BSOD समस्या गलत binary data और खराब लिखे गए parser के संयोजन की वजह से हुई
पिछले 10 वर्षों के अनुभव के अनुसार, ज़्यादातर CVE, crash, bug और slowdown की समस्याएँ binary data को machine-readable data structure में deserialize करने की प्रक्रिया में होती हैं
यह compression algorithm, font outline reader, image/video/audio parser, video game data parser, XML/HTML parser, OpenSSL के certificate/signature/key parser जैसे कई क्षेत्रों पर लागू होता है
CrowdStrike के EDR प्रोग्राम का content parser भी इसका अपवाद नहीं है
दूसरी राय
rootkit-आधारित endpoint monitoring software की जगह open source solution अधिक नैतिक हो सकता है
open source tools पारदर्शी तरीके से काम करते हैं और यह सुनिश्चित कर सकते हैं कि उनमें backdoor या गंभीर bug न हों
उनका सार्वजनिक रूप से audit किया जा सकता है, और वे ऐसे business model पर चल सकते हैं जहाँ security team malware signatures उपलब्ध कराए
तीसरी राय
CrowdStrike outage के लिए Microsoft की भी ज़िम्मेदारी है
Microsoft workstation computing space में लगभग monopoly जैसी स्थिति में है और उस पर अपने product की security/reliability/functionality सुनिश्चित करने की ज़िम्मेदारी है
प्रतिस्पर्धा की कमी के कारण Windows में innovation धीमा पड़ रहा है
उदाहरण के लिए, CrowdStrike MacOS और Linux पर user space में चलता है, लेकिन Windows पर ऐसा नहीं है
application sandboxing में innovation की ज़रूरत है
Microsoft दुनिया के computing infrastructure की चाबी अपने हाथ में रखता है और उस पर लगभग कोई निगरानी नहीं है
Windows से revenue share कम हो गया है, लेकिन यह critical infrastructure चलाने वाला product है, इसलिए अधिक जवाबदेही ज़रूरी है
सरकार को desktop workspace market में competition बढ़ाना चाहिए या Microsoft के Windows product को regulate करना चाहिए
चौथी राय
यह समझना मुश्किल है कि प्रभाव का दायरा इतना बड़ा क्यों था
महत्वपूर्ण services के लिए automated monitoring और rollback के साथ slow rollout आम बात है
आम तौर पर beta चरण में बिना customer traffic के deploy किया जाता है, और समस्या न होने पर धीरे-धीरे विस्तार किया जाता है
इस तरीके से समस्या को तुरंत रोका जा सकता था
पाँचवीं राय
मैं CrowdStrike का उपयोग नहीं करता, लेकिन लगता है कि CS driver पहले install होता है और इसे हटाया न जा सके, ऐसा design किया गया है
driver unsigned data file load करता है, और user उसे मनमाने ढंग से delete कर सकता है
कोई malicious user malicious data file बनाकर driver को malfunction करा सकता है
इससे kernel privilege मिलने का जोखिम है
छठी राय
यह जानने की उत्सुकता है कि test deployment में यह समस्या क्यों नहीं पकड़ी गई
यह मानना मुश्किल है कि deployment से पहले testing नहीं की गई होगी
हर company के पास deployment से पहले test environment होना चाहिए
development के दौरान fail होने वाले या समस्या पैदा करने वाले package install करना सामान्य है, लेकिन उन्हें सीधे production environment में deploy करना सही नहीं है
सातवीं राय
यह जानना दिलचस्प है कि क्या CrowdStrike के customer update पर अपनी राय दे सकते हैं
यह भी सवाल है कि क्या सभी customer CrowdStrike को पूरी remote code execution permission दे रहे हैं
उम्मीद है कि certificate authority और cryptography experts ऐसी updates को system पर block कर सकें
आठवीं राय
यह जानना दिलचस्प है कि क्या "channel file" पर CS driver द्वारा signature किया जाता है और उसका verification होता है
अगर नहीं, तो यह rootkit की बड़ी vulnerability हो सकती है
ऊँचे privilege पर चलने वाले input की कम-से-कम integrity check होनी चाहिए
केवल channel file को delete कर पाना यह संकेत देता है कि कोई anti-detection mechanism नहीं है
1 टिप्पणियां
Hacker News राय
पहली राय
दूसरी राय
तीसरी राय
चौथी राय
पाँचवीं राय
छठी राय
सातवीं राय
आठवीं राय