Názor ke zprávičce CrowdStrike Falcon EDR způsobuje masivní BSoD po světě od Ivan Brezina - Crowdstrike (anebo Imperva) funguji na podobnem principu, jako...

Crowdstrike (anebo Imperva) funguji na podobnem principu, jako drive fungoval kernel driver heroin.ko. Natahne se do kernelu, prepise pointery na ruzne funkce a pak filtruje syscally, protoze vsechno tece pres nej. Je to v podstate virus/backdoor.

U takovehleho SW existuje milion zpusobu jak neco podelat, staci kdyz se nekde uvnitr kernelu zmeni nejaky offset. Uz vyse zminena Imperva nam sestrelovala Oracle databaze, ale pouze v pripade kdyz se nekdo pokusil zvetsit velikost tablespace. Dalsi prusvih nastal, kdyz se nekdo pokusil ten driver odstranit z kernelu pomoci rmmod. Anebo to nahodne blokovalo instalaci SQL Serveru, ale jen na pomalejsich pocitacich.

Navic tyhle bezpecnostni SW zpusobuje naprosto nelogicky chyby kdy vy nekolik dnu cumite do logu, vubec nic nechapete a na prvni pohled se zda ze jste narazili na problem ktery jeste nikdo nikdy nevidel.

Navic dneska mate v IT separaci roli. Takovyhle SW ma agenta na kazdem serveru a ten agent se bavi s management konzoli. IT Security staci jen nekde kliknout a nove drivery se vam nainstaluji a vam nikdo nic nerekme - vyrobce se chlubi tim, ze pro aktualizaci neni potreba zadny downtime.