Crowdstrike-krascherna är EU:s fel, påstår Microsoft

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Utan att veta mer om API:et man ville införa, skulle jag säga att om EU var rädda att det skulle bli antikompetitivt låter det rätt mycket som att Microsofts idé var att sälja tillgång till det?

Svårt att säga vad han menar med begränsad åtkomst för "vissa" företag, men jag hade snarare gissat att processen som krävs för att bli godkänd kan vara omfattande. Det behöver inte vara API i sig som kostar pengar utan kan vara krav på företaget som små företag inte klarar av eller har tid eller råd att uppfylla, såsom ISO 27001. (hade varit rimligt men jag spekulerar).

Windows har förövrigt en del hooks redan, liknande det som finns på Linux. Enbart EDR borde kunna lösas med Window Filtering Platform (WFP). Men Falcon gör mycket mer än så.

En annan intressant sak som framkommer i videon, och på många andra ställen, är att Crowdstrike har klampat i klaveret många gånger redan, både på Windows och Linux. Senast 19 April i år släpptes en uppdatering som satte Debian system i en liknande situation.

Visa signatur

Louqe Ghost S1 MK3 | Asus ROG Strix B660-I Gaming WiFi | Intel Core i7 12700K | nVidia RTX 2070 Super FE | Corsair 64GB (2x32GB) DDR5 5600MHz CL40 Vengeance | Samsung 980 PRO M.2 NVMe SSD 2TB | Corsair SF750 750W 80+ Platinum | Noctua NH-L12 Ghost S1 edition | Kablar från pslate customs | 2 stk Dell Ultrasharp 3014 | Logitech MX Keys | Logitech MX Anywhere

Permalänk
Medlem
Skrivet av pv2b:

Jag är provocerad av att du vill att Microsoft ska fixa det, och säger att de kan fixa det, men vägrar säga vad "det" är. Vad är det önskade beteendet Windows ska ha som saknas idag? Det har du äntligen svarat på, så då kan jag svara så vi kan komma vidare.

Jag har "äntligen svarat" i två dagar nu med start här!

Hur kan du möjligen bli provocerad av att man vill att Microsoft skall fixa fel i Windows? Vem annars skall göra det? (Retoriska frågor, vi kan släppa det).

Permalänk
Hedersmedlem
Skrivet av 0cool:

Jag har "äntligen svarat" i två dagar nu med start här!

Hur kan du möjligen bli provocerad av att man vill att Microsoft skall fixa fel i Windows? Vem annars skall göra det? (Retoriska frågor, vi kan släppa det).

Du får jättegärna specificera vad felet i Windows du menar är. Det har du fortfarande inte gjort.

Om ett säkerhetsprogram kraschar finns det exakt två rimliga sätt ett OS kan bete sig på. Vägra starta, eller isolera felet och starta. Windows klarar av båda beteenden beroende på hur man sätter boot-start-flaggan i drivrutinen.

Om du bara menar rent "estetiskt" att du inte gillar att Crowdstrike behöver köra en kernel-driver för att göra det de vill, well, Crowdstrike kunde ha implementerat en tunn kerneldriver och lagt resten i userspace. De valde att inte göra det. Inte MS beslut, Crowdstrike får skriva sin kod så dåligt de vill.

Jag ser helt enkelt inte vad Microsoft kunnat göra annorlunda. För även om de släppt på hooks som Linux gör att man kan hooka saker istället, så kan programvaran istället fallera genom att den helt enkelt inte släpper igenom någonting alls, vilket hade gett samma konsekvens.

Och jag har svårt att se hur det är Microsofts fel att Crowdstrike aktivt valt att åsidosätta denna återställningsmekanism genom boot-start-flaggan.

Det som provocerar är att eventuella "lösningar" på detta fundamentalt kommer att påverka vilka program vi får köra på våra egna datorer.

Permalänk
Medlem
Skrivet av frong:

Så mycket regler EU kommer med så är det snarare tvärtom nu.

Nja, nu ska vi inte förväxla lagar/regler för organisationer med lagar/regler för enskilda medborgare.

Om vi kollar på andra regler som EU försöker driva igenom(som förhoppningsvis är med tydlig) som "right to repair" så kommer det ställa högre krav företag för att utveckla produkter som du lättare ska kunna reparera och tar löser upp delar i "vendor lock-in", dvs du blir friare.

Om vi går tillbaka till lagkraven som Microsoft gnäller om så ställer det krav på företag att investera i säkerhet vilket blir bättre för dig som konsument.

Nu vet inte jag om du är egenföretagare som hellre sparar kronor än värnar om användares personuppgifter men personligen så ser jag hellre striktare krav på företag för att jag ska bli tryggare som konsument.

Tillbaka till topic:en...

Microsoft kommer alltid gnälla för dom inte får vara så genomruttna som dom önskar att vara. Marknaden för sådana här mellan aktörer som ClownStrike finns delvis för att Microsoft inte har en egen lösning. Min gissning är att Microsoft inte vill ta smällen när något sådant här inträffar. Nu kommer ClownStrike få ta den ekonomiska smällen.

Permalänk
Medlem
Skrivet av sunefred:

Svårt att säga vad han menar med begränsad åtkomst för "vissa" företag, men jag hade snarare gissat att processen som krävs för att bli godkänd kan vara omfattande. Det behöver inte vara API i sig som kostar pengar utan kan vara krav på företaget som små företag inte klarar av eller har tid eller råd att uppfylla, såsom ISO 27001. (hade varit rimligt men jag spekulerar).

Windows har förövrigt en del hooks redan, liknande det som finns på Linux. Enbart EDR borde kunna lösas med Window Filtering Platform (WFP). Men Falcon gör mycket mer än så.

En annan intressant sak som framkommer i videon, och på många andra ställen, är att Crowdstrike har klampat i klaveret många gånger redan, både på Windows och Linux. Senast 19 April i år släpptes en uppdatering som satte Debian system i en liknande situation.

Den relevanta avtalstexten (tack @Madsoul) verkar bli förvanskad i media (what else is new). Undertaking

Uppgörelsen verkar säga att när Microsoft gör produkter som kör i windows skall dessa ha samma access till operativsystemet som 3partprodukter har.

Om det finns ett API som säkerhetsprogram kan använda i windows som skyddar access till kärnan så måste alltså Microsofts egna säkerhetsprogram också använda det, de kan inte enbart kräva att 3partprogram använder det.

Här hade MS valet att antingen skriva om sitt säkerhetssystem så det kör med API'et också, eller låta andra säkerhetsprogram köra direkt i kärnan. Båda alternativen gör att de följer EU-uppgörelsen, och MS valde alltså det billigare och sämre alternativet vilket var en avgörande orsak till fredagens incident.

Det är alltså inte sant att EU kräver att Windows ger direktaccess till kärnan, det är ett beslut som MS har tagit själva.

typo
Permalänk
Medlem
Skrivet av 0cool:

Om det finns ett API som säkerhetsprogram kan använda i windows som skyddar access till kärnan så måste alltså Microsofts egna säkerhetsprogram också använda det, de kan inte enbart kräva att 3partprogram använder det.

Tack för förtydligandet. Detta är ju fullt rimligt!

Visa signatur

Louqe Ghost S1 MK3 | Asus ROG Strix B660-I Gaming WiFi | Intel Core i7 12700K | nVidia RTX 2070 Super FE | Corsair 64GB (2x32GB) DDR5 5600MHz CL40 Vengeance | Samsung 980 PRO M.2 NVMe SSD 2TB | Corsair SF750 750W 80+ Platinum | Noctua NH-L12 Ghost S1 edition | Kablar från pslate customs | 2 stk Dell Ultrasharp 3014 | Logitech MX Keys | Logitech MX Anywhere

Permalänk
Medlem
Skrivet av pv2b:

Om ett säkerhetsprogram kraschar finns det exakt två rimliga sätt ett OS kan bete sig på. Vägra starta, eller isolera felet och starta. Windows klarar av båda beteenden beroende på hur man sätter boot-start-flaggan i drivrutinen.

Vad med 1) Vägra starta, 2) starta utan säkerhetsprogrammet alls, 3) starta med föregående config för säkerhetsprogrammet 4) fråga användaren vad hen vill göra när systemet kraschar 5) Starta systemet med en lista av tjänster som användaren definierar skall kunna köra utan säkerhetsprogrammet?

Ett helt orimligt sätt att hantera det på är att sänka systemet fullständigt och kräva fysisk access för att avlägsna säkerhetsprogrammet innan man återigen kan starta. Vilket är det Windows har att erbjuda i nuläget.

Med lite tur gör Satya allvar av snacket om säkerhet denna gången, så slipper vi kanske hela kategorin av ormolja som crowdstrike är ett exempel på vilket förstås vore den allra mest önskvärda lösningen.

Permalänk
Medlem
Skrivet av sunefred:

Tack för förtydligandet. Detta är ju fullt rimligt!

Det tycker jag med!
Förstås vill inte MS lägga en massa pengar på att skriva om Defender men det är ju inte omöjligt, bara besvärligt.

Med lite tur landar tillräckligt med skäll från fredagen på Satyas bord så att de faktiskt tar tag i det nu.

Permalänk

Då har CrowdStrike släppt sin preliminära rapport om vad som gick snett, och hur de vill undvika att det händer igen:
https://www.crowdstrike.com/falcon-content-update-remediation...

Permalänk
Medlem
Skrivet av pv2b:

Hur borde MS ha agerat anser du för att, i din mening, inte bära ansvaret i fråga?

Om du menar hur MS slipper ta ansvar för sina produkter?
I mina ögon kan de inte det. I rättens ögon kan man anställa bra jurister och slippa undan på det viset. I publikums ögon kan man tydligen skylla på EU.

Om du menar hur MS framledes kan bygga robusta produkter? På samma sätt som proffesionella firmor gör; genom lösningar som genomsyras av kvalitet, säkerhetskultur, öppenhet och redundans.

Visa signatur

AMD Ryzen 5800X | MSI RTX 3060 Ti Gaming X Trio | Cooler Master HAF 912 Plus

Permalänk
Medlem
Skrivet av sunefred:

Deras Falcon(R) kernel driver är WHQL certifierad och även deras interpretator som läser antivirus-definitionsfiler ingår där. Definitions-filerna, som var problemet i detta fallet, behöver inte gå igenom WHQL certifieringen.

Man kan argumentera för att interpretatorn hade buggar som tillät en inkorrekt definitionsfil att krasha deras kernel driver, och att detta borde fångats upp i WHQL processen. Men ärligt talat så är det bara en av många saker i Cloudstrikes process som måste ha gått fel för att detta ska kunna hända i denna skalan.

Om en configfil kan krascha ett system så måste den genomgå certifiering. Att den slipper undan är något som MS bestämt. Det funkar på ett annat sätt i MacOS exempelvis. Det är MS som äger WHQL och har föreskrivit förfarandet. Det är MS som försäkrar att WHQL är tillräcklig för att skapa ett robust system, vilket det uppenbarligen inte är. Ett robust system skall per definition vara feltolerant. Det gäller kraschade processer och kraschade hårddiskar. Systemet skall hantera det. Det är det MS lovar och det är det de inte levererar.

Felet ligger i WHQL-processen som ägs av MS. Cloudstrike har ju bara följt det recept som Microsoft har föreskrivit. Crowdstrike har såvitt jag förstår ingen insyn i detaljer kring Windows recovery och BSOD. Det är heller inte deras jobb.

Visa signatur

AMD Ryzen 5800X | MSI RTX 3060 Ti Gaming X Trio | Cooler Master HAF 912 Plus