Microsoft prisel s myslenkou ze za vypadek muze EU.Jsem se tak dobre nenasmal uz dlouho. To jsou tezky luzeri v tom MS kdyz uz jedou i ruskou propagandu.
Na Slovensku prebieha údajne 80% platieb bezhotovostne. Bolo by zaujímavé vedieť, ako je to vyriešené, keby sa takéto niečo stalo v hypermarketoch.
Nijak?
Zažil jsem překopnutý optický kabel zásobující internetem nákupní centrum. Prostě se platilo hotově...
To tam meli nejake neduvtipne IT oddeleni, asi. I male hospody si pripojeni zalohujou mobilnim modemem 🙂
A podstata vašeho dotazu je v čem? Když vám nejde systém, můžete mít peníze jaké chcete, ale nikdo vám nic neprodá, protože nefunguje systém, tudíž nemají cenu zboží a nemohou vyskladňovat. Ještě něco moudrého?
Väčšina nepôjde, ale zažil som pred asi rokom či dvomi, že v Dráčiku fungovali aj pri výpadku, spisovali ručne na paragóny a súčty a zľavy rátali na kalkulačke. Našťastie pre nich, základnú cenu každého tovaru majú nalepenú priamo na ňom.
asi nám podsouvá své oblíbené nákupy na trhu 🙂
Hm, vzpomínáte na rok 2009 a na Stuxnet vyvinutý k potírání Íránského jaderného programu ze strany USA či Izraele? Ve výsledku malware (červ) Stuxnet nadělal a dělá stále ještě hodně škody nevinným při jeho modifikovaném zneužití/znovupoužití u systému Windows.:-/ Myslím, že modifikované klony Stuxnet (DuQu a jiné) dlouhodobě dělají více škody než popsaný update CrowdStrike. Škody však nejsou 'viditelné', protože cílem Stuxnet je nebýt viděn, ale navrtat se do systému a těžit informace s jejich následným odesílání útočníkovi.
Názor byl 1× upraven, naposled 23. 7. 2024 09:55
Jo, kdysi jsem slyšel, že nejhorší virus je antivirus 🙂
U tohoto typu softwaru je to těžké. Pokud řeší nějaké závažné ohrožení, je potřeba aktualizaci dostat co nejrychleji na co nejvíc systémů. Čím déle a opatrněji budete testovat, tím víc systémů bude mezitím zasaženo. To je problém samo o sobě, navíc to shazuje vaši pověst jako bezpečnostního řešení. Je to prostě tak trochu balanc nad propastí.
To ale nebyl tento pripad. Slo o beznou pravidelnou aktualizaci. Casu na testovani bylo dost.
Ne tak úplně viz. blog Crowdstrike: https://www.crowdstrike.com/blog/falcon-update-for-wi...
To se vám na Nobaře stát nemůže. B-]
Tak předpokládám, že jako u všech SW společností nenese žádnou odpovědnost za škody, které způsobil jejich software.
Jj., hlavní je aktualizovat. Aktualizace je základem bezpečnosti ... 😝Třeb to někoho trochu poučí.
DevelopTestAcceptProductionMP
DevelopTestSell Run away 😀
DevelopSellRun away 😀
SellRun away 😀
SellSellSellProc utikat od neceho, co nese.
Názor byl 1× upraven, naposled 23. 7. 2024 14:28
Bezpečnostní aktualizace se často instalují automaticky.Je to jistě chyba Crowdstrike, ale nezapomínal bych na adminy, kteří právě kvůli tomu mají aktualizace nasazovat podle priorit a testování v jejich prostředí. Aby se v jednom okamžiku aktualizovaly jak nejkritičtější systém, tak reklamní bannery, to už by se mělo jednat o setsakra velký bezpečnostní problém, kde je větší riziko mít v provozu tu chybu, než že se všechno sesype.Líbí se mi meme, které k tomu přiložili na root.cz:https://i.iinfo.cz/images/417/crowdstrike-mi...
push aktualizace admin nijak neovlivní (a je to dobře)
Názor byl 1× upraven, naposled 22. 7. 2024 17:55
Jo, já vím, každý se nepoučí. To jste nemusela zdůrazňovat.
Japa by ne. Jednak ma snad nejake politiky (ve smyslu predpisu, ne pravidel microsoft domeny), jednak spousta embedded zarizeni jede na LTSC a readonly filesystemu.Ty predpisy teda asi nevymysli systemak, to je pravda. Ale porad jsou to lidi.
Nejsou to lidi, jsou to manageri. A ti kolikrat vymysli veci, skoda psat.. ;o)
Jak to myslite? Admin ovlivni v enterprise prostredi uplne vsechno. Alespon za mych mladych let to tak bylo, chvili uz to nedelam. A pokud se neco zmenilo, rozhodne ovlivni to, jestli se aktualizace do site vubec dostane nebo ne. To ze to nejde ovlivnit na W Home je vec jina. Nebo vam snad nekdo v praci nabulikoval, ze to nejde a proto vam to popadalo? Standartni postup popsal Bzuci. Architekti a sekuritaci rozhodnou, ktere aktualizace ano a kdy, provoz to otestuje, pak to vsichni schvali a pak se to teprve distribuuje a instaluje. Ano, je to hrozna byrokracie, ale ma to vyznam a vychazi to obvykle z nejakych predchozich spatnych zkusenosti.
Názor byl 1× upraven, naposled 23. 7. 2024 14:48
bežpečnostní software typu XDR se většinou, stejně jako v případě řešení od crowdstrike, aktualizuje sám na dálku. na to kdy a jestli se aktualizace bude instalovat nemá admin žádný vliv, což je správně, protože v případě výskytu nového ohrožení je nutné jedna rychle a nečekat měsíc, než to projde byrokratickým kolečkem.
Názor byl 1× upraven, naposled 23. 7. 2024 16:32
Nemate pravdu. Admin je panem prostredi. Admin odpovida byznysu za to, ze prostredi bezi. Admin urcuje, po dohode s byznysem, kdy se co bude aktualizovat a predava byznysu informace o pripadnych dopadech na provoz. V pripade kritickych aktualizaci Admin rozhoduje o tom, co a kdy se nainstaluje a restartuje. O tom nesmi rozhodovat nikdo jiny, ani kdyby padaly trakare. A uz vubec o tom nesmi rozhodovat nejaky subjekt, ktery muze mit zajem na tom, aby neco nejelo. Reseni od Crowdstrike neznam, ale jestli neexistuje moznost nekde vypnout a ridit, aby to natlacilo bez vedomi kohokoliv cokoliv kamkoliv, je to spatne reseni a v enterprise siti to nema co delat.Byrokraticke kolecko v pripade kritickych aktualizaci netrva mesic. A nesmi trvat mesic. Krome toho, tahle aktualizace fakt kriticka nebyla a temer zadna aktualizace neni tak kriticka, aby nemohla tyden pockat, protoze to riziko, ze neco nepojede (pokud teda zrovna aktualizace neni duvodem k tomu, aby opravila neco, co nejede) je mnohem horsi a vetsi a obvykle s mnohem vetsim (nejen) financnim dopadem, nez ze se nekdo pokusi napadnout nejakou diru.
Názor byl 3× upraven, naposled 24. 7. 2024 10:06
Takže podle Vás se má validovat každá aktualizace virových definicí? No v ideálním světe možné, ale reálně to snad ani nejde udělat.V tomto popisovaném případě aktualizace "channel file" způsobil pád driveru. Channel file je obdoba virových definicí u klasického antiviru. Crowdstrike vydává několik updatů channel files denně. Jak testování něčeho podobného chcete reálně zajistit?Crowdstrike má pravě v enterprise segmetu přes 23% trhnu (tj. největší market share v daném segmentu trhu).
Vidite a evidentne to dela spatne, kdyz 23% trhu jednou aktualizaci shodil. Jsem si temer jisty, ze po tomhle update probehl restart a ty systemy uz nenajely. A jsem si take temer 100% jisty tim, ze nejaky channel file, ktery muze obsahovat kde co, skoncil. Protoze tohle si proste za kloboucek nedaji.
Názor byl 1× upraven, naposled 24. 7. 2024 10:23
No uvidíme jak to s nimi dopadne. Já kdybych používal jejich řešení, tak bych s nimi skončil. Ale velké korporace se občas chovají nepředvídatelně. Co je ale zajímavé, že jim zase tolik nespadly akcie.Před páru měsíci Crowdstrike zase shodili Debian po aktualizaci kernelu. Ale alespoň jsou konzistentní. Předtím to byl Linux, teď Windows a příště MacOS.
No nevím jestli jste za Vaších mladých let kontrolovali každou aktualizaci virových definic. Předpokládám že ne. To co shodilo driver Crowdstrike by tzv. "channel file" což je ve své podstatě obdoba virových definic jako u běžného AV software. Crowdstrike vydává několik aktualizací "channel files" za den.
Ja vam nevim, ale virova definice rozhodne neni update kernel driveru. Ze ho muze konfiguracne rozjebat je vec jina.Podle toho, co tu ctu:The culprit is Channel File 291 (named with a pattern ‘C-00000291-*.sys’) contained a new detection logic to address malicious misuse of named pipes.se jedna o update kernel driveru, coz rozhodne minimalne vyzaduje restart systemu, aby se vubec nacetl a mohl byt aktivni. Pokud byste chtel oponovat tim, ze od noveho WDM jiz restart neni potreba, tak budu oponovat tim, ze to plati hlavne u User mode (nebo chceteli User space) driveru, coz si troufam s celkem velkou jistotou tvrdit, ze tohle neni, protoze saha / kouka do named pipes a ty jsou zapeceny dost hluboko na to, aby bezely v User mode. To, jiste uznate, se u beznych aktualizaci virovych bazi proste nedeje, tam totiz restart potreba neni a netvrdte mi, ze nekolikrat denne restartujete pocitac kvuli nekolika aktualizacim od Crowdstriku.Za me se jedna u plnou aktualizaci, ktera ma projit testingem a schvalenim.
Názor byl 2× upraven, naposled 24. 7. 2024 10:16
Channel files je jejich vlastní formát souboru. Může obsahovat vše od aktualizace virových definic až po nové hooky systémových volání.Aktualizace kernel driveru na Windows nevyžaduje reset. Toto neplatí už od dob Windows 7. To že drivery jsou běžně psané, že reset vyžadují ještě neznamená, že to nejde bez něj. A co jsem četl tak Crowdstrike drvier dokáže patchovat drvier za běhu bez nutnosti restartu.
Názor byl 1× upraven, naposled 24. 7. 2024 10:17
Vazne? Muzete mi prosim sdelit, kolik driveru jste napsal, ze tvrdite, ze lze napsat driver tak, aby se nemusel kernel restartovat? Muzete mi prosim rici, co presne vite o architekture softwaru, predevsim pak operacniho systemu a hlavne windows? Mate vubec predstavu, jak kernel funguje a zavadi ovladace zarizeni? Muzete mi prosim rici, jak byste chtel z ringu 3 ovladat hardware, ktery jde ovladat jen z ringu 0? Ja jsem uz vyeditoval ten prispevek vyse. Protoze tuhle odpoved jsem presne cekal.
Ano psal jsem Windows drivery včetně integrace RTX RTOS kernelu v dobách kdy to byl ještě Ardence RTX.Můžete mi říct kde píšu o ovládání hardware bez drvieru z user-space. Nevkládejte mi do úst něco co jsem neřekl. NT kernel bez problémů může zavádět ovladače za běhu. Aktualizace za běhu je též možná. Nesmíte zapomínat že Crodsdstike tam má zavedený ovladač v jádře (tj. WHQL podepsaný) který však dynamicky natahuje hooky do kernelu dle instrukcí v channel files. Takže tento ovladač může skoro cokoliv....
Takze vlastne jinymi slovy rikate, ze podepsany kernel driver natahuje do kernelu dalsi spustitelny kod. To je podle meho nazoru uz z principu spatne. Ten ma natahnout maximalne nejakou konfiguraci. Ja si myslim, ze tech driveru tam je vice, z nichz jeden je pro monitoring/filtering named pipes, do kterych se po zavedeni nahookuje. Dokonce bych si troufnul tvrdit, ze se nepouzivaji klasicke hooky, ale kernel filter driver, pripadne nejake legacy reseni kolem NPFS. A ten to cele rozjebal.
Názor byl 1× upraven, naposled 24. 7. 2024 13:25
Jakou strukturu a jaké techniky používají to opravdu nevím. Ale dovolil bych si tipnout, že to budou "hodně špinavé" techniky a nebude asi nic standardního jako třeba WFP pro síťové filtrování. Myslím si, že těch driverů tam moc nebude, protože by museli řešit WHQL pro více driverů.Jakou strukturu ty channel files mají a co vše mohou dělat to nikdo kromě Crowdstrike neví. Tyto soubory jsou totiž symetricky šifrované a každý zákazník má jiné klíče. Někde dokonce tvrdí, že ten channel file měl po dešifrovaní samé nuly. Ale nevím jestli je to pravda. Co je ale známě, že ten driver padal na přístupu k objektu který byl NULL.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.