Viallinen tietoturvapäivitys aiheutti maailmanlaajuisia ongelmia

[Kaotik]

Kaotik kirjoitti uutisen/artikkelin:
Eilinen oli synkkä päivä tietotekniikalle, kun ohjelmistovirhe aiheutti maailmanlaajuisesti merkittäviä häiriöitä lukuisilla eri aloilla. Syylliseksi paljastui yhdysvaltalaisen CrowdStrike-tietoturvayhtiön viallinen ohjelmistopäivitys, joka aiheutti ahkerasti BSODeja (Blue Screen of Death).

Ongelmat alkoivat eilen kello 7:09 Suomen aikaa aamulla, kun Microsoftin Azure-pilvipalvelun Windows-virtuaalikoneet alkoivat kaatuilemaan ja käynnistelemään itseään uudelleen. Pari tuntia myöhemmin 9:48 Suomen aikaa Googlen Compute Enginessä havaittiin niin ikään ongelmia ja Windows-virtuaalikoneiden kaatuiluja ja heti perään 10:15 se ilmoitti havainneensa syylliseksi csagent.sys-tiedoston, joka on osa CrowdStriken tietoturvapakettia ja tarkemmin Falcon Sensoria.

Aikajanat menevät helposti päällekkäin, kun kyse on useista yrityksistä. CrowdStriken tiedotteesta selviää, että viallinen päivitys tiedostoon C-00000291*.sys lähti jakoon nimenomaan 7:09, kun ongelmatkin alkoivat, mutta korjaus oli jo olemassa alle puolentoista tunnin päästä 8:27 Suomen aikaa. Ongelmista kärsivät ne koneet, jotka käynnistettiin tuon aikaikkunan sisällä. Ne, joihin ongelma oli kuitenkin jo purrut, olivat pulassa. Käytännössä ainut varma tapa päästä siitä eroon olisi poistaa kaikki C-00000291*.sys-ajurit CrowdStriken kansiosta manuaalisesti Windowsin Safe Modessa tai Windows Recovery Enviromentissa jok’ikisestä koneesta, oli se sitten virtuaalinen tai ei. Joissain tapauksissa myös tietokoneen uudelleenkäynnistys ratkoi ongelman, kunhan se tehtiin 8:27 jälkeen ja mukana on sopivasti tuuria. Joissain tapauksissa vaadittiin jopa 15 uudelleenkäynnistystä, ennen kuin erikoiselta kuulostava korjaus toimi. Käytännössä kyse oli siitä, kumpi tapahtuu ensin: CrowdStriken automaattipäivitys vai tietokoneen kaatuminen.

CrowdStriken tietoturvasovelluksia on joidenkin arvioiden mukaan asennettu jopa 20 %:iin kaikista maailman yritystietokoneista, joten on selvää että ongelmat koskevat käytännössä kaikkia elämänaloja. Maailmalta on raportoitu laajoja ongelmia niin pankkipalveluissa, televisiolähetyksissä, lentoyhtiöiden palveluissa kuin sairaaloissakin, eikä edes sponsorisopimus pelastanut Mercedeksen F1-tiimiä. Suomessa ongelmia oli ainakin OP:n Sijoituskumppanissa ja osakesäästötileissä, Terveyskylä-sivustossa ja sen Omapolku-palvelussa, HUSin eri palveluissa, Synlabin laboratorio- ja kuvantamispalveluissa sekä VR:n järjestelmissä.

Lähteet: Kyberturvallisuuskeskus, Yle (1), (2), Crowdstrike (1), (2), Uutiskuva: Reddit

Linkki alkuperäiseen juttuun

 

[Jardaani]

Johtuiko Lounean valokuituyhteyksien ongelmat myös tästä? Onko tietoa?

 

[MMXVI]

Upea uutiskuva.

 

[f_rele]

Jep jep, sattuhan näitä. 2021 maaliskuusa koneessa alkoi täyttymään mystisesti RAM ja kone kippasi noin 20min välein. Vikana oli bugi MalwareBytesin softapäivittksessä, mutta kyllä siinä hetki meni että se löytyi ja korjattiin.

Nyt sitten odottelemaan että F-Secure julkaisee BSOD päivityksen, kun ovat selvästi vuorossa, niin saa töissä ohjelmaa

 

[Ihmemies MacGyver]

Kuinka paljon parempi tällainen on Windowsin omaan virustutkaan? Tai... nyt ei ainakaan ollut parempi.

 

[Raikku]

Olisi paikka nyt F-Securella vallata maailman markkinat.

 

[Grazer]

Johtuiko Lounean valokuituyhteyksien ongelmat myös tästä? Onko tietoa?

Yhtiö ei ole virallisesti ilmoittanut, mutta olisi kyllä todella hyvin osuneet tähdet kohdalleen, jos juuri samoihin aikoihin heillä olisi ilmennyt joku muu ongelma niin että käytännössä koko verkko kaatui kun Ficixistä tarkasteltuna liikennemäärä Lounean verkosta/verkkoon tipahti noin 8 Gbit/sekunti johonkin 100Mbit/s paikkeille.

Olisi paikka nyt F-Securella vallata maailman markkinat.

Jep. F-Securella toimintatapa parempi, kun totaalisen kippaamisen sijasta hidastetaan kone muuten vain lähes käyttökelvottomaksi.

Linux- ja Mac-ympäristöissähän tämä ei aiheuttanut mitään ja jos olen oikein ymmärtänyt, niin Linux-puolella tällainen katastrofi ei edes olisi näin helposti toteutettavissa, kun ilmeisesesti aika pahasti saa tötöillä että Linuxissa saa kernel panicin aikaiseksi.

 

[FlyingAntero]

Paikallisen kylmäaseman pumput olleet eilen ja tänään pimeänä. Liekkö liittyy samaan?

 

[Agent_007]

Kuinka paljon parempi tällainen on Windowsin omaan virustutkaan? Tai... nyt ei ainakaan ollut parempi.

Kyse ei yrityskäytössä ole tuosta, että kumpi estää enemmän haittaohjelmia/hyökkäyksiä, vaan siitä että saadaan nuo pakolliset viranomaismääräykset täytettyä.
"Thirdly, and perhaps most importantly, were new rules announced at the end of 2023 by the Securities & Exchange Commission, the main US financial regulator, requiring public companies to disclose cybersecurity incidents and to disclose, annually, their cyber security risk management, strategy, and governance."

From Wall Street darling to firm behind the world's worst IT outage - who are CrowdStrike?

Crowdstike has been one of the best-performing stocks this year, thrilling investors with AI-enabled cyber protection.

news.sky.com

 

[leripe]

Olisi paikka nyt F-Securella vallata maailman markkinat.

Valitettavasti ei ole sellaista AV valmistajaa, jolle vastaavaa ei olisi käynyt. Toisille lievemmin toisille pahemmin. CS nyt vain isolla markkinaosuudellaan aiheuttaa globaalisti näkyvämpää. Suomessa CS ei hirveästi ole käytössä eihän heillä ole täällä edes konttoria tai edustusta (vielä). Suomessa mennään enemmän Withsecure, Palo Alto ja Trend Micro ja Microsoft tuotteilla.

 

[huglo]

Paljonko korvauksia Crowdstrikeltä on odotettavissa näille firmoille?

Disclaimer-paskalausekkeet kunnossa ja mitään ei tarvitse korvata?

Osake tippui jo mutta pitkässä juoksussa ei mikään hurja tiputus vielä. Toivottavasti asiakkailta tulee palaute (tietoturvafirman vaihto) siihen malliin että tämä muistetaan.

 

[Vonfoo]

Kuinka paljon parempi tällainen on Windowsin omaan virustutkaan? Tai... nyt ei ainakaan ollut parempi.

Tuotteena EDR toimii eri tavalla kuin perinteiset AV-tutkat. Siinä missä Defender ja muut vastaavat saavat sormenjälkipäivityksiä ja pyrkivät estämään haittaohjelmia, EDR taas pyrkii tunnistamaan haitallista toimintaa koneelta. Esimerkkeinä koneessa suoritettavat haitalliset komennot (powershell ja muut), tunnuksien käyttäytyminen ja niin edespäin. Niitä sitten korreloidaan keskenään ja pyritään nostamaan hälytyksiä siitä kun jotain epäilyttävää tapahtuu.

Tuolta saa enemmän tietoa EDR:stä What Is EDR? Endpoint Detection and Response | Microsoft Security

 

[leripe]

Paljonko korvauksia Crowdstrikeltä on odotettavissa näille firmoille?

Disclaimer-paskalausekkeet kunnossa ja mitään ei tarvitse korvata?

Osake tippui jo mutta pitkässä juoksussa ei mikään hurja tiputus vielä. Toivottavasti asiakkailta tulee palaute (tietoturvafirman vaihto) siihen malliin että tämä muistetaan.

Tuskin crowdstrikelle maksettavaksi juuri mitään, mutta palveluntarjoojille paitsi jos asiakkaat ostaneet crowdstrikeltä tämän palveluna. Isommat firmat ovat niin voineet tehdäkin kyllä. Suomessa tuskin, koska suomi on mssp maa.

 

[Hilppari]

Tuskin crowdstrikelle maksettavaksi juuri mitään, mutta palveluntarjoojille paitsi jos asiakkaat ostaneet crowdstrikeltä tämän palveluna. Isommat firmat ovat niin voineet tehdäkin kyllä. Suomessa tuskin, koska suomi on mssp maa.

Osakekurssi ainakin lähti syöksyyn ja huhuja on että olis tulossa isot korvausvaatimukset.

 

[leripe]

Osakekurssi ainakin lähti syöksyyn ja huhuja on että olis tulossa isot korvausvaatimukset.

Eiköhän varmasti tulekin, aina sitä voi pyytää, mutta oikeudessa sitten näkee paljonko saa. Sopimuksissa on jo mukana aina sanktiosummat ym.
Eiköhän näistä vielä kuulla, kun sinne asti etenee.
Suomessa tuskin mitää uutisia herättävää.

 

[Alatuberkuloosi]

Eikös jotain hmm... 10 vuotta sitten Apacheen livahtanut jokin rikkinäinen päivitys, olikohan jostain forkista eksynyt mainlineen, ja hehheh suurin osa Apache-palvelimista kaatui? En muista muita yksityiskohtia, luin pitkän artikkelin The Registeristä joskus.
En pikahaulla löytänyt lähdettä, saattoi olla ehkä jokin muu palvelimille olennainen ohjelmisto.

muoks: the registerin päivittyvä artikkeli. -66% sukeltanut osake

CrowdStrike shares sink amid global IT crisis

Emergency services, medical practices, airlines, banks, and more all crippled

www.theregister.com

 

[PyleP]

mielenkiintoinen tuo toimitusjohtajan historia

 

[Grazer]

Aivan varmasti tämä tapaus ja vähintään Crowdstriken toimari harjataan jenkeissä huolella. Jos näin paljon saa palveluita alas sillä että joku tietoturvajärjestelmätoimittaja tötöilee tuottamuksellisesti toimien (ei mene vahingosta tällainen töppi), niin kyllähän siinä on kyse jo kansallisesta turvallisuudesta.

 

[Dudem]

Eipä löydä millään, että oliko nuo erottaneet aiemmin porukkaa jotka on "turhia" kun ei koskaan käy mitään, niin mitäpä niillä tiimeillä tekee.

 

[Grazer]

Major outages at CrowdStrike, Microsoft leave the world with BSODs and confusion

Nobody's sure who's at fault for each outage: Microsoft, CrowdStrike, or both.

arstechnica.com

The costs of such an outage will take some time to be known, and will be hard to measure. Cloud cost analyst CloudZero estimated mid-morning Friday that the CrowdStrike incident had already cost $24 billion, based on a previous estimate.

Arvio taloudellisista vahingoista 24 miljardia dollaria. Siinä voi Giorgiota pikkuisen alkaa huimaamaan jos tuosta vaikka vain muutamakin prosentti vaadittaisiin korvattavaksi.

 

[Obi-Lan]

Tuotteena EDR toimii eri tavalla kuin perinteiset AV-tutkat. Siinä missä Defender ja muut vastaavat saavat sormenjälkipäivityksiä ja pyrkivät estämään haittaohjelmia, EDR taas pyrkii tunnistamaan haitallista toimintaa koneelta.

Defenderin saa lisensoitua paremmaksi missä tulee EDR ja pilvisuojausta ym mukana. Lisenssointi on MS tyyliin sekavaa, mutta tuote on ollut kohtuu kelvollinen.

Tuskin Crowdstrike tarvitsee paljoa korvata elleivät ole menneet kirjoittamaan sellaisia sopimuksia. IT alalle ei muuten kukaan tulisi tarjoamaan mitään, jos asiakas voi raastupan kautta kuittaa tienatut rahat moninkertaisina takaisin.

 

[Naamapalmu]

Osakekurssi ainakin lähti syöksyyn ja huhuja on että olis tulossa isot korvausvaatimukset.

Aivan varmasti tulee, lukuisia tietokoneita maailmanlaajuisesti BSOD loopissa ja asia pitäisi korjata käyttökohteessa, puhutaan kuitenkin ihan historiallisesta kämmistä, jonka seuraukset ovat massiivisia asiakasyrityksille. (Yhdysvalloissa yksistään peruttiin tuhansia lentoja ja kymmeniä tuhansia myöhässä, yksi pieni esimerkki vaikutuksista.)

 

[antero]

Taitaa oikeasti liittyä että kyseinen ohjelma on jokin AI viritys ja se huomasi että Windows se suurin uhka onkin.

Yrityksillä on yleensä vastuuvakuutukset jotka hoitaa tälläiset asiat ainakin johonkin rajaan asti.

Mutta onhan tämä erikoinen sattuma heti kun Kapersky lopullisesti blokattiin ulos markkinoilta.
Kaspersky Lab Closing U.S. Division; Laying Off Workers (zetter-zeroday.com)
Toistaalta se myös antaa korjausohjeet.
Kaspersky X:ssä: "CrowdStrike Update Crashes Windows Systems A widespread outage affecting numerous Windows systems worldwide, both servers and workstations, is attributed to a flawed update of drivers associated with CrowdStrike EDR solutions. The affected systems display the 'blue screen of https://t.co/4g5ApEeZqK" / X

 

[akbbs]

Linux- ja Mac-ympäristöissähän tämä ei aiheuttanut mitään ja jos olen oikein ymmärtänyt, niin Linux-puolella tällainen katastrofi ei edes olisi näin helposti toteutettavissa, kun ilmeisesesti aika pahasti saa tötöillä että Linuxissa saa kernel panicin aikaiseksi.

Kernel panic observed after booting 5.14.0-427.13.1.el9_4.x86_64 by falcon-sensor process. - Red Hat Customer Portal

eBPF program causes kernel panic on kernels 5.14.0-410+ . Below is an example of a kernel panic on the falcon-sensor process, observed after booting on kernel version 5.14.0-427.13.1.el9_4.x86_64. [ 462.396258] BUG: unable to handle page fault for address: ffff9a4bdb0f2d88 [ 462.396291] #PF...

access.redhat.com

CrowdStrike broke Debian and Rocky Linux months ago, but no one noticed

CrowdStrike recently caused a widespread Blue Screen of Death (BSOD) issue on Windows PCs, disrupting various sectors. However, this was not an isolated incident, CrowdStrike affected Linux PCs also.

www.neowin.net

 

[user9999]

Linux- ja Mac-ympäristöissähän tämä ei aiheuttanut mitään ja jos olen oikein ymmärtänyt, niin Linux-puolella tällainen katastrofi ei edes olisi näin helposti toteutettavissa, kun ilmeisesesti aika pahasti saa tötöillä että Linuxissa saa kernel panicin aikaiseks

MacOS virus-skanneri tai muu Endpoint Security sovellus käyttää nykyään system extensions, joka on user spacessa. Ei kippaa koko laite rikkinäisestä päivityksestä.

System extensions on macOS allow software like network extensions and endpoint security solutions to extend the functionality of macOS without requiring kernel-level access. DriverKit provides a fully modernized replacement for IOKit to create device drivers. System extensions and drivers built with DriverKit run in user space, where they can’t compromise the security or stability of macOS. Once installed, an extension is available to all users on the system and can perform tasks previously reserved for kernel extensions.

System Extensions - Apple Developer

System Extensions

developer.apple.com

Esim Microsoft Defender for Endpoint (formerly Windows Defender ATP) käyttää macissä system extensions.

Microsoft Defender ATP for Mac is moving to system extensions

To ensure that Microsoft Defender ATP for Mac evolves in lock step with the macOS platform, public preview is now open for Microsoft Defender ATP for Mac..

techcommunity.microsoft.com

 

[Grazer]

LittleAlex (@littlealex@infosec.exchange)

Too funny: In 2010 McAffe caused a global IT meltdown due to a faulty update. CTO at this time was George Kurtz. Now he is CEO of #crowdstrike https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/

infosec.exchange

Ei ollut ensimmäinen kerta George Kurtzilla kun tulee pikkuinen "oho, mitäs nyt tapahtu"

 

[dataaja95]

Jos lounean katkoon oli syynä crowdstrike, niin ihmettelen kovasti verkon arkkkitehtuuria, pyöriikö siellä runkoreitittiminä jotain winkkariserveriä, kun lähes koko verkko meni alas.

 

[hkultala]

Tällaisella kolmannen osapuolen koodilla ei pitäisi olla mitään asiaa ajettavaksi kernel-moodissa.

Macos X:ssä tätä yksinkertaisesti sallita, ja siinä tämä softa ajautuu ihan user-tilassa, eikä pysty kaatamaan koko konetta.

Mutta kun windows valitettavasti sallii tämän koska maailmassa on aivan liikaa kurasoftaa joka tällaista perseilyä haluaa tehdä, niin ne kaikki hajoisivat jos tämä perseily estettäisiin, ja microsoft haastettaisiin oikeuteen "kilpailujoiden haittaamisesta".

Ja virustentorjuntasoftia kehittävillä firmoilla on asennevamma, että jos se koodin änkeminen kernel-tilaan on vaan jotenkin mahdollista, se ängetään sinne. Sama tosin pätee myös "anti-cheat"-softiin.

Järjetöntä on myös se, että koneissa on estoja, joilla estetään boottaus vapaisiin käyttiksiin (ja verukkeena käytetään tietoturvaa), mutta sitten kolmansien osapuolen ajurirajapintoja käyttävien kernel-tilassa pyörivien softien annetaan täysin pwnata se koneen windows.

Valitettavasti vaan lainsäätäjätkin ovat totaalisen pihalla tietoturvasta joten lainsäädännölläkin asioita ajetaan lähinnä vain pahempaan suuntaan.

 

[oongee]

Itse työskentelen suuressa globaalissa IT-firmassa, missä tämä CrowdStriken Falcon on käytössä. Korporaation turvallisuusosasto pakottaa, että softa pitää olla ajossa jokaikisellä serverillä ja työasemalla. Tämä siitä huolimatta, että softa on aiheuttanut lukuisia kertoja esim. tietokantapalvelimien hidastelua yms. vastaavaa ei-toivottavaa jo aiemmin. Softalla on maksimaaliset oikeudet järjestelmiin: se pystyy vakoilemaan ja vakoilee kaikkea kernelissä ja user spacessa tapahtuvaa. Olen pitänyt softaa itsessään merkittävästi suurempana riskinä, kuin sitä riskiä, mitä se mitigoi.

Ehkä tämä viimein herättää korporaatioita ajattelemaan, kannattaako tällaista backdooria tieten tahtoen asentaa joka ikiseen tietoturvakriittiseen paikkaan. "KISS principle" toimii mielestäni paremmin. Eli yleisesti ottaen: Mitä yksinkertaisempi järjestelmä eli mitä vähemmän koodia ajossa, sitä vähemmän haavoittuvuuksia ja muita riskejä. Eli hyökkäyspinta-alan minimointi.

edit: typo fix

 

[Nerkoon]

Jep jep, sattuhan näitä. 2021 maaliskuusa koneessa alkoi täyttymään mystisesti RAM ja kone kippasi noin 20min välein. Vikana oli bugi MalwareBytesin softapäivittksessä, mutta kyllä siinä hetki meni että se löytyi ja korjattiin.

Nyt sitten odottelemaan että F-Secure julkaisee BSOD päivityksen, kun ovat selvästi vuorossa, niin saa töissä ohjelmaa

Malwarebytes pitää kyllä omalla listalla paskimman softan titteliä. Oli aikoinaan tarkoitus tsekata muut malwaret kuin virukset vähän sen jälkeen kun Malwarebytes oli laittanut uuden version pihalle. Se paska asensi ja laittoi päälle kysymättä myös antiviruksen ja veti koneen uudelleenasennuskuntoon. Bugilistan mukaan siinä on myös vielä julkaisuversiossa käpyjä joita oikeilla antivirusfirmoilla ei ole edes enää betassa (joo, olen aikoinaan testannut yhden firman av betaa). Malwarebytesiin en koske enää ikinä

 

[f_rele]

Malwarebytes pitää kyllä omalla listalla paskimman softan titteliä. Oli aikoinaan tarkoitus tsekata muut malwaret kuin virukset vähän sen jälkeen kun Malwarebytes oli laittanut uuden version pihalle. Se paska asensi ja laittoi päälle kysymättä myös antiviruksen ja veti koneen uudelleenasennuskuntoon. Bugilistan mukaan siinä on myös vielä julkaisuversiossa käpyjä joita oikeilla antivirusfirmoilla ei ole edes enää betassa (joo, olen aikoinaan testannut yhden firman av betaa). Malwarebytesiin en koske enää ikinä

Otin joskus useamman koneen vuositilauksen halvalla per 4 konetta ja se on nyt pääasiassa lasten koneissa asennettuna. Reaaliaikasuojaus blokkaa hyvin epäilytyävät sivut ja lataukset kun asentelevat Minecraftiin ties mitä modeja. Tässä toiminut hyvin, mutta nyt lähinnä edelleen halvan hinnan takia (taitaa olla legacy tilaus minulla) pitänyt sen voimassa.

 

[Vipa^]

LittleAlex (@littlealex@infosec.exchange)

Too funny: In 2010 McAffe caused a global IT meltdown due to a faulty update. CTO at this time was George Kurtz. Now he is CEO of #crowdstrike https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/

infosec.exchange

Ei ollut ensimmäinen kerta George Kurtzilla kun tulee pikkuinen "oho, mitäs nyt tapahtu"

Ai ettien että, minä muistan tämän. Onneksi ei silloisella työnantajalla ihan moneen koneeseen osunut tuo, mutta kuitenkin tarpeeksi, että jäi mieleen.

 

[Barbarossa]

Itse työskentelen suuressa globaalissa IT-firmassa, missä tämä CrowdStriken Falcon on käytössä. Korporaation turvallisuusosasto pakottaa, että softa pitää olla ajossa jokaikisellä serverillä ja työasemalla. Tämä siitä huolimatta, että softa on aiheuttanut lukuisia kertoja esim. tietokantapalvelimien hidastelua yms. vastaavaa ei-toivottavaa jo aiemmin. Softalla on maksimaaliset oikeudet järjestelmiin: se pystyy vakoilemaan ja vakoilee kaikkea kernelissä ja user spacessa tapahtuvaa. Olen pitänyt softaa itsessään merkittävästi suurempana riskinä, kuin sitä riskiä, mitä se mitigoi.

Ehkä tämä viimein herättää korporaatioita ajattelemaan, kannattaako tällaista backdooria tieten tahtoen asentaa joka ikiseen tietoturvakriittiseen paikkaan. "KISS principle" toimii mielestäni paremmin. Eli yleisesti ottaen: Mitä yksinkertaisempi järjestelmä eli mitä vähemmän koodia ajossa, sitä vähemmän haavoittuvuuksia ja muita riskejä. Eli hyökkäyspinta-alan minimointi.

edit: typo fix

Kuulostaapa tutulta menolta omalla työpaikalla. Korporaation mahtikäskyllä tämä sötöstys kihnuttaa jokaisella koneella oli sitten serveri tai työasema, riippumatta siitä onko toosalla edes pääsyä talon verkon ulkopuolelle.

Loppukäyttäjät ovat purnanneet tästä alusta alkaen, selkeästi aiheuttaa ylimääräistä hidastelua kaikessa I/O operaatiossa mitä konella tapahtuu ja kuluttelee CPUta neppaillen.. no, kuka tietää mitä. Ei nimittäin kukaan ole osannut selittää että mitä niin tarpeellista se tekee että se on pakko saada joka paikkaan. Se vaan on oltava.

Mistäpä päästään taas toisessa ketjussa mainitsemaani teoriaan missä isompien organisaatioiden IT:n rampauttaa managementti jonka ymmärrys IT:stä ja tietoturvasta on luokkaa tonninseteli, mutta oman perseen suojelu ja vastuunpakoilu on ammattitaitopakin terävimmäksi hioutunut työkalu.

Tällaiset näitä CrowdStrokeja haalii.

 

[oongee]

Mistäpä päästään taas toisessa ketjussa mainitsemaani teoriaan missä isompien organisaatioiden IT:n rampauttaa managementti jonka ymmärrys IT:stä ja tietoturvasta on luokkaa tonninseteli, mutta oman perseen suojelu ja vastuunpakoilu on ammattitaitopakin terävimmäksi hioutunut työkalu.

Tällaiset näitä CrowdStrokeja haalii.

Yksi asia, mitä osaamaton IT/tietoturvajohto saa näistä on vallantunne kun heillä on käytössään "kaiken näkevä Sauronin silmä", mitä kautta he saavat illuusion siitä, että homma pysyy hanskassa kun heillä on tämä valta. Toisena asiana näistä saa yleensä kivan näköisiä raportteja, joita voi esitellä muille c-suite execeille ja vaikuttaa tärkeältä ja pätevältä. Kolmantena erilaistet esim. ulkoa tulevat tietoturvavaatimukset, joiden voi kuvitella täyttyvän paremmin käyttämällä rahaa tietoturvasoftaan (ainakin voi sanoa yrittäneensä tehdä asian eteen jotain).

 

[Barbarossa]

Kolmantena erilaistet esim. ulkoa tulevat tietoturvavaatimukset, joiden voi kuvitella täyttyvän paremmin käyttämällä rahaa tietoturvasoftaan (ainakin voi sanoa yrittäneensä tehdä asian eteen jotain).

Juuri tämä. Oli sitten ulkoinen vaatimus tai sisäinen, sitten kun vessa on tulessa niin voidaan suojata oma selusta: "ostettiin paras tietoturvasofta mitä rahalla saa, enempää ei oltaisi voitu tehdä.. katsokaa nyt vaikka tätä esitettä!"

Ja kun ulkopuolinen auditoija tulee tarkistamaan tilukset niin voidaan lyödä sille käteen nivaska sertejä mitkä se laatusofta on ostanut itselleen että kaikki kunnossa.

 

[tarmo2011]

Microsoft points finger at the EU for not being able to lock down Windows

The CrowdStrike Windows outage that hit the world this week stems back to an EU-Microsoft deal from 2009 that meant Microsoft had to give antivirus vendors the same Windows API access it had.

www.neowin.net

Following a complaint, the spokesman said, Microsoft agreed back in 2009 with the European Commission that it would give makers of security software the same level of access to Windows that Microsoft gets. This decision means security software vendors have a greater ability to muck up systems as CrowdStrike did this week when it crippled 8.5 million Windows PCs worldwide. Microsoft has since come to the rescue with an auto-fix tool for affected users.

The document that outlines the agreement between Microsoft and the European Commission is available as a Doc file on Microsoft's website.

The document states that Microsoft is obligated to make available its APIs in its Windows Client and Server operating systems that are used by its security products to third-party security software makers. The document says that Microsoft has to also document the APIs on the Microsoft Developer Network except where they create security risks.

[End of quote]
Ei se Microsoftkaan sitä huvikseen salli....