Corporate spyware по всему миру крешит linux

А они разве не через eBPF в линуксе работают? Как они умудрились?

eBPF program causes kernel panic on kernels 5.14.0-410+

Below is an example of a kernel panic on the falcon-sensor process, observed after booting on kernel version 5.14.0-427.13.1.el9_4.x86_64

https://access.redhat.com/solutions/7068083

Таланты.

Я всё жду, когда очередной миллиард серваков прицельно поимеют именно через отверстие в каком-нибудь популярном ИБшном говне. И я обязательно дождусь.

У нас везде Астра

cocucka_B_TECTE зря злорадствовал, линукс тоже зацепило, просто его в мире мало

Так это эталонное красноглазие: ничего не вижу, ничего не знаю кроме своего никому нахрен не сдавшегося локалхоста на арче/слаке/генту.

Тут же дело не столько в астре, сколько в желании ставить в свои системы зонд от какого-то дяди.

На сколько я понял, только те виндовые системы крешились, которые были включены в момент обновления, а потом они быстро сообразили, что что-то не так, и отменили рассылку апдейта. Потому что мой ноут на 11й, находящийся во сне, и поднятый из сна в примерно 8 CET никакого крэша не словил.

11 винда, зонд от дяди...

Как я и [url=https://www.linux.org.ru/forum/talks/17681625?cid=17681936]говорил в прошлой теме[/url], дело тут не в винде или линуксе, а в добровольной установке удалённо управляемого руткита на свои компьютеры. Да ещё и там, где их работа критична. Вопрос здесь лишь в том, научит это чему-то людей или нет.

cocucka_B_TECTE зря злорадствовал, линукс тоже зацепило, просто его в мире мало

Теперь будет разжалован до cocucka_B_КЛЯРЕ...

Потому что мой ноут на 11й, находящийся во сне, и поднятый из сна в примерно 8 CET никакого крэша не словил.

А зачем ты на свой ноут это говно(crowdstrike) ставил? Или это корпоративный?

обновление ПО CrowdStrike сломало серверные сборки на Debian и Rocky Linux

ПО CrowdStrike

Должны страдать.

линукс тоже зацепило, просто его в мире мало

просто его администраторы сами вычленили проблему. нашли способ ее решить и пытались донести до разработчиков которые сидели на жопе, а не как видновые админы доменов: «Все сломалось, у нас лапки, ждем патчей от MS»

Корпоративный. На виндовом там ещё один зонд от другого производителя. И на Линукс в офисе обязали это стервятник-сенсор ставить, и ещё какой-то третий зонд.

Удалённое управление необходимо. Зловред это или инструмент администратора определяется только ситуацией. Ну давайте AD или, там, ансибл запретим сразу - чо мелочиться?

Астра - это железобетон. В том смысле, что даже если что-то случится, информация об этом не появится в открытом доступе.

Дело не в удалённом управлении как таковом, а в удалённом управлении хреном с горы, а не сотрудником компании.

Допустим ты отдал своё айти на аутсорс. Хрену с горы просто для выполнения нужной работы понадобится удалённое управление твоими тачками. Если ты в курсе и ты на это согласен, это не зловред.

Вспомнилось, как в районе 2000 года разработчики троянов под win их пытались продавать как легальный софт для удалённого администрирования :)

Допустим ты отдал своё айти на аутсорс.

А вот не надо этого делать, если у тебя больница или аэропорт или ещё что-то критически важное.

Мораль истории очень проста - не используй энтерпрайзное говно вообще никогда, тем более ИБшное говно, тем более от мутных контор связанных с Израилем.

Но энтерпрайз не будет энтерпрайзом, если он не будет использовать энетрпрайзное говно. :)

не используй энтерпрайзное говно

На локалхосте никто и не использует энтерпрайзное говно, а сам энтерпрайз тебя слушать не будет)

Вообще-то я и есть энтерпрайз. Просто не использую энтерпрайзное говно, поэтому уже почти 30 лет на плаву в весьма конкурентной области. Пока конкурент лежит из-за своей любви к энетерпрайзному говну, его пользователи бегут к нам. :) Будь я лицемером, я бы наоборот лукаво топил бы за энтерпрайзное говно, но совесть не позволяет.

обновление ПО CrowdStrike сломало серверные сборки

Прочитал как

сломало серверные стойки

аж вспотел от страха... :D

Все пользователи Астры бумагу о неразглашении подписывают? (Просто я не в курсе)

Теперь будет разжалован до cocucka_B_КЛЯРЕ...

Сосиска_в_деве, в фиг ему стать сосиской_в_проде

а в удалённом управлении хреном с горы, а не сотрудником компании.

Если накосячит хрен с горы, на его контору можно натравить юротдел и там уж кто сборет. Если накосячит сотрудник, на него можно укоризненно посмотреть на планёрке и попросить больше так не делать.

только те виндовые системы крешились, которые были включены в момент обновления

Многие корпоративные машины включены по ночам и по выходным, чтобы ставить апдейты и перезагружаться, когда на них никто не работает, чтобы не мешать людям.

А у 11-й с месяц назад был другой проблемный апдейт, который нам все тестовые десктопы поломал.

Если накосячит сотрудник, на него можно укоризненно посмотреть на планёрке и попросить больше так не делать.

Можно и уволить по статье.

Но в данном случае пострадали те, кто тщательно соблюдал все инструкции и «best practices», поэтому да, их наказывать не за что. А вот на авторов рекомендаций можно только укоризненно смотреть через монитор.

Насколько я помню, eBPF подразумевает исполнениt кода как часть ядра. Так что почему бы и не уронить все к чертям?

У вас в Астре не стоит, небось, эта поделка для… для чего она, кстати?

Вопрос здесь лишь в том, научит это чему-то людей или нет.

Нет. Внезапное удаление рабочих пространсв Слака в 2022 году ничему не научило смузихлебов, и они продолжили пользоваться им вплоть до вот щас. Потом внезапно что-то случилось, и слак всем разослал сообщения, что, все, удалим все нафиг через месяц. И вот только когда задергались.

Циска, помнится, управляемая чере облако, внезапно сделала все сети открытыми, просто потому что вот. И тоже это мало кого чему научило, продолжили жрать эти их облака.

Слаку по крайней мере выгрузить можно и упихать в какой-то маттермост.

Не, просто никому это не интересно, а все полтора специалиста по этой поделке сидят на отдельном форуме.

Да, мы так и сделали. В этот раз. А в прошлый они просто молча грохнули наглухо и все, насколько я помню.

Потому что это не модуль ядра, где ты дергаешь что хочешь и суету наводишь. Это тугой сэндбокс, где eBPF verifier, весь такой разбезопасный, не даёт развернуться, просчитывает все возможные пути исполнения и ни чихнуть, ни ноль разыменовать тебе не даст ещё до загрузки.

Но в интернете пишут, что ребят из Crowdstrike такими мелочам не остановишь: они и eBPF пробу запилили, и кастомный модуль.

Ну дык правильно, сдуру можно и буй сломать.

Серверные - да. А мой лэптоп я лично всегда в хибернейт перевожу.

для чего она, кстати

Вот мне тоже интересно. Зачем народ этим говном обмазывается. Да ещё так массово. Что это за херобора без которой жить нельзя.