Hlavní navigace

Názor ke zprávičce CrowdStrike Falcon EDR způsobuje masivní BSoD po světě od Filip Jirsák - Uvědomte si, že jde o bezpečnostní software, který...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 19. 7. 2024 21:38

    Filip Jirsák
    Stříbrný podporovatel

    Uvědomte si, že jde o bezpečnostní software, který má jistá specifika. Například pokud se běží nějaký útok, potřebujete ho detekovat co nejdřív a ne si hrát s A/B testováním. Jasně, obvykle taková věc bude řešená aktualizací nějaké databáze signatur, která asi nevyvolá BSOD – ale pokud útočník objeví nějaký vektor útoku, třeba nějaké systémové volání, které ještě nemáte podchycené, asi nezbyde než vydat nový ovladač.

    Druhá věc je, že i ty aktualizace musí být dostatečně robustní. Aby vám útočník ten bezpečnostní software neobešel jednoduše tak, že mu vypne nějaký feature flag.

    Netvrdím, že je to zrovna tenhle případ, a nechci je obhajovat – už dlouho tvrdím, že největším nebezpečím hned po uživateli je bezpečnostní software, protože má stejné možnosti, jako OS, ale zdaleka není dělaný tak pečlivě a není pod takovým drobnohledem.

    Ale dělat postupné aktualizace není vždy jednoduché ani u běžného softwaru, a ten bezpečnostní má ještě nějaká specifika navíc. Ale taky je klidně možné, že to tak v tomhle případě udělat mohli, ale prostě to tak nedělali, protože zatím neměli průšvih, který by jim ukázal, že postupný rollout se vyplatí.

    Pak je tu také ten problém, že pokud ten ovladač způsobí BSOD a pak se to zacyklí při bootování, nemá ten systém šanci odeslat zprávu, že tento update se tak úplně nepovedl. Takže se to začne rolovat na další systémy. A dozvídat se o chybách z televize a sociálních médií není úplně ideální, protože tenhle kanál je překvapivě pomalý a plný šumu. Ten postupný rollout se hodí hlavně u systémů, které můžete online přímo monitorovat a rovnou to vidíte, že nějaký uzel nenaběhl, odpovídá pomalu, chybami apod.