B1is7aj Jul 26 at 15:03

Разбор CrowdStrike Falcon: общая архитектура системы, взаимодействие сенсора с Windows и описание ошибки драйвера

5 min

3.4K

МТС corporate blogInformation Security*Antivirus protection*

Review

+12

Comments 10

electrofetish Jul 26 at 15:10

Как-то вирус написал
И назвал апдейтом
Обновился и сломал
Вот профит клиента

uhf Jul 26 at 18:24

Пихают в свой антивирус модели машинного обучения.
Но не смогли написать безопасный парсер бинарного конфига.

speshuric Jul 26 at 19:58

"Не бывает полностью корректных парсеров. Бывают недоисследованные."

Dmitri-D Jul 27 at 05:23

Проблема была распространена на 8.5млн хостов за час. О чем это нам говорит? Что скорость распространения не адекватна полноте тестирования. Другими словами - много где воспроизвелось сходу, скорее всего в 100% случаев.
Распространять так быстро код без тестирования - это как входить в глухой поворот на дорогое без разделителя ночью и без фар на скорости 200км/ч. Может и повезет. И везло, судя по всему довольно долго.
IMHO в лице КраудСтрайк мы имеем дело с социопатом и неврастеником. Во всяком случае, некомпетентным руководителем. Если кто не согласен - можете привести успешные атаки такого же масштаба? Если нет, то зачем такая защита, хуже худших атак?

B1is7aj Jul 29 at 08:51

Я думаю платформа Crowdstrike помогла отразить множество атак и была действительно полезной в плане ИБ. Но вот так случается в этом мире, и такой случай не говорит о том, что защита теперь не нужна. К сожалению, подобная ситуация может повториться с любым защитным ПО, опять же человеческий фактор.

ainoneko Jul 27 at 05:50

Ну и, конечно же, установите антивирус на Linux :)

Но только другой? С этим в этом году тоже были проблемы, только техподдержка была хуже.

Примеров нелепых ошибок в программном обеспечении история знает много, вот несколько моих любимых:

Ещё был деинсталлятор клиента Яндекс-Диска, удалявший Виндоуз.
("Зачем Виндоуз, если в нём нет Яндекс-Диска?" ¯\_(ツ)_/¯)

Wesha Jul 29 at 01:17

Проблема усугубилась тем, что у драйвера не было прописано поведение на такой случай
Мораль: от подобных глобальных сбоев не застрахован никто

ВНЕЗАПНО, от подобных сбоев застрахованы те, кто прописывает поведение на такой случай/ Только у них написание кода очевидно занимает больше времени, и эффективные менеджеры поэтому увольняют их первыми.

Зато у неэффективных менеджеров софт не падает, унося с собой полмира в тартарары.

Wesha Jul 29 at 02:01

P.S.

В обновлении от 19 июля этот файл состоял из нулей.

Проверять контрольные суммы блоков данных придумали трусы!

(А мы, олдфаги, проверяем всегда. Иногда кое-что интересное находим.)

B1is7aj Jul 29 at 08:42

Верно, избежать такой ситуации можно было, но "не застрахован никто" всё таки имелось в виду про человеческий фактор) Мир ещё не раз увидит подобную ситуацию.

DmitriiArtemev Aug 2 at 03:03

Может я ошибаюсь с переводом, но вот сам CrowdStrike заявил, что основная причина сбоя не связана с нулевыми байтами. Возможно это настолько привиально, и они пытаются сделать умный вид, при плохой игре.

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/