CrowdStrike, hatalı Falcon Sensor güncellemesinin milyonlarca Windows sistemine nasıl ulaştığını ve bunları nasıl “Ölümün Mavi Ekranı” döngüsüne soktuğunu gösteren ön bir Olay Sonrası İnceleme (PIR) yayınladı.
PIR’ı okumak ve çözümlemek biraz kafa karıştırıcı, çünkü şirketin ürünlerini dikkatli ve kapsamlı bir şekilde test ettiğine dair okuyuculara güvence vermeye çalışıyor; oysa şirketin bu alandaki başarısızlıkları apaçık ortada.
Sorunun özü şu: CrowdStrike, ana yazılım ürünüyle birlikte gelen ve revizyonlardan geçen Sensor Content’i test ettiğini iddia ediyor. Ancak düzenli olarak güncellemeler de gönderiyorlar – Rapid Response Content.
Şablon Türleri (verilerin nasıl toplanacağı ve işleneceğine ilişkin talimatlar) Sensör İçeriğine dahil edilmiştir ve Şablon Örnekleri (Şablon Türleri tarafından işlenen veri talimatları) Hızlı Yanıt İçeriğinin bir parçası olarak gelir.
Bu kafa karıştırıcıysa, bunu şu şekilde düşünebilirsiniz: CrowdStrike Falcon’a benzer bir yazılım ürünü olan Microsoft Office satın alırsınız. Office içinde, Word, Excel vb. gibi çeşitli veri yapılarını işleyebilen bireysel şablonlarınız vardır. Bunlar CrowdStrike Şablon Türlerine eşdeğerdir. Son olarak, Word tarafından açılan ve Şablon Türleri tarafından yorumlanan bir Şablon Örneğini temsil eden .doc dosyası gibi veri dosyalarınız vardır. Şablon Örnekleri, belirli işletim emirleri olan Şablon Türlerine uyan talimatlardır.
CrowdStrike, müşterilere dağıtılmadan önce Şablon Türleri dahil tüm Sensör İçeriğini titizlikle test ettiklerini belirtiyor. Ancak Sensör İçeriği dinamik olarak güncellenen şeyin bir parçası değildir.
Başarısızlık belirginleşiyor
İşte tam bu noktada satır aralarını okumamız gerekiyor çünkü CrowdStrike başarısızlığını açıkça ortaya koymak istemiyor.
Göndermeden önce titizlikle test etmedikleri şey, sensörün ne yapması gerektiğini belirten düşük seviyeli verileri temsil eden Şablon Örnekleridir. İlginç bir şekilde, “doğrulanmış” olduklarını söylüyorlar, ancak bunun kapsamlı testleri içermediğini zaten biliyoruz, bu da büyük kesintiden anlaşılıyor.
Yani, CrowdStrike Clue oyununda, internetteki Windows istemcilerini öldüren, hatalı Şablon Örneğini yeterince test edemeyen İçerik Yapılandırma Sistemi’nin bir parçası olan İçerik Doğrulayıcısıydı.
Görünüşe göre CrowdStrike, yazılımlarının bir parçası olarak istemci sisteminde bulunan İçerik Yorumlayıcısının “potansiyel olarak sorunlu içeriklerden gelen istisnaları zarif bir şekilde ele alacağına” inandıkları için bu gevşek testlerden memnundu.
Yanılmışlardı.
Yani CrowdStrike, istemcilere gönderilen güncellemelerin yalnızca bazılarını titizlikle test eden bir güncelleme mimarisi uyguladı. Şablon Örnekleri sistemlere inmeden önce kapsamlı bir şekilde test edilmez ve bunun yerine kalan sorunları ele almak için uç nokta işlevlerine güvenirler.
Bu, ürünlerinin Kalite Güvencesi açısından ciddi bir süreç tasarımı hatasıdır.
CrowdStrike, istemci makinelerine gönderilen her kod parçasını düzgün bir şekilde test etmelidir.
Bunun ne kadar korkunç olduğunu göstermek için CrowdStrike, müşterilere sistemlerindeki Sensör motorunun hangi sürümlerinin güncelleneceğini seçme seçeneği sunar. En son sürümle (N) güncel kalabilir veya eski N-1 veya N-2 sürümlerini geciktirip yerinde tutabilirler. Birçok müşteri, yeni bir güncellemeye geçmeyi taahhüt etmeden önce platformlarında dahili test ve doğrulama yapmak için zamana ihtiyaç duyar.
Ancak bu seçenek, müşterinin Sensör motorunun eski sürümlerinde kalmayı tercih edip etmediğine bakılmaksızın, aynı anda tüm istemcilere gönderilecek olan, yeterince test edilmemiş Şablon Örnekleri için geçerli değildir.
Yani N-2’de kalmayı seçen müşteriler hala etkileniyordu.
Sözler
CrowdStrike, müşterinin sistemlerinde bulunan İçerik Doğrulayıcı ve İçerik Yorumlayıcı’ya vurgu yaparak daha fazla doğrulama testi türüne kendini adamıştır. Ayrıca, müşteri sistemlerindeki arızaları daha hızlı tespit etmek ve böylece daha zamanında yanıt verebilmek isterler.
Bu kesinlikle yanlış bir stratejidir; kötü kod ilk etapta istemcilere asla ulaşmamalıdır!
CrowdStrike, herhangi bir müşteri sistemine ulaşmadan önce, şirket içi Kalite Güvence ön üretim ortamında veya bulutta bulunan İçerik Yapılandırma Sistemi’nde daha titiz testler yürütmeyi taahhüt etmelidir.
Müşterilere asla potansiyel olarak kötü kod göndermeyin.
Meclis Önünde İnceleme
CrowdStrike CEO’su George Kurtz, ABD Temsilciler Meclisi İç Güvenlik Komitesi önünde görünmek üzere Kongre’ye çağrıldı. Kesintiye yanıt vermek üzere geldiğinde, ileriye dönük planı iyileştirmiş olmasını ve Şablon Örnekleri de dahil olmak üzere tüm güncellemelerin müşterinin uç nokta cihazlarına dağıtılmadan önce kapsamlı bir şekilde test edileceğini açıkça taahhüt etmesini umuyorum.
Kalite Güvencesi, kötü şeyleri üretim ortamlarından uzak tutmakla ilgilidir.
Siber güvenlik araçlarının sahip olduğu derin erişim ve kritik dijital sistemlerimizde güvenliğe yönelik yaygın ihtiyaç göz önüne alındığında, güncellemelerin nasıl düzgün bir şekilde hazırlanması, test edilmesi ve dağıtılması gerektiği konusunda bir emsal oluşturmamız gerekiyor.
2024 yılındaki CrowdStrike olayı gelecekte büyük bir başarısızlık olarak anılacak; ancak bunu dijital dünyamızı daha güvenli, özel, emniyetli ve güvenilir hale getirmek için öğrenme ve uyum sağlama katalizörü olarak kullanabiliriz.