hadicanim
Aktif Üye
Geçtiğimiz Cuma günü yaşanan büyük BT kesintisinin nedenini günlerce düşündükten sonra, suçlu, ABD güvenlik şirketi CrowdStrikes, artık saklandığı yerden çıkıyor. Falcon yazılımının üreticisi, ön analizinde mavi ekranların 8 milyondan fazla Windows bilgisayarda nasıl meydana gelebileceğini açıklıyor. Ancak, daha yakından incelendiğinde, birçok soru cevapsız kalıyor.
Reklamcılık
19 Temmuz 2024'te CrowdStrike'tan otomatik olarak yüklenen hatalı bir güncelleme dünya çapında BT kesintilerine neden oldu. Konuyla ilgili önemli makaleleri burada bulabilirsiniz:
“Falcon Sensörü”ndeki programlama hatasının araştırılması güvenlik sahnesi için bir hafta sonu etkinliği haline geldi. Bir uzman değerlendirmesini yayınladığı anda, diğerleri konuştu – güvenlik amaçlı çok amaçlı silah Tavis Ormandy'den Windows emektarı David Plummer'a kadar. Ormandy, bunun bir “null pointer exception” olduğu varsayımını baştan reddetmişti – ve haklı olduğu kanıtlandı: CrowdStrike'ın analizine göre, kitlesel BSoD'ler (Ölümün Mavi Ekranı), Falcon Sensöründeki sınır dışı bellek okuma hatası tarafından tetiklendi. Bu, kötü amaçlı yazılımlara ve saldırılara karşı koruma sağlamak için bir Windows sürücüsü kullanan işletim sisteminin derinliklerine yerleştirilmiş bir izleme programıdır.
Peki bu ölümcül erişim hatası nasıl ortaya çıktı ve sorun neden ancak milyonlarca bilgisayarı etkilediğinde keşfedildi? Şirket bu soruları yalnızca bir sürü ön şakayla yanıtlıyor. CrowdStrike, birkaç ekranda okuyucuya ürünleri için kapsamlı test ve kalite güvence prosedürleri olduğunu bildiriyor – ancak ne yazık ki, çökmeye yol açan dosyalar için değil.
Bunlar dahili olarak “Hızlı Yanıt İçeriği” olarak adlandırılır ve şüpheli kalıpları süreçlerde veya bellekte tespit etmek için ikili bir biçimde anahtar-değer çiftleri içerir. Virüs tarayıcılarındaki imza güncellemelerine benzer şekilde, bu “Hızlı Yanıt” verileri günde birkaç kez güncellenir – sensör yazılımındaki güncellemelerden farklı olarak, yöneticiler şu anda bu güncellemeyi bir yapılandırma ayarı aracılığıyla engelleyemez.
CrowdStrike, sensör yazılımındaki güncellemeleri, yani program ve sürücü kodunu kapsamlı bir şekilde test ettiğini ve bunları “dogfood” ettiğini söylüyor – yani, “kendi köpek mamasını ye” ifadesine uygun olarak kendi şirketinde kullanıyor. Ancak, hızlı yanıt dosyaları ile müşteri sistemleri arasında yalnızca bir ayrıştırıcı, “içerik doğrulayıcı” var. Geliştiriciler, mini güncellemelerin yayınlanmadan önce doğru sözdizimini kontrol etmek için bunu kullanır – ve bir programlama hatası nedeniyle, doğrulayıcı bozuk dosyayı sallamıştır.
Güncelleme verileri için zayıf sözdizimi denetimi
Hızlı yanıt imzaları doğrulayıcı tarafından onaylandıktan sonra, test sistemlerinde güncellemelerin test edilmesi, kapalı bir “dost kullanıcı” grubunun hedefli güncellenmesi, “dogfooding” ve kademeli güncelleme süreci yoktur. Şirket, CrowdStrike'ın ürününün diğer bölümleri için uzun uzun açıkladığı tüm bu önlemlerin içerik güncellemeleri için neden mevcut olmadığı konusunda sessiz kalmaktadır.
Daha da kötüsü, Falcon sensörü özensizce kontrol edilen dosyaları hatalar veya sözdizimi açısından kontrol etmeden okuyor ve yanlış veriler nedeniyle yanlış bellek segmentine erişiyor. Falcon sensörü bir Windows sistem sürücüsü olarak uygulandığından, yalnızca sensör programı çökmekle kalmıyor, aynı zamanda tüm sistemi de beraberinde aşağı çekiyor. Sürücü, bilgisayarın henüz bir İnternet bağlantısına sahip olmayabileceği bir zamanda sistem başlatma sırasında yüklendiğinden, bilgisayar yeniden başlatıldığında bir sonraki mavi ekrana neden oldu. Çoğu durumda, yalnızca manuel kurtarma önlemleri yardımcı oldu. Ancak CrowdStrike, bozuk bir dosyanın neden bir bellek erişim hatasına ve sonsuz bir sistem çökmesi döngüsüne neden olabileceğini bilmiyor.
Bu, acı bir tat bırakıyor: Sorumlu kişi kesintinin nedeni hakkında bilgiyi yalnızca küçük parçalar halinde açıklıyor, bu da Microsoft'un geçen yıl Azure felaketi sırasında uyguladığı iletişim stratejisini anımsatan bir salam taktiği. Şirket, soruşturma tamamlandığında daha fazla analiz yayınlayacağına söz veriyor.
Daha fazla test – neden şimdi?
Bu tür sorunların tekrar yaşanmasını önlemek için CrowdStrike, gelecekte “Hızlı Tepki” güncellemelerini test etme sözü veriyor. Önlemler listesi, geliştiriciler tarafından yerel testler, bulanıklaştırma ve kararlılık testleri gibi başka yerlerde bahsedilmeye değmeyen adımları içeriyor. CrowdStrike, tüm bu adımları tanıtmak istediğini yazıyor – bu da şu anda mevcut olmadıkları anlamına geliyor.
Şirket, güncellemeleri yayınlarken kısa aralıklarla güncellenen “Hızlı Yanıt” verileri için kademeli bir güncelleme sürecine geçmeyi, bu süreci izlemeyi ve müşterilerin güncellemeleri kontrol edebilmelerini, gerektiğinde engelleyebilmelerini ve ek sürüm notlarına erişebilmelerini sağlamayı planlıyor.
BSI yakın zamanda kendi talepleriyle tartışmaya girdi, bunlardan bazıları CrowdStrike'ın önlemler listesiyle örtüşüyor. Ancak, hafta sonunu bilgisayarları kendileri canlandırmakla geçirmiş olabilecek yöneticilerin, vaatlere veya gönülsüz teknik analizlere sempati duymaları pek olası değil. Ve güvenlik görevlileri, milyonlarca Windows PC için sistem açısından kritik, zorunlu güncellemeler söz konusu olduğunda temel kalite kontrol önlemlerini bile almayan bir şirkete körü körüne güvenmeleri gerekip gerekmediğini kendilerine soracaklar.
(ÇK)
Reklamcılık
19 Temmuz 2024'te CrowdStrike'tan otomatik olarak yüklenen hatalı bir güncelleme dünya çapında BT kesintilerine neden oldu. Konuyla ilgili önemli makaleleri burada bulabilirsiniz:
“Falcon Sensörü”ndeki programlama hatasının araştırılması güvenlik sahnesi için bir hafta sonu etkinliği haline geldi. Bir uzman değerlendirmesini yayınladığı anda, diğerleri konuştu – güvenlik amaçlı çok amaçlı silah Tavis Ormandy'den Windows emektarı David Plummer'a kadar. Ormandy, bunun bir “null pointer exception” olduğu varsayımını baştan reddetmişti – ve haklı olduğu kanıtlandı: CrowdStrike'ın analizine göre, kitlesel BSoD'ler (Ölümün Mavi Ekranı), Falcon Sensöründeki sınır dışı bellek okuma hatası tarafından tetiklendi. Bu, kötü amaçlı yazılımlara ve saldırılara karşı koruma sağlamak için bir Windows sürücüsü kullanan işletim sisteminin derinliklerine yerleştirilmiş bir izleme programıdır.
Peki bu ölümcül erişim hatası nasıl ortaya çıktı ve sorun neden ancak milyonlarca bilgisayarı etkilediğinde keşfedildi? Şirket bu soruları yalnızca bir sürü ön şakayla yanıtlıyor. CrowdStrike, birkaç ekranda okuyucuya ürünleri için kapsamlı test ve kalite güvence prosedürleri olduğunu bildiriyor – ancak ne yazık ki, çökmeye yol açan dosyalar için değil.
Bunlar dahili olarak “Hızlı Yanıt İçeriği” olarak adlandırılır ve şüpheli kalıpları süreçlerde veya bellekte tespit etmek için ikili bir biçimde anahtar-değer çiftleri içerir. Virüs tarayıcılarındaki imza güncellemelerine benzer şekilde, bu “Hızlı Yanıt” verileri günde birkaç kez güncellenir – sensör yazılımındaki güncellemelerden farklı olarak, yöneticiler şu anda bu güncellemeyi bir yapılandırma ayarı aracılığıyla engelleyemez.
CrowdStrike, sensör yazılımındaki güncellemeleri, yani program ve sürücü kodunu kapsamlı bir şekilde test ettiğini ve bunları “dogfood” ettiğini söylüyor – yani, “kendi köpek mamasını ye” ifadesine uygun olarak kendi şirketinde kullanıyor. Ancak, hızlı yanıt dosyaları ile müşteri sistemleri arasında yalnızca bir ayrıştırıcı, “içerik doğrulayıcı” var. Geliştiriciler, mini güncellemelerin yayınlanmadan önce doğru sözdizimini kontrol etmek için bunu kullanır – ve bir programlama hatası nedeniyle, doğrulayıcı bozuk dosyayı sallamıştır.
Güncelleme verileri için zayıf sözdizimi denetimi
Hızlı yanıt imzaları doğrulayıcı tarafından onaylandıktan sonra, test sistemlerinde güncellemelerin test edilmesi, kapalı bir “dost kullanıcı” grubunun hedefli güncellenmesi, “dogfooding” ve kademeli güncelleme süreci yoktur. Şirket, CrowdStrike'ın ürününün diğer bölümleri için uzun uzun açıkladığı tüm bu önlemlerin içerik güncellemeleri için neden mevcut olmadığı konusunda sessiz kalmaktadır.
Daha da kötüsü, Falcon sensörü özensizce kontrol edilen dosyaları hatalar veya sözdizimi açısından kontrol etmeden okuyor ve yanlış veriler nedeniyle yanlış bellek segmentine erişiyor. Falcon sensörü bir Windows sistem sürücüsü olarak uygulandığından, yalnızca sensör programı çökmekle kalmıyor, aynı zamanda tüm sistemi de beraberinde aşağı çekiyor. Sürücü, bilgisayarın henüz bir İnternet bağlantısına sahip olmayabileceği bir zamanda sistem başlatma sırasında yüklendiğinden, bilgisayar yeniden başlatıldığında bir sonraki mavi ekrana neden oldu. Çoğu durumda, yalnızca manuel kurtarma önlemleri yardımcı oldu. Ancak CrowdStrike, bozuk bir dosyanın neden bir bellek erişim hatasına ve sonsuz bir sistem çökmesi döngüsüne neden olabileceğini bilmiyor.
Bu, acı bir tat bırakıyor: Sorumlu kişi kesintinin nedeni hakkında bilgiyi yalnızca küçük parçalar halinde açıklıyor, bu da Microsoft'un geçen yıl Azure felaketi sırasında uyguladığı iletişim stratejisini anımsatan bir salam taktiği. Şirket, soruşturma tamamlandığında daha fazla analiz yayınlayacağına söz veriyor.
Daha fazla test – neden şimdi?
Bu tür sorunların tekrar yaşanmasını önlemek için CrowdStrike, gelecekte “Hızlı Tepki” güncellemelerini test etme sözü veriyor. Önlemler listesi, geliştiriciler tarafından yerel testler, bulanıklaştırma ve kararlılık testleri gibi başka yerlerde bahsedilmeye değmeyen adımları içeriyor. CrowdStrike, tüm bu adımları tanıtmak istediğini yazıyor – bu da şu anda mevcut olmadıkları anlamına geliyor.
Şirket, güncellemeleri yayınlarken kısa aralıklarla güncellenen “Hızlı Yanıt” verileri için kademeli bir güncelleme sürecine geçmeyi, bu süreci izlemeyi ve müşterilerin güncellemeleri kontrol edebilmelerini, gerektiğinde engelleyebilmelerini ve ek sürüm notlarına erişebilmelerini sağlamayı planlıyor.
BSI yakın zamanda kendi talepleriyle tartışmaya girdi, bunlardan bazıları CrowdStrike'ın önlemler listesiyle örtüşüyor. Ancak, hafta sonunu bilgisayarları kendileri canlandırmakla geçirmiş olabilecek yöneticilerin, vaatlere veya gönülsüz teknik analizlere sempati duymaları pek olası değil. Ve güvenlik görevlileri, milyonlarca Windows PC için sistem açısından kritik, zorunlu güncellemeler söz konusu olduğunda temel kalite kontrol önlemlerini bile almayan bir şirkete körü körüne güvenmeleri gerekip gerekmediğini kendilerine soracaklar.
(ÇK)