Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Hello, Paru à l'instant, sur le monde.fr https://www.lemonde.fr/pixels/article/2024/07/19/une-panne-informatique-a-grande-echelle-provoque-le-chaos-en-australie-et-dans-les-aeroports-mondiaux_6252544_4408996.html Le ven. 19 juil. 2024 à 10:05, Stephane Bortzmeyer a écrit : > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. > > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > (Rien trouvé en français, encore) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Oui c'est un sacré bazar ce matin... Incident qui a démarré vers 6h25 ce matin pour nous, tous les serveurs Windows qui rebootent et passent en BSOD, les postes de travail ont suivi Le ven. 19 juil. 2024, 10:05, Stephane Bortzmeyer a écrit : > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. > > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > (Rien trouvé en français, encore) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 7/19/24 à 10:33, David Ponzone a écrit : Mais je comprends pas comment c’est possible. Y a des serveurs Windows avec les mises à jour auto activées ? David Au moins les mises à jour des signatures crowdstrike... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Ca va être sympa pour le conditional access ;) Le ven. 19 juil. 2024 à 10:15, Paul Rolland (ポール・ロラン) a écrit : > Bonjour, > > On Fri, 19 Jul 2024 10:05:22 +0200 > Stephane Bortzmeyer wrote: > > > Apparemment, de grosses conséquences mondiales, pour les gens qui font > > tourner des services sur Windows. > > > > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > > > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > > > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > > > (Rien trouvé en français, encore) > > Et pour ceux qui sont impactes, on a cette procedure qui traite sur Reddit > via le lien diffuse sur [outages] ce matin: > > > > Boot Windows into Safe Mode or the Windows Recovery Environment > > Navigate to the C:\Windows\System32\drivers\CrowdStrike directory > > Locate the file matching “C-0291*.sys”, and delete it. > > Boot the host normally. > > Paul > > -- > Paul RollandE-Mail : rol(at)witbe.net > CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 > 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99 > F-92000 NanterreRIPE : PR12-RIPE > > Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un > navigateur "Some people dream of success... while others wake up and work > hard at it" > > "I worry about my child and the Internet all the time, even though she's > too young to have logged on yet. Here's what I worry about. I worry that 10 > or 15 years from now, she will come to me and say 'Daddy, where were you > when they took freedom of the press away from the Internet?'" > --Mike Godwin, Electronic Frontier Foundation > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Bonjour, On Fri, 19 Jul 2024 10:05:22 +0200 Stephane Bortzmeyer wrote: > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > (Rien trouvé en français, encore) Et pour ceux qui sont impactes, on a cette procedure qui traite sur Reddit via le lien diffuse sur [outages] ce matin: Boot Windows into Safe Mode or the Windows Recovery Environment Navigate to the C:\Windows\System32\drivers\CrowdStrike directory Locate the file matching “C-0291*.sys”, and delete it. Boot the host normally. Paul -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99 F-92000 NanterreRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Bonjour, On Fri, 19 Jul 2024 10:46:35 +0200 Romain wrote: > Ca va être sympa pour le conditional access ;) Les joies du clou-d... une belle epine dans le pied ce matin :( Bon courage a tout ceux qui doivent faire avec ce matin. Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Pas seulement Windows, les services 365 sont affectés, donc si tu fais du SSO sur 365, tu es touché aussi… juste tu n’as pas le BSOD. Petites conséquences: "The US Federal Aviation Administration says all flights from Delta, United, and American Airlines are grounded due to a “communication issue.” Berlin airport is also warning of travel delays due to “technical issues.” A voir aussi : https://www.cnbc.com/2024/07/19/crowdstrike-suffers-major-outage-affecting-businesses-around-the-world.html On va réimplanter du on-prem à partir de la semaine prochaine, je le sens… L’âge d’or des admins système... Le 19 juil. 2024 à 10:05, Stephane Bortzmeyer a écrit : Apparemment, de grosses conséquences mondiales, pour les gens qui font tourner des services sur Windows. https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ (Rien trouvé en français, encore) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Mais je comprends pas comment c’est possible. Y a des serveurs Windows avec les mises à jour auto activées ? David > Le 19 juil. 2024 à 10:11, Michaël BLANDIN a écrit > : > > Oui c'est un sacré bazar ce matin... > Incident qui a démarré vers 6h25 ce matin pour nous, tous les serveurs > Windows qui rebootent et passent en BSOD, les postes de travail ont suivi > > Le ven. 19 juil. 2024, 10:05, Stephane Bortzmeyer a > écrit : > >> Apparemment, de grosses conséquences mondiales, pour les gens qui font >> tourner des services sur Windows. >> >> >> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html >> >> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue >> >> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ >> >> (Rien trouvé en français, encore) >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 19/07/2024 à 10:33, David Ponzone a écrit : Mais je comprends pas comment c’est possible. Y a des serveurs Windows avec les mises à jour auto activées ? :-)) Excellente ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Et alors ? Depuis quand les mises à jour Windows posent problème ? -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des BSOD causés par des applications. C’est l’action MS qui devrait baisser, pas Crowdstrike. Ensuite, crowdstrike protège de trucs tellement critiques qu’il est inimaginable de retarder les mises à jour de la base de signatures de 24h ? Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». David Ponzone > Le 19 juil. 2024 à 10:40, Erwan David a écrit : > > >> Le 7/19/24 à 10:33, David Ponzone a écrit : >> Mais je comprends pas comment c’est possible. >> Y a des serveurs Windows avec les mises à jour auto activées ? >> >> David > Au moins les mises à jour des signatures crowdstrike... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Il y a quelques temps j'ai eu du kernel panic sur Debian 12 à cause de CrowdStrike (kernel trop récent/mal supporté). Ils n'en sont pas à leur coup d'essai Le ven. 19 juil. 2024, 13:30, David Ponzone a écrit : > Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans > Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des BSOD > causés par des applications. > C’est l’action MS qui devrait baisser, pas Crowdstrike. > > Ensuite, crowdstrike protège de trucs tellement critiques qu’il est > inimaginable de retarder les mises à jour de la base de signatures de 24h ? > > Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « > j’ai pris MS parce qu’on pourra pas me le reprocher ». > > David Ponzone > > > > > Le 19 juil. 2024 à 10:40, Erwan David a écrit : > > > > > >> Le 7/19/24 à 10:33, David Ponzone a écrit : > >> Mais je comprends pas comment c’est possible. > >> Y a des serveurs Windows avec les mises à jour auto activées ? > >> > >> David > > Au moins les mises à jour des signatures crowdstrike... > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Salut a tous, On est bien ok que les BSOD ne concernent que les pc ayant crowdstrike d’installe ? Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés” Par ailleurs, ok les services microsoft sont impactes, qu’est ce que cela veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux Windows defender ? j’ai du mal a faire le lien Aller pour ceux qui ont la ref :) https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif > On 19 Jul 2024, at 12:33, Stéphane Rivière wrote: > > Et alors ? > Depuis quand les mises à jour Windows posent problème ? > > -- > Stéphane Rivière > Ile d'Oléron - France > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Je cite le blog de CrowdStrike : "CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. « Après, je suis comme toi, j’ai des clients qui ont été impactés par des applis qui faisaient du SSO SAML sur O365, qui a priori n’a pas de rapport. Sauf si … Microsoft protège certains serveurs d’Azure avec CrowdStrike? Le post mortem, s’il est transparent, va être passionnant. Le problème semble assez simple, l’impact est tout juste délirant. > Le 19 juil. 2024 à 13:31, Merwan Zenati a écrit : > > Salut a tous, > > On est bien ok que les BSOD ne concernent que les pc ayant crowdstrike > d’installe ? > Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article > disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés” > > Par ailleurs, ok les services microsoft sont impactes, qu’est ce que cela > veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux Windows > defender ? j’ai du mal a faire le lien > > > Aller pour ceux qui ont la ref :) > > https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif > >> On 19 Jul 2024, at 12:33, Stéphane Rivière wrote: >> >> Et alors ? >> Depuis quand les mises à jour Windows posent problème ? >> >> -- >> Stéphane Rivière >> Ile d'Oléron - France >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Bonjour, De ce que je comprends, il s'est passé 2 incidents cette nuit. Et les deux ne me semblent pas liés. Un problème chez MS sur des services Azure hostés sur la région Central US ayant débuté à 6pm ET, soit vers minuit pour nous. Preliminary root cause: A configuration change in a portion of our Azure backend workloads, caused interruption between storage and compute resources which resulted in connectivity failures that affected downstream Microsoft 365 services dependent on these connections. et le problème Crowdstrike qui impacte les utilisateurs de leur solution XDR, à priori depuis 7pm UTC, soit 9pm pour nous. Bref, la double panne :) On Fri, Jul 19, 2024 at 1:37 PM Philippe ASTIER via frnog wrote: > Je cite le blog de CrowdStrike : > "CrowdStrike is actively working with customers impacted by a defect found > in a single content update for Windows hosts. Mac and Linux hosts are not > impacted. This is not a security incident or cyberattack. « > > Après, je suis comme toi, j’ai des clients qui ont été impactés par des > applis qui faisaient du SSO SAML sur O365, qui a priori n’a pas de rapport. > > > Sauf si … Microsoft protège certains serveurs d’Azure avec CrowdStrike? > > Le post mortem, s’il est transparent, va être passionnant. > Le problème semble assez simple, l’impact est tout juste délirant. > > > Le 19 juil. 2024 à 13:31, Merwan Zenati a > écrit : > > > > Salut a tous, > > > > On est bien ok que les BSOD ne concernent que les pc ayant > crowdstrike d’installe ? > > Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article > disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés” > > > > Par ailleurs, ok les services microsoft sont impactes, qu’est ce que > cela veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux > Windows defender ? j’ai du mal a faire le lien > > > > > > Aller pour ceux qui ont la ref :) > > > > https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif > > > >> On 19 Jul 2024, at 12:33, Stéphane Rivière wrote: > >> > >> Et alors ? > >> Depuis quand les mises à jour Windows posent problème ? > >> > >> -- > >> Stéphane Rivière > >> Ile d'Oléron - France > >> > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le choix... Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si je me trompe) viable techniquement/commercialement n'existe à ce jour, c'est un peu fort de café... Cordialement, Olivier Varenne Président, R&D et développement T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > David Ponzone > Envoyé : vendredi 19 juillet 2024 13:30 > À : Erwan David > Cc : frnog@frnog.org > Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes > Windows > > Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans > Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des > BSOD causés par des applications. > C’est l’action MS qui devrait baisser, pas Crowdstrike. > > Ensuite, crowdstrike protège de trucs tellement critiques qu’il est > inimaginable de retarder les mises à jour de la base de signatures de > 24h ? > > Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « > j’ai pris MS parce qu’on pourra pas me le reprocher ». > > David Ponzone > > > > > Le 19 juil. 2024 à 10:40, Erwan David a écrit : > > > > > >> Le 7/19/24 à 10:33, David Ponzone a écrit : > >> Mais je comprends pas comment c’est possible. > >> Y a des serveurs Windows avec les mises à jour auto activées ? > >> > >> David > > Au moins les mises à jour des signatures crowdstrike... > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Hello, On Fri, 19 Jul 2024 13:50:53 +0200 Guillaume Denoix wrote: > et le problème Crowdstrike qui impacte les utilisateurs de leur solution > XDR, à priori depuis 7pm UTC, soit 9pm pour nous. Un premier post a ete fait a ce sujet sur [outages] a 7H51 heure de Paris. Il renvoyait sur une discussion Reddit qui etait deja bien chaude a ce moment-la. Donc, je pense qu'on peut avant d'au moins une heure le moment ou ca a commence. Paul -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99 F-92000 NanterreRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Il y a des OS où les extensions au noyau deviennent interdites (macOS) ou n’ont jamais existé (iOS/iPadOS). Les System Extensions existent, mais elles ne s’exécutent pas avec les privilèges du noyau du tout. Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée fournis par l’éditeur. Ce n'’est pas nouveau comme concept, les premiers micro-kernels des années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut pas corrompre le kernel space. Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) On se rend compte que le bud de CriwdStrike empêche le boot, et que donc (a priori pour le moment), la seule solution est de passer MANUELLEMENT sur chaque poste concerné ? C’est le scenario cauchemar. Donc oui, l’écriture même des OS de Microsoft est un risque. CrowdStrike s’est planté en beauté, mais MS le favorise... > Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog a écrit > : > > Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des > applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le > choix... > > Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si > je me trompe) viable techniquement/commercialement n'existe à ce jour, c'est > un peu fort de café... > > > > > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : frnog-requ...@frnog.org De la part de >> David Ponzone >> Envoyé : vendredi 19 juillet 2024 13:30 >> À : Erwan David >> Cc : frnog@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans >> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des >> BSOD causés par des applications. >> C’est l’action MS qui devrait baisser, pas Crowdstrike. >> >> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est >> inimaginable de retarder les mises à jour de la base de signatures de >> 24h ? >> >> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « >> j’ai pris MS parce qu’on pourra pas me le reprocher ». >> >> David Ponzone >> >> >> >>> Le 19 juil. 2024 à 10:40, Erwan David a écrit : >>> >>> >>>> Le 7/19/24 à 10:33, David Ponzone a écrit : >>>> Mais je comprends pas comment c’est possible. >>>> Y a des serveurs Windows avec les mises à jour auto activées ? >>>> >>>> David >>> Au moins les mises à jour des signatures crowdstrike... >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
On Fri, Jul 19, 2024 at 10:05:22AM +0200, Stephane Bortzmeyer wrote: > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. Le troll du vendredi. "Microsoft n'azure pas" ;) Que la force du libre soit avec nous mes frères et soeurs. Bonne journée, -- Frédéric ROBERT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le troll du vendredi. "Microsoft n'azure pas" ;) J'adore :) /Microsoft est une compagnie, non pas précisément d'assurance, car il n'*azure* pas, mais de peur, d'incertitude et de doute/. Proudhon - librement recyclé :) Que la force du libre soit avec nous mes frères et soeurs. Amen ! pardon, Hache ! -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, se heurte toujours à des soucis de performance et de complexité. Cordialement, Olivier Varenne Président, R&D et développement T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : Philippe ASTIER > Envoyé : vendredi 19 juillet 2024 14:28 > À : Olivier Varenne > Cc : David Ponzone ; Erwan David > ; frnog@frnog.org > Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes > Windows > > Il y a des OS où les extensions au noyau deviennent interdites (macOS) > ou n’ont jamais existé (iOS/iPadOS). > Les System Extensions existent, mais elles ne s’exécutent pas avec les > privilèges du noyau du tout. > > Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée > fournis par l’éditeur. > > Ce n'’est pas nouveau comme concept, les premiers micro-kernels des > années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. > > Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou > reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut > pas corrompre le kernel space. > > > Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi > vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) > > > On se rend compte que le bud de CriwdStrike empêche le boot, et que > donc (a priori pour le moment), la seule solution est de passer > MANUELLEMENT sur chaque poste concerné ? > C’est le scenario cauchemar. > > > Donc oui, l’écriture même des OS de Microsoft est un risque. > CrowdStrike s’est planté en beauté, mais MS le favorise... > > > > Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog > a écrit : > > > > Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. > Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu > n'as juste pas le choix... > > > > Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez > moi si je me trompe) viable techniquement/commercialement n'existe à > ce jour, c'est un peu fort de café... > > > > > > > > > > > > Cordialement, > > > > > > > > Olivier Varenne > > Président, R&D et développement > > T +33 (0)4 27 04 40 00 | ipconnect.fr > > > > Suivez-nous ! > > > > > >> -Message d'origine- > >> De : frnog-requ...@frnog.org De la part > de > >> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan > David > >> Cc : frnog@frnog.org Objet : Re: [FRnOG] > [ALERT] > >> Panne Crowdstrike sur les systèmes Windows > >> > >> Ok je connais pas crowdstrike et à quel point il a accès bas niveau > >> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est > encore > >> à des BSOD causés par des applications. > >> C’est l’action MS qui devrait baisser, pas Crowdstrike. > >> > >> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est > >> inimaginable de retarder les mises à jour de la base de signatures de > >> 24h ? > >> > >> Question subsidiaire: cela va-t-il modifier l’habituel politique des > >> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». > >> > >> David Ponzone > >> > >> > >> > >>> Le 19 juil. 2024 à 10:40, Erwan David a écrit > : > >>> > >>> > >>>> Le 7/19/24 à 10:33, David Ponzone a écrit : > >>>> Mais je comprends pas comment c’est possible. > >>>> Y a des serveurs Windows avec les mises à jour auto activées ? > >>>> > >>>> David > >>> Au moins les mises à jour des signatures crowdstrike... > >>> > >>> > >>> --- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
OK. En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et aucun accès direct au noyau pour aucune application tierce. Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les solutions d’EDR doivent passer par l’EndPoint Security Framework, elles n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le cas, c’est juste que ça évolue, justement pour éviter les crashs du noyau. Ce qui est clair, c’est qu’on peut trouver des solutions pour que les logiciels tiers n’aient jamais les privilèges du noyau, même pour des solutions de sécurité. « Performance et complexité » sont des excuses pour ne surtout rien faire évoluer. Les couches basses de Windows sont fragiles et n'évoluent pas. > Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog a écrit > : > > Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, > se heurte toujours à des soucis de performance et de complexité. > > > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : Philippe ASTIER >> Envoyé : vendredi 19 juillet 2024 14:28 >> À : Olivier Varenne >> Cc : David Ponzone ; Erwan David >> ; frnog@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> Il y a des OS où les extensions au noyau deviennent interdites (macOS) >> ou n’ont jamais existé (iOS/iPadOS). >> Les System Extensions existent, mais elles ne s’exécutent pas avec les >> privilèges du noyau du tout. >> >> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >> fournis par l’éditeur. >> >> Ce n'’est pas nouveau comme concept, les premiers micro-kernels des >> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >> >> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou >> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut >> pas corrompre le kernel space. >> >> >> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi >> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) >> >> >> On se rend compte que le bud de CriwdStrike empêche le boot, et que >> donc (a priori pour le moment), la seule solution est de passer >> MANUELLEMENT sur chaque poste concerné ? >> C’est le scenario cauchemar. >> >> >> Donc oui, l’écriture même des OS de Microsoft est un risque. >> CrowdStrike s’est planté en beauté, mais MS le favorise... >> >> >>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog >> a écrit : >>> >>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. >> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu >> n'as juste pas le choix... >>> >>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez >> moi si je me trompe) viable techniquement/commercialement n'existe à >> ce jour, c'est un peu fort de café... >>> >>> >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -Message d'origine- >>>> De : frnog-requ...@frnog.org De la part >> de >>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan >> David >>>> Cc : frnog@frnog.org Objet : Re: [FRnOG] >> [ALERT] >>>> Panne Crowdstrike sur les systèmes Windows >>>> >>>> Ok je connais pas crowdstrike et à quel point il a accès bas niveau >>>> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est >> encore >>>> à des BSOD causés par des applications. >>>> C’est l’action MS qui devrait baisser, pas Crowdstrike. >>>> >>>> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est >>>> inimaginable de retarder les mises à jour de la base de signatures de >>>> 24h ? >>>> >>>> Question subsidiaire: cela va-t-il modifier l’habituel politique des >>>> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». >>>> >>>> David Ponzone >>>> >>>> >>>> >>>>> Le 19 juil. 2024 à 10:40, Erwan David a écrit >> : >>>>> >>>>> >>>>>> Le 7/19/24 à 10:33, David Ponzone a écrit : >>>>>> Mais je comprends pas comment c’est possible. >>>>>> Y a des serveurs Windows avec les mises à jour auto activées ? >>>>>> >>>>>> David >>>>> Au moins les mises à jour des signatures crowdstrike... >>>>> >>>>> >>>>> --- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>> >>>> >>>> --- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Comparer les OS mobiles d'Apple avec Windows ? Je ne sais pas si j'aurai tenté. Cordialement, Olivier Varenne Président, R&D et développement T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : Philippe ASTIER > Envoyé : vendredi 19 juillet 2024 16:08 > À : Olivier Varenne ; frnog-al...@frnog.org > Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes > Windows > > OK. > > En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et > aucun accès direct au noyau pour aucune application tierce. > Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les > solutions d’EDR doivent passer par l’EndPoint Security Framework, elles > n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le > cas, c’est juste que ça évolue, justement pour éviter les crashs du > noyau. > > Ce qui est clair, c’est qu’on peut trouver des solutions pour que les > logiciels tiers n’aient jamais les privilèges du noyau, même pour des > solutions de sécurité. > > « Performance et complexité » sont des excuses pour ne surtout rien > faire évoluer. Les couches basses de Windows sont fragiles et > n'évoluent pas. > > > > Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog > a écrit : > > > > Sauf que la solution micro kernel, dont on parle depuis longtemps > quand meme, se heurte toujours à des soucis de performance et de > complexité. > > > > > > > > Cordialement, > > > > > > > > Olivier Varenne > > Président, R&D et développement > > T +33 (0)4 27 04 40 00 | ipconnect.fr > > > > Suivez-nous ! > > > > > >> -Message d'origine----- > >> De : Philippe ASTIER Envoyé : > >> vendredi 19 juillet 2024 14:28 À : Olivier Varenne > >> Cc : David Ponzone > >> ; Erwan David ; > >> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur > les > >> systèmes Windows > >> > >> Il y a des OS où les extensions au noyau deviennent interdites > >> (macOS) ou n’ont jamais existé (iOS/iPadOS). > >> Les System Extensions existent, mais elles ne s’exécutent pas avec > >> les privilèges du noyau du tout. > >> > >> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée > >> fournis par l’éditeur. > >> > >> Ce n'’est pas nouveau comme concept, les premiers micro-kernels > des > >> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. > >> > >> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau > ou > >> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne > >> peut pas corrompre le kernel space. > >> > >> > >> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi > >> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) > >> > >> > >> On se rend compte que le bud de CriwdStrike empêche le boot, et > que > >> donc (a priori pour le moment), la seule solution est de passer > >> MANUELLEMENT sur chaque poste concerné ? > >> C’est le scenario cauchemar. > >> > >> > >> Donc oui, l’écriture même des OS de Microsoft est un risque. > >> CrowdStrike s’est planté en beauté, mais MS le favorise... > >> > >> > >>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog > >>> > >> a écrit : > >>> > >>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel > panic. > >> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. > Tu > >> n'as juste pas le choix... > >>> > >>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez > >> moi si je me trompe) viable techniquement/commercialement > n'existe à > >> ce jour, c'est un peu fort de café... > >>> > >>> > >>> > >>> > >>> > >>> Cordialement, > >>> > >>> > >>> > >>> Olivier Varenne > >>> Président, R&D et développement > >>> T +33 (0)4 27 04 40 00 | ipconnect.fr > >>> > >>> Suivez-nous ! > >>> > >>> > >>>> -Message d'origine- > >>>> De : frnog-requ...@frnog.org De la > part > >> de > >>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan > >> David > >>>> Cc : frnog@f
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, travailler, jouer… Pourquoi pas ? Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS. Je parle de la manière dont le système est développé, des concepts mise en oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité. Après comme on est vendredi, je trolle un peu. Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent encore. :) > Le 19 juil. 2024 à 17:31, Olivier Varenne a écrit : > > Comparer les OS mobiles d'Apple avec Windows ? > Je ne sais pas si j'aurai tenté. > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : Philippe ASTIER >> Envoyé : vendredi 19 juillet 2024 16:08 >> À : Olivier Varenne ; frnog-al...@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> OK. >> >> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et >> aucun accès direct au noyau pour aucune application tierce. >> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les >> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles >> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le >> cas, c’est juste que ça évolue, justement pour éviter les crashs du >> noyau. >> >> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les >> logiciels tiers n’aient jamais les privilèges du noyau, même pour des >> solutions de sécurité. >> >> « Performance et complexité » sont des excuses pour ne surtout rien >> faire évoluer. Les couches basses de Windows sont fragiles et >> n'évoluent pas. >> >> >>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog >> a écrit : >>> >>> Sauf que la solution micro kernel, dont on parle depuis longtemps >> quand meme, se heurte toujours à des soucis de performance et de >> complexité. >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -Message d'origine- >>>> De : Philippe ASTIER Envoyé : >>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne >>>> Cc : David Ponzone >>>> ; Erwan David ; >>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur >> les >>>> systèmes Windows >>>> >>>> Il y a des OS où les extensions au noyau deviennent interdites >>>> (macOS) ou n’ont jamais existé (iOS/iPadOS). >>>> Les System Extensions existent, mais elles ne s’exécutent pas avec >>>> les privilèges du noyau du tout. >>>> >>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >>>> fournis par l’éditeur. >>>> >>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels >> des >>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >>>> >>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau >> ou >>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne >>>> peut pas corrompre le kernel space. >>>> >>>> >>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi >>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) >>>> >>>> >>>> On se rend compte que le bud de CriwdStrike empêche le boot, et >> que >>>> donc (a priori pour le moment), la seule solution est de passer >>>> MANUELLEMENT sur chaque poste concerné ? >>>> C’est le scenario cauchemar. >>>> >>>> >>>> Donc oui, l’écriture même des OS de Microsoft est un risque. >>>> CrowdStrike s’est planté en beauté, mais MS le favorise... >>>> >>>> >>>>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog >>>>> >>>> a écrit : >>>>> >>>>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel >> panic. >>>> Tu as des applis/drivers qui DOIVENT fonctionner en
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps. Par contre, du wheel of death J'en vois régulièrement. Mais expérience personnelle isolée ne fait pas loi. Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg> From: Philippe ASTIER Sent: Friday, July 19, 2024 5:56:48 PM To: Olivier Varenne ; frnog-al...@frnog.org Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, travailler, jouer… Pourquoi pas ? Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS. Je parle de la manière dont le système est développé, des concepts mise en oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité. Après comme on est vendredi, je trolle un peu. Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent encore. :) > Le 19 juil. 2024 à 17:31, Olivier Varenne a écrit : > > Comparer les OS mobiles d'Apple avec Windows ? > Je ne sais pas si j'aurai tenté. > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : Philippe ASTIER >> Envoyé : vendredi 19 juillet 2024 16:08 >> À : Olivier Varenne ; frnog-al...@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> OK. >> >> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et >> aucun accès direct au noyau pour aucune application tierce. >> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les >> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles >> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le >> cas, c’est juste que ça évolue, justement pour éviter les crashs du >> noyau. >> >> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les >> logiciels tiers n’aient jamais les privilèges du noyau, même pour des >> solutions de sécurité. >> >> « Performance et complexité » sont des excuses pour ne surtout rien >> faire évoluer. Les couches basses de Windows sont fragiles et >> n'évoluent pas. >> >> >>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog >> a écrit : >>> >>> Sauf que la solution micro kernel, dont on parle depuis longtemps >> quand meme, se heurte toujours à des soucis de performance et de >> complexité. >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -Message d'origine- >>>> De : Philippe ASTIER Envoyé : >>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne >>>> Cc : David Ponzone >>>> ; Erwan David ; >>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur >> les >>>> systèmes Windows >>>> >>>> Il y a des OS où les extensions au noyau deviennent interdites >>>> (macOS) ou n’ont jamais existé (iOS/iPadOS). >>>> Les System Extensions existent, mais elles ne s’exécutent pas avec >>>> les privilèges du noyau du tout. >>>> >>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >>>> fournis par l’éditeur. >>>> >>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels >> des >>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >>>> >>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau >> ou >>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne >>>> peut pas corrompre le kernel space. >>>> >>>> >>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi >>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) >>>> >>>> >>>> On se rend compte que le bud de CriwdStrike empêche le boot, et >> que >>>> donc (a priori pour le moment), la seule solution est de passer >>>> MANUELLEMENT sur chaque poste concerné ? >>>> C’est le scenario cauchemar. >>>> >>>> >>>> Donc oui, l’écriture même des OS de Microsoft est un r
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Donc, tu n’as pas vu de Kernel Panic sur Mac depuis longtemps (équivalent du BSOD). La wheel of death, le noyau n’est pas planté. Si tu pouvais te connecter en SSH sur la machine, tu pourrais probablement faire un kill du processus bloqué. Après, à voir sur quelle architecture (Intel vs Apple Silicon), quelle version de macOS… tout évolue. De mon côté, ça fait longtemps que je n’ai vu ni l’un ni l’autre. Et oui, je sais bien qu’expérience personnelle ne fait pas loi ! Le 19 juil. 2024 à 18:11, Olivier Varenne a écrit : Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps. Par contre, du wheel of death J'en vois régulièrement. Mais expérience personnelle isolée ne fait pas loi. Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg> From: Philippe ASTIER Sent: Friday, July 19, 2024 5:56:48 PM To: Olivier Varenne ; frnog-al...@frnog.org Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, travailler, jouer… Pourquoi pas ? Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS. Je parle de la manière dont le système est développé, des concepts mise en oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité. Après comme on est vendredi, je trolle un peu. Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent encore. :) > Le 19 juil. 2024 à 17:31, Olivier Varenne a écrit : > > Comparer les OS mobiles d'Apple avec Windows ? > Je ne sais pas si j'aurai tenté. > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : Philippe ASTIER >> Envoyé : vendredi 19 juillet 2024 16:08 >> À : Olivier Varenne ; frnog-al...@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> OK. >> >> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et >> aucun accès direct au noyau pour aucune application tierce. >> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les >> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles >> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le >> cas, c’est juste que ça évolue, justement pour éviter les crashs du >> noyau. >> >> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les >> logiciels tiers n’aient jamais les privilèges du noyau, même pour des >> solutions de sécurité. >> >> « Performance et complexité » sont des excuses pour ne surtout rien >> faire évoluer. Les couches basses de Windows sont fragiles et >> n'évoluent pas. >> >> >>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog >> a écrit : >>> >>> Sauf que la solution micro kernel, dont on parle depuis longtemps >> quand meme, se heurte toujours à des soucis de performance et de >> complexité. >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -Message d'origine- >>>> De : Philippe ASTIER Envoyé : >>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne >>>> Cc : David Ponzone >>>> ; Erwan David ; >>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur >> les >>>> systèmes Windows >>>> >>>> Il y a des OS où les extensions au noyau deviennent interdites >>>> (macOS) ou n’ont jamais existé (iOS/iPadOS). >>>> Les System Extensions existent, mais elles ne s’exécutent pas avec >>>> les privilèges du noyau du tout. >>>> >>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >>>> fournis par l’éditeur. >>>> >>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels >> des >>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >>>> >>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau >> ou >>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne >>>> peut pas corrompre le kernel space. >>>> >>>> >>>> Concrètement, ça fait plus de 40 a
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Bonjour, Un debut d'analyse : https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/ Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous apprendra pas bcp non plus ;) Paul On Fri, 19 Jul 2024 10:05:22 +0200 Stephane Bortzmeyer wrote: > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > (Rien trouvé en français, encore) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99 F-92000 NanterreRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 21/07/2024 à 11:14, Paul Rolland (ポール・ロラン) a écrit : Bonjour, Un debut d'analyse : https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/ Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous apprendra pas bcp non plus ;) Paul Merci pour le lien ; très intéressant… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
En 2010, une maj de McAffee avait planté des tonnes de windows. Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! Avec le même résultat d'un insecte si bien posé qu'il nécessitait une intervention manuelle pour dératiser la fenêtre... https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même n’importe quoi et, comme on dit jamais deux sans trois... Reste une question philosophique : à part espionner, démolir des fenêtres et planter aussi les serveurs Linux, Clownstrike sert à quoi ? -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
On Mon, Jul 22, 2024 at 09:43:01AM CEST, Stéphane Rivière said: > En 2010, une maj de McAffee avait planté des tonnes de windows. > > Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! > > Avec le même résultat d'un insecte si bien posé qu'il nécessitait une > intervention manuelle pour dératiser la fenêtre... > > https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 > > Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même > n’importe quoi et, comme on dit jamais deux sans trois... > Reste une question philosophique : à part espionner, démolir des fenêtres et > planter aussi les serveurs Linux, Clownstrike sert à quoi ? À cocher la case pour l'audit de sécurité "on a un EDR" et comme c'est un des plus gros du marché, l'auditeur ne tiquera pas dessus -- Erwan --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 22/07/2024 à 09:43, Stéphane Rivière a écrit : En 2010, une maj de McAffee avait planté des tonnes de windows. Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! Avec le même résultat d'un insecte si bien posé qu'il nécessitait une intervention manuelle pour dératiser la fenêtre... https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 Site merdique mais info très intéressante. Là ce ne serait donc plus un incident mais une malveillance ? Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et balancer une mise à jour sans la tester sur une telle surface d'implications, c'est au minimum une incompétence grave. Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même n’importe quoi et, comme on dit jamais deux sans trois... Reste une question philosophique : à part espionner, démolir des fenêtres et planter aussi les serveurs Linux, Clownstrike sert à quoi ? A faire du fric. Cela fait partie d'un modèle économique juteux : le cyberracket. Dans le même registre, on a des assurances qui "encouragent" leurs clients à améliorer leur cyber-score sur des points qui relèvent davantage de risques hypothétiques que réels… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
J’ai vérifié son bio, i a effectivement été CYO chez McAfee en 2010 quel honneur! Malveillance ou négligence aggravée? Le facteur sonne toujours deux fois. Professor @DanielSolove has developed his theory of repetitive data breaches. CTOs never learn from their past experience?! Kurtz was at McAfee in 2010 https://www.newsbytesapp.com/news/science/defective-mcafee-once-caused-worldwide-meltdown-of-windows-xp-pcs/story Sent from my iPhone > On 22 Jul 2024, at 10:03, Laurent Barme <5...@barme.fr> wrote: > > >> Le 22/07/2024 à 09:43, Stéphane Rivière a écrit : >> En 2010, une maj de McAffee avait planté des tonnes de windows. >> >> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! >> >> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une >> intervention manuelle pour dératiser la fenêtre... >> >> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 >> > Site merdique mais info très intéressante. > Là ce ne serait donc plus un incident mais une malveillance ? > > Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et > balancer une mise à jour sans la tester sur une telle surface d'implications, > c'est au minimum une incompétence grave. > >> >> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même >> n’importe quoi et, comme on dit jamais deux sans trois... >> Reste une question philosophique : à part espionner, démolir des fenêtres et >> planter aussi les serveurs Linux, Clownstrike sert à quoi ? >> > A faire du fric. > Cela fait partie d'un modèle économique juteux : le cyberracket. > Dans le même registre, on a des assurances qui "encouragent" leurs clients à > améliorer leur cyber-score sur des points qui relèvent davantage de risques > hypothétiques que réels… > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
CrowdStrike me dit-on n’avait pas manqué de planté Linux avec un kernel panik https://www.theregister.com/2024/07/21/crowdstrike_linux_crashes_restoration_tools/ Sent from my iPhone > On 22 Jul 2024, at 10:59, Clarinette Tara wrote: > > J’ai vérifié son bio, i a effectivement été CYO chez McAfee en 2010 quel > honneur! > > Malveillance ou négligence aggravée? > > Le facteur sonne toujours deux fois. Professor @DanielSolove has developed > his theory of repetitive data breaches. CTOs never learn from their past > experience?! Kurtz was at McAfee in 2010 > https://www.newsbytesapp.com/news/science/defective-mcafee-once-caused-worldwide-meltdown-of-windows-xp-pcs/story > > Sent from my iPhone > >> On 22 Jul 2024, at 10:03, Laurent Barme <5...@barme.fr> wrote: >> >> Le 22/07/2024 à 09:43, Stéphane Rivière a écrit : >>> En 2010, une maj de McAffee avait planté des tonnes de windows. >>> >>> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! >>> >>> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une >>> intervention manuelle pour dératiser la fenêtre... >>> >>> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 >>> >> Site merdique mais info très intéressante. >> Là ce ne serait donc plus un incident mais une malveillance ? >> >> Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et >> balancer une mise à jour sans la tester sur une telle surface >> d'implications, c'est au minimum une incompétence grave. >> >>> >>> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même >>> n’importe quoi et, comme on dit jamais deux sans trois... >>> Reste une question philosophique : à part espionner, démolir des fenêtres et >>> planter aussi les serveurs Linux, Clownstrike sert à quoi ? >>> >> A faire du fric. >> Cela fait partie d'un modèle économique juteux : le cyberracket. >> Dans le même registre, on a des assurances qui "encouragent" leurs clients à >> améliorer leur cyber-score sur des points qui relèvent davantage de risques >> hypothétiques que réels… >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
CrowdStrike me dit-on n’avait pas manqué de planté Linux avec un kernel panik ClownStrike est agnostique : il a planté indistinctement du RH, centOS, Debian, etc. Il semble (on manque de source fiable :) que cette 'entreprise' ait été financée par des agences US à 3 lettres. Pourtant, il y a des 'journalistes' pour s'étonner que la Chine n'ait pas souffert... -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Hello, Paru à l'instant, sur le monde.fr https://www.lemonde.fr/pixels/article/2024/07/19/une-panne-informatique-a-grande-echelle-provoque-le-chaos-en-australie-et-dans-les-aeroports-mondiaux_6252544_4408996.html Le ven. 19 juil. 2024 à 10:05, Stephane Bortzmeyer a écrit : > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. > > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > (Rien trouvé en français, encore) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Oui c'est un sacré bazar ce matin... Incident qui a démarré vers 6h25 ce matin pour nous, tous les serveurs Windows qui rebootent et passent en BSOD, les postes de travail ont suivi Le ven. 19 juil. 2024, 10:05, Stephane Bortzmeyer a écrit : > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. > > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > (Rien trouvé en français, encore) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 7/19/24 à 10:33, David Ponzone a écrit : Mais je comprends pas comment c’est possible. Y a des serveurs Windows avec les mises à jour auto activées ? David Au moins les mises à jour des signatures crowdstrike... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Ca va être sympa pour le conditional access ;) Le ven. 19 juil. 2024 à 10:15, Paul Rolland (ポール・ロラン) a écrit : > Bonjour, > > On Fri, 19 Jul 2024 10:05:22 +0200 > Stephane Bortzmeyer wrote: > > > Apparemment, de grosses conséquences mondiales, pour les gens qui font > > tourner des services sur Windows. > > > > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > > > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > > > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > > > (Rien trouvé en français, encore) > > Et pour ceux qui sont impactes, on a cette procedure qui traite sur Reddit > via le lien diffuse sur [outages] ce matin: > > > > Boot Windows into Safe Mode or the Windows Recovery Environment > > Navigate to the C:\Windows\System32\drivers\CrowdStrike directory > > Locate the file matching “C-0291*.sys”, and delete it. > > Boot the host normally. > > Paul > > -- > Paul RollandE-Mail : rol(at)witbe.net > CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 > 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99 > F-92000 NanterreRIPE : PR12-RIPE > > Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un > navigateur "Some people dream of success... while others wake up and work > hard at it" > > "I worry about my child and the Internet all the time, even though she's > too young to have logged on yet. Here's what I worry about. I worry that 10 > or 15 years from now, she will come to me and say 'Daddy, where were you > when they took freedom of the press away from the Internet?'" > --Mike Godwin, Electronic Frontier Foundation > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Bonjour, On Fri, 19 Jul 2024 10:05:22 +0200 Stephane Bortzmeyer wrote: > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > (Rien trouvé en français, encore) Et pour ceux qui sont impactes, on a cette procedure qui traite sur Reddit via le lien diffuse sur [outages] ce matin: Boot Windows into Safe Mode or the Windows Recovery Environment Navigate to the C:\Windows\System32\drivers\CrowdStrike directory Locate the file matching “C-0291*.sys”, and delete it. Boot the host normally. Paul -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99 F-92000 NanterreRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Bonjour, On Fri, 19 Jul 2024 10:46:35 +0200 Romain wrote: > Ca va être sympa pour le conditional access ;) Les joies du clou-d... une belle epine dans le pied ce matin :( Bon courage a tout ceux qui doivent faire avec ce matin. Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Pas seulement Windows, les services 365 sont affectés, donc si tu fais du SSO sur 365, tu es touché aussi… juste tu n’as pas le BSOD. Petites conséquences: "The US Federal Aviation Administration says all flights from Delta, United, and American Airlines are grounded due to a “communication issue.” Berlin airport is also warning of travel delays due to “technical issues.” A voir aussi : https://www.cnbc.com/2024/07/19/crowdstrike-suffers-major-outage-affecting-businesses-around-the-world.html On va réimplanter du on-prem à partir de la semaine prochaine, je le sens… L’âge d’or des admins système... Le 19 juil. 2024 à 10:05, Stephane Bortzmeyer a écrit : Apparemment, de grosses conséquences mondiales, pour les gens qui font tourner des services sur Windows. https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ (Rien trouvé en français, encore) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Mais je comprends pas comment c’est possible. Y a des serveurs Windows avec les mises à jour auto activées ? David > Le 19 juil. 2024 à 10:11, Michaël BLANDIN a écrit > : > > Oui c'est un sacré bazar ce matin... > Incident qui a démarré vers 6h25 ce matin pour nous, tous les serveurs > Windows qui rebootent et passent en BSOD, les postes de travail ont suivi > > Le ven. 19 juil. 2024, 10:05, Stephane Bortzmeyer a > écrit : > >> Apparemment, de grosses conséquences mondiales, pour les gens qui font >> tourner des services sur Windows. >> >> >> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html >> >> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue >> >> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ >> >> (Rien trouvé en français, encore) >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 19/07/2024 à 10:33, David Ponzone a écrit : Mais je comprends pas comment c’est possible. Y a des serveurs Windows avec les mises à jour auto activées ? :-)) Excellente ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Et alors ? Depuis quand les mises à jour Windows posent problème ? -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des BSOD causés par des applications. C’est l’action MS qui devrait baisser, pas Crowdstrike. Ensuite, crowdstrike protège de trucs tellement critiques qu’il est inimaginable de retarder les mises à jour de la base de signatures de 24h ? Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». David Ponzone > Le 19 juil. 2024 à 10:40, Erwan David a écrit : > > >> Le 7/19/24 à 10:33, David Ponzone a écrit : >> Mais je comprends pas comment c’est possible. >> Y a des serveurs Windows avec les mises à jour auto activées ? >> >> David > Au moins les mises à jour des signatures crowdstrike... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Il y a quelques temps j'ai eu du kernel panic sur Debian 12 à cause de CrowdStrike (kernel trop récent/mal supporté). Ils n'en sont pas à leur coup d'essai Le ven. 19 juil. 2024, 13:30, David Ponzone a écrit : > Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans > Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des BSOD > causés par des applications. > C’est l’action MS qui devrait baisser, pas Crowdstrike. > > Ensuite, crowdstrike protège de trucs tellement critiques qu’il est > inimaginable de retarder les mises à jour de la base de signatures de 24h ? > > Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « > j’ai pris MS parce qu’on pourra pas me le reprocher ». > > David Ponzone > > > > > Le 19 juil. 2024 à 10:40, Erwan David a écrit : > > > > > >> Le 7/19/24 à 10:33, David Ponzone a écrit : > >> Mais je comprends pas comment c’est possible. > >> Y a des serveurs Windows avec les mises à jour auto activées ? > >> > >> David > > Au moins les mises à jour des signatures crowdstrike... > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Salut a tous, On est bien ok que les BSOD ne concernent que les pc ayant crowdstrike d’installe ? Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés” Par ailleurs, ok les services microsoft sont impactes, qu’est ce que cela veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux Windows defender ? j’ai du mal a faire le lien Aller pour ceux qui ont la ref :) https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif > On 19 Jul 2024, at 12:33, Stéphane Rivière wrote: > > Et alors ? > Depuis quand les mises à jour Windows posent problème ? > > -- > Stéphane Rivière > Ile d'Oléron - France > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Je cite le blog de CrowdStrike : "CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. « Après, je suis comme toi, j’ai des clients qui ont été impactés par des applis qui faisaient du SSO SAML sur O365, qui a priori n’a pas de rapport. Sauf si … Microsoft protège certains serveurs d’Azure avec CrowdStrike? Le post mortem, s’il est transparent, va être passionnant. Le problème semble assez simple, l’impact est tout juste délirant. > Le 19 juil. 2024 à 13:31, Merwan Zenati a écrit : > > Salut a tous, > > On est bien ok que les BSOD ne concernent que les pc ayant crowdstrike > d’installe ? > Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article > disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés” > > Par ailleurs, ok les services microsoft sont impactes, qu’est ce que cela > veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux Windows > defender ? j’ai du mal a faire le lien > > > Aller pour ceux qui ont la ref :) > > https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif > >> On 19 Jul 2024, at 12:33, Stéphane Rivière wrote: >> >> Et alors ? >> Depuis quand les mises à jour Windows posent problème ? >> >> -- >> Stéphane Rivière >> Ile d'Oléron - France >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Bonjour, De ce que je comprends, il s'est passé 2 incidents cette nuit. Et les deux ne me semblent pas liés. Un problème chez MS sur des services Azure hostés sur la région Central US ayant débuté à 6pm ET, soit vers minuit pour nous. Preliminary root cause: A configuration change in a portion of our Azure backend workloads, caused interruption between storage and compute resources which resulted in connectivity failures that affected downstream Microsoft 365 services dependent on these connections. et le problème Crowdstrike qui impacte les utilisateurs de leur solution XDR, à priori depuis 7pm UTC, soit 9pm pour nous. Bref, la double panne :) On Fri, Jul 19, 2024 at 1:37 PM Philippe ASTIER via frnog wrote: > Je cite le blog de CrowdStrike : > "CrowdStrike is actively working with customers impacted by a defect found > in a single content update for Windows hosts. Mac and Linux hosts are not > impacted. This is not a security incident or cyberattack. « > > Après, je suis comme toi, j’ai des clients qui ont été impactés par des > applis qui faisaient du SSO SAML sur O365, qui a priori n’a pas de rapport. > > > Sauf si … Microsoft protège certains serveurs d’Azure avec CrowdStrike? > > Le post mortem, s’il est transparent, va être passionnant. > Le problème semble assez simple, l’impact est tout juste délirant. > > > Le 19 juil. 2024 à 13:31, Merwan Zenati a > écrit : > > > > Salut a tous, > > > > On est bien ok que les BSOD ne concernent que les pc ayant > crowdstrike d’installe ? > > Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article > disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés” > > > > Par ailleurs, ok les services microsoft sont impactes, qu’est ce que > cela veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux > Windows defender ? j’ai du mal a faire le lien > > > > > > Aller pour ceux qui ont la ref :) > > > > https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif > > > >> On 19 Jul 2024, at 12:33, Stéphane Rivière wrote: > >> > >> Et alors ? > >> Depuis quand les mises à jour Windows posent problème ? > >> > >> -- > >> Stéphane Rivière > >> Ile d'Oléron - France > >> > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le choix... Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si je me trompe) viable techniquement/commercialement n'existe à ce jour, c'est un peu fort de café... Cordialement, Olivier Varenne Président, R&D et développement T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > David Ponzone > Envoyé : vendredi 19 juillet 2024 13:30 > À : Erwan David > Cc : frnog@frnog.org > Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes > Windows > > Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans > Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des > BSOD causés par des applications. > C’est l’action MS qui devrait baisser, pas Crowdstrike. > > Ensuite, crowdstrike protège de trucs tellement critiques qu’il est > inimaginable de retarder les mises à jour de la base de signatures de > 24h ? > > Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « > j’ai pris MS parce qu’on pourra pas me le reprocher ». > > David Ponzone > > > > > Le 19 juil. 2024 à 10:40, Erwan David a écrit : > > > > > >> Le 7/19/24 à 10:33, David Ponzone a écrit : > >> Mais je comprends pas comment c’est possible. > >> Y a des serveurs Windows avec les mises à jour auto activées ? > >> > >> David > > Au moins les mises à jour des signatures crowdstrike... > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Hello, On Fri, 19 Jul 2024 13:50:53 +0200 Guillaume Denoix wrote: > et le problème Crowdstrike qui impacte les utilisateurs de leur solution > XDR, à priori depuis 7pm UTC, soit 9pm pour nous. Un premier post a ete fait a ce sujet sur [outages] a 7H51 heure de Paris. Il renvoyait sur une discussion Reddit qui etait deja bien chaude a ce moment-la. Donc, je pense qu'on peut avant d'au moins une heure le moment ou ca a commence. Paul -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99 F-92000 NanterreRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Il y a des OS où les extensions au noyau deviennent interdites (macOS) ou n’ont jamais existé (iOS/iPadOS). Les System Extensions existent, mais elles ne s’exécutent pas avec les privilèges du noyau du tout. Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée fournis par l’éditeur. Ce n'’est pas nouveau comme concept, les premiers micro-kernels des années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut pas corrompre le kernel space. Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) On se rend compte que le bud de CriwdStrike empêche le boot, et que donc (a priori pour le moment), la seule solution est de passer MANUELLEMENT sur chaque poste concerné ? C’est le scenario cauchemar. Donc oui, l’écriture même des OS de Microsoft est un risque. CrowdStrike s’est planté en beauté, mais MS le favorise... > Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog a écrit > : > > Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des > applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le > choix... > > Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si > je me trompe) viable techniquement/commercialement n'existe à ce jour, c'est > un peu fort de café... > > > > > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : frnog-requ...@frnog.org De la part de >> David Ponzone >> Envoyé : vendredi 19 juillet 2024 13:30 >> À : Erwan David >> Cc : frnog@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans >> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des >> BSOD causés par des applications. >> C’est l’action MS qui devrait baisser, pas Crowdstrike. >> >> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est >> inimaginable de retarder les mises à jour de la base de signatures de >> 24h ? >> >> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « >> j’ai pris MS parce qu’on pourra pas me le reprocher ». >> >> David Ponzone >> >> >> >>> Le 19 juil. 2024 à 10:40, Erwan David a écrit : >>> >>> >>>> Le 7/19/24 à 10:33, David Ponzone a écrit : >>>> Mais je comprends pas comment c’est possible. >>>> Y a des serveurs Windows avec les mises à jour auto activées ? >>>> >>>> David >>> Au moins les mises à jour des signatures crowdstrike... >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
On Fri, Jul 19, 2024 at 10:05:22AM +0200, Stephane Bortzmeyer wrote: > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. Le troll du vendredi. "Microsoft n'azure pas" ;) Que la force du libre soit avec nous mes frères et soeurs. Bonne journée, -- Frédéric ROBERT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le troll du vendredi. "Microsoft n'azure pas" ;) J'adore :) /Microsoft est une compagnie, non pas précisément d'assurance, car il n'*azure* pas, mais de peur, d'incertitude et de doute/. Proudhon - librement recyclé :) Que la force du libre soit avec nous mes frères et soeurs. Amen ! pardon, Hache ! -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, se heurte toujours à des soucis de performance et de complexité. Cordialement, Olivier Varenne Président, R&D et développement T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : Philippe ASTIER > Envoyé : vendredi 19 juillet 2024 14:28 > À : Olivier Varenne > Cc : David Ponzone ; Erwan David > ; frnog@frnog.org > Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes > Windows > > Il y a des OS où les extensions au noyau deviennent interdites (macOS) > ou n’ont jamais existé (iOS/iPadOS). > Les System Extensions existent, mais elles ne s’exécutent pas avec les > privilèges du noyau du tout. > > Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée > fournis par l’éditeur. > > Ce n'’est pas nouveau comme concept, les premiers micro-kernels des > années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. > > Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou > reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut > pas corrompre le kernel space. > > > Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi > vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) > > > On se rend compte que le bud de CriwdStrike empêche le boot, et que > donc (a priori pour le moment), la seule solution est de passer > MANUELLEMENT sur chaque poste concerné ? > C’est le scenario cauchemar. > > > Donc oui, l’écriture même des OS de Microsoft est un risque. > CrowdStrike s’est planté en beauté, mais MS le favorise... > > > > Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog > a écrit : > > > > Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. > Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu > n'as juste pas le choix... > > > > Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez > moi si je me trompe) viable techniquement/commercialement n'existe à > ce jour, c'est un peu fort de café... > > > > > > > > > > > > Cordialement, > > > > > > > > Olivier Varenne > > Président, R&D et développement > > T +33 (0)4 27 04 40 00 | ipconnect.fr > > > > Suivez-nous ! > > > > > >> -Message d'origine- > >> De : frnog-requ...@frnog.org De la part > de > >> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan > David > >> Cc : frnog@frnog.org Objet : Re: [FRnOG] > [ALERT] > >> Panne Crowdstrike sur les systèmes Windows > >> > >> Ok je connais pas crowdstrike et à quel point il a accès bas niveau > >> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est > encore > >> à des BSOD causés par des applications. > >> C’est l’action MS qui devrait baisser, pas Crowdstrike. > >> > >> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est > >> inimaginable de retarder les mises à jour de la base de signatures de > >> 24h ? > >> > >> Question subsidiaire: cela va-t-il modifier l’habituel politique des > >> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». > >> > >> David Ponzone > >> > >> > >> > >>> Le 19 juil. 2024 à 10:40, Erwan David a écrit > : > >>> > >>> > >>>> Le 7/19/24 à 10:33, David Ponzone a écrit : > >>>> Mais je comprends pas comment c’est possible. > >>>> Y a des serveurs Windows avec les mises à jour auto activées ? > >>>> > >>>> David > >>> Au moins les mises à jour des signatures crowdstrike... > >>> > >>> > >>> --- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
OK. En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et aucun accès direct au noyau pour aucune application tierce. Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les solutions d’EDR doivent passer par l’EndPoint Security Framework, elles n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le cas, c’est juste que ça évolue, justement pour éviter les crashs du noyau. Ce qui est clair, c’est qu’on peut trouver des solutions pour que les logiciels tiers n’aient jamais les privilèges du noyau, même pour des solutions de sécurité. « Performance et complexité » sont des excuses pour ne surtout rien faire évoluer. Les couches basses de Windows sont fragiles et n'évoluent pas. > Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog a écrit > : > > Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, > se heurte toujours à des soucis de performance et de complexité. > > > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : Philippe ASTIER >> Envoyé : vendredi 19 juillet 2024 14:28 >> À : Olivier Varenne >> Cc : David Ponzone ; Erwan David >> ; frnog@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> Il y a des OS où les extensions au noyau deviennent interdites (macOS) >> ou n’ont jamais existé (iOS/iPadOS). >> Les System Extensions existent, mais elles ne s’exécutent pas avec les >> privilèges du noyau du tout. >> >> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >> fournis par l’éditeur. >> >> Ce n'’est pas nouveau comme concept, les premiers micro-kernels des >> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >> >> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou >> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut >> pas corrompre le kernel space. >> >> >> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi >> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) >> >> >> On se rend compte que le bud de CriwdStrike empêche le boot, et que >> donc (a priori pour le moment), la seule solution est de passer >> MANUELLEMENT sur chaque poste concerné ? >> C’est le scenario cauchemar. >> >> >> Donc oui, l’écriture même des OS de Microsoft est un risque. >> CrowdStrike s’est planté en beauté, mais MS le favorise... >> >> >>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog >> a écrit : >>> >>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. >> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu >> n'as juste pas le choix... >>> >>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez >> moi si je me trompe) viable techniquement/commercialement n'existe à >> ce jour, c'est un peu fort de café... >>> >>> >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -Message d'origine- >>>> De : frnog-requ...@frnog.org De la part >> de >>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan >> David >>>> Cc : frnog@frnog.org Objet : Re: [FRnOG] >> [ALERT] >>>> Panne Crowdstrike sur les systèmes Windows >>>> >>>> Ok je connais pas crowdstrike et à quel point il a accès bas niveau >>>> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est >> encore >>>> à des BSOD causés par des applications. >>>> C’est l’action MS qui devrait baisser, pas Crowdstrike. >>>> >>>> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est >>>> inimaginable de retarder les mises à jour de la base de signatures de >>>> 24h ? >>>> >>>> Question subsidiaire: cela va-t-il modifier l’habituel politique des >>>> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». >>>> >>>> David Ponzone >>>> >>>> >>>> >>>>> Le 19 juil. 2024 à 10:40, Erwan David a écrit >> : >>>>> >>>>> >>>>>> Le 7/19/24 à 10:33, David Ponzone a écrit : >>>>>> Mais je comprends pas comment c’est possible. >>>>>> Y a des serveurs Windows avec les mises à jour auto activées ? >>>>>> >>>>>> David >>>>> Au moins les mises à jour des signatures crowdstrike... >>>>> >>>>> >>>>> --- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>> >>>> >>>> --- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Comparer les OS mobiles d'Apple avec Windows ? Je ne sais pas si j'aurai tenté. Cordialement, Olivier Varenne Président, R&D et développement T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : Philippe ASTIER > Envoyé : vendredi 19 juillet 2024 16:08 > À : Olivier Varenne ; frnog-al...@frnog.org > Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes > Windows > > OK. > > En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et > aucun accès direct au noyau pour aucune application tierce. > Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les > solutions d’EDR doivent passer par l’EndPoint Security Framework, elles > n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le > cas, c’est juste que ça évolue, justement pour éviter les crashs du > noyau. > > Ce qui est clair, c’est qu’on peut trouver des solutions pour que les > logiciels tiers n’aient jamais les privilèges du noyau, même pour des > solutions de sécurité. > > « Performance et complexité » sont des excuses pour ne surtout rien > faire évoluer. Les couches basses de Windows sont fragiles et > n'évoluent pas. > > > > Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog > a écrit : > > > > Sauf que la solution micro kernel, dont on parle depuis longtemps > quand meme, se heurte toujours à des soucis de performance et de > complexité. > > > > > > > > Cordialement, > > > > > > > > Olivier Varenne > > Président, R&D et développement > > T +33 (0)4 27 04 40 00 | ipconnect.fr > > > > Suivez-nous ! > > > > > >> -Message d'origine----- > >> De : Philippe ASTIER Envoyé : > >> vendredi 19 juillet 2024 14:28 À : Olivier Varenne > >> Cc : David Ponzone > >> ; Erwan David ; > >> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur > les > >> systèmes Windows > >> > >> Il y a des OS où les extensions au noyau deviennent interdites > >> (macOS) ou n’ont jamais existé (iOS/iPadOS). > >> Les System Extensions existent, mais elles ne s’exécutent pas avec > >> les privilèges du noyau du tout. > >> > >> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée > >> fournis par l’éditeur. > >> > >> Ce n'’est pas nouveau comme concept, les premiers micro-kernels > des > >> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. > >> > >> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau > ou > >> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne > >> peut pas corrompre le kernel space. > >> > >> > >> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi > >> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) > >> > >> > >> On se rend compte que le bud de CriwdStrike empêche le boot, et > que > >> donc (a priori pour le moment), la seule solution est de passer > >> MANUELLEMENT sur chaque poste concerné ? > >> C’est le scenario cauchemar. > >> > >> > >> Donc oui, l’écriture même des OS de Microsoft est un risque. > >> CrowdStrike s’est planté en beauté, mais MS le favorise... > >> > >> > >>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog > >>> > >> a écrit : > >>> > >>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel > panic. > >> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. > Tu > >> n'as juste pas le choix... > >>> > >>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez > >> moi si je me trompe) viable techniquement/commercialement > n'existe à > >> ce jour, c'est un peu fort de café... > >>> > >>> > >>> > >>> > >>> > >>> Cordialement, > >>> > >>> > >>> > >>> Olivier Varenne > >>> Président, R&D et développement > >>> T +33 (0)4 27 04 40 00 | ipconnect.fr > >>> > >>> Suivez-nous ! > >>> > >>> > >>>> -Message d'origine- > >>>> De : frnog-requ...@frnog.org De la > part > >> de > >>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan > >> David > >>>> Cc : frnog@f
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, travailler, jouer… Pourquoi pas ? Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS. Je parle de la manière dont le système est développé, des concepts mise en oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité. Après comme on est vendredi, je trolle un peu. Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent encore. :) > Le 19 juil. 2024 à 17:31, Olivier Varenne a écrit : > > Comparer les OS mobiles d'Apple avec Windows ? > Je ne sais pas si j'aurai tenté. > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : Philippe ASTIER >> Envoyé : vendredi 19 juillet 2024 16:08 >> À : Olivier Varenne ; frnog-al...@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> OK. >> >> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et >> aucun accès direct au noyau pour aucune application tierce. >> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les >> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles >> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le >> cas, c’est juste que ça évolue, justement pour éviter les crashs du >> noyau. >> >> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les >> logiciels tiers n’aient jamais les privilèges du noyau, même pour des >> solutions de sécurité. >> >> « Performance et complexité » sont des excuses pour ne surtout rien >> faire évoluer. Les couches basses de Windows sont fragiles et >> n'évoluent pas. >> >> >>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog >> a écrit : >>> >>> Sauf que la solution micro kernel, dont on parle depuis longtemps >> quand meme, se heurte toujours à des soucis de performance et de >> complexité. >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -Message d'origine- >>>> De : Philippe ASTIER Envoyé : >>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne >>>> Cc : David Ponzone >>>> ; Erwan David ; >>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur >> les >>>> systèmes Windows >>>> >>>> Il y a des OS où les extensions au noyau deviennent interdites >>>> (macOS) ou n’ont jamais existé (iOS/iPadOS). >>>> Les System Extensions existent, mais elles ne s’exécutent pas avec >>>> les privilèges du noyau du tout. >>>> >>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >>>> fournis par l’éditeur. >>>> >>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels >> des >>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >>>> >>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau >> ou >>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne >>>> peut pas corrompre le kernel space. >>>> >>>> >>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi >>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) >>>> >>>> >>>> On se rend compte que le bud de CriwdStrike empêche le boot, et >> que >>>> donc (a priori pour le moment), la seule solution est de passer >>>> MANUELLEMENT sur chaque poste concerné ? >>>> C’est le scenario cauchemar. >>>> >>>> >>>> Donc oui, l’écriture même des OS de Microsoft est un risque. >>>> CrowdStrike s’est planté en beauté, mais MS le favorise... >>>> >>>> >>>>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog >>>>> >>>> a écrit : >>>>> >>>>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel >> panic. >>>> Tu as des applis/drivers qui DOIVENT fonctionner en
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps. Par contre, du wheel of death J'en vois régulièrement. Mais expérience personnelle isolée ne fait pas loi. Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg> From: Philippe ASTIER Sent: Friday, July 19, 2024 5:56:48 PM To: Olivier Varenne ; frnog-al...@frnog.org Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, travailler, jouer… Pourquoi pas ? Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS. Je parle de la manière dont le système est développé, des concepts mise en oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité. Après comme on est vendredi, je trolle un peu. Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent encore. :) > Le 19 juil. 2024 à 17:31, Olivier Varenne a écrit : > > Comparer les OS mobiles d'Apple avec Windows ? > Je ne sais pas si j'aurai tenté. > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : Philippe ASTIER >> Envoyé : vendredi 19 juillet 2024 16:08 >> À : Olivier Varenne ; frnog-al...@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> OK. >> >> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et >> aucun accès direct au noyau pour aucune application tierce. >> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les >> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles >> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le >> cas, c’est juste que ça évolue, justement pour éviter les crashs du >> noyau. >> >> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les >> logiciels tiers n’aient jamais les privilèges du noyau, même pour des >> solutions de sécurité. >> >> « Performance et complexité » sont des excuses pour ne surtout rien >> faire évoluer. Les couches basses de Windows sont fragiles et >> n'évoluent pas. >> >> >>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog >> a écrit : >>> >>> Sauf que la solution micro kernel, dont on parle depuis longtemps >> quand meme, se heurte toujours à des soucis de performance et de >> complexité. >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -Message d'origine- >>>> De : Philippe ASTIER Envoyé : >>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne >>>> Cc : David Ponzone >>>> ; Erwan David ; >>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur >> les >>>> systèmes Windows >>>> >>>> Il y a des OS où les extensions au noyau deviennent interdites >>>> (macOS) ou n’ont jamais existé (iOS/iPadOS). >>>> Les System Extensions existent, mais elles ne s’exécutent pas avec >>>> les privilèges du noyau du tout. >>>> >>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >>>> fournis par l’éditeur. >>>> >>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels >> des >>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >>>> >>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau >> ou >>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne >>>> peut pas corrompre le kernel space. >>>> >>>> >>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi >>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) >>>> >>>> >>>> On se rend compte que le bud de CriwdStrike empêche le boot, et >> que >>>> donc (a priori pour le moment), la seule solution est de passer >>>> MANUELLEMENT sur chaque poste concerné ? >>>> C’est le scenario cauchemar. >>>> >>>> >>>> Donc oui, l’écriture même des OS de Microsoft est un r
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Donc, tu n’as pas vu de Kernel Panic sur Mac depuis longtemps (équivalent du BSOD). La wheel of death, le noyau n’est pas planté. Si tu pouvais te connecter en SSH sur la machine, tu pourrais probablement faire un kill du processus bloqué. Après, à voir sur quelle architecture (Intel vs Apple Silicon), quelle version de macOS… tout évolue. De mon côté, ça fait longtemps que je n’ai vu ni l’un ni l’autre. Et oui, je sais bien qu’expérience personnelle ne fait pas loi ! Le 19 juil. 2024 à 18:11, Olivier Varenne a écrit : Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps. Par contre, du wheel of death J'en vois régulièrement. Mais expérience personnelle isolée ne fait pas loi. Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg> From: Philippe ASTIER Sent: Friday, July 19, 2024 5:56:48 PM To: Olivier Varenne ; frnog-al...@frnog.org Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, travailler, jouer… Pourquoi pas ? Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS. Je parle de la manière dont le système est développé, des concepts mise en oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité. Après comme on est vendredi, je trolle un peu. Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent encore. :) > Le 19 juil. 2024 à 17:31, Olivier Varenne a écrit : > > Comparer les OS mobiles d'Apple avec Windows ? > Je ne sais pas si j'aurai tenté. > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -Message d'origine- >> De : Philippe ASTIER >> Envoyé : vendredi 19 juillet 2024 16:08 >> À : Olivier Varenne ; frnog-al...@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> OK. >> >> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et >> aucun accès direct au noyau pour aucune application tierce. >> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les >> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles >> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le >> cas, c’est juste que ça évolue, justement pour éviter les crashs du >> noyau. >> >> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les >> logiciels tiers n’aient jamais les privilèges du noyau, même pour des >> solutions de sécurité. >> >> « Performance et complexité » sont des excuses pour ne surtout rien >> faire évoluer. Les couches basses de Windows sont fragiles et >> n'évoluent pas. >> >> >>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog >> a écrit : >>> >>> Sauf que la solution micro kernel, dont on parle depuis longtemps >> quand meme, se heurte toujours à des soucis de performance et de >> complexité. >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -Message d'origine- >>>> De : Philippe ASTIER Envoyé : >>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne >>>> Cc : David Ponzone >>>> ; Erwan David ; >>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur >> les >>>> systèmes Windows >>>> >>>> Il y a des OS où les extensions au noyau deviennent interdites >>>> (macOS) ou n’ont jamais existé (iOS/iPadOS). >>>> Les System Extensions existent, mais elles ne s’exécutent pas avec >>>> les privilèges du noyau du tout. >>>> >>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >>>> fournis par l’éditeur. >>>> >>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels >> des >>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >>>> >>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau >> ou >>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne >>>> peut pas corrompre le kernel space. >>>> >>>> >>>> Concrètement, ça fait plus de 40 a
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Bonjour, Un debut d'analyse : https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/ Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous apprendra pas bcp non plus ;) Paul On Fri, 19 Jul 2024 10:05:22 +0200 Stephane Bortzmeyer wrote: > Apparemment, de grosses conséquences mondiales, pour les gens qui font > tourner des services sur Windows. > > https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html > https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue > https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/ > > (Rien trouvé en français, encore) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99 F-92000 NanterreRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 21/07/2024 à 11:14, Paul Rolland (ポール・ロラン) a écrit : Bonjour, Un debut d'analyse : https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/ Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous apprendra pas bcp non plus ;) Paul Merci pour le lien ; très intéressant… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
En 2010, une maj de McAffee avait planté des tonnes de windows. Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! Avec le même résultat d'un insecte si bien posé qu'il nécessitait une intervention manuelle pour dératiser la fenêtre... https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même n’importe quoi et, comme on dit jamais deux sans trois... Reste une question philosophique : à part espionner, démolir des fenêtres et planter aussi les serveurs Linux, Clownstrike sert à quoi ? -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
On Mon, Jul 22, 2024 at 09:43:01AM CEST, Stéphane Rivière said: > En 2010, une maj de McAffee avait planté des tonnes de windows. > > Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! > > Avec le même résultat d'un insecte si bien posé qu'il nécessitait une > intervention manuelle pour dératiser la fenêtre... > > https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 > > Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même > n’importe quoi et, comme on dit jamais deux sans trois... > Reste une question philosophique : à part espionner, démolir des fenêtres et > planter aussi les serveurs Linux, Clownstrike sert à quoi ? À cocher la case pour l'audit de sécurité "on a un EDR" et comme c'est un des plus gros du marché, l'auditeur ne tiquera pas dessus -- Erwan --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 22/07/2024 à 09:43, Stéphane Rivière a écrit : En 2010, une maj de McAffee avait planté des tonnes de windows. Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! Avec le même résultat d'un insecte si bien posé qu'il nécessitait une intervention manuelle pour dératiser la fenêtre... https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 Site merdique mais info très intéressante. Là ce ne serait donc plus un incident mais une malveillance ? Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et balancer une mise à jour sans la tester sur une telle surface d'implications, c'est au minimum une incompétence grave. Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même n’importe quoi et, comme on dit jamais deux sans trois... Reste une question philosophique : à part espionner, démolir des fenêtres et planter aussi les serveurs Linux, Clownstrike sert à quoi ? A faire du fric. Cela fait partie d'un modèle économique juteux : le cyberracket. Dans le même registre, on a des assurances qui "encouragent" leurs clients à améliorer leur cyber-score sur des points qui relèvent davantage de risques hypothétiques que réels… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
J’ai vérifié son bio, i a effectivement été CYO chez McAfee en 2010 quel honneur! Malveillance ou négligence aggravée? Le facteur sonne toujours deux fois. Professor @DanielSolove has developed his theory of repetitive data breaches. CTOs never learn from their past experience?! Kurtz was at McAfee in 2010 https://www.newsbytesapp.com/news/science/defective-mcafee-once-caused-worldwide-meltdown-of-windows-xp-pcs/story Sent from my iPhone > On 22 Jul 2024, at 10:03, Laurent Barme <5...@barme.fr> wrote: > > >> Le 22/07/2024 à 09:43, Stéphane Rivière a écrit : >> En 2010, une maj de McAffee avait planté des tonnes de windows. >> >> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! >> >> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une >> intervention manuelle pour dératiser la fenêtre... >> >> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 >> > Site merdique mais info très intéressante. > Là ce ne serait donc plus un incident mais une malveillance ? > > Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et > balancer une mise à jour sans la tester sur une telle surface d'implications, > c'est au minimum une incompétence grave. > >> >> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même >> n’importe quoi et, comme on dit jamais deux sans trois... >> Reste une question philosophique : à part espionner, démolir des fenêtres et >> planter aussi les serveurs Linux, Clownstrike sert à quoi ? >> > A faire du fric. > Cela fait partie d'un modèle économique juteux : le cyberracket. > Dans le même registre, on a des assurances qui "encouragent" leurs clients à > améliorer leur cyber-score sur des points qui relèvent davantage de risques > hypothétiques que réels… > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
CrowdStrike me dit-on n’avait pas manqué de planté Linux avec un kernel panik https://www.theregister.com/2024/07/21/crowdstrike_linux_crashes_restoration_tools/ Sent from my iPhone > On 22 Jul 2024, at 10:59, Clarinette Tara wrote: > > J’ai vérifié son bio, i a effectivement été CYO chez McAfee en 2010 quel > honneur! > > Malveillance ou négligence aggravée? > > Le facteur sonne toujours deux fois. Professor @DanielSolove has developed > his theory of repetitive data breaches. CTOs never learn from their past > experience?! Kurtz was at McAfee in 2010 > https://www.newsbytesapp.com/news/science/defective-mcafee-once-caused-worldwide-meltdown-of-windows-xp-pcs/story > > Sent from my iPhone > >> On 22 Jul 2024, at 10:03, Laurent Barme <5...@barme.fr> wrote: >> >> Le 22/07/2024 à 09:43, Stéphane Rivière a écrit : >>> En 2010, une maj de McAffee avait planté des tonnes de windows. >>> >>> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! >>> >>> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une >>> intervention manuelle pour dératiser la fenêtre... >>> >>> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 >>> >> Site merdique mais info très intéressante. >> Là ce ne serait donc plus un incident mais une malveillance ? >> >> Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et >> balancer une mise à jour sans la tester sur une telle surface >> d'implications, c'est au minimum une incompétence grave. >> >>> >>> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même >>> n’importe quoi et, comme on dit jamais deux sans trois... >>> Reste une question philosophique : à part espionner, démolir des fenêtres et >>> planter aussi les serveurs Linux, Clownstrike sert à quoi ? >>> >> A faire du fric. >> Cela fait partie d'un modèle économique juteux : le cyberracket. >> Dans le même registre, on a des assurances qui "encouragent" leurs clients à >> améliorer leur cyber-score sur des points qui relèvent davantage de risques >> hypothétiques que réels… >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
CrowdStrike me dit-on n’avait pas manqué de planté Linux avec un kernel panik ClownStrike est agnostique : il a planté indistinctement du RH, centOS, Debian, etc. Il semble (on manque de source fiable :) que cette 'entreprise' ait été financée par des agences US à 3 lettres. Pourtant, il y a des 'journalistes' pour s'étonner que la Chine n'ait pas souffert... -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/