Crowdstrike-krascherna är EU:s fel, påstår Microsoft

I princip är det väl bådas fel men i MS fall så är det längre bak i tiden: Deras WHQL-process borde ha fångat upp brist på felhanteringskod i Falcons drivrutiner innan den överhuvudtaget fick köras på kernel-nivå som en boot-driver och som utan någon felhantering försökte läsa en trasig definitionsfil vilket ledde till att MS kernel började gråta blått över hela skärmen?

Jag ser att det är bådas fel med olika ansvarsområden: MS måste förbättra WHQL-processen, och CS måste förbättra både sina Falcon-drivrutiner (dvs., sluta blå-gråta över oläsbara definitionsfiler) och deras testprocesser av definitionsfiler innan de skickas ut. Tydligen "lättare sagt än gjort" i detta fall eller är det kanske ren ekonomisk dumsnålhet?!

Mvh,
WKF.

Jag håller absolut med dig, det är nåt som skulle kunna ingå i WHQL certifieringen. Vad jag _tror_ den processen egentligen innebär dock, är att Microsoft kör igenom deras gigantiska test-svit för Windows, och på många olika hårdvaruplattformar. Jag är frågande till om det finns mjukvaruingenjörer involverat som faktiskt tittar på kod, tester eller processer hos tillverkaren.

Om det finns expertis här på SWEC som gått igenom WHQL hos Microsoft eller liknande hos Apple eller Google vore det väldigt intressant att veta.

Att klaga på uppenbara problem är inte samma sak som att kräva att det är perfekt, dock.
Problemställningen med att Windowsdrivare går i Ring0 har varit känd sedan länge: detta var ett problem med Windows NT också.

Linux har gjort något åt det genom att ge möjlighet för säkerhetsprogram att koppla upp sig mot hooks i kärnan för att se vad som exempelvis passerar nätverkskortet helt utan att säkerhetsverktyget behöver gå i kärnans kontext. Apple har tagit det ett steg längre genom att kasta ut hela nätverksstacken till user space. I ingetdera fallet behöver man riskera en kernel panic i händelse av att en sommarpraktikant skickar in taskig data till ditt säkerhetsverktyg.

Crowdstrike är gäst i huset Windows förstås. En av många gäster, och friheten för Crowdstrike sabbade för alla andra gäster (biljettbokningssystem mm) samt huset i sig. Den friheten skall de inte ha.

Liknelser är roliga men de måste stämma med den verklighet de liknar. Att en pelletspanna kan orsaka brand är förväntat. Att en automatisk uppdatering av antivirussystemet kan sänka servern permanent är inte förväntat. En pelletspanna i detta fallet kan motsvara en faktisk drivrutin för ett SAN exempelvis, man kan förvänta sig att problem med den gör servern obootbar.

Crowdstrike är däremot inte en drivrutin för ett SAN. I liknelsen är den alltså inte en pelletspanna. Det är mer som en kartong med ordet "pelletspanna" skrivet på utsidan. De skall inte orsaka bränder, och i fredags orsakade den bränder enbart i Microsofts hus. Den defekten måste Microsoft fixa.

Kanske räcker det med liknelser nu...

@0cool Lol, ok. Men hur kan en kartong med "Pelletspanna" skrivet på, upptäcka en clown i entrén?

Det står "clowndetektor, på hedersord" i blyerts på insidan av kartongen.

Nu fallerar din liknelse igen. Crowdstrike hällde inte ut dunkar med bensin och tuttade på eftersom ingen på Crowdstrike hade som avsikt att sänka servrar. Crowdstrike är som en gäst som spillde vatten på ditt golv och först då visar det sig att i Microsofts hus är golvet gjort av sodium.

Liknelsefritt (så vi inte skriver hela bibeln) så är poängen kort sagt att följdfelen av det Crowdstrike fuckade upp blev enorma pga brister i Windows och det är brister som inte behöver finnas i Windows. Inte ens pga EU, barnen eller mänskliga rättigheter.

Jag vet inte om jag håller med din jämförelse med antivirus kontra SAN-drivrutin, där jag ser den förra som betydligt mer invasiv. Sen får man nog säga att om man bara skall förhindra "förväntade fel", så har man ingen lång karriär i säkerhetsbranschen att se fram emot. Då är det en annan yrkeskategori som ligger närmare att satsa på.. - "Vi såg det inte komma!".

Wilhelm Agrell har skrivit en bok om detta V.S.D.I.K - att missa, förtränga och bortförklara samhällshot. där han lyfter fyra olika händelser.

Tredjepart skall inte få köra vilken kod de vill! Hallå, produkten det handlar om är exakt till för att stoppa körning av vilken kod man vill!
Anarki funkar lika lite på en server som det gör i samhället.

Bara för att man förbjuder att sänka kerneln betyder det inte att man kränker någons relevanta frihet i övrigt.

Stopproblemet handlar om huruvida det går att bevisa generellt för alla tänkbara program på alla tänkbara datorer, inte om det går att avgöra på en given dator för ett givet program och input. Man kan absolut avgöra på förhand om Crowdstrike kommer krascha med senaste definitionsfilen.

Dessutom behöver man inte avgöra det på förhand, man behöver bara undvika programmet om det kraschade senast.

Vilken "man"? Det var ingen serveransvarig som fattade något sådant beslut i fredags. Det råkade bara hända, oavsiktligt, på grund av en brist i windows. Och den bristen behöver inte finnas, den är lösbar och har lösts av andra. Det finns ingen teknisk eller politisk anledning som gör detta omöjligt för MS.

Den bygger på att ett SAN kan vara bootenheten och därför faktiskt måsta vara en boot start driver, och den som installerar den kan förvänta sig att datorn inte startar om den fallerar. Att däremot en virusdefinition som uppdateras utan din kontroll beter sig som den vore en SAN-drivrutin är oväntat.

Än mer när man administrerar flera servrar och datorer och det enbart är i Windows som den faktiskt beter sig som en SAN-drivrutin.

Makes sense?

Förstår inte riktigt poängen om oväntade fel i säkerhetsbanchen. Att produkten i sig skall upptäcka oväntade fel i andra system är ju inte samma sak som att den skall få orsaka oväntade fel själv.

Att säkerhetsprodukter som skall skydda servrar istället sänker servrar kan däremot avsluta karriärer i säkerhetsbranschen snabbt. Får man hoppas.

Jag vill lägga ett hopp till ditt hopp:
Att det är den arkitekt som godkände en vanvettig design som får sparken och inte den stackars jäkeln som råkade trycka ut felaktig data i fredags…

Det tycker jag med, och det är därför ditt resonemang är galet.

Datorernas ägare i fredags ville köra biljettbokningssystem. Det fick de inte göra.
Crowdstrike ville uppdatera sin virusdefintion, inte sänka servrar. De fick inte heller välja vilken kod som skall köras.

Ingen ägare eller någon annan i kedjan ville att det som hände i fredags skulle hända, Ingen. Det var helt oavsiktligt. Därmed per definition en defekt.

Och den defekten kan alltså lösas, men bara av Microsoft.

Håller med till 100%.

Chefen för Crowdstrike gjorde exakt samma fel på McAfee för 10 år sedan enligt vissa källor, även om ingen individ ensam är ansvarig för detta kan jag tycka att just han sticker ut i sammanhanget i så fall...

Det är ironiskt då att det är just sådan funktionalitet som Microsoft ville införa i Windows och som stoppades av EU. Källa nedan:

https://youtu.be/ZHrayP-Y71Q?si=83SMQITohYAHLrth&t=378

Har du en textlänk istället? Jag kan inte med Youtube för något som troligen är två paragrafer text. 🙄

Tyvärr inte, tror inte han bloggar. Det är från "Dave's Garage", tidigare NT utvecklare.

Om jag får svara:
Detta bör i bästa fall vara en inställning som serveradministratören väljer; alternativt som på övriga operativsystem att säkerhetsprogrammet kan krascha utan att ta med sig hela maskinen.
Andra verktyg kan sedan användas för att larma om maskiner som inte kör säkerhetssviten; det är inga konstigheter och en sorts övervakning man ändå bör ha på plats.

Oavsett så är ett företags prioritet att deras system ska fungera så de kan serva sina kunder och tjäna sina pengar. Säkerhetssystem ska vara en försäkring för att garantera att de kan fortsätta göra detta även i en farlig verklighet, inte något som i sig kan sätta företaget ur spel. Allt annat missar målet.

Att NT-kärnan efter tre decennier av att vara den mest hotade plattformen i världen fortfarande inte har vettiga stöd på plats för att antimalware inte ska behöva gå som en drivrutin i kärnan är skandal. Om CrowdStrike varit så inkompetenta i sin design som det nu verkar, så är det också skandal.

Ett Windows som erbjuder alternativen A eller B vore ett Windows som har löst problemet vi pratar om, den borde då även erbjuda alternativ C, kör säkerhetsprogrammet med en config som fungerar.

Men Windows erbjuder inget alternativ. Windows hanterar inte detta problemet alls, det krashar utan att fråga någon och erbjuder inget sätt att göra något annat. Återigen, det är problemet, och MS kan lösa det.

Du har hittils hävdat att Microsoft måste lösa stopproblemet för att fixa detta, att stabilitet i Windows vore ett hot mot användarnas frihet som måste bekämpas, och blir provocerad av att jag inte svarat för n'te gången på en fråga du inte ens behövt ställa första gången.

Det är lite som att förklara flygplan för en som påstår att strängteori minsann gör flygplan omöjliga och kräver svar på frågan hur flygplan inte krockar med regnbågen. Man blir lite trött till slut.

(Det var dagens sista liknelse från mig).

Edit: @Det Otroliga Åbäket svarade artigare på frågan i sitt inlägg ovan, instämmer med det han säger.

Tog mig lite tid och kollade. (Tack för att du satte mig på rätt tidpunkt i länken!)

Utan att veta mer om API:et man ville införa, skulle jag säga att om EU var rädda att det skulle bli antikompetitivt låter det rätt mycket som att Microsofts idé var att sälja tillgång till det? Rätt val i så fall hade inte varit att lägga API:t i malpåse, utan att öppna det. I sammanhanget vill jag understryka att Linux de facto har ett sådant API, vilket EU-kommissionen inte för fem öre oroar sig för skulle vara monopolistiskt. Varför? För att vem som helst kan skriva program som konsumerar det. Motsatsen till vad man var rädda för att Microsoft skulle göra med sin version, med andra ord.