote:

Originariamente inviato da Unax

ma io mi domando, ma una mega azienda che offre un qualunque servizio diciamo critico come i trasporti o medicina non ha un sistema ridondante in maniera tale che se l'infrastruttura principale cade (per una qualunque ragione) interviene e quantomeno fa funzionare i servizi minimi?

ok il mio italiano sta scadendo e cadendo ma penso si sia capito cosa voglio dire

il servizio in genere è didondante, il problema che questo bug ha bloccato tutta l'infrastruttura, dai server ( rimessi velocemente on line) ai vari client che interfacciano i servizi ( e la non esiste ridondanza a meno di rimettere in funzione pc appena dismessi)

cresg82 · 21-07-2024, 12:24

Quote:

Originariamente inviato da ninja750

sicuramente non loro in prima persona

credo che qualora ci saranno risarcimenti, saranno fatti da fondi assicurativi

anche perchè è impensabile non siano assicurati a questi livelli

È tutto da vedere ... le assicurazioni non è detto che paghino in caso di dolo o colpa grave. Per questo dicevo che sarà interessante vedere come ne usciranno fuori.

Loro cmq pagheranno in termini di business: mi aspetto che tra sconti che dovranno concedere e clienti(attuali o eventuali prospetti) che guarderanno alla concorrenza avranno un bel calo di fatturato.

yeppala · 21-07-2024, 12:47

https://news.ycombinator.com/item?id=41005936

Nel mese di aprile, un aggiornamento di CrowdStrike ha causato l'arresto contemporaneo di tutti i server Debian Linux che si rifiutavano di avviarsi

L'aggiornamento si rivelò incompatibile con l'ultima versione stabile di Debian, nonostante la configurazione specifica di Linux fosse supportata. Il team IT del laboratorio ha scoperto che la rimozione di CrowdStrike ha permesso alle macchine di avviarsi e ha segnalato l'incidente.

https://forums.rockylinux.org/t/crow...-upgrade/14041
Non si è trattato di un incidente isolato. Gli utenti di CrowdStrike hanno anche segnalato problemi simili dopo l'aggiornamento a RockyLinux 9.4, con i loro server che si bloccano a causa di un bug a livello del kernel. Il supporto di Crowdstrike ha riconosciuto il problema, evidenziando un modello di test inadeguati e un'attenzione insufficiente ai problemi di compatibilità tra i diversi sistemi operativi.

destroyer85 · 21-07-2024, 13:04

Affidabili direi...
Devono fallire male insieme a broadcom.

euscar · 21-07-2024, 17:12

Quote:

Originariamente inviato da Saturn

...
Vediamo intanto che succede lunedì mattina, la borsa non perdona...li vedo molto molto male questi qua...

Imho, se la sono cercata.

Quote:

Originariamente inviato da yeppala

https://news.ycombinator.com/item?id=41005936

Nel mese di aprile, un aggiornamento di CrowdStrike ha causato l'arresto contemporaneo di tutti i server Debian Linux che si rifiutavano di avviarsi

L'aggiornamento si rivelò incompatibile con l'ultima versione stabile di Debian, nonostante la configurazione specifica di Linux fosse supportata. Il team IT del laboratorio ha scoperto che la rimozione di CrowdStrike ha permesso alle macchine di avviarsi e ha segnalato l'incidente.

https://forums.rockylinux.org/t/crow...-upgrade/14041
Non si è trattato di un incidente isolato. Gli utenti di CrowdStrike hanno anche segnalato problemi simili dopo l'aggiornamento a RockyLinux 9.4, con i loro server che si bloccano a causa di un bug a livello del kernel. Il supporto di Crowdstrike ha riconosciuto il problema, evidenziando un modello di test inadeguati e un'attenzione insufficiente ai problemi di compatibilità tra i diversi sistemi operativi.

Ma sono degli incompetenti questi qua, quasi al pari dei programmatori di W11

... ormai ad ogni upgrade credo che gli utenti faranno degli scongiuri

insane74 · 21-07-2024, 17:51

Poveretti!
Non li invidio proprio!
https://www.theverge.com/2024/7/21/2...-photos-videos

omihalcon · 22-07-2024, 07:50

Quote:

Originariamente inviato da Saturn

Voglio essere sincero fino in fondo con voi.

Io odio questo posto di lavoro. Questo zoo, questa prigione, questa realtà, o come diavolo la chiamate voi, la odio, non la sopporto più. L'odore di chiuso soprattutto. Ammesso che esista, certo. Ne sono saturato, mi nausea a sentire il fetore dell'ufficio e di quegli scureggioni dei colleghi. E devo confessarvi che ho paura di rimanere in qualche modo infettato dal loro puzzo repellente. E allora io me ne devo andare di qui, devo essere libero. E la chiave che mi serve è nei vostri cervelli, la mia chiave, il pin del vostro conto in banca. Quando il vostro saldo sarà a zero e il mio in attivo di diversi milioni non avrò più bisogno di lavorare nell'IT, lo capite o no?

Voglio quei codici! Devo riuscire ad arrivare alla ricchezza ! E voi adesso dovete darmeli. O postate o, mi dispiace tanto, sarete tutti masterizzati...

Se stato impossessato dall'agente Smith?

ZeroSievert · 22-07-2024, 08:14

Mi chiedo come possa sopravvivere CrowdStrike a questo danno d'immagine. Oltre agli enormi disagi provocati, mi chiedo che affidabilita' puo' dare un'azienda 'di sicurezza', che rilascia moduli del kernel con problemi cosi' macroscopici.

A me verrebbe il dubbio, anche a problema risolto, che un software del genere rischi di aumentare le vulnerabilita' invece di ridurle. Ma immagino che tali valutazioni trascendano dall'opinione personale di un utente a caso del forum

Comunque questa notizia si ricollega a quest'altra del 4 Marzo:

https://www.hwupgrade.it/news/softwa...so_124919.html

In cui la Casa Bianca spinge ad utilizzare linguaggi safe per i nuovi prodotti al posto di C/C++.

v10_star · 22-07-2024, 08:35

Partiamo dal presupposto che CrowdStroke (pur lavorando nell'IT da 2 decadi) lo conoscessi solamente perchè il logo è sulla Mercedes di F1

E che questa m3rda colossale sarebbe potuta accadere con una moltitudine di security suite ma:

Lasciare attivi gli aggiornamenti automatici su prodotti di terze parti? Really?

Ma il personale IT che l'ha installato (non penso sia un sw consumer) non ha maturato nel tempo la regola aurea che occorre SEMPRE lasciar trascorrere un tempo ragionevole di tempo tra rilascio->installazione?

Non penso e non voglio pensare che non esista nella dashboard di amministrazione di sto CrowdStroke una gestione delle policy di rollup o l'agent fa quello che vuole?

Tuttavia, le lezioni che non si imparano col sangue si dimenticano, ergo

20-07-2024, 20:26	#226
insane74 Senior Member Iscritto dal: Feb 2003 Città: BG Messaggi: 10027	8.5 milioni di PC affetti dal problema. https://www.theverge.com/2024/7/20/2...ws-bsod-outage __________________ Mac mini M1,16GB,2TB,10Gbit;Satechi Hub NVMe;Samsung 990 Pro 4TB;WD My Passport for Mac 4TB / Logitech MX Keys;Logitech MX Vertical;Philips 288E2A;PreSonus Eris E3.5;HP LaserJet Pro M281fdw / QNAP TVS-871-i3-4G,8GB,8x WD Red CMR 6TB raid 6,QNAP QXG-2G1T-I225 / TP-LINK Archer GE800;QNAP QSW-1105-5T / iPhone 14 Pro Max 1TB;iPad mini 6 256GB;Apple Watch Ultra 2;AirPods Pro 2;Kindle Paperwhite 11 SE / LG OLED C2 48";Apple TV 4K 2021 64GB;Denon AVR-X2800H / Xbox Series X;Seagate Expansion Card 2TB

20-07-2024, 21:50	#227
raxas Senior Member Iscritto dal: Oct 2002 Messaggi: 5418	premetto che non ho approfondito se la colpa è del clauddstraich o del windows che sia, ma oggi parlavano di 24 miliardi di dollari di danno, minimo, se vero il calcolo, e le responsabilità, chi paga? __________________ ____€UROPA: INSIEME di STATI IN COMUNANZA DI PROSPETTIVE PAGLIACCE

21-07-2024, 11:07	#230
Unax Senior Member Iscritto dal: Oct 2008 Messaggi: 6389	ma io mi domando, ma una mega azienda che offre un qualunque servizio diciamo critico come i trasporti o medicina non ha un sistema ridondante in maniera tale che se l'infrastruttura principale cade (per una qualunque ragione) interviene e quantomeno fa funzionare i servizi minimi? ok il mio italiano sta scadendo e cadendo ma penso si sia capito cosa voglio dire __________________ Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson)

21-07-2024, 12:47	#234
yeppala Senior Member Iscritto dal: Dec 2007 Messaggi: 4234	https://news.ycombinator.com/item?id=41005936 Nel mese di aprile, un aggiornamento di CrowdStrike ha causato l'arresto contemporaneo di tutti i server Debian Linux che si rifiutavano di avviarsi L'aggiornamento si rivelò incompatibile con l'ultima versione stabile di Debian, nonostante la configurazione specifica di Linux fosse supportata. Il team IT del laboratorio ha scoperto che la rimozione di CrowdStrike ha permesso alle macchine di avviarsi e ha segnalato l'incidente. https://forums.rockylinux.org/t/crow...-upgrade/14041 Non si è trattato di un incidente isolato. Gli utenti di CrowdStrike hanno anche segnalato problemi simili dopo l'aggiornamento a RockyLinux 9.4, con i loro server che si bloccano a causa di un bug a livello del kernel. Il supporto di Crowdstrike ha riconosciuto il problema, evidenziando un modello di test inadeguati e un'attenzione insufficiente ai problemi di compatibilità tra i diversi sistemi operativi. Ultima modifica di yeppala : 21-07-2024 alle 13:49.

21-07-2024, 17:51	#237
insane74 Senior Member Iscritto dal: Feb 2003 Città: BG Messaggi: 10027	Poveretti! Non li invidio proprio! https://www.theverge.com/2024/7/21/2...-photos-videos __________________ Mac mini M1,16GB,2TB,10Gbit;Satechi Hub NVMe;Samsung 990 Pro 4TB;WD My Passport for Mac 4TB / Logitech MX Keys;Logitech MX Vertical;Philips 288E2A;PreSonus Eris E3.5;HP LaserJet Pro M281fdw / QNAP TVS-871-i3-4G,8GB,8x WD Red CMR 6TB raid 6,QNAP QXG-2G1T-I225 / TP-LINK Archer GE800;QNAP QSW-1105-5T / iPhone 14 Pro Max 1TB;iPad mini 6 256GB;Apple Watch Ultra 2;AirPods Pro 2;Kindle Paperwhite 11 SE / LG OLED C2 48";Apple TV 4K 2021 64GB;Denon AVR-X2800H / Xbox Series X;Seagate Expansion Card 2TB

20-07-2024, 17:33	#222
Mydrhael Member Iscritto dal: Mar 2013 Messaggi: 275	Ma chi ha messo online un file .sys ,prima lo controlla?

21-07-2024, 13:04	#235
destroyer85 Senior Member Iscritto dal: Feb 2021 Messaggi: 734	Affidabili direi... Devono fallire male insieme a broadcom.

22-07-2024, 08:14	#239
ZeroSievert Senior Member Iscritto dal: Dec 2023 Messaggi: 752	Mi chiedo come possa sopravvivere CrowdStrike a questo danno d'immagine. Oltre agli enormi disagi provocati, mi chiedo che affidabilita' puo' dare un'azienda 'di sicurezza', che rilascia moduli del kernel con problemi cosi' macroscopici. A me verrebbe il dubbio, anche a problema risolto, che un software del genere rischi di aumentare le vulnerabilita' invece di ridurle. Ma immagino che tali valutazioni trascendano dall'opinione personale di un utente a caso del forum Comunque questa notizia si ricollega a quest'altra del 4 Marzo: https://www.hwupgrade.it/news/softwa...so_124919.html In cui la Casa Bianca spinge ad utilizzare linguaggi safe per i nuovi prodotti al posto di C/C++. __________________ Utenti bloccati: Tom & Jerry, zappy, giuliop, maxsin72 Ultima modifica di ZeroSievert : 22-07-2024 alle 08:20.

22-07-2024, 08:35	#240
v10_star Senior Member Iscritto dal: Aug 2004 Città: Padova Messaggi: 2700	Partiamo dal presupposto che CrowdStroke (pur lavorando nell'IT da 2 decadi) lo conoscessi solamente perchè il logo è sulla Mercedes di F1 E che questa m3rda colossale sarebbe potuta accadere con una moltitudine di security suite ma: Lasciare attivi gli aggiornamenti automatici su prodotti di terze parti? Really? Ma il personale IT che l'ha installato (non penso sia un sw consumer) non ha maturato nel tempo la regola aurea che occorre SEMPRE lasciar trascorrere un tempo ragionevole di tempo tra rilascio->installazione? Non penso e non voglio pensare che non esista nella dashboard di amministrazione di sto CrowdStroke una gestione delle policy di rollup o l'agent fa quello che vuole? Tuttavia, le lezioni che non si imparano col sangue si dimenticano, ergo

Strumenti
Mostra una versione stampabile Invia questa pagina per email