Slo-Tech - Microsoft je sporočil, da bo 10. septembra na svojem sedežu v Redmondu organiziral Windows Endpoint Security Ecosystem Summit, na katerega so vabljeni predstavljeni državnih organov in podjetij za informacijsko varnost. Iskali bodo rešitve, ki bodo v prihodnosti preprečile fiaske, kot ga je povzročil hrošč v programu Crowdstrike Falcon, zaradi katerega se je ustavilo 8,5 milijona računalnikov.

Možnosti je več, kakršnakoli fundamentalna sprememba v delovanju Windows ali dostopu do jedra pa bi bila tudi priznanje, da trenutna ureditev ni dobra in da bi jo lahko bili spremenili že prej. Ključna težava je dostop do jedra (ring 0), ki ga ima programska oprema proizvajalcev, kakršen je Crowdstrike. Napake in hrošči na tem nivoju povzročijo modri zaslon smrti, kar predstavlja tveganje za celoten sistem. Falcon je tekel v jedru, hkrati pa je bral podatke iz običajne datoteke na disku, ki jo je pridobival s posodobitvami.

Ena izmed rešitev, ki jo Apple že uporablja, je zaklep jedra....

Slo-Tech - Zaradi julijskega izpada računalnikov, ki jih je zakrivila posodobitev CrowdStrike Falcona, je ameriška Delta napovedala tožbo zoper proizvajalca in Microsoft. Očita jim, da je ekosistem izrazito krhek in da sta odgovorna za napako, ki je povzročila več sto milijonov dolarjev škode. Delta je bila prisiljena odpovedati več tisoč letov, ker so njihovi računalniki kazali modre zaslone.

Zato so najeli zvezdniškega odvetnika Davida Boiesa in se začeli pripravljati na tožbo. Ocenujejo, da je nastala škoda v višini 350-500 milijonov dolarjev, saj so odpovedali 7000 letov in morajo izplačati odškodnine ali drugače kompenzirati škodo 176.000 potnikom.

Kolektivno tožbo so napovedali tudi CrowdStrikovi delničarji, v kateri k odgovornosti kličejo izvršnega direktorja in finančnega direktorja. Prvi je še marca poudarjal, da je programska oprema "validirana, preizkušena in certificirana", kar pa ni res. Napake, ki so si jih privoščili, da je pokvarjena datoteka sploh lahko povzročila toliko...

Slo-Tech - Teden dni po katastrofalni posodobitvi varnostnega paketa Crowdstrike Falcon je 97 odstotkov sistemov že operativnih, so sporočili iz podjetja. Obuditi je bilo treba kar 8,5 milijona računalnikov, ki so zaradi neveljavne posodobitve obtičali ob modrem zaslonu ob vsakem zagonu. Groba rešitev je bilo vztrajno ponovno zaganjanje, tudi do 15-krat, da bi sistem vmes pridobil novo verzijo okvarjene posodobitve, kar bi omogočilo ponovni zagon.

Napaka ni bila Microsoftovo maslo, čeprav je v laični javnosti marsikdo menil, da je šlo za ponesrečen Windows Update. A v resnici je CrowdStrike storil več napak. Geneza sega daleč v preteklost, ko so se odločili, da bo njihova programska oprema tekla s privilegiji, kot jih imajo gonilniki. V operacijskem sistemu Windows - in večini drugih - uporabniška koda teče na višjih nivojih, ki nimajo neposrednega dostopa do strojne opreme ali jedra, zato prav veliko škode ne morejo narediti. Če obvisijo, jih sistem pokonča in normalno deluje dalje....

Slo-Tech - Slab teden po okvarjeni posodobitvi za CrowdStrikov Falcon, ki je onesposobil 8,5 milijona računalnikov z Windows, ki so imeli nameščeno to orodje, imamo prve proizvajalčeve informacije o incidentu. CrowdStrike jo opisal postopek posodabljanja.

Pojasnili so, kakšne vrste posodobitev za CrowdStrike Falcon se je v petek nameščala. Šlo je za manjšo posodobitev, tako imenovani Rapid Response Content, ki vsebuje nove definicije za grožnje, pred katerimi varuje Falcon. Vse posodobitve pred izdajo testirajo, a jim jo je to pot zagodlo okolje za testiranje Content Validator, ki ni ujelo napake. To je bil tudi razlog, da se je izmuznila in se dobro uro nameščala na računalnike po svetu.

Da se to ne bo več ponovilo, bodo uvedli nekaj sprememb. Poleg sprememb v Content Validatorju bodo uvedli tudi postopno nameščanje posodobitev. To je standardna taktika, ki jo je Microsoft že absolviral. Namesto vseh računalnikov hkrati bo vsak popravek najprej srečal manjšo podmožnico sistemov, nato pa ga...

Slo-Tech - V svetovnem razpadu sistemov z Windows zaradi slabe posodobitve programa CrowdStrike Falcon, ki smo mu bili priče v petek, so bili prizadeti tudi številni letalski prevozniki. Med veliko množico pa se je težavam izognil Southwest, ki je bil v ZDA edini neprizadeti prevoznik. Razlog je nepričakovan: Southwest uporablja tako staro programsko opremo, da se ji ni zgodilo nič.

Čeprav uradno tega niso potrdili, analitiki in strokovnjaki omenjajo Windows 3.11, ki še vedno poganja številne sisteme v podjetju. Prav ste prebrali. Rešil jih je 32 let star operacijski sistem, ki je že zdavnaj nepodprt in zastarel, zato so ga nehali podpirati tudi moderni virusi in protivirusi. V konkretnem primeru Crowdstrike Falcon seveda ne teče na Windows 3.11, zato ga tudi ni mogel zrušiti. Poleg Windows 3.11 v Southwestu uporabljajo tudi Windows 95, ki je imel to pot enake prednosti. Zaradi starosti je bil imun na razpad sistema.

Seveda pa antična programska oprema nima zgolj prednosti. Konec leta 2022...

Slo-Tech - Po izpadu več tisoč računalniških sistemov po celem svetu, ki jih je včeraj povzročila napačna posodobitev varnostnega paketa CrowdStrike Falcon za Windows, se danes situacija počasi normalizira. Včeraj so stala nekatera letališče, trgovine, tovarne in druga ključna infrastruktura, dokler niso posodobitve ročno odstranili. Ker so bili sistemi ujeti v neskončne zanke ponovnih zagonov, je to trajalo. Izpad sistemov po celem svetu so ponekod označili kot največji izpad v zgodovini.

CrowdStrike se je posul s pepelom in pojasnil, da so vzrok za težave odkrili in odpravili. Prizadeti so bili zgolj računalniki z Windows, ne pa tudi Mac ali Linux. Napačno posodobitev so umaknili ob 7.27 po slovenskem poletnem času, zato so bili prizadeti le računalniki, ki so se v internet povezali in posodobitev naložili pred tem. To pa je bila predvsem vzhodna polobla, ki je dan začela prva - Avstralija, Azija in Evropa.

Problematična je datoteka C-00000291*.sys s časovnim žigom 04:09 UTC, medtem ko...

Slo-Tech - Na deset tisoče računalnikov po vsem svetu se je danes pritožilo in prikazalo zloglasni modri zaslon smrti, namesto da bi normalno naložilo Windows. Težave so prizadele trgovine, letalske prevoznike in letališča, banke, drugo ključno infrastrukturo. Hitro se je izkazalo, da je skupni imenovalec programska oprema CrowdStrike Falcon, ki jo uporabljajo za zaščito pred hekerskimi napadi. Slaba posodobitev tega programa je na kolena spravila sistem Windows, kjer jre nameščen.

Težave so se začele širiti v Avstraliji in daljnem vzhodu, kjer so se prvi zbudili v nov dan. Sedaj se širijo proti zahodu, ko se delovni dan začenja v preostalih delih sveta. CrowdStrike je že priznal težavo in dejal, da njegovi inženirji že odpravljajo težavo. Medtem so težave prizadela ogromne kose internetne infrastrukture. Težave so tudi v velikih oblačnih storitvah, kot je Microsoft 365, v fizični svet pa pronicajo kot motnje pri oddajanju televizijskih kanalov, odpovedani leti na letališčih, nedelovanje...

Slo-Tech - Za Linux resda obstaja virusov in druge nesnage, a to samo po sebi sploh ne zagotavlja stoodstotne varnosti. V minulem letu se je število virusov, ki so napadali sisteme na Linuxu povečalo za dobro tretjino, v svojem poročilu ugotavlja Crowdstrike. Večinoma so bile tarče napadov naprave IoT, ki jih zlonamerna programska oprema skuša vpreči v botnet za izvajanje napadov DDoS. Druge vrste zlorab so še rudarjenje kriptovalut, pošiljanje spama, uporaba kot nadzorno-krmilni strežniki za botnete in kot vstopne točke v omrežja.

V primerjavi z letom 2020 smo lani beležili 35-odstotno povečanje malwara, ki napada naprave z Linuxom. Najpogostejše variante zlonamerne kode so XorDDoS, Mirai in Mozi, med katerimi je največja rast uspela prav slednjemu. Z občasnimi odkloni se število različnih virusov, ki napadajo Linux, vseskozi povečuje. Leta 2010 je bilo novih družin devet, predlani pa že 56. Prvi indici za leto 2022 kažejo, da se bo trend nadaljeval.

Slo-Tech - Julija je hekerska skupina REvil izginila z obličja interneta, potem ko so pred tem zagrešili najobsežnejši izsiljevalski napad v zgodovini. Tedaj se je špekuliralo, da jim je postalo prevroče, saj so ZDA ponudile 10 milijonov dolarjev nagrade za namige, ki bi privedli do aretacij odgovornih. REvil je sedaj nazaj.

REvil je (bila) ena najaktivnejših skupin, ki je z izsiljevalskimi virusi služila milijone. Izvira iz Rusije, trdijo ameriški obveščevalci in strokovnjaki, in deluje z vednostjo tamkajšnjih oblasti. Njihova spletna stran se imenuje Happy Blog, tam pa tik pred začetkom napada objavijo vzorec ukradenih podatkov, s čimer pokažejo resničnost in resnost napada. Tarčo nato zaklenjeno iz lastnih sistemov, za obnovitev podatkov pa zahtevajo odkupnino. Da tarči ne bi padlo na misel enostavno poradirati vsega in obnoviti iz varnostnih kopij, zagrozijo še z javno objavo ukradenih podatkov.

Portal Happy Blog, prek katerega potekajo tudi pogajanja s tarčami, je ponovno oživel v...

Slo-Tech - Medtem, ko v ZDA počasi odkrivajo vse razsežnosti največjega informacijskega napada zadnjih let na zvezne agencije, infrastrukturo in velika podjetja, so v varnostnem podjetju CrowdStrike razkrili še eno od poti, ki so jo vdiralci vsaj poskušali uporabiti za dostop do notranjih omrežij. Ta vodi prek podjetij, ki v imenu Microsofta prodajajo njihovo programsko opremo. Tudi ta imajo namreč, podobno kot že razkriti SolarWinds, pooblastila za nameščanje in vzdrževanje programske opreme Microsoftovih strank in so zato idealno kritje za nepridiprave.

V primeru napada na CrowdStrike so neznanci poskušali pridobiti dostop do njihove elektronske pošte prek neimenovanega Microsoftovega preprodajalca. Ker pa pri CrowdStrike uporabljajo druge aplikacije Office 365, ne pa tudi elektronske pošte, so dejstvo, da je nekdo poskušal vklopiti pravico do branja pošte, opazili pri Microsoftu. Kjer so menda že pred meseci zaznali nenavadne poizvedbe prek API na njihovem oblačnem računu, ki upravlja...

Slo-Tech - Minuli mesec 25. septembra so veliko besed posvetili zgodovinskemu dogovoru ZDA in Kitajske, ki sta ga naznanila predsednika Barack Obama in Ši Jingping, o digitalnem premirju. Državi sta se sporazumeli, da ne bosta izvajali industrijskega vohunjenja oziroma drugih elektronskih napadov na ekonomske cilje v državah. Dogovor je zdržal manj kot 24 ur, poročajo v podjetju CrowdStrike.

CrowdStrike zagotavlja varnost za številna največja ameriška podjetja. Ugotovili so, da je že naslednji dan po razglasitvi premirja njihov sistem zaznal veliko napadov iz sistemov, ki so povezani s kitajskimi oblastmi. Napadli so sedem ameriških podjetij iz tehnološkega in farmacevtskega sektorja. Analiza napada kaže, da je bil namen zbiranje industrijskih skrivnosti, kar sporazum izrecno prepoveduje. Ni šlo...

Krebs On Security - Minuli konec tedna je potekala operacija Tovar, pri kateri je sodelovalo več organov pregona, podjetij in univerz, s katero so pošteno pristrigli peruti botnetu Gameover Zeus in omrežju izsiljevalskega virusa CryptoLocker.

V akciji so sodelovali FBI, Europol in britanska National Crime Agency, podjetja CrowdStrike, Dell SecureWorks, Symantec, Trend Micro in McAfee ter univerzi v Amsterdamu in Posarju. Botnet Gameover Zeus je nastal iz sedaj že dobro poznane kode trojanca Zeus, le da je bil povsem decentraliziran v smislu P2P, zato ga je...