Her Şeyi Bozan CrowdStrike Dosyası Null Karakterlerle mi Doluydu?

 (twitter.com/jeremyphoward)
1 puan yazan GN⁺ 2024-07-21 | 1 yorum | WhatsApp'ta paylaş

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-21
Hacker News yorumu

  • Bu sistem kritik bir yol üzerindeki bir sistemse, C/I hattından geçmemiş olması gerekirdi

    • Otomatik testler konusunda katı değilim ama bu kadar kritik bir sisteme çok iyi durum yönetimi gerekir
    • Tüm ortamlarda entegrasyon testi olmadan production'a rollout yapılmamalı
    • Bu şirketin desteklediği tüm hedef imajları test eden bir staging ya da geliştirme test sunucusu olmamasını anlamıyorum
    • Bu şirketin yöneticilerinin yetersiz olduğunu düşünüyorum

  • İki büyük teknik çöküşün de nedeni "güvenlik yazılımı" sorunuydu

    • Hem SolarWinds hack olayı hem de bu olay Austin merkezli şirketlerdi
    • "Hacker tipi" insanlar güvenlik yazılımı şirketi kuruyor ama süreç odaklı bir kültürü hayata geçirmekten hoşlanmıyor
    • SolarWinds'in güvenlik kültürü çok kötüydü
    • Bu olayın kök nedeni de büyük olasılıkla hızlı ve gevşek bir dağıtım süreci

  • Bu felaketin olumlu tarafı, kernel seviyesinde erişimin yeniden düşünülmesine yol açabilmesi

    • Rastgele bir oyun şirketi kernel seviyesinde anti-cheat yazılımı geliştirecek kadar yetkin değil

  • Bu sorun, bir QA çalışanının deneyeceği ikinci ya da üçüncü test dosyası gibi görünüyor

    • Bu, teknik olarak yetkin şirketlerin yetersiz şirketlere karşı avantaj sağlayamadığı bir pazar
    • Craig Wright davasını okudum; kendisi dünya çapında uzman olduğunu iddia ettiği alanda temel teknik yetkinliğe bile sahip değildi
    • George Kurtz, McAfee'de CTO iken de aynı tür soruna yol açmıştı
    • CrowdStrike 3 ay önce Debian Stable'da da aynı soruna neden olmuştu
    • PCI uyumluluk kurallarının CrowdStrike ve antivirüsü günümüz IT altyapısının neredeyse her yönüne enjekte etmiş olması korkunç

  • Bu dosyanın sıfırlarla dolu olması, sevk edildiğinde de sıfırlarla dolu olduğu anlamına gelmez

  • Bu bug yıllardır kernel driver'da vardı ve hatalı veriler tarafından tetiklendi

    • CrowdStrike'ın test düzeni bu yapılandırma verisinin kendisi için yeterliydi ama production'a göndermeden önce bunu yakalayamadı
    • Bunu önlemek için ne yapacaklarını açıklayan bir postmortem raporu yayımlamalarını umuyorum

  • Kevin Beaumont'a göre, dosyanın müşteriden müşteriye değiştiği iddia ediliyor

  • Bu dosyaların özgün dosya içeriği olmama ihtimali var

    • Birisi yanlış dosyayı tamamen sıfırlardan oluşan bir dosyayla üzerine yazmaya çalışmış olabilir
    • QA atlandığı için gerçek patch dağıtımını durdurmaya yönelik bir girişim olabilir

  • Geçmişte güvenlik yazılımının dosyaları sıfırlarla değiştirip yazılım derlemesini durdurduğu durumlar olmuştu

    • Linker dosyayı açamıyor ve hata vermeden object code'u sıfırlarla değiştiriyordu
    • Debugger'ı açıp object code'un büyük bölümlerinin sıfırlarla değiştirildiğini görünce sorunu anladım

  • 4chan'in teknik panosunda bulunan bir gönderi

    • CSAgent.sys, ClownStrike virüs tanım dosyalarını ayrıştıran bir kernel driver
    • ClownStrike hatalı virüs tanım dosyalarını işleyemedi
    • Web sunucusu hatalı virüs tanım dosyası sunmaya başladı
    • CSAgent.sys hatalı virüs tanım dosyasını yükleyip çöktü
    • Bilgisayar BSOD (mavi ekran) ile yeniden başladı
    • CSAgent.sys virüs tanım dosyasını yeniden yükleyip tekrar çöktü
    • CDN'deki bir bug yüzünden kernel driver sorun çıkardı
    • Gelecekteki hatalı virüs tanım dosyalarının çökmeye yol açmaması için CSAgent.sys'in boyut kontrolü ve buffer boyutu artırılmalı