Eilinen oli synkkä päivä tietotekniikalle, kun ohjelmistovirhe aiheutti maailmanlaajuisesti merkittäviä häiriöitä lukuisilla eri aloilla. Syylliseksi paljastui yhdysvaltalaisen CrowdStrike-tietoturvayhtiön viallinen ohjelmistopäivitys, joka aiheutti ahkerasti BSODeja (Blue Screen of Death).
Ongelmat alkoivat eilen kello 7:09 Suomen aikaa aamulla, kun Microsoftin Azure-pilvipalvelun Windows-virtuaalikoneet alkoivat kaatuilemaan ja käynnistelemään itseään uudelleen. Pari tuntia myöhemmin 9:48 Suomen aikaa Googlen Compute Enginessä havaittiin niin ikään ongelmia ja Windows-virtuaalikoneiden kaatuiluja ja heti perään 10:15 se ilmoitti havainneensa syylliseksi csagent.sys-tiedoston, joka on osa CrowdStriken tietoturvapakettia ja tarkemmin Falcon Sensoria.
Aikajanat menevät helposti päällekkäin, kun kyse on useista yrityksistä. CrowdStriken tiedotteesta selviää, että viallinen päivitys tiedostoon C-00000291*.sys lähti jakoon nimenomaan 7:09, kun ongelmatkin alkoivat, mutta korjaus oli jo olemassa alle puolentoista tunnin päästä 8:27 Suomen aikaa. Ongelmista kärsivät ne koneet, jotka käynnistettiin tuon aikaikkunan sisällä. Ne, joihin ongelma oli kuitenkin jo purrut, olivat pulassa. Käytännössä ainut varma tapa päästä siitä eroon olisi poistaa kaikki C-00000291*.sys-ajurit CrowdStriken kansiosta manuaalisesti Windowsin Safe Modessa tai Windows Recovery Enviromentissa jok’ikisestä koneesta, oli se sitten virtuaalinen tai ei. Joissain tapauksissa myös tietokoneen uudelleenkäynnistys ratkoi ongelman, kunhan se tehtiin 8:27 jälkeen ja mukana on sopivasti tuuria. Joissain tapauksissa vaadittiin jopa 15 uudelleenkäynnistystä, ennen kuin erikoiselta kuulostava korjaus toimi. Käytännössä kyse oli siitä, kumpi tapahtuu ensin: CrowdStriken automaattipäivitys vai tietokoneen kaatuminen.
CrowdStriken tietoturvasovelluksia on joidenkin arvioiden mukaan asennettu jopa 20 %:iin kaikista maailman yritystietokoneista, joten on selvää että ongelmat koskevat käytännössä kaikkia elämänaloja. Maailmalta on raportoitu laajoja ongelmia niin pankkipalveluissa, televisiolähetyksissä, lentoyhtiöiden palveluissa kuin sairaaloissakin, eikä edes sponsorisopimus pelastanut Mercedeksen F1-tiimiä. Suomessa ongelmia oli ainakin OP:n Sijoituskumppanissa ja osakesäästötileissä, Terveyskylä-sivustossa ja sen Omapolku-palvelussa, HUSin eri palveluissa, Synlabin laboratorio- ja kuvantamispalveluissa sekä VR:n järjestelmissä.
Lähteet: Kyberturvallisuuskeskus, Yle (1), (2), Crowdstrike (1), (2), Uutiskuva: Reddit
Johtuiko Lounean valokuituyhteyksien ongelmat myös tästä? Onko tietoa?
Yhtiö ei ole virallisesti ilmoittanut, mutta olisi kyllä todella hyvin osuneet tähdet kohdalleen, jos juuri samoihin aikoihin heillä olisi ilmennyt joku muu ongelma niin että käytännössä koko verkko kaatui kun Ficixistä tarkasteltuna liikennemäärä Lounean verkosta/verkkoon tipahti noin 8 Gbit/sekunti johonkin 100Mbit/s paikkeille.
Jep. F-Securella toimintatapa parempi, kun totaalisen kippaamisen sijasta hidastetaan kone muuten vain lähes käyttökelvottomaksi.
Linux- ja Mac-ympäristöissähän tämä ei aiheuttanut mitään ja jos olen oikein ymmärtänyt, niin Linux-puolella tällainen katastrofi ei edes olisi näin helposti toteutettavissa, kun ilmeisesesti aika pahasti saa tötöillä että Linuxissa saa kernel panicin aikaiseksi.
Kyse ei yrityskäytössä ole tuosta, että kumpi estää enemmän haittaohjelmia/hyökkäyksiä, vaan siitä että saadaan nuo pakolliset viranomaismääräykset täytettyä.
"Thirdly, and perhaps most importantly, were new rules announced at the end of 2023 by the Securities & Exchange Commission, the main US financial regulator, requiring public companies to disclose cybersecurity incidents and to disclose, annually, their cyber security risk management, strategy, and governance."
data-unfurl="true" data-result-id="639500" data-url="https://news.sky.com/story/from-wall-street-darling-to-firm-behind-the-worlds-worst-it-outage-who-are-crowdstrike-13181020" data-host="news.sky.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
From Wall Street darling to firm behind the world's worst IT outage – who are CrowdStrike?
data-onerror="hide-parent"/>
news.sky.com
Valitettavasti ei ole sellaista AV valmistajaa, jolle vastaavaa ei olisi käynyt. Toisille lievemmin toisille pahemmin. CS nyt vain isolla markkinaosuudellaan aiheuttaa globaalisti näkyvämpää. Suomessa CS ei hirveästi ole käytössä eihän heillä ole täällä edes konttoria tai edustusta (vielä). Suomessa mennään enemmän Withsecure, Palo Alto ja Trend Micro ja Microsoft tuotteilla.
Disclaimer-paskalausekkeet kunnossa ja mitään ei tarvitse korvata?
Osake tippui jo mutta pitkässä juoksussa ei mikään hurja tiputus vielä. Toivottavasti asiakkailta tulee palaute (tietoturvafirman vaihto) siihen malliin että tämä muistetaan.
Tuotteena EDR toimii eri tavalla kuin perinteiset AV-tutkat. Siinä missä Defender ja muut vastaavat saavat sormenjälkipäivityksiä ja pyrkivät estämään haittaohjelmia, EDR taas pyrkii tunnistamaan haitallista toimintaa koneelta. Esimerkkeinä koneessa suoritettavat haitalliset komennot (powershell ja muut), tunnuksien käyttäytyminen ja niin edespäin. Niitä sitten korreloidaan keskenään ja pyritään nostamaan hälytyksiä siitä kun jotain epäilyttävää tapahtuu.
Tuolta saa enemmän tietoa EDR:stä What Is EDR? Endpoint Detection and Response | Microsoft Security
Tuskin crowdstrikelle maksettavaksi juuri mitään, mutta palveluntarjoojille paitsi jos asiakkaat ostaneet crowdstrikeltä tämän palveluna. Isommat firmat ovat niin voineet tehdäkin kyllä. Suomessa tuskin, koska suomi on mssp maa.
Osakekurssi ainakin lähti syöksyyn ja huhuja on että olis tulossa isot korvausvaatimukset.
Eiköhän varmasti tulekin, aina sitä voi pyytää mutta oikeudessa sittennä näkee paljonko saa. Sopimuksissa on jo mukana aina sanktio summat ym.
Eiköhän näistä vielä kuulla kun sinne asti etenee.
Suomessa tuskin mitää uutisia herättävää.
data-unfurl="true" data-result-id="639446" data-url="https://arstechnica.com/information-technology/2024/07/major-outages-at-crowdstrike-microsoft-leave-the-world-with-bsods-and-confusion/" data-host="arstechnica.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Major outages at CrowdStrike, Microsoft leave the world with BSODs and confusion
data-onerror="hide-parent"/>
arstechnica.com
Arvio taloudellisista vahingoista 24 miljardia. Siinä voi Giorgiota pikkuisen alkaa huimaamaan jos tuosta vaikka vain muutamakin prosentti vaadittaisiin korvattavaksi.
Defenderin saa lisensoitua paremmaksi missä tulee EDR ja pilvisuojausta ym mukana. Lisenssointi on MS tyyliin sekavaa, mutta tuote on ollut kohtuu kelvollinen.
Tuskin Crowdstrike tarvitsee paljoa korvata elleivät ole menneet kirjoittamaan sellaisia sopimuksia. IT alalle ei muuten kukaan tulisi tarjoamaan mitään, jos asiakas voi raastupan kautta kuittaa tienatut rahat moninkertaisina takaisin.
Aivan varmasti tulee, lukuisia tietokoneita maailmanlaajuisesti BSOD loopissa ja asia pitäisi korjata käyttökohteessa, puhutaan kuitenkin ihan historiallisesta kämmistä, jonka seuraukset ovat massiivisia asiakasyrityksille.
data-unfurl="true" data-result-id="639794" data-url="https://access.redhat.com/solutions/7068083" data-host="access.redhat.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Kernel panic observed after booting 5.14.0-427.13.1.el9_4.x86_64 by falcon-sensor process. – Red Hat Customer Portal
data-onerror="hide-parent"/>
access.redhat.com
data-unfurl="true" data-result-id="639795" data-url="https://www.neowin.net/news/crowdstrike-broke-debian-and-rocky-linux-months-ago-but-no-one-noticed/" data-host="www.neowin.net" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
CrowdStrike broke Debian and Rocky Linux months ago, but no one noticed
data-onerror="hide-parent"/>
http://www.neowin.net
MacOS virus-skanneri käyttää nykyään system extensiota, joka on user spacessa. Ei kippaa koko laite rikkinäisestä päivityksestä.
data-unfurl="true" data-result-id="639799" data-url="https://developer.apple.com/system-extensions/" data-host="developer.apple.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
System Extensions – Apple Developer
data-onerror="hide-parent"/>
developer.apple.com
katso liitettä 1357047
Esim macin Microsoft Defender käyttää system extensiota.
data-unfurl="true" data-result-id="639800" data-url="https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/microsoft-defender-atp-for-mac-is-moving-to-system-extensions/ba-p/1608736" data-host="techcommunity.microsoft.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Microsoft Defender ATP for Mac is moving to system extensions
techcommunity.microsoft.com
data-unfurl="true" data-result-id="639818" data-url="https://infosec.exchange/@littlealex/112813425122476301" data-host="infosec.exchange" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
LittleAlex (@littlealex@infosec.exchange)
data-onerror="hide-parent"/>
infosec.exchange
Ei ollut ensimmäinen kerta George Kurtzilla kun tulee pikkuinen "oho, mitäs nyt tapahtu"
Jos lounean katkoon oli syynä crowdstrike, niin ihmettelen kovasti verkon arkkkitehtuuria, pyöriikö siellä runkoreitittiminä jotain winkkariserveriä, kun lähes koko verkko meni alas.
Tällaisella kolmannen osapuolen koodilla ei pitäisi olla mitään asiaa ajettavaksi kernel-moodissa.
Macos X:ssä tätä yksinkertaisesti sallita, ja siinä tämä softa ajautuu ihan user-tilassa, eikä pysty kaatamaan koko konetta.
Mutta kun windows valitettavasti sallii tämän koska maailmassa on aivan liikaa kurasoftaa joka tällaista perseilyä haluaa tehdä, niin ne kaikki hajoisivat jos tämä perseily estettäisiin, ja microsoft haastettaisiin oikeuteen ”kilpailujoiden haittaamisesta”.
Ja virustentorjuntasoftia kehittävillä firmoilla on asennevamma, että jos se koodin änkeminen kernel-tilaan on vaan jotenkin mahdollista, se ängetään sinne. Sama tosin pätee myös ”anti-cheap”-softiin.
Järjetöntä on myös se, että koneissa on estoja, joilla estetään boottaus vapaisiin käyttiksiin (ja verukkeena käytetään tietoturvaa), mutta sitten kolmansien osapuolen ajurirajapintoja käyttävien kernel-tilassa pylrivien softien annetaan täysin pwnata se koneen windows.
Valitettavasti vaan lainsäätäjätkin ovat totaalisen pihalla tietoturvasta joten lainsäädännölläkin asioita ajetaan lähinnä vain pahempaan suuntaan.
Ehkä tämä viimein herättää korporaatioita ajattelemaan, kannattaako tällaista backdooria tieten tahtoen asentaa joka ikiseen tietoturvakriittiseen paikkaan. "KISS principle" toimii mielestäni paremmin. Eli yleisesti ottaen: Mitä yksinkertaisempi järjestelmä eli mitä vähemmän koodia ajossa, sitä vähemmän haavoittuvuuksia ja muita riskejä. Eli hyökkäyspinta-alan minimointi.
Malwarebytes pitää kyllä omalla listalla paskimman softan titteliä. Oli aikoinaan tarkoitus tsekata muut malwaret kuin virukset vähän sen jälkeen kun Malwarebytes oli laittanut uuden version pihalle. Se paska asensi ja laittoi päälle kysymättä myös antiviruksen ja veti koneen uudelleenasennuskuntoon. Bugilistan mukaan siinä on myös vielä julkaisuversiossa käpyjä joita oikeilla antivirusfirmoilla ei ole edes enää betassa (joo, olen aikoinaan testannut yhden firman av betaa). Malwarebytesiin en koske enää ikinä
Otin joskus useamman koneen vuositilauksen halvalla per 4 konetta ja se on nyt pääasiassa lasten koneissa asennettuna. Reaaliaikasuojaus blokkaa hyvin epäilytyävät sivut ja lataukset kun asentelevat Minecraftiin ties mitä modeja. Tässä toiminut hyvin, mutta nyt lähinnä edelleen halvan hinnan takia (taitaa olla legacy tilaus minulla) pitänyt sen voimassa.
Kuulostaapa tutulta menolta omalla työpaikalla. Korporaation mahtikäskyllä tämä sötöstys kihnuttaa jokaisella koneella oli sitten serveri tai työasema, riippumatta siitä onko toosalla edes pääsyä talon verkon ulkopuolelle.
Loppukäyttäjät ovat purnanneet tästä alusta alkaen, selkeästi aiheuttaa ylimääräistä hidastelua kaikessa I/O operaatiossa mitä konella tapahtuu ja kuluttelee CPUta neppaillen.. no, kuka tietää mitä. Ei nimittäin kukaan ole osannut selittää että mitä niin tarpeellista se tekee että se on pakko saada joka paikkaan. Se vaan on oltava.
Mistäpä päästään taas toisessa ketjussa mainitsemaani teoriaan missä isompien organisaatioiden IT:n rampauttaa managementti jonka ymmärrys IT:stä ja tietoturvasta on luokkaa tonninseteli, mutta oman perseen suojelu ja vastuunpakoilu on ammattitaitopakin terävimmäksi hioutunut työkalu.
Tällaiset näitä CrowdStrokeja haalii.
Yksi asia, mitä osaamaton IT/tietoturvajohto saa näistä on vallantunne kun heillä on käytössään "kaiken näkevä Sauronin silmä", mitä kautta he saavat illuusion siitä, että homma pysyy hanskassa kun heillä on tämä valta. Toisena asiana näistä saa yleensä kivan näköisiä raportteja, joita voi esitellä muille c-suite execeille ja vaikuttaa tärkeältä ja pätevältä. Kolmantena erilaistet esim. ulkoa tulevat tietoturvavaatimukset, joiden voi kuvitella täyttyvän paremmin käyttämällä rahaa tietoturvasoftaan (ainakin voi sanoa yrittäneensä tehdä asian eteen jotain).
Juuri tämä. Oli sitten ulkoinen vaatimus tai sisäinen, sitten kun vessa on tulessa niin voidaan suojata oma selusta: "ostettiin paras tietoturvasofta mitä rahalla saa, enempää ei oltaisi voitu tehdä.. katsokaa nyt vaikka tätä esitettä!"
Ja kun ulkopuolinen auditoija tulee tarkistamaan tilukset niin voidaan lyödä sille käteen nivaska sertejä mitkä se laatusofta on ostanut itselleen että kaikki kunnossa.
data-unfurl="true" data-result-id="640004" data-url="https://www.neowin.net/news/microsoft-points-finger-at-the-eu-for-not-being-able-to-lock-down-windows/" data-host="www.neowin.net" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Microsoft points finger at the EU for not being able to lock down Windows
data-onerror="hide-parent"/>
http://www.neowin.net
Following a complaint, the spokesman said, Microsoft agreed back in 2009 with the European Commission that it would give makers of security software the same level of access to Windows that Microsoft gets. This decision means security software vendors have a greater ability to muck up systems as CrowdStrike did this week when it crippled 8.5 million Windows PCs worldwide. Microsoft has since come to the rescue with an auto-fix tool for affected users.
The document that outlines the agreement between Microsoft and the European Commission is available as a Doc file on Microsoft’s website.
The document states that Microsoft is obligated to make available its APIs in its Windows Client and Server operating systems that are used by its security products to third-party security software makers. The document says that Microsoft has to also document the APIs on the Microsoft Developer Network except where they create security risks.
[End of quote]
Ei se Microsoftkaan sitä huvikseen salli….
Tässä muuten aika hyvä video aiheesta entisen Windows kehittäjän kertomana.
Saa nähdä kenen syyksi tää menee kun oli tullut toinen windows update sen jälkeen kun crowdstrike oli pistänyt oma päivitys.
data-unfurl="true" data-result-id="639909" data-url="https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959" data-host="techcommunity.microsoft.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints
techcommunity.microsoft.com
Microsoftin virallinen recovery tool
Plummerin tarinoihin kannattaa suhtautua aina hieman varauksella. Tyypillä ollut tapana värittää omaa taustaansa ja tarinoita
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
https://www.washingtonpost.com/technology/2024/07/22/house-committee-calls-crowdstrike-ceo-testify-global-outage/
data-unfurl="true" data-result-id="642568" data-url="https://arstechnica.com/information-technology/2024/07/97-of-crowdstrike-systems-are-back-online-microsoft-suggests-windows-changes/" data-host="arstechnica.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
97% of CrowdStrike systems are back online; Microsoft suggests Windows changes
data-onerror="hide-parent"/>
arstechnica.com
Kommentoi uutista tai artikkelia foorumilla (Kommentointi sivuston puolella toistakseksi pois käytöstä)
Lähetä palautetta / raportoi kirjoitusvirheestä