AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Klatsch und Tratsch Crowdstrike - Name ist Programm
Thema durchsuchen
Ansicht
Themen-Optionen

Crowdstrike - Name ist Programm

Ein Thema von dummzeuch · begonnen am 20. Jul 2024 · letzter Beitrag vom 22. Jul 2024
Antwort Antwort
Seite 1 von 2  1 2      
Benutzerbild von dummzeuch
dummzeuch

Registriert seit: 11. Aug 2012
Ort: Essen
1.628 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#1

Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 11:13
Ich war selten so froh, nicht als Systemadmin für eine große Firma zu arbeiten wie jetzt. Man stelle sich vor: An einem Freitag rebooten plötzlich alle Windows-Systeme (incl. Server) in einen BSOD und jeder Reboot schlägt fehl. Es stellt sich heraus, dass die einzige Lösung ist, zu jedem Rechner zu gehen, dort in den abgesicherten Modus zu booten und eine Datei zu löschen.
Und das dann in einer Firma mit hunderten solcher PCs. Keine Fernwartung möglich, da ja Windows nicht bootet. Ganz besonders klasse für Windows Server, die headless arbeiten. (OK, einige wenige Fernwartungstools sind im BIOS implementiert oder als Hardware ausgeführt, aber die Regel dürfte das nicht sein.)

Da werden einige Leute ein arbeitsreiches Wochenende haben.
Thomas Mueller
  Mit Zitat antworten Zitat
TUhr

Registriert seit: 25. Sep 2021
21 Beiträge
 
#2

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 11:25
Richtig ! Passende Temperaturen gibt es auch noch dazu....
  Mit Zitat antworten Zitat
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
5.388 Beiträge
 
Delphi 12 Athens
 
#3

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 11:45
Viel blöder ist aber, das die meinsten Chef´s die Verantwortung, die wir auch in der Anwendungsentwicklung tragen, nicht erkennen/schätzen. Eine falsche Zeile und es kommt sowas bei raus...
Ausnahme: Man arbeitet in einer Softwarebude.

Haben die keine "Testabteilung"? Bei so kritischen Systemen sollte das bei "Unittests (oder wie man das in diesem Falle nennt)", auffallen.

Geändert von haentschman (20. Jul 2024 um 13:13 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.800 Beiträge
 
Delphi 12 Athens
 
#4

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 12:37
Ich habe mich bei heise belehren lassen müssen, daß es bei 0-days auf jede Sekunde ankäme, und deshalb Signaturupdates, und darum geht es hier, mehrmals am Tag rausgehauen und automatisch eingespielt werden.

Das diese Signaturen nicht zum ersten Mal mehr Schaden als Nutzen, scheint keinen zu kümmern. Wie es zu einem BSOD kommen kann, obwohl nur eine Signatur eingespielt wurde, ist aber wohl Betriebsgeheimnis der Weisen von Crowdstrike.

Auch scheint sich herauszustellen, daß der Einsatz solcher Produkte (gehässig als Schlangenöl bekannt) primär als Absicherung gegen eventuelle Regressansprüche genutzt wird. Frei nach dem Motto "Ich habe doch Tool XY installiert, es kann nichts passieren". Wenn doch was passiert, lehnt man sich zurück, und sagt man habe ja alles menschenmögliche getan.

Insgesamt trennt sich an diesem Vorfall die Spreu vom Weizen. ITler, die das Glück hatten, kein vom Management aufgedrücktes Produkt zweifelhaften Nutzens verwenden zu müssen, freuen sich über ein weiteres ruhiges Wochenende. Die anderen...nunja.
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#5

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 13:01
Weltweit schön Überstunden ... da freuen sich alle


Nunja, der andere Fall wird damit aber auch gut abgefangen, indem Sicherheitslücken/Probleme schnellstmöglich behoben werden, hoffentlich bevor etwas passiert.

Wenn ein Krankenwagen schön schnell in die Ambulanz fährt, ist es eigentlich schön, auch wenn es manchmal passieren kann, dass auch er selbst 'nen Unfall hat.


Witzig war in England der eine Nachrichtensender.
Wollte grade eben berichten, wie in Australien überall Systeme ausfallen und blub peng, war er selbst weg.

Und dann schön dem Sonnenaufgang hinterherrennend hatten immer mehr ihren Spaß.
Immerhin schnell genug bemerkt und reagiert, noch bevor es einmal rundum war.
$2B or not $2B
  Mit Zitat antworten Zitat
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
5.388 Beiträge
 
Delphi 12 Athens
 
#6

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 13:16
Mich würde mal die Höhe der weltweiten Regressansprüche interessieren...
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#7

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 14:24
die Untersuchungen laufen noch.

Wenn da jemand grob fahrlässig gehandelt hat (so wie in dem humoristischen Post angedeutet) .... na dannnnnnnn ohohoooooo



Die Firma selbst hat sich garantiert mit genug Ausschlussregeln abgesichert.
$2B or not $2B

Geändert von himitsu (20. Jul 2024 um 14:28 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.650 Beiträge
 
Delphi 11 Alexandria
 
#8

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 15:00
An einem Freitag rebooten plötzlich alle Windows-Systeme (incl. Server) in einen BSOD und jeder Reboot schlägt fehl. Es stellt sich heraus, dass die einzige Lösung ist, zu jedem Rechner zu gehen, dort in den abgesicherten Modus zu booten und eine Datei zu löschen.
Bei mir kamen zum Glück nur zwei BSOD, danach lief alles normal. Das ist also nicht überall so gewesen.

Das größte Problem finde ich daran aber genau das:
Wie kann es sein, dass Windows erkennt und anzeigt, welcher Treiber schuld ist, aber dennoch immer wieder genau diesen Treiber lädt und erneut crasht?

Denn ansonsten würde der Rechner ja wieder starten und bekäme automatisch Updates. Diese Not-Fehlerbehebung könnte man ja auf gerade aktualisierte Treiber einschränken, aber grundsätzlich würde das viel erleichtern...
Sebastian Jänicke
AppCentral
  Mit Zitat antworten Zitat
Benutzerbild von dummzeuch
dummzeuch

Registriert seit: 11. Aug 2012
Ort: Essen
1.628 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#9

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 15:04
Wie es zu einem BSOD kommen kann, obwohl nur eine Signatur eingespielt wurde, ist aber wohl Betriebsgeheimnis der Weisen von Crowdstrike.
Wenn die Datei fehlerhaft ist und der Fehler nicht abgefangen wird, crasht das Programm. Und in diesem Fall war das Programm wohl ein Treiber, der dann das Betriebssystem gleich mit nahm.
Thomas Mueller
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#10

AW: Crowdstrike - Name ist Programm

  Alt 20. Jul 2024, 16:35
Drum ist es für vieles besser, wenn UserMode-Treiber genutzt werden, anstatt einem KernelModeDriver, welcher gleich den Kernel mit sich reist.

Wie Damals, als alle Programme sich noch den Arbeitsspeichert geteilt hatten und ein Bufferoverrun oder ungültiger Zeiger ein anderes Programm schrotten konnte.
$2B or not $2B
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:14 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz