LINUX.ORG.RU
ФорумTalks

Corporate spyware по всему миру крешит винду

 , ,


2

3

Мир виндузятников сегодня проснулся с BSODами перед глазами

Сбой в компоненте системы защиты оконечных систем Crowdstrike Falcon приводит к краху ОС Windows. Тысячи систем по всему миру не функционируют.

Текущее решение: перезагрузиться в safe mode, удалить компоненты C-00000291*.sys из system32 и перезагрузиться обратно.

https://www.theregister.com/2024/07/19/crowdstrike_falcon_sensor_bsod_incident/

Причем тут линукс? А при том, что я пришёл в офис с утра и увидел бегающих в мыле айтишников, реанимирующих виндовые тачки. А я включил свой линукс десктоп и работаю как ни в чём не бывало.

Ответ на: комментарий от Stanson

Но полностью убрать микрософтовские (в том числе захардкоженные в бинарях) - нет.

Мало того, современная винда наличие интернета проверяет делая коннект на виндовые сервера. И если коннект не проходит - вся система начинает думать что инета нет. При подключении к вафле пишет «защищено, нет инетернета» и никакая программа в инет выйти не может.

PPP328 ★★★★★
()
Ответ на: комментарий от BceM_IIpuBeT

А на не галерах люди тоже пользуются достижениями корпорастов. Тот же systemd.

seiken ★★★★★
()
Ответ на: комментарий от BceM_IIpuBeT

Ни о чем не подумают. Альтернативы нет, либо жрать корпоратское говно либо не иметь средств тотального контроля над сотрудниками.

PPP328 ★★★★★
()
Ответ на: комментарий от PPP328

Та это не важно. Семья калософта и говносервисов уже заложено. Осталось его прорастить.

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от ponyashkapie

Пусть еще антивирусов напортирует, а то страшно в сеть выходить) Ну и дров тоже пусть напортирует. И 64 бита тоже)

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от BceM_IIpuBeT

Смысл ставить некроту на свежее железо? Дебианщик что-ли?

ponyashkapie
()
Ответ на: комментарий от pekmop1024

Как только винда редакции Enterprise решит сама на что-то обновиться мимо политик, кипиш будет знатный и башку кому-нибудь да откусят.

Несомненно откусят, но как всегда её откусят только какому-нибудь стрелочнику, который в общем-то совершенно не при делах. На обсуждаемом примере, в котором, судя по всему, произошло именно то, о чём ты говоришь (CrowdStrike при своей обнове инициировал обновление через Windows Update с микрософта а не локального WSUS которое оказалось кривым? Иначе почему венда грохнулась при обновлении какой-то сторонней аппликухи? У сторонней аппликухи протсо недостаточно прав так нагадить, такие права только у Windows Update есть), мы это скоро увидим. :)

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

У сторонней аппликухи протсо недостаточно прав так нагадить

Это говно работает как сервис через System user, иначе у этого говна не хватило бы прав следить за всеми действиями всех пользователей на этой машине.

PPP328 ★★★★★
()
Ответ на: комментарий от BceM_IIpuBeT

так хрюша х64 существует :) и вполне запилина мелкософтом, ядро правда от 2003 сервера, но тем лучше) вов64 на месте, так что запускай что хочешь)))) с дровами, вот тут интересно конечно

Morin ★★★★
()
Ответ на: комментарий от PPP328

это говно гипервизор, иначе перехват многих вещей невозможен, так что с поставить раком винду и без всякого обновления у нее более чем достаточно силенок

Morin ★★★★
()
Ответ на: комментарий от goingUp

Так антивирус же. Оттого и политика апдейтов «как можно быстрее». Пофиг, что это не обновление баз, а программной части.

static_lab ★★★★★
()
Ответ на: комментарий от vbr

Тысячи лол? Миллионы. Всё лежит. Это исторично.

Я вот не знал, что всякие бизнесы по всему миру контролирует один троян. Вот это они спалились.

goingUp ★★★★★
()
Ответ на: комментарий от static_lab

Пофиг, что это не обновление баз, а программной части.

Результат вышел замечательный)

goingUp ★★★★★
()
Ответ на: комментарий от Stanson

CrowdStrike при своей обнове инициировал обновление через Windows Update с микрософта а не локального WSUS которое оказалось кривым?

Моя теория в другом. Я думаю, что вышедшее на этой неделе вторничное обновление оказалось несовместимым с прошлой версией CrowdStrike. В силу как раз того, что корпораты все обновления тестируют, прежде чем накатить, а некрософтовским обновлениям приоритетное доверие, то оно ушло в прод, а краудстрайк - нет.

pekmop1024 ★★★★★
()
Ответ на: комментарий от goingUp

Если ляжет датацентр Амазона на восточном берегу, сдохнет полинтернета. Шутка про залетного дятла уже не шутка.

vbr ★★★★
()
Ответ на: комментарий от vbr

Если вспомнить, что вояки планировали сеть как децентрализованную. А смузихлебы решили что облака это стильно модно и молодежно и под это достаточно одного цода. То вопрос в том кто злобный буратино вроде как не стоит.

Morin ★★★★
()
Ответ на: комментарий от pekmop1024

Тогда раскатку обновлений контролировали бы админы компаний-клиентов, и вряд ли бы эффект тогда был настолько масштабным.

static_lab ★★★★★
()
Ответ на: комментарий от Stanson

До долгосрочной надо ещё дожить, а тут дешёвое готовое решение

Satou ★★★★
()
Ответ на: комментарий от goingUp

Это все потому что они сократили диверсити отдел!!!

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от PPP328

Это говно работает как сервис через System user, иначе у этого говна не хватило бы прав следить за всеми действиями всех пользователей на этой машине.

Разумеется. Но из-под System user не получится например удалить ntdll.dll. System user далеко не root в венде. System user это так, просто пользователь у которого чуть-чуть больше прав чем у Administrator, но далеко не root который может вообще всё в системе. Тот же Windows Update таск из шедулера не снести из-под System, например, иначе уже давно бы повсюду валялись утилитки для венды состоящие из драйверка под System бегающего и юзерспейса который бы через драйверок делал то, что нужно.

И чтобы из-под System user завалить систему надо специально постараться. А тут уже получается что CrowdStrike намеренно и сознательно завалил корпорастов. Заговор во все поля. Тоже очень интересно было бы обсудить эту теорию, но набегут же идиоты с промытыми мознами которых убедили что никаких заговоров не сущёствуюет и начнут кидаться калом.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

А тут уже получается что CrowdStrike намеренно и сознательно завалил корпорастов. Заговор во все поля.

У вас шапочка упала.

ТАм всё гораздо проще. CS дернул WindowsUpdater, который стянул новую обнову, с которой никто этот CS не тестировал.

PPP328 ★★★★★
()
Ответ на: комментарий от pekmop1024

Может и так, но без микрософта вряд-ли обошлось.

Уронить венду без участия микрософта вообще-то несложно, но это требует конкретных сознательных действий от CrowdStrike, направленных именно на такой результат, и тогда придётся рассмотреть теорию заговора, что CrowdStrike намеренно уронил корпорастов по чьему-то заказу. В принципе и всякие CyberPoligon уже были, и про угрозу кибератак которые будут хуже пандемии тоже все MSM периодически вопят, но конспирологические теории в нынешнем обществе это табу, поэтому как минимум здесь эту более чем достойную теорию обсуждать нет смысла.

Stanson ★★★★★
()
Последнее исправление: Stanson (всего исправлений: 1)

Классная будет строчка в резюме у чувака из Crowdstrike, который выкатил это обновление.

ox55ff ★★★★★
()
Ответ на: комментарий от static_lab

Всё об этом говорит. Что-то плохо верится, что в аэропортах, банках и в других корпорастных заведениях нет никаких админов, которые политиками запретили бы автообновление винды.

PPP328 ★★★★★
()
Ответ на: комментарий от PPP328

У вас шапочка упала.

Вот. Я ж говорил.

ТАм всё гораздо проще. CS дернул WindowsUpdater, который стянул новую обнову, с которой никто этот CS не тестировал.

Чтобы драйвер или сервис CS уронил венду в BSOD надо специально туда соответствующего кода напихать. Этого случайной ошибкой не добиться. При случайной ошибке драйвер/сервис будет просто выгружен/прибит, как в линуксе. Или обнова венды должна быть не проверена микрософтом, что тоже будет требовать осознанного действия/бездействия уже микрософта. Вероятность BSOD из-за неизвестного бага одновременно и в обнове венды и в обнове CS крайне низка.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Или обнова венды должна быть не проверена микрософтом, что тоже будет требовать осознанного действия/бездействия уже микрософта.

Так, ясно, этому вторую шапочку за счет заведения.

MS уже года 3 или 4 как вообще разогнал отдел тестирования.

PPP328 ★★★★★
()
Ответ на: комментарий от ox55ff

Классная будет строчка в резюме у чувака из Crowdstrike, который выкатил это обновление.

Или классная вилла на Багамах с классной суммой на счёте в банке.

Или чуваку никакое резюме не понадобится больше по совсем иным причинам, трупы на работу не берут пока что. Блин… Жёваный крот. Берут же. Ну ладно, сисадмин не президент, скажем, трупов именно в сисадмины не берут. Хотя… Диверсити там всякое, отмывка бабла, опять же…

Ну в общем, в зависимости от того, кто был заказчиком, судюба чувака может быть разной, но резюме ему в любом случае не понадобится. :)

Stanson ★★★★★
()

Краткие последствия:

Прервано телевещание в Австралии

  • ABC
  • SBS
  • Channel 7
  • Channel 9
  • News Corp Australia

Прервано телевещание в Великобритании

  • Sky News

Задержки вылетов:

  • аэропорт Сиднея
  • авиакомпания Qantas
  • берлинский аэропорт
  • авиакомпания Ryanair (Европа)
  • Delta Airlines (США)
  • United Airlines (США)
  • American Airlines (США)

Аэропорт Цюриха прекратил приём рейсов.
Множество аэропортов объявило об переходе на ручную регистрацию пассажиров при посадке.

В Аляске не работает служба 911.

Два банка в Новой Зеландии отказали в онлайн-обслуживании:

  • ASB
  • Kiwibank

Дополняйте, если увидите интересное.

LamerOk ★★★★★
()
Ответ на: комментарий от PPP328

MS уже года 3 или 4 как вообще разогнал отдел тестирования.

Т.е. обновы вообще никто не тестирует в принципе? Тогда топ-менеджмент микрософта - участник заговора. Отдел же не сам по себе разбежался, его совершенно определённые лица с определёнными именами и фамилями разогнали специально для получения примерно такого результата, какой мы сейчас и наблюдаем.

Stanson ★★★★★
()
Последнее исправление: Stanson (всего исправлений: 1)
Ответ на: комментарий от papin-aziat

Всё ещё, да. Но уже приходится переползать на мак, т.к. ойтишнеги не хотят суппортить рокки9 на рабочих станциях.

cocucka_B_TECTE
() автор топика
Ответ на: комментарий от Stanson

То вирусолог одиночка. То стрелок одиночка, то админ одиночка. Мир полон удивительных случайностей.

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от PPP328

При чём тут Windows Updater? Crowd Strike это антивирус. Он скачал новые базы вирусов и его ядерная часть от этого начала валиться. Скорей всего в базе кривые данные сломали ядрёный парсер.

vbr ★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)