Si ce système se trouve sur un chemin critique, il n’aurait jamais dû passer la pipeline C/I
Je ne suis pas particulièrement strict sur les tests automatisés, mais un système de cette importance exige une excellente gestion d’état
Il ne faut pas déployer en production sans tests d’intégration dans tous les environnements
Je ne comprends pas qu’il n’existe pas de serveurs de test de staging ou de développement pour valider toutes les images cibles prises en charge par cette entreprise
Je pense que la direction de cette entreprise est incompétente
Les deux grands effondrements techniques étaient tous deux des problèmes de « logiciels de sécurité »
Le piratage de SolarWinds et cet incident impliquaient tous deux des entreprises basées à Austin
Des profils de type « hacker » lancent des entreprises de logiciels de sécurité, mais détestent mettre en place une culture orientée processus
SolarWinds avait une culture de la sécurité extrêmement mauvaise
La cause racine de cet incident est probablement, elle aussi, un processus de déploiement trop rapide et trop laxiste
L’aspect positif de ce désastre, c’est la possibilité de reconsidérer l’accès au niveau kernel
Une entreprise de jeux quelconque n’est pas assez compétente pour écrire un logiciel anti-triche au niveau kernel
On dirait le deuxième ou le troisième fichier de test qu’une personne en charge de la QA essaierait
C’est un marché dans lequel les entreprises techniquement compétentes ne prennent pas l’avantage sur les entreprises incompétentes
J’ai lu l’affaire Craig Wright : il n’avait même pas les compétences techniques de base dans le domaine où il prétendait être un expert mondial
George Kurtz avait déjà provoqué le même genre de problème lorsqu’il était CTO de McAfee
CrowdStrike avait causé le même problème sur Debian Stable il y a 3 mois
Il est terrible que les exigences de conformité PCI aient injecté CrowdStrike et les antivirus dans presque tous les aspects de l’infrastructure IT actuelle
Le fait que ce fichier soit rempli de zéros ne veut pas dire qu’il était déjà rempli de zéros au moment de son expédition
Ce bug existait dans le driver kernel depuis des années et a été déclenché par des données incorrectes
La configuration de test de CrowdStrike était peut-être correcte pour ces données de configuration elles-mêmes, mais elle ne l’a pas détecté avant l’envoi en production
J’espère qu’ils publieront un rapport post-mortem expliquant ce qu’ils vont faire pour éviter ce problème
Selon Kevin Beaumont, certains affirment que le fichier diffère selon les clients
Il est possible que ces fichiers ne correspondent pas à leur contenu d’origine
Il est possible que quelqu’un ait tenté d’écraser le mauvais fichier par un fichier entièrement rempli de zéros
Cela pourrait être une tentative d’arrêter le déploiement du vrai patch, parce que la QA avait été contournée
Par le passé, des logiciels de sécurité ont déjà remplacé des fichiers par des zéros, interrompant la compilation de logiciels
Le linker ne pouvait pas ouvrir le fichier et remplaçait le code objet par des zéros sans générer d’erreur
Le problème a été identifié en ouvrant le débogueur et en constatant que de gros blocs de code objet avaient été remplacés par des zéros
Message repéré sur le board tech de 4chan
CSAgent.sys est un driver kernel qui parse les fichiers de définitions de virus de ClownStrike
ClownStrike n’a pas su gérer un fichier de définitions de virus corrompu
Le serveur web a commencé à servir un fichier de définitions de virus corrompu
CSAgent.sys charge le fichier de définitions de virus corrompu et plante
L’ordinateur redémarre avec un BSOD (écran bleu)
CSAgent.sys recharge le fichier de définitions de virus corrompu et replante
Un bug du CDN a fini par provoquer le problème dans le driver kernel
Il faut ajouter des vérifications de taille dans CSAgent.sys et augmenter la taille du buffer pour que de futurs fichiers de définitions de virus corrompus ne provoquent plus de crash
1 commentaires
Avis Hacker News
Si ce système se trouve sur un chemin critique, il n’aurait jamais dû passer la pipeline C/I
Les deux grands effondrements techniques étaient tous deux des problèmes de « logiciels de sécurité »
L’aspect positif de ce désastre, c’est la possibilité de reconsidérer l’accès au niveau kernel
On dirait le deuxième ou le troisième fichier de test qu’une personne en charge de la QA essaierait
Le fait que ce fichier soit rempli de zéros ne veut pas dire qu’il était déjà rempli de zéros au moment de son expédition
Ce bug existait dans le driver kernel depuis des années et a été déclenché par des données incorrectes
Selon Kevin Beaumont, certains affirment que le fichier diffère selon les clients
Il est possible que ces fichiers ne correspondent pas à leur contenu d’origine
Par le passé, des logiciels de sécurité ont déjà remplacé des fichiers par des zéros, interrompant la compilation de logiciels
Message repéré sur le board tech de 4chan
CSAgent.sysest un driver kernel qui parse les fichiers de définitions de virus de ClownStrikeCSAgent.syscharge le fichier de définitions de virus corrompu et planteCSAgent.sysrecharge le fichier de définitions de virus corrompu et replanteCSAgent.syset augmenter la taille du buffer pour que de futurs fichiers de définitions de virus corrompus ne provoquent plus de crash