Masalah BSOD disebabkan oleh kombinasi data biner yang salah dan parser yang ditulis dengan buruk
Berdasarkan pengalaman selama 10 tahun terakhir, sebagian besar CVE, crash, bug, dan masalah perlambatan terjadi dalam proses deserialisasi data biner menjadi struktur data yang dapat dibaca mesin
Ini berlaku di berbagai bidang seperti algoritme kompresi, pembaca outline font, parser gambar/video/audio, parser data video game, parser XML/HTML, serta parser sertifikat/tanda tangan/kunci di OpenSSL
Parser konten pada program EDR CrowdStrike juga bukan pengecualian
Komentar kedua
Solusi open source mungkin lebih etis daripada perangkat lunak pemantauan endpoint berbasis rootkit
Alat open source bekerja secara transparan dan dapat menjamin tidak adanya backdoor atau bug serius
Dapat diaudit secara publik, dan bisa dijalankan dengan model bisnis di mana tim keamanan memasok signature malware
Komentar ketiga
Microsoft memiliki tanggung jawab atas insiden gangguan CrowdStrike
Microsoft menempati posisi yang secara de facto monopolistik di ruang komputasi workstation, dan berkewajiban menjamin keamanan/keandalan/fungsi produknya
Karena tidak ada persaingan, inovasi Windows menjadi tertunda
Misalnya, CrowdStrike berjalan di user space pada macOS dan Linux, tetapi tidak demikian di Windows
Dibutuhkan inovasi dalam application sandboxing
Microsoft memegang kunci infrastruktur komputasi dunia, namun hampir tidak diawasi
Porsi pendapatan Windows memang menurun, tetapi karena produk ini menjalankan infrastruktur penting, diperlukan tanggung jawab yang lebih besar
Pemerintah harus mendorong persaingan di pasar workspace desktop atau mengatur produk Windows milik Microsoft
Komentar keempat
Sulit memahami mengapa cakupan dampaknya begitu besar
Untuk layanan penting, deployment lambat dengan pemantauan otomatis dan fitur rollback adalah hal yang umum
Umumnya deployment dilakukan pada tahap beta tanpa traffic pelanggan, lalu diperluas secara bertahap jika tidak ada masalah
Pendekatan seperti ini seharusnya bisa menghentikan masalah dengan segera
Komentar kelima
Saya tidak menggunakan CrowdStrike, tetapi tampaknya driver CS dipasang lebih dulu dan dirancang agar tidak bisa dihapus
Driver tersebut memuat file data yang tidak ditandatangani, dan pengguna bisa menghapusnya secara sembarangan
Pengguna jahat dapat membuat file data berbahaya untuk menyebabkan driver salah berfungsi
Ada risiko untuk memperoleh hak akses kernel
Komentar keenam
Saya penasaran mengapa masalah ini tidak ditemukan dalam deployment pengujian
Sulit dipercaya bahwa tidak ada pengujian sebelum deployment
Setiap perusahaan seharusnya memiliki lingkungan pengujian sebelum deployment
Memasang paket yang gagal atau menimbulkan masalah saat pengembangan adalah hal yang umum, tetapi tidak baik jika langsung dideploy ke lingkungan production
Komentar ketujuh
Saya penasaran apakah pelanggan CrowdStrike bisa memberikan pendapat tentang update
Saya mempertanyakan apakah semua pelanggan memberikan CrowdStrike hak eksekusi kode jarak jauh penuh
Saya berharap otoritas sertifikasi dan para ahli kriptografi dapat memblokir update seperti ini di sistem
Komentar kedelapan
Saya penasaran apakah "channel file" ditandatangani dan diverifikasi oleh driver CS
Jika tidak, ini bisa menjadi kerentanan besar pada rootkit
Input yang berjalan dengan hak akses tinggi setidaknya harus melalui pemeriksaan integritas
Fakta bahwa channel file bisa dihapus begitu saja menunjukkan tidak adanya mekanisme anti-deteksi
1 komentar
Komentar Hacker News
Komentar pertama
Komentar kedua
Komentar ketiga
Komentar keempat
Komentar kelima
Komentar keenam
Komentar ketujuh
Komentar kedelapan