📰 "Wielki upadek jakości oprogramowania: jak znormalizowaliśmy katastrofę
Plan katastrofy wart 10 miliardów dolarów.
Incydent z 19 lipca 2024 r. w firmie #CrowdStrike stanowi doskonały przykład znormalizowanej niekompetencji.
Jeden plik konfiguracyjny, w którym brakowało sprawdzenia granic tablicy, spowodował awarię 8,5 miliona komputerów z systemem Windows na całym świecie. Służby ratownicze nie działały. Linie lotnicze wstrzymały loty. Szpitale odwołały operacje.
Całkowite straty gospodarcze: minimum 10 miliardów dolarów.
Główna przyczyna? Oczekiwano 21 pól, ale otrzymano 20.
Jedno. Brakujące. Pole.
Nie było to nic skomplikowanego. Był to podstawowy błąd informatyczny, którego nikt nie naprawił. I przeszedł on przez cały proces wdrażania."
On this Friday the 13th, let us not forget the sacred lesson that Salt ‘N Peppa, the grand visionary of DevOps, taught us so many years ago: “push it! Push it real good!“
APT- und Cybercrime-Gangs: Was der Namensabgleich durch die Hersteller bringt
Sicherheitssoftware-Hersteller kooperieren, um Bedrohungsakteure trotz unterschiedlicher Namensgebung eindeutig zu identifizieren. Was bringt das in der Praxis?
"Cozy Bear = Midnight Blizzard": Namen für Cybergangs sollen abgeglichen werden
Die IT-Sicherheitsszene nutzt unterschiedliche Namen für Cybergruppierungen, Verwirrung ist vorprogrammiert. Microsoft und CrowdStrike versprechen Hilfe.
"Organisatorische Veränderungen": Microsoft entlässt Tausende Mitarbeiter
Trotz Milliardengewinn und optimistischer Aussichten entlässt der US-Konzern Microsoft drei Prozent seines weltweiten Personals. Tausende verlieren ihre Jobs.
@arstechnica I see two outcomes here, #Microsoft caves, provides an additional 5 years of security updates for #Windows10 or doesn't provide any support, brace for whatever shit storm happens. We all saw what happened with #Crowdstrike anyway. Microsoft avoided the backlash unscathed, mostly due to it being mostly a business issue. Ultimately, people will upgrade, but I think elephant in the room will be the #ewaste But the upgrades people choose in the future might actually be from Cupertino.
@arstechnica Yeah, Delta isn't behind SWA, which is still using Windows 2.0 on Intel 486 machines. So the problem for Delta wasn't that their IT infrastructure was behind, it was that they were no far enough behind to escape #crowdstrike
Not the winning argument #Microsoft thinks it is. Shifting blame to #victim is right up there with kill the messenger and "who me?"
People criticize #crowdstrike, but I remember a night where a leap second happened. Most java servers suddenly stopped working on #Linux systems 12 years ago due to that leap second. (there were consuming 100% and doing nothing).
The fix was quite easy (changing current date to the current date... or rebooting system) but this kind of shit can happen on any system.
The best protection against this is software diversity, so all your systems do not crash at the same time for the same reason :flan_laugh:
For folks seeing the (bad) #Crowdstrike analysis from the hateful jerk on twitter, and are comfortable reading there, here is a superb breakdown of that analysis by a literal world expert:
@privacyguides >> We [#microsoft] currently estimate that #CrowdStrike's update affected 8.5 million #Windows devices, or less than one percent of all Windows machines,<< this is like saying "only 1% of victim's body is damaged, with a bullet to the head wound 😬
Interessantes zu dem #Crowdstrike Ausfall von gestern.
Wie u.a. Golem schreibt:
„Die jüngste Update-Panne von Crowdstrike, durch die unzählige Windows-Systeme nicht mehr starten können, betrifft viele Organisationen auf der ganzen Welt – darunter Banken, Krankenhäuser, Börsen und auch Flughäfen.“
(https://archive.ph/WT2U4#selection-1047.0-1055.1)
Und dazu dann die AGB von Crowdstrike:
„DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE.“
(https://www.crowdstrike.com/terms-and-conditions-de/)
Scheint ja fast so, als würde nicht nur der Otto Normalverbraucher irgendwelche AGBs einfach so wegklicken.
Wird bestimmt noch spannend in diversen Rechtsabteilungen 😏
Context- someone on the birdside are blaming #crowdstrike on DEI hiring
Here’s the thing folks. I’ve been coding 32 years. When something like this happens it’s an organizational failure. Yes, some human wrote a bad line. Someone can “git blame” and point to a human and it’s awful. But it’s the testing, the Cl/CD, the A/B testing, the metered rollouts, an oh shit button to roll it back, the code coverage, the static analysis tools, the code reviews, the organizational health, and on and on 1/3
In the ever-evolving landscape of cybersecurity, another chilling chapter has been written. Hidden amidst the #CrowdStrike news cycle, a devastating revelation emerged: #MediSecure has fallen victim to a colossal #ransomware attack, compromising the personal #data of 12.9 million individuals. This #breach exposes our digital infrastructure’s vulnerabilities.
Names, addresses, medical histories, and more—intimate details of millions—now rest in the hands of cybercriminals. The sheer scale of this attack highlights the urgent need for a seismic shift in our approach to cybersecurity.
A critical component is recognizing the importance of machine-to-machine (M2M) identity access management. In our interconnected world, ensuring each machine has a secure identity is paramount. This added security layer can prevent unauthorized access and mitigate breach risks.
Investment in cutting-edge technology and unwavering commitment to security must become our new standard.