すべてを壊したCrowdStrikeのファイル、null文字で埋め尽くされていた？

Hacker Newsの意見

• このシステムが重要な経路上にあるシステムなら、C/Iパイプラインを通過していてはならなかった

  • 自動テストに厳格すぎるわけではないが、これほど重要なシステムには非常に優れた状態管理が必要
  • すべての環境で統合テストなしに本番へロールアウトしてはならない
  • この会社がサポートするすべてのターゲットイメージをテストするステージングまたは開発用テストサーバーがないというのは理解できない
  • この会社の経営陣は無能だと思う

• 2つの大きな技術的崩壊はどちらも「セキュリティソフトウェア」の問題だった

  • SolarWindsのハッキング事件も今回の事件も、どちらもAustinに拠点を置く企業だった
  • 「ハッカー気質」の人たちがセキュリティソフトウェア企業を始めるが、プロセス志向の文化を実装するのを嫌う
  • SolarWindsには非常に悪いセキュリティ文化があった
  • 今回の事件の根本原因も、速くて緩いデプロイプロセスである可能性が高い

• 今回の惨事の前向きな側面は、カーネルレベルのアクセスを再考できる可能性があること

  • どこかのゲーム会社がカーネルレベルのアンチチートソフトウェアを書くほど十分に優れているわけではない

• この問題は、QA担当者が試す2番目か3番目のテストファイルのように思える

  • 技術的に有能な会社が無能な会社より優位に立てない市場だ
  • Craig Wrightの件を読んだが、彼は自分が世界的専門家だと主張した分野で、基本的な技術力すら持っていなかった
  • George KurtzはMcAfeeのCTOだったときにも同じ問題を引き起こしていた
  • CrowdStrikeは3か月前にDebian Stableで同じ問題を起こしていた
  • PCIコンプライアンス規則が、CrowdStrikeやアンチウイルスを今日のITインフラのほぼあらゆる側面に注入してきたのはひどいことだ

• このファイルが0で埋め尽くされたファイルだからといって、出荷時にも0で埋め尽くされていたことを意味するわけではない

• このバグは何年も前からカーネルドライバーに存在しており、不正なデータによってトリガーされた

  • CrowdStrikeのテスト設定は、この構成データ自体については問題なかったが、本番に送る前に検出できなかった
  • この問題を防ぐために何をするのかを説明するポストモーテム報告書を公開してほしい

• Kevin Beaumontによれば、顧客ごとにファイルが異なるという主張がある

• これらのファイルが元のファイル内容ではない可能性がある

  • 誰かが誤ったファイルをオールゼロのファイルで上書きしようとした可能性がある
  • QAが迂回されたため、実際のパッチ配布を止めようとする試みだったのかもしれない

• 過去には、セキュリティソフトウェアがファイルを0に置き換え、ソフトウェアのコンパイルを止めた事例があった

  • リンカーがファイルを開けず、エラーなしでオブジェクトコードを0に置き換えていた
  • デバッガーを開き、オブジェクトコードの大きな断片が0に置き換えられているのを見て問題を特定した

• 4chanの技術掲示板で見つかった投稿

  • CSAgent.sysはクラウドストライクのウイルス定義ファイルを解析するカーネルドライバー
  • クラウドストライクは不正なウイルス定義ファイルを処理できなかった
  • ウェブサーバーが不正なウイルス定義ファイルの提供を開始した
  • CSAgent.sysが不正なウイルス定義ファイルを読み込み、クラッシュした
  • コンピューターがBSOD（ブルースクリーン）で再起動した
  • CSAgent.sysがウイルス定義ファイルを再び読み込み、再度クラッシュした
  • CDNのバグにより、カーネルドライバーが問題を引き起こした
  • CSAgent.sysのサイズチェックとバッファサイズを増やし、今後の不正なウイルス定義ファイルでクラッシュしないようにする