En abril, una actualización de CrowdStrike provocó que todos los servidores Debian Linux en un laboratorio de tecnología cívica fallaran simultáneamente y se negaran a arrancar. La actualización resultó incompatible con la última versión estable de Debian, a pesar de que supuestamente se admitía la configuración específica de Linux. El equipo de TI del laboratorio descubrió que eliminar CrowdStrike permitió que las máquinas se iniciaran e informó del incidente.
|
etiquetas: servidores , crowdstrike , pantallazo azul , actualizaciones , cuberseguridad
Hay vulnerabilidades que afectan a la arquitectura física, y eso solo puede arreglarse "tapando" eso, así que las empresas grandes de verdad (como esta) de ciberseguridad tienen acceso al nivel 0. Y eso lo tienen en plan permisos de Windows, con nombres y certificados específicos y tal.
Ahí seguramente es donde esté el fallo.
Lo que ya no te puedo decir es exactamente en que parte la han cagado, por falta de información.
Los niveles de seguridad es la escalabilidad de los permisos del software en los SOs. Si tu tienes un kernel, tendrá que estar en el nivel más bajo junto con el acceso a la BIOS o el controlador de e/s (por ejemplo). Después tendrás el acceso a memoria, tarjeta de red, etc. Estos niveles los define la politica de permisos del SO, donde sin lugar a ningún agujero (por eso se parchean, porque se encuentran agujeros en este esquema de seguridad) permiten o deniegan el acceso a los recursos.
Esto lo puedes llamar como te de la gana, pero en informática son niveles de seguridad del SO.
1.- Tu hablas de permisos de acción. Ejecución, lectura, modificación.
2.- Yo te hablo de permisos sobre recursos del sistema:
2.1- No puedes permitir que, por ejemplo, un juego acceda a la BIOS.
2.2- En cambio, el servicio de actualizaciones tiene que tener acceso a la controladora de memoria, por ejemplo.
3.- Esos permisos hoy por hoy son escalables: antes era por zona (por definirlo de alguna forma, son muchos años ya).
4.- Todos esos permisos son por… » ver todo el comentario
Lo dicho, aunque sea Linux, si tu se lo permites puede hacer lo que le de la gana.
En sistemas Windows, en sistemas tipo Unix un antivirus nunca forma parte de los paquetes esenciales de una distribución.
Todo sistema informático que cuente con conexión necesita de seguridad de algún tipo, sea por permisos de usuario, acceso a recursos, conexiones físicas, etc.
En el caso de Linux, lo que se hace es parchear fallos en su programación, como sobrecargas de memoria, acceso no autorizado, o problemas de recursividad.
En este caso en concreto, seguramente la empresa es contratada por otras empresas que usan Linux en alguna de sus distribuciones en algún caso, que suele ser en sus servidores. Ellos parchean y testean cualquier fallo de seguridad, así como implementan soluciones de ciberseguridad.
CrowdStrike Falcon no es un antivirus, sino un EDR. La funcionalidad de antivirus es sólo una más y posiblemente la menos demandada en sistemas Linux. Y por descontado que se utilizan en muchísimos sistemas Linux que corren servicios críticos.
#5 es muy raro reiniciar después de actualizar aplicaciones
El sensor de un EDR es un LKM (módulo cargable en el kernel, algo parecido a un… » ver todo el comentario
Qmail, tiene un parte muy pequeña que se comunica con internet y ofrece una recompensa q uien encuentre una vulneravilidad.
En este caso la parte critica es LKM.
En este caso también. El sensor se encarga únicamente de las funciones reservadas a módulos del kernel (como obtener probes y trazas o interceptar llamadas de sistema).
Por otra parte, el despliegue más común para un sensor como el que nos ocupa es como sideload en un pod. Esos despliegues se llevan a cabo a través de un inyector que requiere un reinicio del workload.
Ponemos el software en tus maquinas cuando nos da la gana, sea o no urgente, sin testear.
No puedes hacer un antivirus de primer nivel (en todos los sentidos) o incluso nivel 0 y no testearlo.