O arquivo da CrowdStrike que quebrou tudo estava cheio de caracteres nulos?

Comentários do Hacker News

• Se esse sistema estava em um caminho crítico, não deveria ter passado pelo pipeline de C/I

  • Não sou rígido com testes automatizados, mas um sistema com esse nível de importância precisa de um controle de estado muito bom
  • Não se deve fazer rollout para produção sem testes de integração em todos os ambientes
  • Não faz sentido que não exista um servidor de staging ou de testes de desenvolvimento para testar todas as imagens de destino suportadas por essa empresa
  • Acho que a liderança dessa empresa é incompetente

• Os dois grandes colapsos técnicos foram ambos problemas de "software de segurança"

  • Tanto o hack da SolarWinds quanto este caso envolveram empresas sediadas em Austin
  • Pessoas do tipo "hacker" abrem empresas de software de segurança, mas odeiam implementar uma cultura orientada a processos
  • A SolarWinds tinha uma cultura de segurança muito ruim
  • É bem provável que a causa raiz deste incidente também seja um processo de implantação rápido e frouxo

• O lado positivo deste desastre é a possibilidade de repensar o acesso em nível de kernel

  • Uma empresa aleatória de jogos não é boa o bastante para escrever software anticheat em nível de kernel

• Isso parece o segundo ou terceiro arquivo de teste que alguém de QA tentaria

  • É um mercado em que empresas tecnicamente competentes não levam vantagem sobre as incompetentes
  • Li sobre o caso Craig Wright, e ele não tinha nem competência técnica básica na área em que afirmava ser um especialista de classe mundial
  • George Kurtz já causava esse mesmo tipo de problema quando era CTO da McAfee
  • A CrowdStrike causou o mesmo problema no Debian Stable há 3 meses
  • É terrível que as regras de conformidade PCI tenham enfiado CrowdStrike e antivírus em quase todos os aspectos da infraestrutura de TI atual

• O fato de este arquivo estar cheio de zeros não significa que ele já foi distribuído assim

• Esse bug existia no driver de kernel há anos e foi acionado por dados incorretos

  • A configuração de testes da CrowdStrike estava ok para esses próprios dados de configuração, mas não conseguiu detectar isso antes de enviar para produção
  • Espero que publiquem um relatório post-mortem explicando o que vão fazer para evitar esse problema

• Segundo Kevin Beaumont, há a alegação de que o arquivo era diferente para cada cliente

• É possível que esses arquivos não sejam o conteúdo original dos arquivos

  • Alguém pode ter tentado sobrescrever o arquivo incorreto com um arquivo todo zerado
  • Pode ter sido uma tentativa de interromper a distribuição do patch real porque o QA foi contornado

• No passado, já houve caso em que software de segurança substituiu arquivos por zeros e interrompeu a compilação de software

  • O linker não conseguia abrir o arquivo e substituía o código-objeto por zeros sem erro
  • O problema foi identificado ao abrir o depurador e ver grandes trechos do código-objeto substituídos por zeros

• Publicação encontrada no fórum de tecnologia do 4chan

  • CSAgent.sys é o driver de kernel que faz o parsing dos arquivos de definição de vírus da CrowdStrike
  • A CrowdStrike não conseguiu lidar com um arquivo incorreto de definição de vírus
  • O servidor web começou a fornecer um arquivo incorreto de definição de vírus
  • CSAgent.sys carrega o arquivo incorreto de definição de vírus e trava
  • O computador reinicia com BSOD (tela azul)
  • CSAgent.sys recarrega o arquivo incorreto de definição de vírus e trava
  • Um bug no CDN fez com que o driver de kernel causasse o problema
  • Aumentar a verificação de tamanho e o tamanho do buffer de CSAgent.sys para que futuros arquivos incorretos de definição de vírus não provoquem travamento