Je pěkné, že si CrowdStrike sype popel na hlavu, ale reakce Microsoftu ve stylu "my za nic nemůžeme" by si myslím zasloužila podstatně víc pozornosti.
Je evidentně něco zásadně koncepčně špatně v architektuře operačního systému, který lze shodit aktualizací aplikace v user-space, tím spíš, když problém údajně nezpůsoboval ani driver. K čemu je pak dobrá obnova systému, když nedokáže takový problém vyřešit...
Rozhodně je to do budoucna velmi zajímavý vektor útoku na infrastrukturu.
Tak ono je k diskuzi, zda-li system s nefunkcnim bezpecnostnim prvkem ma "aspon nejak" fungovat... nebo radeji nefungovat vubec. A fakt to neni jen o jedne firme. Tu otazku jde polozit naprosto obecne... ja treba radsi budu chvili doma o svickach, nez abych sazel na kumst a hrdinstvi borcu typu Anatolije Stepanovice Datlova. Ono tech chyb, co uz historicky nasekal lidsky faktor malo fakt neni.
Zajimavy vektor utoku na infrastrukturu by to byl i v pripade, kdyby se chybne fungujici komponenta zcela "preskocila" a nechala system deravy, ze?
V době, kdy na elektronických systémech závisí velmi závažné činnosti jako řízení letového provozu nebo nemocnice, by mělo být hlavním zájmem udržet systém co nejbezpečnější ale také v provozu.
Takže místo těžko představitelného scénáře "přeskočit chybně fungující komponentu" bych očekával využití už existujícího (byť nefunkčního) přístupu revertnutí změn zmršené aktualizace do posledně známé funkční konfigurace po opakovaném neúspěšném bootu.
Pokud už se oháníme jménem Anatolije Ďatlova, tak by stálo za úvahu, že shození řídícího systému jaderné elektrárny do bluescreenu a nemožnost elektrárnu řídit by jistě byla větší problém, než revertnutí nefunkční aktualizace. Ale co chtít v systému, který mi je schopný psát 15 minut v kuse "Vyčkejte, vše pro vás připravujeme" místo toho, aby dal uživateli informaci, že už 15 minut visí na stále nepřicházející odezvě ze sítě...
Jinak tedy souhlasím, že ta neustálá hektičnost a nesmyslně urychlená komunikace a zkratkovitá řešení nás pozvolna ničí. Ale zrovna v tomto případě ta zkratkovitost nespočívá v tom, že by mělo být ok nechat pár dní čekat tisíce lidí na letištích a ve špitálech, ale v tom, že kontrola aktualizace měla dostat svůj čas. Ono jak se ukazuje, ti potenciální útočníci si vždycky najdou kreativně nějaký způsob, jak situace zneužít. Na Rootu psali moc zajímavou informaci, kolik podvodných domén s "řešením" problému stihlo vzniknout včetně toho, že útočníci v latinské americe pod záminkou zasílání opravy šířili malware...
Vsak letadla kvuli Crowdstrike nepadala ani kvuli tomu nevybouchnul zadny reaktor, ze? ;-) Ve skutecnosti se stalo par neprijemnosti z kategorie "no boze, zitra je taky den". Ano, clovek by asi nechtel byt v te dobe na letisti, na druhou stranu tam se dejou i horsi veci... staci blby overbooking, ze? Ve finale tam zkejstete zrovnatak.
Jaderná elektrárna je projektovaná tak, aby výpadek řídícího systému vede do bezpečného stavu, i za cenu zastavení výroby elektřiny. Tedy přesně to, co psal Danny – raději bezpečnost než za každou cenu zachovat nebezpečný provoz. Navíc ten hlavní řídící systém elektrárny asi nebude jeden, ale bude tam stejný záložní, který se neaktualizuje hned spolu s hlavním. A věci podstatné pro bezpečnost elektrárny se dají řídit i bez toho řídícího systému.
Revertnutí změn po nepovedené aktualizaci v tomhle případě také nebude triviální. Aktualizován byl běžný datový soubor. Asi byste nechtěl, aby vám návrat k předchozímu stavu systému smazal i všechna uživatelská data. Takže by to znamenalo, že by běžná aplikace v uživatelském prostoru musela umět zaregistrovat některé soubory, že jsou součástí systémových snapshotů. Navíc takové snapshoty by vznikaly několikrát denně – je otázka, zda je na to systém systémových snapshotů Windows stavěn.
Řešitelné to je, ale dosud asi nikdo neměl takovou potřebu – zejména když tu potřebu mají externí firmy, ale naimplementovat to musí Microsoft.
A co se týče kontroly aktualizace – pořád zapomínáte na to, že je to aktualizace definic bezpečnostního softwaru. Každá minuta zdržení znamená, že někde projde útok, který už umíte zastavit. To neznamená, že se má nová verze vyrolovat ven za každou cenu bez otestování – ale váš přístup, že vůbec neberete ohled na čas, je opačný extrém.
Ono jak se ukazuje, ti potenciální útočníci si vždycky najdou kreativně nějaký způsob, jak situace zneužít. Na Rootu psali moc zajímavou informaci, kolik podvodných domén s "řešením" problému stihlo vzniknout včetně toho, že útočníci v latinské americe pod záminkou zasílání opravy šířili malware...
Tohle ale není argument proti aktualizacím. Tohle je argument jenom pro potřebu vzdělávání lidí ohledně práce s informacemi. Útočníci si vždycky najdou nějakou záminku. A třeba sopkám, zemětřesení, tornádům, erupcím na Slunci a dalším přírodním jevům asi těžko budete vysvětlovat, že musí myslet na to, že jejich akce může být záminkou pro podvodníky.