Crowdstrike - Name ist Programm
 

Ich war selten so froh, nicht als Systemadmin für eine große Firma zu arbeiten wie jetzt. Man stelle sich vor: An einem Freitag rebooten plötzlich alle Windows-Systeme (incl. Server) in einen BSOD und jeder Reboot schlägt fehl. Es stellt sich heraus, dass die einzige Lösung ist, zu jedem Rechner zu gehen, dort in den abgesicherten Modus zu booten und eine Datei zu löschen.
Und das dann in einer Firma mit hunderten solcher PCs. Keine Fernwartung möglich, da ja Windows nicht bootet. Ganz besonders klasse für Windows Server, die headless arbeiten. (OK, einige wenige Fernwartungstools sind im BIOS implementiert oder als Hardware ausgeführt, aber die Regel dürfte das nicht sein.)

Da werden einige Leute ein arbeitsreiches Wochenende haben.

AW: Crowdstrike - Name ist Programm
 

Richtig ! Passende Temperaturen gibt es auch noch dazu....

AW: Crowdstrike - Name ist Programm
 

Viel blöder ist aber, das die meinsten Chef´s die Verantwortung, die wir auch in der Anwendungsentwicklung tragen, nicht erkennen/schätzen. :? Eine falsche Zeile und es kommt sowas bei raus...:wink:
Ausnahme: Man arbeitet in einer Softwarebude. :lol:

Haben die keine "Testabteilung"? Bei so kritischen Systemen sollte das bei "Unittests (oder wie man das in diesem Falle nennt)", auffallen. :gruebel:

AW: Crowdstrike - Name ist Programm
 

Ich habe mich bei heise belehren lassen müssen, daß es bei 0-days auf jede Sekunde ankäme, und deshalb Signaturupdates, und darum geht es hier, mehrmals am Tag rausgehauen und automatisch eingespielt werden.

Das diese Signaturen nicht zum ersten Mal mehr Schaden als Nutzen, scheint keinen zu kümmern. Wie es zu einem BSOD kommen kann, obwohl nur eine Signatur eingespielt wurde, ist aber wohl Betriebsgeheimnis der Weisen von Crowdstrike.

Auch scheint sich herauszustellen, daß der Einsatz solcher Produkte (gehässig als Schlangenöl bekannt) primär als Absicherung gegen eventuelle Regressansprüche genutzt wird. Frei nach dem Motto "Ich habe doch Tool XY installiert, es kann nichts passieren". Wenn doch was passiert, lehnt man sich zurück, und sagt man habe ja alles menschenmögliche getan.

Insgesamt trennt sich an diesem Vorfall die Spreu vom Weizen. ITler, die das Glück hatten, kein vom Management aufgedrücktes Produkt zweifelhaften Nutzens verwenden zu müssen, freuen sich über ein weiteres ruhiges Wochenende. Die anderen...nunja.

AW: Crowdstrike - Name ist Programm
 

Weltweit schön Überstunden ... da freuen sich alle :)


Nunja, der andere Fall wird damit aber auch gut abgefangen, indem Sicherheitslücken/Probleme schnellstmöglich behoben werden, hoffentlich bevor etwas passiert.

Wenn ein Krankenwagen schön schnell in die Ambulanz fährt, ist es eigentlich schön, auch wenn es manchmal passieren kann, dass auch er selbst 'nen Unfall hat.


Witzig war in England der eine Nachrichtensender.
Wollte grade eben berichten, wie in Australien überall Systeme ausfallen und blub peng, war er selbst weg.

Und dann schön dem Sonnenaufgang hinterherrennend hatten immer mehr ihren Spaß.
Immerhin schnell genug bemerkt und reagiert, noch bevor es einmal rundum war.

AW: Crowdstrike - Name ist Programm
 

Mich würde mal die Höhe der weltweiten Regressansprüche interessieren...:wink:

AW: Crowdstrike - Name ist Programm
 

die Untersuchungen laufen noch.

Wenn da jemand grob fahrlässig gehandelt hat (so wie in dem humoristischen Post angedeutet) .... na dannnnnnnn ohohoooooo



Die Firma selbst hat sich garantiert mit genug Ausschlussregeln abgesichert.

AW: Crowdstrike - Name ist Programm
 

Bei mir kamen zum Glück nur zwei BSOD, danach lief alles normal. Das ist also nicht überall so gewesen.

Das größte Problem finde ich daran aber genau das:
Wie kann es sein, dass Windows erkennt und anzeigt, welcher Treiber schuld ist, aber dennoch immer wieder genau diesen Treiber lädt und erneut crasht?

Denn ansonsten würde der Rechner ja wieder starten und bekäme automatisch Updates. Diese Not-Fehlerbehebung könnte man ja auf gerade aktualisierte Treiber einschränken, aber grundsätzlich würde das viel erleichtern...

AW: Crowdstrike - Name ist Programm
 

Wenn die Datei fehlerhaft ist und der Fehler nicht abgefangen wird, crasht das Programm. Und in diesem Fall war das Programm wohl ein Treiber, der dann das Betriebssystem gleich mit nahm.

AW: Crowdstrike - Name ist Programm
 

Drum ist es für vieles besser, wenn UserMode-Treiber genutzt werden, anstatt einem KernelModeDriver, welcher gleich den Kernel mit sich reist.

Wie Damals, als alle Programme sich noch den Arbeitsspeichert geteilt hatten und ein Bufferoverrun oder ungültiger Zeiger ein anderes Programm schrotten konnte.