CrowdStrike - Probleme auch bei Linux

Das im April war ein anderer Bug, der hat nur Linux und selbst da glaube ich nicht alle. Oder ist das wieder was neues?

Ich frag' mich ja sowieso, wie man sich so 'ne Malware wie CrowdStrike ins Haus holen kann.

Ich mich auch. Auch hätte man letzten Ausfall durch ein mindestmaß an Testing mitigieren können (und ich kenne tatsächlich Kunden, die diesen Bug gefunden und nicht ausgespielt hatten. Und ja die hatten das sogar gemeldet.).
 
Soviel ich weiß gab es in einer Kombi aus CrowdStrike für Linux im April mit bestimmten im April üblichen Kernelversionen ua mit Debian Probleme.

Das soll aber seit dem auch "irgendwann" gefixt worden sein. Ich hab das bei meinen Debian-Kisten auf der Arbeit mit Crowdstrike nicht bemerkt, bin also wohl drumherum gekommen.

Soweit ich weiß gibts auch keine *BSD Binaries, also maximal per Linuxator unter FreeBSD?

Ich frag' mich ja sowieso, wie man sich so 'ne Malware wie CrowdStrike ins Haus holen kann.

Das finde ich ne gute Frage. "Warum solche Antivirensoftware die potentiell auch Gefährlich ist und das immer wieder auch zeigt". Mir wirds auch von weit oben "übergebügelt".
Da ist viel "Weils alle machen" und "Ich will mir nicht nachsagen lassen zu wenig gemacht zu haben" dabei, gutes Marketing und Vertrieb der Hersteller.

Aber auch das all Firmen potentiell "gefangen" sind auf unsichere Windows + Office Systeme.
 
Im userland (linuxator) ergibt das keinen kernel panic und fuer BSD Kernel gibt es das nicht. Fuer macOS gibt es ein "module", aber das laesst sich auch nicht auf free/open/net/..BSDs anwenden.
 
Da ist viel "Weils alle machen"
Das ist genau das Ding, weshalb wir keine Security haben.
Wenn Du etwas anders machst, musst Du Dich immer dafür rechtfertigen. Insbesondere wenn doch mal etwas nicht funktioniert.
Wenn Du genau den selben Sch**ß machst wie alle anderen, dann kannst Du - selbst wenn es krachend schief geht - immer darauf verweisen, das alle anderen ja auch betroffen sind und sowieso hast Du ja nur das gemacht, was branchenüblich ist und daraus kann man Dir ja dann wohl keinen Strick drehen.

Und "keinen Strick" da sind wir schon gleich bei der nächsten Sache: Der Verantwortlichen werden nie wirklich zur Verantwortung gezogen, wenn etwas passiert.

Aber auch das all Firmen potentiell "gefangen" sind auf unsichere Windows + Office Systeme.
Ja. Gefangen und:
No one has ever been fired for buying Microsoft :-)
 
Fairerweise muss man sagen: Eine Firma, die keinen Notfallplan hat, falls ihre Systeme die das Kerngeschäft tragen, nach einem Update nicht mehr booten, hat an anderer Stelle schon grob versagt.
 
Ich frag' mich ja sowieso, wie man sich so 'ne Malware wie CrowdStrike ins Haus holen kann.

Große Konzerne verpflichten dich in der Regel zur Installation. In so ziemlich allen Verträgen, die ich gesehen habe, musst du eine Checkliste abarbeiten, bevor du Zulieferer für dieses Unternehmen sein darfst.
 
Fairerweise muss man sagen: Eine Firma, die keinen Notfallplan hat, falls ihre Systeme die das Kerngeschäft tragen, nach einem Update nicht mehr booten, hat an anderer Stelle schon grob versagt.

Bei uns hats viele Clients erwischt, Clients ist halt nen Thema, klar hat man eine gewisse Menge Reservegeräte rumliegen, aber da gibts grenzen. Und teilweise hat man die reserve "reduziert" in dem man die erstmal als der Fehler noch aktiv war gebootet hat ... UPS sind auch betroffen.

Ich hätte ein paar Ideen (Auch gute) aber ich die worden halt nie von höheren Ebenen in Betracht gezogen (z.B. ein per PXE zu bootendes Linux mit nen paar Basisapplikationen)
 
Letztendlich geht es nicht um technische Aspekte, es geht um Corporate Compliance. Oder weniger freundlich gesagt, bringt der örtliche Schlipsi seinen Arsch in Sicherheit. Er kann immer sagen: "Ich habe durchgesetzt, dass die weltweit führende Sicherheitssoftware CrowdStrike Falcon installiert wird."

Das ist genau der Bullshit von dem sich diverse Firmen mit irgendwelchen defekten fragwürdigen Sicherheitsprodukten ernähren. Angefangen von Fortinet, die gefühlt alle zwei Monate ne Lücke mit CVEE Score 10.0 haben, bis hin zu SecurePoint (Hallo, CDU!) mit ihrer Empfehlung das eigene Produkt durch ein weiteres Produkt abzusichern. Und es ist auch genau dieses pseudosichere Schlangenöl und die damit verbundene Denkweise, die zu all der Scheiße da draußen führt. Von Ransomware, über die ständigen desaströsen Datenleaks, bis hin zur Finanzierung von Nordkoreas Atomprogramm. Aber hey, NIS2 wird das bestimmt alles besser machen.
 
Ich frag' mich ja sowieso, wie man sich so 'ne Malware wie CrowdStrike ins Haus holen kann.
Bei ner Deutschen GmbH mit ner US-Mutter wars nach Aufkauf salopp zusammengefaßt folgendermaßen, ich denke das wird überall ähnlich laufen:

Es kamen Auditoren aus USofA eingeflogen, blieben ne Woche oder zwei, dann gabs nen Stapel Aktenordner mit deren Bericht und ne Liste zum abarbeiten, u.a. mit genauen Anweisungen, was für Software im GmbH Netzwerk (nach)installiert werden musste, damit man "den globalen Standard erreicht".
Widerstand (auch vom BR) zwecklos.

Über die Jahre fiel ihnen (im US-HQ) dann immer wieder aufs Neue dieses oder jenes ein, was global noch ausgerollt werden musste, grad und gerne SW oder Appliances aus der Schlangenöl- bzw Überwachungsabteilung.
 
Bei uns hats viele Clients erwischt, Clients ist halt nen Thema, klar hat man eine gewisse Menge Reservegeräte rumliegen, aber da gibts grenzen. Und teilweise hat man die reserve "reduziert" in dem man die erstmal als der Fehler noch aktiv war gebootet hat ... UPS sind auch betroffen.

Ich hätte ein paar Ideen (Auch gute) aber ich die worden halt nie von höheren Ebenen in Betracht gezogen (z.B. ein per PXE zu bootendes Linux mit nen paar Basisapplikationen)

Clientsysteme kann man glaub ich nie wirklich 100% Ausfallsicher (auch auch nur 99.999%) betreiben, bzw. lohnt sich der Aufwand sogut wie nie. Aber wieso eine Fluggesellschaft ihre Server, über die das Passagierhandling am Flughafen passiert, nicht gegen sowas sichert ist mir schleierhaft. Oder ein Zahlungsdienstleister die Server, welche die Zahlungen abwickeln.

Stehen die Clients langweilen sich die MA und man verliert etwas Geld, stehen die Server für das Kerngeschäft steht bei den Kunden alles, die ärgern sich und ev. gibts auch Schadenersatzansprüche.
 
Aber auch das all Firmen potentiell "gefangen" sind auf unsichere Windows + Office Systeme.

Ich hab die Alternativen dazu bereits in der Praxis gesehen - und die sind nicht wirklich besser, zumindest aus Sicht der Leute, die beim Aufräumen helfen, wenn unweigerlich etwas passiert. Man kann über das Ökosystem von Microsoft sagen was man möchte, aber du bist im Regelfall zumindest nicht komplett aufgeschmissen, wenn du Forensik machen möchtest. Es gibt robustes, frei verfügbares Tooling dafür (dass es das Tooling gibt weil es so viele Sicherheitsvorfälle gibt bei denen genau der von dir beschriebene Technik-Stack zum Einsatz kommt .. andere Büchse der Pandora).

Wenn du Glück hast, dann ist unter Linux zentrales Logging aktiviert, vielleicht läuft sogar ein nicht komplett fehlkonfigurierter auditd. Das war's aber auch schon. Memory Forensik? Da musst du Glück haben, dass ein passendes Profil für Volatility da ist. Unter macOS hast du eigentlich genau zwei Möglichkeiten. Du kannst entweder ernsthafte Mengen Geld für kommerzielle Software ausgeben oder über weiteste Teile aufgeben und versuchen, so viel wie möglich über Netzwerkforensik herauszufinden. Unter Windows bist du vor dem Angriff am Arsch. Bei anderen Betriebssystemen danach. :ugly:

Aber hey, NIS2 wird das bestimmt alles besser machen.

Wird NIS2 alles besser machen? Nein, dafür ist die Situation aus den verschiedensten Gründen über die letzten zwanzig Jahre (fast schon fahrlässig) an die Wand gefahren worden. Aber NIS2 ist ein großer, wichtiger Schritt nach vorne. Ich bin in meinem Heimatland peripher(st) an der Umsetzung der NIS2-Richtlinie in nationales Recht "beteiligt" (aka ich höre regelmäßig die fliegenden Fetzen zwischen Jurist:innen und Techniker:innen). Und die Art und Weise, wie manche Branchen, Unternehmen, Organisationen und sogar Bundesländer mit Händen, Füßen und kreativsten Ausreden versuchen, sich aus der Verantwortung zu stehlen zeigt sehr deutlich, wie sehr die Dinge im Argen liegen.

Es gibt endlich absolute Mindeststandards für technische Sicherheitsmaßnahmen. Die im Rahmen unabhängiger, staatlicher Audits geprüft werden. Und nicht reine Papiertigerei wie ISO27001 und Konsorten, bei denen die zu auditierende Firma den Auditor zahlt - der sich natürlich das Geschäft nicht vermiesen will und dementsprechend höchst zahm ist. Es gibt endlich Meldepflichten, bei deren Verletzung tatsächlich spürbare Konsequenzen drohen Zum Vergleich: die einzig mir hierzulande bekannte verhängte Strafe wegen eines Verstoßes gegen NIS1 betrug 20 Euro. Nicht 20 Millionen, nicht 20.000. Zwanzig Euro.

Und auch für (vor allem) nationale CSIRTs, die in vielen Mitgliedsstaaten immer noch mit teilweise lächerlichen Problemen konfrontiert sind, weil es für das Konzept eines CERT / CSIRT keinerlei rechtliche Rahmenbedingungen gibt. Um ein Beispiel für die Lächerlichkeit zu bringen: Androhung von Beugehaft weil man den Melder einer Sicherheitslücke nicht preisgeben will. Oder Klagedrohungen wegen eines HEAD-Requests. Von der Finanzierung solcher Institutionen ganz zu schweigen. Bei weitem nicht alle Länder sind mit einem BSI gesegnet .. oder verflucht, wer weiß das schon. :D

NIS2 hat einen Haufen Probleme. Einen riesigen Haufen Probleme. Vor allem auch den unnötigen Bürokratieapparat, den sich manche Länder da heranzüchten. Aber ich bin froh, dass sich zumindest irgendwas in der Richtung bewegt, was nicht nur reine Lippenbekenntnisse sind.
 
Stehen die Clients langweilen sich die MA und man verliert etwas Geld, stehen die Server für das Kerngeschäft steht bei den Kunden alles, die ärgern sich und ev. gibts auch Schadenersatzansprüche.

Hmmm wenn dein Kerngeschäft darin besteht das Mitarbeiter an den Clients arbeiten ist das uu anders.

z.B. in der Logistik oder im nicht-online Verkauf. Das ist bei uns der Fall ;)

/edit Andere Branche, aber stell dir Aldi ohne laufende Kassensysteme vor - die können die Läden dann auch dichtmachen bis es wieder läuft.
 
Hmmm wenn dein Kerngeschäft darin besteht das Mitarbeiter an den Clients arbeiten ist das uu anders.

z.B. in der Logistik oder im nicht-online Verkauf. Das ist bei uns der Fall ;)

/edit Andere Branche, aber stell dir Aldi ohne laufende Kassensysteme vor - die können die Läden dann auch dichtmachen bis es wieder läuft.

Ja, da ist das dann antürlich schwierig umzusetzen, da geb ich dir schon recht.

Aber vielleicht wäre jetzt der perfekte Zeitpunkt, dein PXE Image nochmal zu pitchen :)
 
Man kann über das Ökosystem von Microsoft sagen was man möchte, aber du bist im Regelfall zumindest nicht komplett aufgeschmissen, wenn du Forensik machen möchtest.
Du kommst natürlich auch eher in die Verlegenheit es dort auch zu brauchen. :-)

Die Systeme und die Software ist architektonisch suboptimal und gleichzeitig ach so so komplex, das Du die kaum sicher betreiben kannst. Und gerade Komplexität stellt immer wieder ein Security-Problem dar. Um das zu beherrschen (beherrschen zu wollen), wirft man in Form von allen möglichen Dingen noch mehr Komplexität drauf, womit man das Problem verschlimmert. Und zwar richtig verschlimmert, weil Steigerung der Komplexität nicht zu einer linearen Steigerung der potentiellen (Sicherheits-)probleme führt, sondern das exponentiell ist.
Und nicht mal Microsoft selbst kriegt ja sein Kram sicher betrieben, wie wir aus Sicherheitsvorfällen in der Vergangenheit gesehen haben.

Wir haben da also ein riesigen dampfenden Haufen und dann tun wir ein paar Wässerchen drüber, damit der nicht mehr so streng riecht und versichern uns gegenseitig über Compliance, das wir kein Ärger dafür bekommen. Und alle reden nur, welche Art von Wässerchen wir nehmen und was wir bei der Schuldabwälzung/Compliance noch besser machen können. Keiner spült aber den Haufen mal das Klo runter.

Wird NIS2 alles besser machen? Nein
Ich bin mir ziemlich sicher, das das ironisch gemeint war.

Es gibt endlich absolute Mindeststandards für technische Sicherheitsmaßnahmen.
Das ist zwar nett. Es fehlt aber der Anreiz mehr zu machen als nur das absolut Notwendige. Insbesondere wenn es einen dann noch Zeit mit "Papierkram" bindet, die halt zur Erhöhung der Sicherheit fehlt.
Ich denke, es braucht mehr. Denn keiner macht ohne Druck freiwillig mehr.

NIS2 hat einen Haufen Probleme. Einen riesigen Haufen Probleme.
Ich würde sagen, NIS-2 funktioniert so wie gewollt.
Natürlich bringt es für die Sicherheit eher wenig. Ich habe das Gefühl darum geht es bei solchen Dingen ja auch gar nicht. Sondern es ist ein Mittel für große Konzerne sich unangenehme kleine Konkurrenz vom Leib zu halten, die sich den Bürokratieblödsinn eben nicht leisten können.
 
Zurück
Oben