Crowdstrike – oder: welches System ist sicherer (OT aus MS kotzt mich an)

Es gibt 86 Antworten in diesem Thema, welches 13.978 mal aufgerufen wurde. Der letzte Beitrag (9. August 2024 um 13:40) ist von Retrofan.

  • Die Verantwortung liegt demnach einzig bei Crowdstrike, weil sie sich für Ring-0 entschieden haben.

    Das lese ich da nun gar nicht heraus bzw. ist gar nicht der Punkt des Artikels. Natürlich ist Crowdstrike an dem fehlerhaftem Update schuld – das bezweifelt niemand. Aber meistens sind ja mehrere Faktoren Schuld, wenn das Kind in den Brunnen fällt – erst einmal muss ja überhaupt ein Brunnen da sein. Und MS nimmt hier quasi Teil-Schuld auf sich, indem sie sagen: das hätte alles gar nicht passieren dürfen, wenn wir anderen nicht erlauben würden, Ring-0 mit zu nutzen – bzw. andere zu zwingen, Ring 0 zu nutzen, wenn sie solche Software anbieten wollen (weil es kein alternatives API gibt). Und damit bekommt die EU den schwarzen Peter, weil sie (laut MS) das quasi erzwingt. Wenn MS schon selbst zugibt, dass ihr Verfahren das Desaster erst möglich gemacht hat, warum sollten dann die zugeneigten User bei der Argumentation nicht mitgehen statt MS ohne Not aus der Haftung zu nehmen?

    Die Frage ist doch eher, ob MS aufgrund der EU wirklich Ring 0 für 3rd-Partys freigeben musste oder ob sie seinerzeit nur den einfachsten Weg gingen, um die Forderungen zu erfüllen. Vielleicht hätte ja auch eine Verbesserung des APIs ausgereicht, das sie für diesen Zweck vorgesehen hatten.

    Gibbons sagt oben im Prinzip, dass die EU verlangt, dass es Drittfirmen erlaubt sein muss, Windows so ins stolpern zu bringen, wie es auch MS selbst könnte, wenn sie Mist bauen. Wenn das stimmen sollte, kann das ja nicht im Sinne des Anwenders sein, oder?

    Jetzt ist es auf jeden Fall so, dass MS zugibt, dass die Ring 0 Mitnutzung durch weitere Parteien den Kernel nicht gerade sicherer macht (ist klar, je mehr Parteien da herumfrickeln und alles zum Wanken bringen können, desto eher kann was passieren) und sie das gerne ändern würden, wenn die EU sie ließe. Aber ist das eine ehrliche Argumentation oder wollen sie einfach eine EU-Regelung aushebeln, die ihnen ein Dorn im Auge ist.

    Bitte melde dich an, um diesen Link zu sehen. | Meine Lieblings-Themen im Forum64:

    Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

  • Hallo Retrofan

    aufgrund von

    According to former Windows developer David Plummer, Microsoft does, in fact, offer a number of APIs for third-party antivirus security.

    war ich der Ansicht, dass

    andere zu zwingen, Ring 0 zu nutzen, wenn sie solche Software anbieten wollen (weil es kein alternatives API gibt)

    nicht der Fall ist.

    Die frage ist (ich nutze kein Windows, daher habe ich kein Wissen darüber): gibt es eine API, die Crowdstrike hätte nutzen können, oder nicht?

    Die EU trifft hier IMHO aber keine Schuld, weswegen ich

    ... wollen sie einfach eine EU-Regelung aushebeln, die ihnen ein Dorn im Auge ist.

    mit JA beantworte!

    Bei einem Kompromiss verlieren beide Seiten. Machen wir es so, wie ich es will, verliert nur eine Seite :thumbsup:

  • aufgrund von

    According to former Windows developer David Plummer, Microsoft does, in fact, offer a number of APIs for third-party antivirus security.

    war ich der Ansicht, dass

    andere zu zwingen, Ring 0 zu nutzen, wenn sie solche Software anbieten wollen (weil es kein alternatives API gibt)

    nicht der Fall ist.

    Wichtig ist in diesem Zusammenhang der letzte Satz des Absatzes:

    "But the EU 2009 ruling effectively prevented such integration as it could potentially have given Microsoft an unfair advantage."

    MS behauptet also, dass sie entsprechende APIs (wahrscheinlich ähnlich denen von Apple) entwickelt hatten, die EU aber die Verwendung untersagt habe, weil das für 3rd-Partys einen Nachteil gegenüber Quasi-Monopolist MS dargestellt hätte.

    gibt es eine API, die Crowdstrike hätte nutzen können, oder nicht?

    Kurz: Nein! Lang: MS hätte (laut MS) gerne eine gehabt aber die EU hat (laut MS) das verhindert.

    Bitte melde dich an, um diesen Link zu sehen. | Meine Lieblings-Themen im Forum64:

    Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

  • Nunja, die EU erzwingt ja nur die Öffnung des kernels. Ich glaube nicht, dass sie der parallelen Entwicklung von Apis im Weg steht.

    Bei einem Kompromiss verlieren beide Seiten. Machen wir es so, wie ich es will, verliert nur eine Seite :thumbsup:

  • Nunja, die EU erzwingt ja nur die Öffnung des kernels. Ich glaube nicht, dass sie der parallelen Entwicklung von Apis im Weg steht.

    Das sehe ich ähnlich. Eine Alternative ist aber wohl nicht implementiert worden. Aber selbst wenn: Crowdstrike und Konsorten werden immer den flexibleren (wenn auch gefährlicheren) Weg gehen und auf Ring 0 arbeiten wollen – zumal das fertig ist und andere APIs erstmal mit Aufwand unterstützt werden müssten. Das macht niemand freiwillig. Und wahrscheinlich gibt es die Alternative ja auch gar nicht.

    ---

    OT: warum muss Microsoft alles in Ringen definieren, beim OS gibt es "Ringe", bei Updates gibt es auch unterschiedliche "Ringe", auf denen sich der Kunde bewegt, alles ist ein Ring. (Ein Ring, sie zu knechten ... ;) – oder auch Johannes Oerding: Wenn sich alles in Kreisen bewegt, trallala ... :tanz:;) )

    Bitte melde dich an, um diesen Link zu sehen. | Meine Lieblings-Themen im Forum64:

    Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

  • So, Crowdstrikes "Abschluss"-Bericht:

    Bitte melde dich an, um diesen Link zu sehen.

    Auszug: "Drei Wochen nach dem Windows-Großausfall durch CrowdStrike-Sicherheitssoftware hat das Unternehmen nun seine endgültige Analyse veröffentlicht und darin alle Ursachen der Störung erklärt. In dem zwölfseitigen Dokument erläutert CrowdStrike auch, welche Gegenmaßnahmen solche Vorfälle künftig verhindern sollen. [...]

    Immerhin gibt es eine Kurzzusammenfassung, die den Fehler ohne große Vorrede erklärt. Der ist nämlich schnell umrissen: Das fehlerhafte Update enthielt 21 Datenwerte und damit einen mehr, als der Kernel-Treiber erwartete. Dieser versuchte deswegen, auf eine ungültige Speicheradresse zuzugreifen – das Resultat ist sattsam bekannt.

    Dass dieser simple und leicht durch eine Laufzeitprüfung auf korrekte Array-Größe zu vermeidende Programmierfehler für mehr als acht Millionen Bluescreens weltweit sorgte, verwundert und bedarf einer genaueren Erklärung. Die liefert CrowdStrike und gibt bei dieser Gelegenheit nicht nur zu, die fatale Update-Datei vor dem Rollout nicht getestet zu haben, sondern offenbart auch lückenhafte Testroutinen für andere Bestandteile seiner "Falcon"-Sicherheitssoftware. [...]

    Auch in der Community von heise security PRO, dem Fachdienst für Security-Profis, werden das CrowdStrike-Desaster und die Lehren daraus intensiv diskutiert. Die Experten diskutieren im Community-Forum, ob eine Verlagerung vom Kernel- in den Userspace die Lösung ist oder Unternehmen gar komplett auf EDR-Software (Endpoint Detection and Response) verzichten sollten."

    Bitte melde dich an, um diesen Link zu sehen. | Meine Lieblings-Themen im Forum64:

    Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.

  • Bitte melde dich an, um diesen Link zu sehen.

    Auszug: Nach dem Crowdstrike-Desaster, das am 19. Juli weltweit Millionen Windows-Computer zum Absturz brachte, starten BSI und Bitkom eine Umfrage.

    "Das BSI wird auch mit weiteren Software-Herstellern Gespräche führen und die Maßnahmen entsprechend weiterentwickeln. Ziel ist es unter anderem, neue und resiliente Komponenten konzipieren und umsetzen zu lassen, die die gleiche Funktionalität und Schutzwirkung entfalten wie bisher, aber weniger tiefgreifende Eingriffsrechte in die Betriebssysteme benötigen. So sollen die Auswirkungen etwaiger Softwarefehler minimiert werden", erklärt Plattner.

    Bitte melde dich an, um diesen Link zu sehen. | Meine Lieblings-Themen im Forum64:

    Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen. | Bitte melde dich an, um diesen Link zu sehen.