Comments 23
Может, учитывая ситуацию, его доставили фельдъегерем?
А может просто встроенный спам фильтр все письма от лица Сатьи мгновенно посылает в спам. Я бы видя его в отправителях даже читать не стал
ну эти лежали только частично(там только центральный регион задело и если Delta использует только один регион - ну тогда ой) и меньше 24х часов.
у Наделлы... у Дельты сервера должны быть на IBM i :-)
я думаю суд проигнорирует все эти бессмысленные предложения о помощи от левых лиц, вместе с утешительным письмом гендира (когда реально что-то надо - звонят). у компании могут быть свои регламенты и требования по безопасности, которые запрещают помощь от третьих лиц, тем более что эти лица себя и так скомпрометировали. в общем готовьте бабки ;)
А вы определитесь! Если МС левое лицо, то ответственности не несет. А если контрагент по договору, то они делали то, что могли.
Если вы просто "купили Винду", то ваши права регулируются EULA. А там написано, что гарантий вам никаких не дают. Использовать ее в объектах критической инфраструктуры запрещено. Собственно как и произвольно взятый Линукс.
Если хотите, чтоб вам давали какие-нибудь гарантии, то заключайте договор с вендором. Там будет и тех поддержка, и SLA, и требования безопасности, и штрафные санкции, и еще до хрена чего. Когда условная "Тойота" такой договор с МС заключает, письма Сатии Наделы к CEO контрагента это нормальная коммуникация.
Про требования безопасности - это вообще смешно. Их может обеспечить практически любой крупный вендор MS, IBM, Google. Платите только деньги и все вам будет. По крайней мере эти требования по контрактам с DoD обеспечиваются полностью. Но только и МС тогда выкатит 10 томов документации, как строить безопасные и отказоустойчивые системы, чего там можно, и чего нельзя. И вот после этого будет нести полную ответственность по договору.
«Хотя программное обеспечение Microsoft не было причиной инцидента CrowdStrike,
я бы сильно не согласился с таким утверждением. Да, микрософт не являлись первопричиной - краш был в crowdstrike, но микрософт точно виноваты в происшедшем когда сбойный 3rd party апдейт не был автоматически идентифицирован и нейтрализован (отменен) и заблоукировал систему так, что требуется вмешательство. Всё необходимая информация у микрософта есть - и место краша и имя драйвера и какие метаданные этого файла и какой апдейт его установил и воможность загрузки без этого драйвера в которой можно былобы автоматически этот апдейт откатить.
Апдейт вызвавший сбой устанавливался не средствами ОС. По данным ОС апдейтов не было, драйвер CrowdStrike не обновлялся, и исполняемые файлы драйвера не изменялись.
CrowdStrike построили свою систему доставки апдейтов. Через нее выкатили файл конфигурации (скрипт) который их драйвер просто читает. Но этот выкаченный файл конфигурации был нулевого размера. А драйвер это не смог прожевать и просто падал.
Ну и чего Майкрософт должен был по вашему сделать? Апдейт приходит не через них, им на тестирование никто ничего не давал. А вот драйвер, зарегистрированный как антивирусное средство, начинает падать. Причем не сразу на старте системы, а чуть (несколько секунд) погодя.
Выглядит это как типичная атака. Выгрузить антивирус из памяти и продолжить дальше? Собственно реакция Винды со включенным Битлокером стандартная и документированная. После нескольких неудачных попыток перезагрузки Битлокер требует пароль на локальной консоли.
В телеметрии МСа были только краши CrowdStrike дравера на машинах по всему миру.
Тогда это тем более вина MS в еше большей степени. Они допустили неконтролируемое обновление компонентов ядра своей системы и тем самым подевергли риску всех клиентов. Они должны были работать с CrowdStrike по выработке механизмов как делать эти обвноления а) безопасными и б) как выполнять откат обвноления, если оно привело к сбою.Но этого сделано не было.
Выгрузить антивирус из памяти и продолжить дальше?
вы передергиваете. Об этом речь не идет. Речь идет об откате из текущей версии системы к предыдущей, где этого обвноления не было. Не важно это сделано с ведома или без ведома MS. Если MS доверила ставить обновления третьей стороне, то она должна была гарантировать что будут использоваться безопансые механизмы автовосстановления.
А драйвер это не смог прожевать и просто падал.
Значит принудительно загрузитсья с предыдущей версией драйвера - по сохраненной точке восстановления. А если точка не была создана - это признак школоты и разгильдяйства в первую очередь MS, которая доверяет такому делать такое. Накатят штраф в полярда только от United и будут 100% правы.
Какие интересные вещи вы говорите. Т.е. вы настаиваете, что Майкрософт должна контролировать ВСЕ компоненты ядра. Что компания имеет абсолютное право откатывать обновления третьих компонент. И что она имет право запретить компоненты, которые Майкрософту не кажутся безопасными.
И тут я вас расстрою. Макрософту все эти действия запрещены по закону. Это называется "использование своего доминирующего положения на рынке для ущемления прав третих фирм". Конкретно в отношении компонентов ядра это запрещено соглашением с Еврокомисией. Она, знаете, расследовала действия Майкрософт и потребовала именно этого.
Т.е. не " MS доверила ставить обновления третьей стороне", а "Майкрософт обязана разрешить это всем желающим". И "только владелец компьютера должен решать".
Т.е. механизм системных обновлений предоставлен всем. Но запрещать или ограничивать компоненты, которые им не пользуются, Майкрософт права не имеет. А на безопасность Еврокомиссия плевать хотела, им главное деньги собрать и пропихнуть свои европейские компании.
CrowsStrike обновляет свои базы данных вне механизма Windows Update, как раз чтобы не зависеть от Майкрософт, и иметь возможность обновляться быстрее. В результате информации о апдейте у Майкрософт не было, это был как раз такой "левый" апдейт интерпретируемого кода. Иначе бы было бы и тестирование у МС, и медленный выкат, и после первых сообщений об ошибках всё прекратилось бы.
знаете, у нас в aws клиенты тоже по всему миру, но ни одному идиоту, а у нас их тоже хватает, поверьте, в голову не приходило наворачивать на весь мир обновления "по-быстрее".
MS отвечает, что их контракторы, а crowdstrke работает как контрактор, следовали лушим практикам - тестировали свой код в разнообразных конфирурациях, приближенных к тем, которые у пользователя и делали это в продукционной среде перед выкатом в первую волну, которая идет не по всему миру, а лишь на небольшую часть, и только получив телеметрию о нормальной работе, продолжать накат обновлений в следующую волну и так далее.
До сих пор не было ни одной атаки, которая по урону превзошла бы crowdstrike, поэтому нет никаких оправданий делать это "быстрее". Пять минут сэкономили на тесте, уронили миллионы компьютеров по миру. Кому от этого стало лучше? И что такого ужасного могло за эти 5 минут произойти если бы апдейт дошел на 5 минут позже? На 20 минут позже?
MS отвечает,
Можно ссылку на ответ?
что их контракторы, а crowdstrke работает как контрактор
Когда это CrowdStrike стало контактором Майкрософт? Это независимая компания делающая собственный продукт, и самостоятельно продающая его. У них есть какие-то типичные партнёрства когда CrowdStrike предлагается клиентам Ажура, но контактором МС CrowdStrike не является.
тестировали свой код в разнообразных конфирурациях
Опять же хочется источник, нигде не видел чтобы МС объяснял что-то за CrowdStrike, да и с чего бы ей отчитываться за third party.
Когда это CrowdStrike стало контактором Майкрософт? Это независимая компания делающая собственный продукт, и самостоятельно продающая его.
Совсем незваисимая: их компоненты подменяют что-то на уровне ядра ОС и драйверов (которые должны иметь одобренную цифровую подпись от МС - верно?) и встроенный защитник Windows, который вроде как простому пользователю полностью даже отключить нельзя, спокойно на это смотрит и позволяет в любой момент обновлять файлами из интернета.
их компоненты подменяют что-то на уровне ядра ОС
Подменяют, являясь такими же драйверами, пользуются такими же интерфейсами ядра, и так же подписаны цифровой подписью МС.
встроенный защитник Windows, который вроде как простому пользователю полностью даже отключить нельзя,
Отчего же? Любой простой пользователь с административными правами может заменить Defender на альтернативный антивирус. Европейская Комиссия не допустила "монополизма" встроенного защитника.
спокойно на это смотрит и позволяет в любой момент обновлять файлами из интернета.
Он скорее всего вообще отключен, заменён на CrowdStrike, но даже если работает - что именно вы предлагаете запрещать? Доступ в интернет административному аккаунту? Возможность замены "конфигурационных файлов", которые CrowdStrike обновляет как раз что бы обойти невозможность быстрого обновления самих драйверов? (драйвера и любой исполняемый код должны быть подписаны МС, и пройти через их тестирование, их за час на весь интернет не выкатить)
Хотя программное обеспечение Microsoft не было причиной инцидента CrowdStrike, Microsoft немедленно вмешалась и предложила Delta бесплатную помощь
Как благородно 🥰
Microsoft: Delta Airlines отказалась от бесплатной помощи и проигнорировала электронное письмо от Сатьи Наделла