BSOD sorunu, hatalı ikili veri ile kötü yazılmış bir ayrıştırıcının birleşiminden kaynaklanıyor
Son 10 yıllık deneyime göre çoğu CVE, çökme, hata ve yavaşlama sorunu, ikili verinin makinenin okuyabileceği veri yapılarına deserialize edilmesi sürecinde ortaya çıkıyor
Bu durum; sıkıştırma algoritmaları, font outline okuyucuları, görüntü/video/ses ayrıştırıcıları, video oyunu veri ayrıştırıcıları, XML/HTML ayrıştırıcıları ve OpenSSL'in sertifika/imza/anahtar ayrıştırıcıları gibi birçok alan için geçerli
CrowdStrike'ın EDR programındaki içerik ayrıştırıcısı da bunun istisnası değil
İkinci yorum
Rootkit tabanlı endpoint izleme yazılımları yerine open source çözümler daha etik olabilir
Open source araçlar şeffaf çalışır ve arka kapı ya da ciddi hatalar içermediğini güvence altına alabilir
Herkes tarafından denetlenebilir ve güvenlik ekiplerine kötü amaçlı yazılım imzaları sağlayan bir iş modeliyle işletilebilir
Üçüncü yorum
CrowdStrike kesintisinde Microsoft'un da sorumluluğu var
Microsoft, workstation bilişim alanında fiili bir tekel konumunda ve ürününün güvenlik/güvenilirlik/işlevselliğini sağlama yükümlülüğüne sahip
Rekabet olmadığı için Windows'taki inovasyon yavaşlıyor
Örneğin CrowdStrike, MacOS ve Linux'ta user space'te çalışırken Windows'ta böyle değil
Uygulama sandboxing alanında yenilik gerekiyor
Microsoft, dünyanın bilişim altyapısının anahtarlarını elinde tutuyor ve neredeyse hiç denetlenmiyor
Windows'un gelirdeki payı azalmış olsa da kritik altyapıyı çalıştıran bir ürün olduğu için daha fazla sorumluluk gerekiyor
Devletler, masaüstü çalışma alanı pazarında rekabeti teşvik etmeli ya da Microsoft'un Windows ürününü düzenlemeli
Dördüncü yorum
Etki alanının neden bu kadar büyük olduğunu anlamak zor
Kritik hizmetlerde, otomatik izleme ve rollback özellikleriyle birlikte yavaş dağıtım yapmak genelde standarttır
Beta aşamasında müşteri trafiği olmadan dağıtım yapılır, sorun yoksa kademeli olarak genişletilir
Bu yaklaşım, sorunun hemen durdurulmasını sağlayabilirdi
Beşinci yorum
CrowdStrike kullanmıyorum ama CS sürücüsü önce kuruluyor ve kaldırılmayacak şekilde tasarlanmış gibi görünüyor
Sürücü, imzasız veri dosyalarını yüklüyor ve kullanıcı bunları keyfi olarak silebiliyor
Kötü niyetli bir kullanıcı, sürücünün hatalı çalışmasına yol açacak zararlı veri dosyaları oluşturabilir
Bu da kernel yetkileri elde etme riski yaratıyor
Altıncı yorum
Test dağıtımında sorunun neden fark edilmediğini merak ediyorum
Dağıtımdan önce test yapılmadığına inanmak zor
Her şirketin dağıtımdan önce bir test ortamı olmalı
Geliştirme sırasında başarısız olan ya da sorun çıkaran paketleri kurmak normaldir, ancak bunları doğrudan production ortamına dağıtmak iyi değildir
Yedinci yorum
CrowdStrike müşterilerinin güncellemeler hakkında söz sahibi olup olmadığını merak ediyorum
Tüm müşterilerin CrowdStrike'a tam remote code execution yetkisi verip vermediği de soru işareti
Sertifika otoriteleri ve kriptografi uzmanlarının bu tür güncellemeleri sistemlerde engelleyebilmesini umuyorum
Sekizinci yorum
"Channel file"ın CS sürücüsü tarafından imzalanıp doğrulanıp doğrulanmadığını merak ediyorum
Eğer öyle değilse bu, rootkit için büyük bir güvenlik açığı olabilir
Yüksek ayrıcalıklarla çalışan girdiler en azından bütünlük kontrolünden geçmeli
Channel file'ın basitçe silinebilmesi, anti-detection mekanizması olmadığını düşündürüyor
1 yorum
Hacker News yorumu
Birinci yorum
İkinci yorum
Üçüncü yorum
Dördüncü yorum
Beşinci yorum
Altıncı yorum
Yedinci yorum
Sekizinci yorum