File CrowdStrike yang merusak segalanya, ternyata penuh karakter null?

Komentar Hacker News

• Jika sistem ini berada di jalur kritis, seharusnya tidak lolos melalui pipeline C/I

  • Saya tidak terlalu ketat soal pengujian otomatis, tetapi sistem dengan tingkat kritikalitas seperti ini membutuhkan manajemen status yang sangat baik
  • Tidak boleh di-rollout ke produksi tanpa pengujian integrasi di semua lingkungan
  • Sulit dipahami bahwa tidak ada server pengujian staging atau pengembangan untuk menguji semua image target yang didukung perusahaan ini
  • Saya rasa jajaran operasional perusahaan ini tidak kompeten

• Dua kegagalan teknis besar sama-sama merupakan masalah pada "perangkat lunak keamanan"

  • Kasus peretasan SolarWinds dan insiden kali ini sama-sama melibatkan perusahaan yang berbasis di Austin
  • Orang-orang tipe "hacker" memulai perusahaan perangkat lunak keamanan, tetapi tidak suka menerapkan budaya yang berorientasi proses
  • SolarWinds memiliki budaya keamanan yang sangat buruk
  • Sangat mungkin akar penyebab insiden ini juga adalah proses deployment yang terlalu cepat dan longgar

• Sisi positif dari bencana ini adalah kemungkinan untuk meninjau ulang akses level kernel

  • Perusahaan game acak tidak cukup andal untuk menulis perangkat lunak anti-cheat level kernel

• Masalah ini tampaknya akan menjadi file uji kedua atau ketiga yang akan dicoba oleh petugas QA

  • Ini adalah pasar di mana perusahaan yang kompeten secara teknis tidak memperoleh keunggulan dibanding perusahaan yang tidak kompeten
  • Saya membaca soal kasus Craig Wright, dan dia bahkan tidak punya kemampuan teknis dasar di bidang yang dia klaim sebagai keahliannya kelas dunia
  • George Kurtz juga menimbulkan masalah yang sama saat menjadi CTO di McAfee
  • CrowdStrike menyebabkan masalah yang sama di Debian Stable tiga bulan lalu
  • Mengerikan bahwa aturan kepatuhan PCI telah menyuntikkan CrowdStrike dan antivirus ke hampir setiap aspek infrastruktur TI saat ini

• Hanya karena file ini adalah file yang penuh dengan angka 0, bukan berarti saat dikirim juga penuh dengan angka 0

• Bug ini sudah ada di driver kernel selama bertahun-tahun, dan terpicu oleh data yang salah

  • Konfigurasi pengujian CrowdStrike mungkin baik-baik saja untuk data konfigurasi itu sendiri, tetapi gagal menangkapnya sebelum dikirim ke produksi
  • Semoga mereka merilis laporan postmortem yang menjelaskan apa yang akan dilakukan untuk mencegah masalah ini

• Menurut Kevin Beaumont, ada klaim bahwa file-nya berbeda untuk setiap pelanggan

• Ada kemungkinan file-file ini bukan isi file aslinya

  • Seseorang mungkin mencoba menimpa file yang salah dengan file berisi nol semua
  • Ini bisa jadi upaya untuk menghentikan deployment patch yang sebenarnya karena QA dilewati

• Di masa lalu, pernah ada kasus perangkat lunak keamanan mengganti file dengan 0 sehingga kompilasi perangkat lunak berhenti

  • Linker tidak bisa membuka file, lalu mengganti object code dengan 0 tanpa error
  • Masalahnya diketahui setelah membuka debugger dan melihat potongan besar object code telah diganti dengan 0

• Postingan yang ditemukan di papan teknologi 4chan

  • CSAgent.sys adalah driver kernel yang mem-parsing file definisi virus CrowdStrike
  • CrowdStrike gagal menangani file definisi virus yang rusak
  • Web server mulai menyajikan file definisi virus yang rusak
  • CSAgent.sys memuat file definisi virus yang rusak lalu crash
  • Komputer reboot dengan BSOD (blue screen)
  • CSAgent.sys memuat ulang file definisi virus lalu crash
  • Bug pada CDN menyebabkan driver kernel menimbulkan masalah
  • Pemeriksaan ukuran dan ukuran buffer CSAgent.sys ditingkatkan agar file definisi virus yang rusak di masa depan tidak menyebabkan crash