Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > ger.ct > #624154 > unrolled thread

Crowdstrike

Started by"Dr. Joachim Neudert" <neudert@5sl.org>
First post2024-07-19 10:26 +0200
Last post2024-08-03 13:44 +0200
Articles 20 on this page of 138 — 34 participants

Back to article view | Back to ger.ct


Contents

  Crowdstrike "Dr. Joachim Neudert" <neudert@5sl.org> - 2024-07-19 10:26 +0200
    Re: Crowdstrike Ulrich Weise <ulrich.weise@t-online.de> - 2024-07-19 11:30 +0200
    Re: Crowdstrike Ulrich Weise <ulrich.weise@t-online.de> - 2024-07-19 11:35 +0200
      Re: Crowdstrike "Dr. Joachim Neudert" <neudert@5sl.org> - 2024-07-19 11:39 +0200
        Re: Crowdstrike Goetz Schultz <ng.expire1225@goetz.co.uk> - 2024-07-19 10:53 +0100
          Re: Crowdstrike "Dr. Joachim Neudert" <neudert@5sl.org> - 2024-07-19 12:46 +0200
        Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-19 12:56 +0200
        Re: Crowdstrike Th.me@thomas-heier.de (Thomas Heier) - 2024-07-20 02:02 +0200
          Re: Crowdstrike Hermann Riemann <nospam.ng@hermann-riemann.de> - 2024-07-20 06:28 +0200
          Re: Crowdstrike Ulrich Weise <ulrich.weise@t-online.de> - 2024-07-20 10:49 +0200
        Re: Crowdstrike Bonita Montero <Bonita.Montero@gmail.com> - 2024-07-21 12:16 +0200
      Re: Crowdstrike Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-07-19 09:51 +0000
      Re: Crowdstrike Dr. Joachim Neudert <neudert@5sl.org> - 2024-07-19 11:53 +0000
        Re: Crowdstrike Ruediger Lahl <ruediger.lahl@gmx.de> - 2024-07-19 13:55 +0200
          Re: Crowdstrike Dr. Joachim Neudert <neudert@5sl.org> - 2024-07-19 11:59 +0000
        Re: Crowdstrike Frank Hucklenbroich <hucklenbroich@gmx.net> - 2024-07-20 17:05 +0200
      Re: Crowdstrike Bonita Montero <Bonita.Montero@gmail.com> - 2024-07-19 14:35 +0200
      Re: Crowdstrike Peter McD <peter.posts@gmx.net> - 2024-07-19 14:49 +0200
        Re: Crowdstrike Bonita Montero <Bonita.Montero@gmail.com> - 2024-07-19 15:04 +0200
          Re: Crowdstrike Georg Gruber <g.gruber_hauwech@gmx.net> - 2024-07-19 16:01 +0200
            Re: Crowdstrike Fidel Sebastián Hunrichse-Lara <Fidel-Sebastian_Hunrichse_Lara@b.maus.de> - 2024-07-19 16:15 +0200
            Re: Crowdstrike Michael Zink <michael@swamp.franken.de> - 2024-07-19 16:24 +0200
              Re: Crowdstrike Fidel Sebastián Hunrichse-Lara <Fidel-Sebastian_Hunrichse_Lara@b.maus.de> - 2024-07-19 19:46 +0200
            Re: Crowdstrike Bonita Montero <Bonita.Montero@gmail.com> - 2024-07-19 17:45 +0200
              Re: Crowdstrike Gunter Kühne <kuehne-g@freenet.de> - 2024-07-20 11:28 +0200
                Re: Crowdstrike Bonita Montero <Bonita.Montero@gmail.com> - 2024-07-20 14:52 +0200
        Re: Crowdstrike "Dr. Joachim Neudert" <neudert@5sl.org> - 2024-07-19 15:20 +0200
          Re: Crowdstrike Georg Gruber <g.gruber_hauwech@gmx.net> - 2024-07-19 16:03 +0200
          Re: Crowdstrike Michael Zink <michael@swamp.franken.de> - 2024-07-19 16:25 +0200
          Re: Crowdstrike Jörg Tewes <jogi1964@gmx.net> - 2024-07-19 23:11 +0200
          Re: Crowdstrike Gunter Kühne <kuehne-g@freenet.de> - 2024-07-20 11:29 +0200
          Re: Crowdstrike Joerg Walther <joerg.walther@magenta.de> - 2024-07-20 11:30 +0200
          Re: Crowdstrike Lars Gebauer <lgebauer@live.de> - 2024-07-20 11:59 +0200
          Re: Crowdstrike Ulf_Kutzner <Ulf.Kutzner@web.de> - 2024-07-27 05:58 +0000
        Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-20 00:25 +0200
      Re: Crowdstrike Michael Pachta <mipani@gmx.de> - 2024-07-19 20:09 +0200
        Re: Crowdstrike Hermann Riemann <nospam.ng@hermann-riemann.de> - 2024-07-20 06:37 +0200
      Re: Crowdstrike Shinji Ikari <shinji@gmx.net> - 2024-07-20 08:12 +0200
        Re: Crowdstrike Dr. Joachim Neudert <neudert@5sl.org> - 2024-07-20 09:46 +0000
    Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-19 12:53 +0200
      Re: Crowdstrike Jörg Tewes <jogi1964@gmx.net> - 2024-07-19 23:13 +0200
        Re: Crowdstrike "Wendelin Uez" <wuez@online.de> - 2024-07-20 11:24 +0200
          Re: Crowdstrike Dr. Joachim Neudert <neudert@5sl.org> - 2024-07-21 12:26 +0000
            Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-21 14:33 +0200
              Re: Crowdstrike Dr. Joachim Neudert <neudert@5sl.org> - 2024-07-21 12:35 +0000
    Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-07-19 22:59 +0200
      Re: Crowdstrike Jörg Tewes <jogi1964@gmx.net> - 2024-07-19 23:18 +0200
        Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-07-20 02:32 +0200
          Re: Crowdstrike Jörg Tewes <jogi1964@gmx.net> - 2024-07-20 13:06 +0200
        Re: Crowdstrike Heinz-Juergen Kronemeyer <meierdrei@protonmail.com> - 2024-07-20 11:19 +0200
          Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-20 11:31 +0200
            Re: Crowdstrike Heinz-Juergen Kronemeyer <meierdrei@protonmail.com> - 2024-07-20 17:23 +0200
              Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-21 11:39 +0200
                Re: Crowdstrike Heinz-Juergen Kronemeyer <meierdrei@protonmail.com> - 2024-07-21 18:27 +0200
                  Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-21 19:38 +0200
          Re: Crowdstrike Jörg Tewes <jogi1964@gmx.net> - 2024-07-20 13:16 +0200
            Re: Crowdstrike Heinz-Juergen Kronemeyer <meierdrei@protonmail.com> - 2024-07-20 17:32 +0200
            Re: Crowdstrike nobody@nowhere.invalid (Marc Olschok) - 2024-07-23 00:34 +0000
              Re: Crowdstrike Bernd Ohm <invalid@invalid.invalid> - 2024-07-23 09:14 +0200
                Re: Crowdstrike Peter McD <peter.posts@gmx.net> - 2024-07-23 12:38 +0200
                  Re: Crowdstrike Goetz Schultz <ng.expire1225@goetz.co.uk> - 2024-07-23 14:46 +0100
                    Re: Crowdstrike Lars Gebauer <lgebauer@live.de> - 2024-07-23 16:05 +0200
                    Re: Crowdstrike Bernd Ohm <invalid@invalid.invalid> - 2024-07-23 17:05 +0200
                      Re: Crowdstrike "Dr. Joachim Neudert" <neudert@5sl.org> - 2024-07-23 17:10 +0200
                        Re: Crowdstrike Georg Gruber <g.gruber_hauwech@gmx.net> - 2024-07-23 18:32 +0200
                          Re: Crowdstrike Bernd Ohm <invalid@invalid.invalid> - 2024-07-23 19:27 +0200
                            Re: Crowdstrike Dr. Joachim Neudert <neudert@5sl.org> - 2024-07-23 17:37 +0000
                              Re: Crowdstrike Bernd Ohm <invalid@invalid.invalid> - 2024-07-23 19:51 +0200
                              Re: Crowdstrike Bernd Ohm <invalid@invalid.invalid> - 2024-07-23 21:24 +0200
                            Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-23 20:00 +0200
                  Re: Crowdstrike Michael Zink <michael@swamp.franken.de> - 2024-07-23 17:48 +0200
      Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-07-19 23:54 +0200
        Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-07-20 00:59 +0200
          Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-07-20 10:49 +0200
            Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-07-23 15:32 +0200
              Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-07-24 08:58 +0200
                Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-24 09:30 +0200
                  Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-07-24 10:43 +0200
                    Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-24 13:59 +0200
                Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-07-25 03:29 +0200
        Re: Crowdstrike Lothar Kimmeringer <news201705@kimmeringer.de> - 2024-07-21 20:45 +0200
          Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-21 20:57 +0200
      Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-07-20 00:33 +0200
        Re: Crowdstrike Hermann Riemann <nospam.ng@hermann-riemann.de> - 2024-07-20 06:40 +0200
          Re: Crowdstrike Gunter Kühne <kuehne-g@freenet.de> - 2024-07-20 11:38 +0200
        Re: Crowdstrike Gunter Kühne <kuehne-g@freenet.de> - 2024-07-20 11:37 +0200
      Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-20 12:01 +0200
    Re: Crowdstrike Frank Hucklenbroich <hucklenbroich@gmx.net> - 2024-07-20 17:02 +0200
      Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-21 11:40 +0200
    Re: Crowdstrike "Wendelin Uez" <wuez@online.de> - 2024-07-20 11:17 +0200
    Re: Crowdstrike Peter McD <peter.posts@gmx.net> - 2024-07-22 15:10 +0200
      Re: Crowdstrike "Dr. Joachim Neudert" <neudert@5sl.org> - 2024-07-22 16:05 +0200
        Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-22 20:12 +0200
          Re: Crowdstrike Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2024-07-23 08:42 +0200
        Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-07-22 22:01 +0200
          Re: Crowdstrike Ulf_Kutzner <Ulf.Kutzner@web.de> - 2024-08-01 07:12 +0000
            Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-08-04 12:58 +0200
              Re: Crowdstrike "Dr. Joachim Neudert" <neudert@5sl.org> - 2024-08-04 13:06 +0200
                Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-04 13:35 +0200
                  Re: Crowdstrike Dr. Joachim Neudert <neudert@5sl.org> - 2024-08-04 11:56 +0000
                Re: Crowdstrike Ulrich D i e z <ud.usenetcorrespondence@web.de> - 2024-08-04 18:51 +0200
              Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-08-04 13:51 +0200
                Re: Crowdstrike Hendrik van der Heijden <hvdh@gmx.de> - 2024-08-04 14:12 +0200
                  Re: Crowdstrike "Dr. Joachim Neudert" <neudert@5sl.org> - 2024-08-04 14:17 +0200
                    Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-04 14:58 +0200
                      Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-08-04 15:13 +0200
                        Re: Crowdstrike Hendrik van der Heijden <hvdh@gmx.de> - 2024-08-04 16:17 +0200
                          Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-04 16:25 +0200
                            Re: Crowdstrike Hendrik van der Heijden <hvdh@gmx.de> - 2024-08-04 20:48 +0200
                              Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-04 20:55 +0200
                                Re: Crowdstrike Hendrik van der Heijden <hvdh@gmx.de> - 2024-08-04 21:16 +0200
                                  Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-04 23:32 +0200
                                  Re: Crowdstrike Ruediger Lahl <ruediger.lahl@gmx.de> - 2024-08-04 23:37 +0200
                                  Re: Crowdstrike Shinji Ikari <shinji@gmx.net> - 2024-08-04 23:47 +0200
                  Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-08-04 15:06 +0200
                Re: Crowdstrike "Jörg Tewes" <jogi1964@gmx.net> - 2024-08-04 23:18 +0200
        Re: Crowdstrike Michael Zink <michael@swamp.franken.de> - 2024-07-23 14:43 +0200
          Re: Crowdstrike Lars Gebauer <lgebauer@live.de> - 2024-07-23 15:24 +0200
            Re: Crowdstrike Michael Zink <michael@swamp.franken.de> - 2024-07-23 17:56 +0200
              Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-23 19:13 +0200
                Re: Crowdstrike Michael Zink <michael@swamp.franken.de> - 2024-07-23 21:39 +0200
                  Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-23 22:28 +0200
                    Re: Crowdstrike Michael Zink <michael@swamp.franken.de> - 2024-07-29 18:51 +0200
                      Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-07-29 19:17 +0200
                        Re: Crowdstrike Wolfgang  Εnzinger <we_usenet@nurfuerspam.de> - 2024-08-02 01:26 +0200
                          Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-02 07:42 +0200
                          Re: Crowdstrike Diedrich Ehlerding <diedrich.ehlerding@t-online.de> - 2024-08-02 09:38 +0200
                            Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-08-02 11:38 +0200
                            Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-02 12:25 +0200
                              Re: Crowdstrike Wolfgang  Εnzinger <we_usenet@nurfuerspam.de> - 2024-08-02 13:38 +0200
                                Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-02 16:37 +0200
                                  Re: Crowdstrike Wolfgang  Εnzinger <we_usenet@nurfuerspam.de> - 2024-08-02 16:55 +0200
                                    Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-02 17:39 +0200
                                      Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-08-02 18:50 +0200
                                        Re: Crowdstrike Wolfgang  Εnzinger <we_usenet@nurfuerspam.de> - 2024-08-02 19:35 +0200
                                        Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-02 21:47 +0200
                                          Re: Crowdstrike Hergen Lehmann <hlehmann-usenet24@snafu.de> - 2024-08-03 11:52 +0200
                                            Re: Crowdstrike Michael Bode <m.g.bode@web.de> - 2024-08-03 13:44 +0200

Page 6 of 7 — ← Prev page 1 2 3 4 5 [6] 7  Next page →


#625071

FromUlrich D i e z <ud.usenetcorrespondence@web.de>
Date2024-08-04 18:51 +0200
Message-ID<v8obiq$pn1t$1@solani.org>
In reply to#625053
Dr. Joachim Neudert schrieb:

> Am 04.08.24 um 12:58 schrieb Ulrich D i e z:

>> Interessant. Vielleicht stelle ich mich gerade bei der Internetrecherche
>> blöd an, aber ich habe selbst noch nicht viel gefunden, deshalb die
>> Frage: Hat der Chef von Delta, ich nehme an Ed Bastian, irgendwo
>> begründet, wie er die Sache aufdröselt und zu dem Ergebnis kommt, dass
>> es angebracht ist, gegen _beide_ vorzugehen?
>> Gab es da zB irgendwelche Verträge, denen zufolge Microsoft Probleme
>> beim Hochfahren von Maschinen/Cloud-Servern, die durch ungute Eingriffe
>> von Crowdstrike verursacht werden, irgendwie hätte abfangen müssen?
>> 
>> Mit freundlichem Gruß
>> 
> 
> Meinst Du es wurde zuvor  vertraglich geregelt, daß Crowdstrike Dir und 
> Deiner Firma  jederzeit und nach Gusto online unaufhaltsame 
> Software-Änderungen zusenden darf, die alle Deine Rechner mit einem 
> Bluescreen irreversibel abstürzen läßt und Dein gesamtes Kerngeschäft 
> tagelang ausfallen läßt?

Wieso sollte ich so etwas meinen? Wie kommst du auf diese Idee?

Bei dem Softwarezeug, das ich von Drittanbietern (nicht Microsoft) für
Endanwender kenne, ist es oft so, dass in den Nutzungsbedingungen
drinsteht, dass man einverstanden damit ist, dass Updates erfolgen.
Ggfs steht da auch drin, dass man einverstanden ist, dass die über
WindowsUpdate eingespielt werden.

Es würde mich wundern, wenn Crowdstrike die Updaterei in ihrem
Vertragswerk außen vorlassen würde.

> Ich könnte mir vorstellen, daß so ein Vertrag nicht existiert, und die 
> Klage daher Aussicht auf Erfolg hat. 

Bei einer Klage gegen Crowdstrike kann ich mir vorstellen, dass sie
Aussicht auf Erfolg hat.

Bei einer Klage gegen Microsoft nicht unbedingt.

Ich sehe da folgende Analogie:

Das Programm WindowsUpdate sei ein Briefkasten. Da kann Microsoft
Updates hinein legen. Der betreffende Rechner, auf dem WindowsUpdate
läuft, kann sie herausnehmen.

Microsoft bietet außerdem Drittunternehmen, zB CrowdStrike, den Service
an, dass die ihre Updates auch in diesen Briefkasten legen können,
sofern die Kunden dieser Drittunternehmen damit einverstanden sind.

Was Updates der Drittunternehmen angeht, ist Microsoft in dieser
Konstellation erst mal halt dafür verantwortlich, dass der Briefkasten
funktioniert und dass die Auslieferung über diesen Briefkasten
funktioniert (sofern der Briefkasten nicht seine Nutzbarkeit verliert
durch Ursachen/Gründe, die Microsoft nicht zu verantworten hat).

Es stellt sich die Frage, wer alles dafür verantwortlich ist, wenn ein
Drittunternehmen über diesen Briefkasten Briefbomben ausliefert.

Meines Erachtens ist Microsoft nur dann dafür mitverantwortlich, wenn
Microsoft gegenüber demjenigen, der WindowUpdate auch dafür nutzt, die
Updates des Drittunternehmens bei sich einzuspielen, die Verpflichtung
eingegangen ist, ggfs Briefbomben dieses Drittunternehmens abzufangen.

Und ich kann mir schon vorstellen, dass Microsoft so eine Verpflichtung
eingeht, wenn derjenige, der die Updates des Drittunternehmens auf seine
Rechner einspielen mag, genug dafür zahlt.

Aber wohl nur in dem Fall, dass auf Seiten von Microsoft so eine
Verpflichtung besteht, hätte auch eine Klage gegen Microsoft Erfolg.

Hätte beispielsweise irgendein WindowsDefender oder ähnliches das
fragliche CrowdStrike-Update abfangen müssen?

> Und Delta Airlines  ist ja nur eine 
> betroffene Firma.

Die für mich interessantere Frage ist, was welche Beteiligten welchen
anderen Beteiligten garantiert haben.

Mit freundlichem Gruß

Ulrich

[toc] | [prev] | [next] | [standalone]


#625056

FromHergen Lehmann <hlehmann-usenet24@snafu.de>
Date2024-08-04 13:51 +0200
Message-ID<dj64ok-8bkl.ln1@hergen.spdns.de>
In reply to#625052
Am 04.08.24 um 12:58 schrieb Ulrich D i e z:

> Gab es da zB irgendwelche Verträge, denen zufolge Microsoft Probleme
> beim Hochfahren von Maschinen/Cloud-Servern, die durch ungute Eingriffe
> von Crowdstrike verursacht werden, irgendwie hätte abfangen müssen?

Man könnte argumentieren, das ein Kernel-Treiber, welcher unsignierten 
und beliebig durch Dritte veränderbaren Code in den Kernel einschleust, 
niemals durch Microsoft hätte signiert werden dürfen und somit ein 
fahrlässiges Verschulden vorliegt.

Möglicherweise existieren auch Verträge, in denen Microsoft den Einsatz 
von Cloudstrike explizit als kompatibel und technisch geeignet 
abgesegnet hat. Dann trüge MS tatsächlich eine gewisse Mitverantwortung 
dafür, das diese zugesicherte Eigenschaft nicht erfüllt war.

In jedem Fall war das Fiasko so teuer, das es sich lohnt, auf eine 
rechtliche "fishing expedition" zu gehen und einfach mal auszuprobieren, 
wo man Geld bekommen kann. Würde mich nicht wundern, wenn da auch noch 
(weniger medienwirksam) der eine oder andere Berater verklagt wird.

[toc] | [prev] | [next] | [standalone]


#625058

FromHendrik van der Heijden <hvdh@gmx.de>
Date2024-08-04 14:12 +0200
Message-ID<v8nr85$pce8$1@solani.org>
In reply to#625056
Am 04.08.2024 um 13:51 schrieb Hergen Lehmann:
> 
> Man könnte argumentieren, das ein Kernel-Treiber, welcher unsignierten 
> und beliebig durch Dritte veränderbaren Code in den Kernel einschleust, 
> niemals durch Microsoft hätte signiert werden dürfen und somit ein 
> fahrlässiges Verschulden vorliegt.

Der schleust keinen Code ein. Das Update enthielt einen Satz Suchmuster,
kodiert als Datenstruktur. Die Struktur hat der Treiber bekommen.
Leider war dir Struktur fehlerhaft und der Parser-Code im Treiber
macht keine Validierung und war nicht fehlertolerant.


Hendrik vdH

[toc] | [prev] | [next] | [standalone]


#625059

From"Dr. Joachim Neudert" <neudert@5sl.org>
Date2024-08-04 14:17 +0200
Message-ID<v8nrgu$p10c$1@solani.org>
In reply to#625058
Am 04.08.24 um 14:12 schrieb Hendrik van der Heijden:

> Der schleust keinen Code ein. Das Update enthielt einen Satz Suchmuster,
> kodiert als Datenstruktur. Die Struktur hat der Treiber bekommen.
> Leider war dir Struktur fehlerhaft und der Parser-Code im Treiber
> macht keine Validierung und war nicht fehlertolerant.
> 
> 
> Hendrik vdH
> 

ah-hmm.

Liest sich so ähnlich für mich wie die bekannte Argumentation:
"Guns don't kill people. People kill people."

Ist zwar alles richtig, dennoch...

Gruß

Joachim

[toc] | [prev] | [next] | [standalone]


#625062

FromMichael Bode <m.g.bode@web.de>
Date2024-08-04 14:58 +0200
Message-ID<lh9c74FckbsU1@mid.individual.net>
In reply to#625059
"Dr. Joachim Neudert" <neudert@5sl.org> writes:

> Am 04.08.24 um 14:12 schrieb Hendrik van der Heijden:
>
>> Der schleust keinen Code ein. Das Update enthielt einen Satz Suchmuster,
>> kodiert als Datenstruktur. Die Struktur hat der Treiber bekommen.
>> Leider war dir Struktur fehlerhaft und der Parser-Code im Treiber
>> macht keine Validierung und war nicht fehlertolerant.
>> Hendrik vdH
>> 
>
> ah-hmm.
>
> Liest sich so ähnlich für mich wie die bekannte Argumentation:
> "Guns don't kill people. People kill people."

Ist überhaupt bekannt, ob es sich um einen von Microsoft zertifizierten
Treiber handelt? Ich hab da auf die Schnelle nur einen Artikel gefunden,
bei dem es um die Zertifizierung von Hardware für der Windows Logo
geht. Geht das überhaupt ohne Hardware?

[toc] | [prev] | [next] | [standalone]


#625065

FromHergen Lehmann <hlehmann-usenet24@snafu.de>
Date2024-08-04 15:13 +0200
Message-ID<vbb4ok-7bkl.ln1@hergen.spdns.de>
In reply to#625062
Am 04.08.24 um 14:58 schrieb Michael Bode:

> Ist überhaupt bekannt, ob es sich um einen von Microsoft zertifizierten
> Treiber handelt? 

Ein Kerneltreiber muss zumindest durch MS signiert sein, sonst lädt der 
Kernel den Treiber gar nicht erst.

Inwieweit der Signaturprozess auch Prüfungen durch MS beinhaltet... eine 
automatisierte Prüfung auf Einhaltung gewisser Rahmenbedingungen 
bestimmt, aber wie weit das ins Detail geht, wissen die Götter.

[toc] | [prev] | [next] | [standalone]


#625066

FromHendrik van der Heijden <hvdh@gmx.de>
Date2024-08-04 16:17 +0200
Message-ID<v8o2gt$pgf8$1@solani.org>
In reply to#625065
Am 04.08.2024 um 15:13 schrieb Hergen Lehmann:
> Am 04.08.24 um 14:58 schrieb Michael Bode:
> 
>> Ist überhaupt bekannt, ob es sich um einen von Microsoft zertifizierten
>> Treiber handelt? 
> 
> Ein Kerneltreiber muss zumindest durch MS signiert sein, sonst lädt der 
> Kernel den Treiber gar nicht erst.
> 
> Inwieweit der Signaturprozess auch Prüfungen durch MS beinhaltet... eine 
> automatisierte Prüfung auf Einhaltung gewisser Rahmenbedingungen 
> bestimmt, aber wie weit das ins Detail geht, wissen die Götter.

Ich hab schon HW-Treiber von MS signieren lassen, für reine SW-Treiber
ist es der selbe Prozess. Man muss diverse erfolgreiche Prüfungen
selbst durchführen (mit gestellter SW) und nachweisen, um die Signatur
zu bekommen, u.a. statische Code-Analyse, diverse Laufzeit-Tests
(z.B. Installation, Deinstallation, diverse Sleep Modes, spontanes Entfernen,
PCI-Rekonfiguration etc).

Mir sah es so aus, als ob aber längst nicht alles was laut MS Doku verpflichtend
ist, auch tatsächlich überprüft wird, um die Signatur zu erhalten.

Man reicht den Treiber als Kompilat ein und den Output der Prüf-Tools,
dann erhält man nach einer Weile (MS masht da wohl noch ein paar eigene Tests),
den Treiber zurück mit zusätzlicher MS-Signatur. Ob der Binary-Treiber
tatsächlich aus dem analysiertem Source gebaut wurde, ist gar nicht so leicht
zu prüfen.


Hendrik vdH

[toc] | [prev] | [next] | [standalone]


#625068

FromMichael Bode <m.g.bode@web.de>
Date2024-08-04 16:25 +0200
Message-ID<lh9hamFd71qU1@mid.individual.net>
In reply to#625066
Hendrik van der Heijden <hvdh@gmx.de> writes:

> Am 04.08.2024 um 15:13 schrieb Hergen Lehmann:
>> Am 04.08.24 um 14:58 schrieb Michael Bode:
>> 
>>> Ist überhaupt bekannt, ob es sich um einen von Microsoft zertifizierten
>>> Treiber handelt? 
>> 
>> Ein Kerneltreiber muss zumindest durch MS signiert sein, sonst lädt der 
>> Kernel den Treiber gar nicht erst.
>> 
>> Inwieweit der Signaturprozess auch Prüfungen durch MS beinhaltet... eine 
>> automatisierte Prüfung auf Einhaltung gewisser Rahmenbedingungen 
>> bestimmt, aber wie weit das ins Detail geht, wissen die Götter.
>
> Ich hab schon HW-Treiber von MS signieren lassen, für reine SW-Treiber
> ist es der selbe Prozess. Man muss diverse erfolgreiche Prüfungen
> selbst durchführen (mit gestellter SW) und nachweisen, um die Signatur
> zu bekommen, u.a. statische Code-Analyse, diverse Laufzeit-Tests
> (z.B. Installation, Deinstallation, diverse Sleep Modes, spontanes Entfernen,
> PCI-Rekonfiguration etc).
>
> Mir sah es so aus, als ob aber längst nicht alles was laut MS Doku verpflichtend
> ist, auch tatsächlich überprüft wird, um die Signatur zu erhalten.
>
> Man reicht den Treiber als Kompilat ein und den Output der Prüf-Tools,
> dann erhält man nach einer Weile (MS masht da wohl noch ein paar eigene Tests),
> den Treiber zurück mit zusätzlicher MS-Signatur. Ob der Binary-Treiber
> tatsächlich aus dem analysiertem Source gebaut wurde, ist gar nicht so leicht
> zu prüfen.

Ich nehme mal an, dass Microsoft nicht die Fehlerfreiheit des Treibers
zertifiziert?

[toc] | [prev] | [next] | [standalone]


#625078

FromHendrik van der Heijden <hvdh@gmx.de>
Date2024-08-04 20:48 +0200
Message-ID<v8oier$poqi$1@solani.org>
In reply to#625068
Am 04.08.2024 um 16:25 schrieb Michael Bode:
> Hendrik van der Heijden <hvdh@gmx.de> writes:

> Ich nehme mal an, dass Microsoft nicht die Fehlerfreiheit des Treibers
> zertifiziert?

Natürlich nicht. Man bekommt nur die MS-Signatur, womit den Treiber
regulär (ohne "TESTSIGNING"-Entwicklermodus) installiert werden kann.

Hendrik vdH

[toc] | [prev] | [next] | [standalone]


#625079

FromMichael Bode <m.g.bode@web.de>
Date2024-08-04 20:55 +0200
Message-ID<lha14rFfoekU1@mid.individual.net>
In reply to#625078
Hendrik van der Heijden <hvdh@gmx.de> writes:

> Am 04.08.2024 um 16:25 schrieb Michael Bode:
>> Hendrik van der Heijden <hvdh@gmx.de> writes:
>
>> Ich nehme mal an, dass Microsoft nicht die Fehlerfreiheit des Treibers
>> zertifiziert?
>
> Natürlich nicht. Man bekommt nur die MS-Signatur, womit den Treiber
> regulär (ohne "TESTSIGNING"-Entwicklermodus) installiert werden kann.

Dann sehe ich nicht, was Microsoft für die Probleme von Crowdstrike
kann.

[toc] | [prev] | [next] | [standalone]


#625080

FromHendrik van der Heijden <hvdh@gmx.de>
Date2024-08-04 21:16 +0200
Message-ID<v8ok2d$pdt0$1@solani.org>
In reply to#625079
Am 04.08.2024 um 20:55 schrieb Michael Bode:
> Hendrik van der Heijden <hvdh@gmx.de> writes:
> 
>> Am 04.08.2024 um 16:25 schrieb Michael Bode:
>>> Hendrik van der Heijden <hvdh@gmx.de> writes:
>>
>>> Ich nehme mal an, dass Microsoft nicht die Fehlerfreiheit des Treibers
>>> zertifiziert?
>>
>> Natürlich nicht. Man bekommt nur die MS-Signatur, womit den Treiber
>> regulär (ohne "TESTSIGNING"-Entwicklermodus) installiert werden kann.
> 
> Dann sehe ich nicht, was Microsoft für die Probleme von Crowdstrike
> kann.

Microsofts vorbildliche Codequalität und Security First Politik
machen sowas wie die Crowdstrike-SW für manche notwendig.
Linux läuft auch ohne sowas.

Am selben Tag vom Crowdstrike-Debakel hatte MS unabhängig davon
auch einen globalen Ausfall mehrerer Clouddienste (MS 365, Azure)
für >8 Stunden.


Hendrik vdH

[toc] | [prev] | [next] | [standalone]


#625084

FromMichael Bode <m.g.bode@web.de>
Date2024-08-04 23:32 +0200
Message-ID<lhaabmFgvv9U2@mid.individual.net>
In reply to#625080
Hendrik van der Heijden <hvdh@gmx.de> writes:

> Am 04.08.2024 um 20:55 schrieb Michael Bode:
>> Hendrik van der Heijden <hvdh@gmx.de> writes:
>> 
>>> Am 04.08.2024 um 16:25 schrieb Michael Bode:
>>>> Hendrik van der Heijden <hvdh@gmx.de> writes:
>>>
>>>> Ich nehme mal an, dass Microsoft nicht die Fehlerfreiheit des Treibers
>>>> zertifiziert?
>>>
>>> Natürlich nicht. Man bekommt nur die MS-Signatur, womit den Treiber
>>> regulär (ohne "TESTSIGNING"-Entwicklermodus) installiert werden kann.
>> 
>> Dann sehe ich nicht, was Microsoft für die Probleme von Crowdstrike
>> kann.
>
> Microsofts vorbildliche Codequalität und Security First Politik
> machen sowas wie die Crowdstrike-SW für manche notwendig.
> Linux läuft auch ohne sowas.

Kommt wohl drauf an, ob man eine Zertifizierung möchte oder nicht. BSI
Grundschutz macht da AFAIK keine Unterschiede.

> Am selben Tag vom Crowdstrike-Debakel hatte MS unabhängig davon
> auch einen globalen Ausfall mehrerer Clouddienste (MS 365, Azure)
> für >8 Stunden.

Will die Airline deshalb Microsoft verklagen? MS garantiert da 99.9%
Verfügbarkeit. Wird knapp. Vor allem, woher wollen sie die Daten haben,
wie lange MS365 für sie ausgefallen ist, wenn ihre Rechner wegen
Crowdstrike sowieso nicht funktioniert haben. Wir haben an dem Tag
nichts von einem Ausfall gemerkt. Kann also nicht komplett gewesen sein.

[toc] | [prev] | [next] | [standalone]


#625085

FromRuediger Lahl <ruediger.lahl@gmx.de>
Date2024-08-04 23:37 +0200
Message-ID<v8p3bj.2b8.1@privat.lahls.de>
In reply to#625080
*Hendrik van der Heijden* schrieb:

> Am 04.08.2024 um 20:55 schrieb Michael Bode:
>> Hendrik van der Heijden <hvdh@gmx.de> writes:
>>
>>> Am 04.08.2024 um 16:25 schrieb Michael Bode:
>>>> Hendrik van der Heijden <hvdh@gmx.de> writes:
>>>
>>>> Ich nehme mal an, dass Microsoft nicht die Fehlerfreiheit des Treibers
>>>> zertifiziert?
>>>
>>> Natürlich nicht. Man bekommt nur die MS-Signatur, womit den Treiber
>>> regulär (ohne "TESTSIGNING"-Entwicklermodus) installiert werden kann.
>>
>> Dann sehe ich nicht, was Microsoft für die Probleme von Crowdstrike
>> kann.
>
> Microsofts vorbildliche Codequalität und Security First Politik
> machen sowas wie die Crowdstrike-SW für manche notwendig.
> Linux läuft auch ohne sowas.

<HÜSTEL>
https://winfuture.de/news,144036.html
</>
-- 
bis denne

[toc] | [prev] | [next] | [standalone]


#625086

FromShinji Ikari <shinji@gmx.net>
Date2024-08-04 23:47 +0200
Message-ID<pltvaj1vqi54pn36m5g3fn3osbue1rsl3j@4ax.com>
In reply to#625080
Guten Tag

Hendrik van der Heijden <hvdh@gmx.de> schrieb

>Am 04.08.2024 um 20:55 schrieb Michael Bode:
>> Dann sehe ich nicht, was Microsoft für die Probleme von Crowdstrike
>> kann.
>Microsofts vorbildliche Codequalität und Security First Politik
>machen sowas wie die Crowdstrike-SW für manche notwendig.
>Linux läuft auch ohne sowas.

https://www.crowdstrike.de/pressemitteilungen/crowdstrike-falcon-erweitert-linux-schutz/
https://winfuture.de/news,144036.html

Laufen kann Windows, genaus wie Linux auch ohne sowas, aber es gibt
Leute, die meinen sowas verwenden zu wollen.

[toc] | [prev] | [next] | [standalone]


#625064

FromHergen Lehmann <hlehmann-usenet24@snafu.de>
Date2024-08-04 15:06 +0200
Message-ID<uva4ok-7bkl.ln1@hergen.spdns.de>
In reply to#625058
Am 04.08.24 um 14:12 schrieb Hendrik van der Heijden:

> Am 04.08.2024 um 13:51 schrieb Hergen Lehmann:
>>
>> Man könnte argumentieren, das ein Kernel-Treiber, welcher unsignierten
>> und beliebig durch Dritte veränderbaren Code in den Kernel einschleust,
>> niemals durch Microsoft hätte signiert werden dürfen und somit ein
>> fahrlässiges Verschulden vorliegt.
> 
> Der schleust keinen Code ein. Das Update enthielt einen Satz Suchmuster,
> kodiert als Datenstruktur. Die Struktur hat der Treiber bekommen.

Jein. Die Datenstruktur enthält laut offizieller Aussagen nicht nur 
Suchmuster, sondern auch Aktionen, die im Falle eines erkannten Musters 
ergriffen werden sollen. Es wurde schon an mehreren Stellen spekuliert, 
das das letztlich eine Art P-Code/Bytecode sein könnte, welcher von 
einem im Treiber befindlichen Interpreter interpretiert wird.

Wie mächtig dieser ist, dürften wir auf einer der nächsten 
Hackerkonferenzen erfahren. Es dürften Dutzende Experten daran sitzen, 
diesen Treiber zu zerlegen.


> Leider war dir Struktur fehlerhaft und der Parser-Code im Treiber
> macht keine Validierung und war nicht fehlertolerant.

Ja, das war wahrscheinlich die konkrete Ursache für den Crash.
Was jenseits des Crash noch hätte passieren können, wenn jemand 
böswilligen Zugang zu Crowdstrikes scheinbar nicht besonders gut durch 
Tests abgesichertem Update-Rollout-Prozess gehabt hätte...

[toc] | [prev] | [next] | [standalone]


#625083

From"Jörg Tewes" <jogi1964@gmx.net>
Date2024-08-04 23:18 +0200
Message-ID<GjD2PJrPmyB@jtewes.my-fqdn.de>
In reply to#625056
Hergen Lehmann schrub

> Am 04.08.24 um 12:58 schrieb Ulrich D i e z:

>> Gab es da zB irgendwelche Verträge, denen zufolge Microsoft Probleme
>> beim Hochfahren von Maschinen/Cloud-Servern, die durch ungute
>> Eingriffe von Crowdstrike verursacht werden, irgendwie hätte
>> abfangen müssen?

> Man könnte argumentieren, das ein Kernel-Treiber, welcher
> unsignierten und beliebig durch Dritte veränderbaren Code in den
> Kernel einschleust, niemals durch Microsoft hätte signiert werden
> dürfen und somit ein fahrlässiges Verschulden vorliegt.

Imho gabs zumindest von der EU solcher Vorgaben das fremder Code in den  
Kernel gelassen werden muß. Stand zumindest so bei Heise.


        Bye Jörg

-- 
An Grundsätzen hält man nur fest, solange sie nicht auf die Probe gestellt
werden; geschieht das, so wirft man sie fort wie der Bauer die Pantoffeln
und läuft, wie einem die Beine nach der Natur gewachsen sind.
(Otto Fürst von Bismarck)

[toc] | [prev] | [next] | [standalone]


#624388

FromMichael Zink <michael@swamp.franken.de>
Date2024-07-23 14:43 +0200
Message-ID<lg9msdF67onU1@mid.individual.net>
In reply to#624337
On Mon, 22 Jul 2024 16:05:37 +0200, Dr. Joachim Neudert wrote:

>Microsoft, which offers its own alternative to CrowdStrike known as 
>Windows Defender, agreed in 2009 to allow multiple security providers to 

Echt?

Ich dachte, Defender sei ein Virencanner. Und ich dachte, diese
CrowdStrike-Software spiele in einer etwas anderen Liga.

Auf Wiederlesen

Michael

-- 
Das Internet darf kein GRUNDrechtsfreier Raum werden!

[toc] | [prev] | [next] | [standalone]


#624392

FromLars Gebauer <lgebauer@live.de>
Date2024-07-23 15:24 +0200
Message-ID<v7oaue$13pm9$2@dont-email.me>
In reply to#624388
Am 23.07.2024 um 14:43 schrieb Michael Zink:
> On Mon, 22 Jul 2024 16:05:37 +0200, Dr. Joachim Neudert wrote:
>> Microsoft, which offers its own alternative to CrowdStrike known as
>> Windows Defender, agreed in 2009 to allow multiple security providers to
> 
> Echt?

Echt.

> Ich dachte, Defender sei ein Virencanner. Und ich dachte, diese
> CrowdStrike-Software spiele in einer etwas anderen Liga.

Vor über 20 Jahren mal. Virenscanner gehen schon sehr lange in Richtung 
proaktive Erkennung ("Heuristik"), womit der Unterschied immer mehr 
verschmolzen ist.

"Virenscanner" haben das, was Crowdstrike hier vorexerziert hat, schon 
mehr als einmal fertig bekommen. Wenngleich nicht in diesem Ausmaß und 
mit diesen Auswirkungen. Aber daß "Virenscanner" irgendwelche legitimen 
Treiber fälschlich als gefährlich eingestuft haben, das kam schon öfter vor.
-- 
"Journalisten informieren, worüber die Bevölkerung informiert werden soll."
                             --re:publica24
Niemand hat gelacht.

[toc] | [prev] | [next] | [standalone]


#624408

FromMichael Zink <michael@swamp.franken.de>
Date2024-07-23 17:56 +0200
Message-ID<lga24uF7tceU1@mid.individual.net>
In reply to#624392
On Tue, 23 Jul 2024 15:24:30 +0200, Lars Gebauer wrote:

>Am 23.07.2024 um 14:43 schrieb Michael Zink:
>> Ich dachte, Defender sei ein Virencanner. Und ich dachte, diese
>> CrowdStrike-Software spiele in einer etwas anderen Liga.
>
>Vor über 20 Jahren mal. Virenscanner gehen schon sehr lange in Richtung 
>proaktive Erkennung ("Heuristik"), womit der Unterschied immer mehr 
>verschmolzen ist.

Ja, klar. Trotzdem gehe ich davon aus, daß CrowdStrike deutlich mehr
macht als der normale Defender. Oder hat MS vielleicht auch
weitergehende Sicherheitslösungen unter dem gleichen Namen im Angebot?

Auf Wiederlesen

Michael

-- 
Das Internet darf kein GRUNDrechtsfreier Raum werden!

[toc] | [prev] | [next] | [standalone]


#624412

FromMichael Bode <m.g.bode@web.de>
Date2024-07-23 19:13 +0200
Message-ID<lga6mmF8htgU1@mid.individual.net>
In reply to#624408
Michael Zink <michael@swamp.franken.de> writes:

> On Tue, 23 Jul 2024 15:24:30 +0200, Lars Gebauer wrote:
>
>>Am 23.07.2024 um 14:43 schrieb Michael Zink:
>>> Ich dachte, Defender sei ein Virencanner. Und ich dachte, diese
>>> CrowdStrike-Software spiele in einer etwas anderen Liga.
>>
>>Vor über 20 Jahren mal. Virenscanner gehen schon sehr lange in Richtung 
>>proaktive Erkennung ("Heuristik"), womit der Unterschied immer mehr 
>>verschmolzen ist.
>
> Ja, klar. Trotzdem gehe ich davon aus, daß CrowdStrike deutlich mehr
> macht als der normale Defender.

Welcher? Das was in Windows Home drin ist, das was man mit einer E3
Lizenz bekommt oder das, was in E5 drin ist?

[toc] | [prev] | [next] | [standalone]


Page 6 of 7 — ← Prev page 1 2 3 4 5 [6] 7  Next page →

Back to top | Article view | ger.ct


csiph-web