[English]Es gilt als die bisher weltweit der größte Computerpanne, die 8,5 Millionen Windows-Systeme lahm legte und Milliarden Schaden verursachte. Inzwischen beginnen die Aufräumarbeiten, die Schuldzuweisungen und das "Waschen der Hände in Unschuld". Im Rahmen einer Nachlese möchte ich noch einige Informationen zusammen tragen. Vom Umfang der Betroffenheit, über Wiederherstellungsmaßnahmen, bis hin zu Fragen und Antworten, die andere jetzt stellen.
Anzeige
Der CrowdStrike-Vorfall
Am 19. Juli 2024 kam es weltweit zu zahlreichen Störungen an IT-Systemen mit Windows. Der Betrieb an Flughäfen stand, Banken konnten nicht mehr arbeiten, Züge fielen aus, und Firmen schickten ihre Mitarbeiter nach Hause (z.B. Tegut), weil die IT-Systeme nicht mehr gingen. Auch deutsche Kommunen, Firmen und Banken waren betroffen. Ich hatte zeitnah im Beitrag Ausfall von Microsoft 365 und weltweite Störungen – wegen CrowdStrike-Update, was zum BSOD führt? berichtet.
Es war aber kein Cyberangriff, sondern ein fehlerhaftes Update für eine EDR-Sicherheitslösung des US-Anbieters CrowdStrike, die Windows-Systeme mit einem BlueScreen abstürzen ließen. Eine erste Analyse, was passiert sein könnte, findet sich in meinem Blog-Beitrag CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen führte. In diesem Tweet zitiert jemand, dass das fehlerhafte Update neu beobachtete, bösartige „named pipes", die von gängigen C2-Frameworks bei Cyberangriffen verwendet werden, ins Visier nehmen sollte.
Ist aber schief gegangen- und bei Microsoft sowie in einigen Firmen war mächtig was los – dieser Tweet enthält ein Video, welches mir zugespielt wurde.
Anzeige
Wie groß war der Umfang?
Die spannende Frage ist, wie groß der Umfang der Betroffenheit war. Experten bezeichnen den Vorfall als bisher größte Computerpanne aller Zeiten.
Nur 8,5 Millionen Windows-Systeme betroffen
Am 20. Juli 2024 hat Microsoft den Techcommunity-Beitrag Helping our customers through the CrowdStrike outage veröffentlicht und berichtet über die Bemühungen, betroffenen Kunden aus der Patche zu helfen. Dabei wurde auch die Zahl von 8,5 Millionen betroffenen Windows-Systemen genannt.
Das sei weniger als ein Prozent aller Windows-Rechner, habe aber weitreichende wirtschaftliche und gesellschaftlichen Auswirkungen, was die Nutzung von CrowdStrike durch Unternehmen widerspiegele.
Mir ging bei dieser Relativierung von "weniger als 1 % der Windows-Systeme betroffen" sofort folgendes durch den Kopf: Es müssen also um die 850 Millionen Windows-Systeme in Benutzung sein. Davon ist es großer Teil bei Privatnutzern oder kleinen Firmen im Einsatz.
Nur größere Unternehmen werden eine EDR-Sicherheitslösung wie CrowdStrike Falcon einsetzen. Das relativiert dann doch dieses "weniger als 1 %" – von den CrowdStrike-Kunden dürfte der Großteil betroffen gewesen sein.
Folgen des Ausfalls
Ich hatte ja in diversen Blog-Beiträgen erwähnt, dass eine breite Spur an Unternehmen und Organisationen betroffen waren. HackManac hat auf X in einem Tweet einige der weltweit betroffenen Instanzen aufgelistet.
Jens Lange führt auf Kommunaler Notbetrieb deutsche Verwaltungen auf, die durch den Vorfall betroffen waren. Ein gutes Bild vom Ausmaß der Auswirkungen zeigt folgender Tweet von Flight-Radar über die Flugbewegungen über den USA. Einfach auf das Bild klicken, um die Simulation zu starten.
Es zeigt sich, dass der Flugverkehr über Stunden zum Erliegen kommt, weil keine Flugzeuge mehr abgefertigt werden konnten.
Computertomographen und Medizintechnik ausgefallen?
Ich bin ja dafür kritisiert worden, weil ich mich über ein kaputtes Eco-System echauffiert habe – kann man tun. Ich stelle aber mal ein Beispiel hier ein, das das kaputte System zeigt:
Ein Computertomograph ist ausgefallen, weil Toshiba meint, in dem Multi-Millionen-Euro-Gerät Windows verbauen zu müssen. Der Poster des obigen Tweets weist berechtigt darauf hin, dass das ein No-Go ist. Anmerkung: Es gibt nachfolgend einen Kommentar, dass das Bild alt sei – mag sein, aber ich habe mehrere Tweets gelesen, die auf Probleme in diesem Bereich hinwiesen. Unabhängig davon zeigt das obige Bild die fatalen Abhängigkeiten.
Golem schreibt hier, dass Cyberversicherungen die Schäden eher nicht abdecken.
Microsoft sagt: "EU hat uns gezwungen"
Inzwischen befeuern die Folgen des fehlerhaften CrowdStrike-Update für Windows, welches ja global Systeme beschädigt hat, erneut Bedenken hinsichtlich des Monopols von Microsoft bei IT-Systemen von Behörden und Unternehmen. The Guardian hat beispielsweise einen Artikel dazu veröffentlicht.
Inzwischen weist Microsoft darauf hin, dass die EU das Unternehmen ja 2009 gezwungen habe, die internen Schnittstellen für Drittanbieter zu öffnen – also quasi am Debakel schuld sei. Neowin.net weist z.B. hier auf das Thema hin (das Wall Street Journal hat einen Artikel veröffentlicht, den ich aber wegen einer Paywall nicht verlinkt). Ein Sprecher soll dem soll dem WSJ gesagt haben, dass eine Vereinbarung mit der Europäischen Kommission aus dem Jahr 2009 der Grund dafür ist, dass Microsoft sein Betriebssystem nicht stärker absichern kann.
Nach einer Beschwerde, so der Sprecher, habe Microsoft 2009 mit der Europäischen Kommission vereinbart, den Herstellern von Sicherheitssoftware den gleichen Zugang zu Windows zu gewähren wie Microsoft. Diese Entscheidung bedeute, dass Anbieter von Sicherheitssoftware mehr Möglichkeiten haben, Systeme zu manipulieren
Sortieren wir das Ganze doch etwas – es ist das Spiel "mit dem Finger auf andere zeigen – der hat Schuld". Die Vereinbarung mit der EU-Kommission hatte einen wettbewerbsrechtlichen Hintergrund, weil Microsoft den Mitbewerb durch nicht offen gelegte Schwachstellen ausgebremst und behindert hat. Die EU hat die Öffnung für Drittanwender zwar erzwungen – aber die Implementierung der betreffenden APIs ist wohl so lausig, dass es jetzt zum Debakel kam.
Niemand hat Microsoft gezwungen, das so zu implementieren und seit dieser Zeit nicht auf "stabilere Füße" zu stellen. Nur zur Erinnerung: Seit 2009 haben wir Windows 8, Windows 8.1, Windows 10 und nun Windows 11 in verschiedenen Funktionsupdate-Varianten gesehen. Aber Microsoft arbeitet offenbar mit alten Konzepten weiter, die Redmond bei einem Lieferkettenangriff genau so auf die Füße gefallen wären.
Microsoft CrowdStrike Recovery-Tool
Inzwischen hat Microsoft ein CrowdStrike Recovery-Tool veröffentlicht. Dieses soll Administratoren das Recovern von Maschinen, die in einer BlueScreen-Schleife hängen, erleichtern. Nachfolgender Tweet weist auf dem betreffenden Techcommunity-Beitrag mit weiteren Informationen hin.
Und John Hammond weist in nachfolgendem Tweet drauf hin, dass jemand ein PowerShell-Script zum Extrahieren von BitLocker-Schlüsseln aus einer NTDS.dit-Datei geschrieben habe. Das könnte hilfreich werden, wenn der Domänencontroller durch die CrowdStrike-Katastrophe beschädigt ist, WinRE aber beim Booten den BitLocker Wiederherstellungsschlüssel anfordert.
Wichtige Information: Cyberkriminelle machen sich das Chaos zunutze und richten CrowdStrike-Webseiten ein, auf denen Fake-Reparaturtools angeboten werden. Die Warnung des BSI und anderer Organisationen lautet: Nur auf offizielle Informationen und Werkzeuge von CrowdStrike sowie Microsoft zurückzugreifen.
Ähnliche Artikel:
Weltweiter Ausfall von Microsoft 365 (19. Juli 2024)
Ausfall von Microsoft 365 und weltweite Störungen – wegen CrowdStrike-Update, was zum BSOD führt?
Wieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen
CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen führte
Nachlese des CrowdStrike-Vorfalls, der bisher größten Computerpanne aller Zeiten
Anzeige
Ich nehme in Zukunft einfach mal den Business Unternehmens-Antivirus 'made in germany' :-) Die USA und deren IT-Konzerne könnte, wenn es politisch etc. notwendig wäre, 3/4 des Planeten auszuknipsen und das über MS, google, apple, sophos, cisco, Palo Alto Networks, VMware, Oracle, HP, usw. Wenn man halt 40 Jahre den BRD-IT-Schlaf auf Geheiß schlafen mußte, statt z.B. ein unabhängiges OS wie Linux zu etablieren, dann ist das halt so.
Wenn die EU es weitgehendst packt sich von Russen Öl zu entfernen, dann kann das doch auch in die andere Himmelsrichtung auch für etwas funktionieren :)
Wie weit ist es denn mit dieser "Entkoppelung", so lange wir russisches Öl nun (zu einem höheren Preis) über Indien und die Türkei* beziehen?
* z.B. politico. eu/article/vladimir-putin-russia-banked-1-billion-euros-2023-eu-fuel-despite-ban/
Super, Axel Springer Medien sind immer die besten und seriösesten Quellen *lach*
Herrgott, ist heute Tag der offenen Tür für Trolle?
Aus Mangel an Sachargumenten die Quelle angreifen ist nun wirklich eine der unseriösesten rhetorischen Methoden. Zudem lohnt es nicht bei Fakten, die jedem auch nur ansatzweise Informierten bekannt sind, das ist nur Dummtrollerei auf unterstem Niveau.
Lassen Sie mich also raten: Die Tagesschau* gehört zur für Sie zur "Lügenpresse", das Handlesblatt** ist "von Putin unterwandert" und der Spiegel*** "will unsere Demokratie nur zersetzen", richtig?
* tagesschau. de/wirtschaft/weltwirtschaft/oel-russland-einfuhr-preisdeckel-sanktionen-ukraine-100.html
** handelsblatt. com/politik/international/indien-das-geschaeft-mit-russischem-oel-laeuft-so-gut-wie-nie/29132448.html
*** spiegel. de/wirtschaft/trotz-sanktionen-deutschland-importiert-offenbar-russisches-oel-ueber-indien-a-8000ac08-b1d3-4408-8f6d-5d9e7cdd8bf9
Dummtrollerei auf niederstem Niveau, soso. Schonmal in den Spiegel geschaut? *lach*
Ist schon spannend, wie du versuchst, von deinem hetzerischen und reißereischen Müll, den du hier permanent absonderst abzulenken und andere anzugreifen und zu diskreditieren. Warum machst du das eigentlich, bist du von jemandem beauftragt? Von selbst kann man so viel Mist doch gar nicht schreiben, wenn man noch halbwegs klar denken kann …
Trolle bitte nicht füttern – Danke!
Ich unterlege meine Aussagen mit Quellen, Sie belassen es bei FUD bzw. blossen Anwürfen. 🤷♂️
Ich verstehe ja, dass es nicht Jedem gefällt, wenn Falschaussage/Propaganda in Frage gestellt wird, aber das ist mitnichten Trollerei.
Lassen sie alle einfach politische Themen aus einem TechBlog und ich habe keinerlei Anlass, zu reagieren.
BTW: Da, wo ich moderiere, wird alles mit Politik drin gelöscht. Ist ein recht kurzer Lernprozess für die Teilnehmer und es herrscht dadurch eine themenorientierte Diskussion.
schon spannend, wenn einer der Oberpolitiktrolle hier sowas von sich gibt. Sie reagieren nicht, sondern sind hier einer der Hauptofftopicagitateure. Wenn Politik hier nicht hingehört, was ich übrigens auch schon mehrfach hier angemerkt habe, warum lassen Sie es dann nicht einfach? Ist das mit Ihrem Ego nicht vereinbar?
Aus dem Grunde kann ich mir auch beim besten Willen nicht vorstellen, dass Sie ein größeres Forum o.Ä. moderieren. Dazu sind Sie viel zu emotional, um das sinnvoll und neutral tun zu können.
Oder hat der Vorposter vielleicht ein klein wenig recht, wenn er sagt, dass sie nicht aus eigenem Antrieb, sondern fremdgesteuert handeln und eine bestimmte Agenda hier vertreten?
Der Thread hier sollte langsam auslaufen – danke für euer Verständnis.
Na dann verrate doch mal, welche Quellen aus Deiner Sicht seriös sind. Wer keine Sachargumente vorbringen kann, sollte den Ball sehr flach halten.
Relevant ist vielmehr, dass Russland zum Verkauf seiner Öl- und Gas-Reserven an China und Indien gezwungen ist, die neuen Abehmer von der russischen Zwangslage wissen und immense Rabatte durchzusetzen im Stande sind – die Einnahmen Russlands demnach stetig sinken und Putin weniger Geld für den täglichen Raketenterror in der Ukraine zur Verfügung steht.
naja nix für ungut, aber egal ob die Öl- & Gas steigen oder fallen… Putin kann diesen Krieg noch Jahre durchziehen… das Einzige was in daran hindern könnte ist seine Gesundheit… und dann hat er immer noch die Ultimativen Waffen, was so ein Gestörter macht wenn es zu Ende mit ihm geht kann man nie wissen.
So nah an einem Atomschlag standen wir selbst im Kalten Krieg nie,
Unsinn. Niemand bedroht Russland atomar. Warum sollte ein "Atomkrieg" drohen? Nur naive und strategisch unbedarfte Menschen fürchten das und lassen sich von den psychopathischen Ausfällen eines Medwedew beeindrucken.
Nein. Die (EU-Kommission) verklagen lieber ihre Datenschutzaufsicht, weil die ihnen den Einsatz von Micro$oft 365 untersagen wollte.
Das wird noch schlimmer bis es wieder besser wird. Die Konzentration auf wenige Clouddienstleister wird weiter zunehmen und damit die Abhängigkeit von Lösungen einzelner Hersteller. Ich denke es ist eine Frage der Zeit bis z.B. Microsoft seinen letzten ON-Prem Kunden ein Ultimatum für die Migration in die Cloud stellt.
Gleichzeitig sind keine Maßnahmen erkennbar, dass Deutschland oder die europäische Union Anstrengungen unternimmt diese Lücke sinnvoll zu füllen. Das Geld ein eigenes auf Sicherheit und Datenschutz optimiertes Betriebssystem zu entwickeln sollte eigentlich vorhanden sein. Ob man dieses System dann in der Cloud betreiben lässt (managed), oder selber auf eigener Hardware betriebt, sollte jedem selber überlassen werden.
Auch die 75% halte ich noch für zu optimistisch. Zwar werden nach dem oben genannten Scenario einige System noch funktionieren, aber irgendwo in der Kette fehlen dann die Partner. Technisch mag ein Teil noch funktionieren, erhält aber keinen Input mehr und ist praktisch auch außer Gefecht gesetzt.
Was die Wahl von Software angeht, so versuchen wir das in der Firma auch, aber bisher war unser Erfolg US-Unternehmen wenn möglich zu meiden ehr wenig erfolgreich. Zwei Beispiele:
Wir haben sehr früh mit dem Patch-Management "Secunia CSI" in der Firma angefangen. Zu der Zeit war dies eine Firma in Dänemark. Wurde leider von Flexera gekauft und war dann wieder in den Händen eines US-Konzerns.
Anschließend haben wir Sophos AV und Secunia CSI auslaufen lassen und sind zu Panda Security gewechselt. Zu dieser Zeit eine Firma in Spanien, welche ein AV mit Patch-Management Modul anbieten konnte. Das Produkt war gut und wurde dann von WatchGuard gekauft. Und wieder hat ein US-Konzern seine Hände im Spiel.
Leider sind wir nicht Elon Musk und können die komplette EDR inkl. Verwaltung und Schulung der IT-Mitarbeiter mit einem Tweet austauschen. Somit bleibt es ein mühsames Geschäft die Abhängigkeiten über den Teich zu minimieren.
Ja – solange die EU nicht begreift, dass die IT Perlen die wir in Europa fraglos haben, nicht an außereuropäische Unternehmen verkauft werden dürfen ist alles vergeblich. Ist zwar nicht EU, aber Europa – Veeam hätte auch niemals an ein US Unternehmen verkauft werden dürfen. Damit muss Schluss sein!
Marktwirtschaft? Schon mal gehört? Private Unternehmen können das handhaben, wie sie es wollen.
Im Zweifel muss der Staat ran, aber die Qualität dürfte dann unterirdisch sein? ;)
Nationale Sicherheit – schon mal gehört? Unternehmen die als Kritisch eingestuft werden können eben nicht machen was sie wollen. Scheinen auch alle anderen zu verstehen, nur Europäer nicht.
…oder Astaro (Karlsruhe) den Briten (Sophos) zu geben, die dann die – sehr gute – UTM-Linie einstellen.
Das waren aber nicht die Briten, sondern die Amerikaner denen Sophos mittlerweile gehört.
Die haben sich verkauft weil sie finanziell nicht in der Lage waren die anstehen nötigen neuen Funktion zu finanzieren um im Markt konkurrenzfähig zu bleiben.
War damals wirklich bitter das zu lesen.
Dieses Geschwafel über ein sicheres EU-Betriebssystem ist zwar schön aber sehr realitätsfern. Denn so ein OS nützt absolut niemandem etwas, wenn es dafür nicht die benötigten Anwendungen gibt. Linux war mal ein EU-OS, Finnland, ihr erinnert euch vielleicht noch, das ist jetzt schon 32 Jahre her, und für vieles fehlt immer noch die Anwendungen.
Das ewig dümmliche Geseier der MS Fanboys. Was glaubst du, wie schnell sich das ändert, wenn so ein System da ist? Siehst du schon deine Felle schwimmen?
Blick nach China:
https://www.borncity.com/blog/2022/05/14/china-steigt-bei-behrden-und-staatsbetrieben-aus-mac-windows-und-auslndischen-pcs-aus/
Welche Felle? Bin ja kein Steinzeitmensch. Jeder mag nutzen was er mag, aber bitte dem anderen nicht seine Wahl madig machen wollen, das ist das schlimme! Aber wo ist nun das EU-OS, das hier immer wieder gefordert wird. Ran an die Tastatur und machen!
Zu den Tomographen:
Gestern hatte ich ja ein Bild aus dem Schwesternzimmer eines Hospitals gepostet, der Monitor schräg an der Decke diente vermutlich dazu, die Vitaldaten (Puls, Blutdruck…) aus den einzelnen Patientenzimmern zu überwachen – ein ähnlicher Fall.
Wir haben für unsere Firma Grenzen festgelegt, jenseits derer wir uns nicht betätigen wollen – egal zu welchen Konditionen. Neben Militär u.ä. gehörten dazu zum Beispiel auch Medizingeräte, soweit sie "life supporting" Aufgaben erfüllen, also etwa ein Beatmungsgerät oder eine Injektionspumpe. Das wären Haftungsrisiken, die unser Unternehmen nicht stemmen kann.
Aber ein Tomograph ist ein reines Diagnosegerät, damit geht von seinem Ausfall keine unmittelbare Patientengefährdung aus. Sicherlich ist es ärgerlich eine Untersuchung verschieben zu müssen und es gibt auch Grenzfälle (wird etwa ein Kontrastmittel verabreicht ohne daß die Untersuchung stattfinden kann, läßt sich das als Körperverletzung werten) aber im Normalfall wird der Patient heimgeschickt und ein weiterer Termin ausgemacht.
Das ist nichts anderes, als wenn ich wegen eines Zug- oder Flugausfalls nicht zum Behandlungsort reisen kann und z.B. eine OP versäume.
Von daher finde ich die im Kommentar geforderte Sicherheit (in der Sprache der Hochverfügbarkeit "twelve nines") maßlos überzogen.
Zum einen das, zum anderen sollte niemand auf die Idee kommen, solche Windows-gesteuerte Geräte einfach so a) ins Netz zu hängen (Abesgichertes DMZ!) und b) da eigene Software (auch keine AV/EDR-Lösung) drauf zu installieren und c) das ins AD aufzunhemen. Sowas ist separat und dann ist es egal was da für ein OS drauf läuft..
Ich traue auch Kliniken zu, daß sie nicht alles "in ein Netz klatschen", sondern abgestufte Netzwerkbereiche unterschiedlicher Sicherheit und mit den passend administrierten Firewalls dazwischen haben. Nicht nur aus diesem Grund sondern z.B. auch wegen medizinischem Datenschutz.
Aber irgendwie müssen die generierten Bilder auf auf den Schreibtisch des Radiologen kommen – das tun sie nicht mehr wie vor 20 Jahren auf CD oder DVD.
Ein offener Port von dem Gerät durch eine Firewall hindurch zu einem Server reicht, um die Daten per IP-Adresse (also nichtmal DNS notwendig) ins Ärtzte-Netz auf einen gehärteten Server zu liefern. SMB braucht notfalls nur 445, SFTP braucht 22, fertig. So käme an dieses Gerät niemand dran.
Noch ein anderer Gedanke:
Wenn die obige Extrapolation (850 Millionen Windows-Systeme) halbwegs paßt, zeigt das doch die extreme Ungleichverteilung des Reichtums in der Welt.
Ich habe nier zwei (Desktop und Laptop) zuzüglich einen Berg Server, der prozentual auf die Belegschaft zu verteilen wäre, bei etwa 8 Milliarden Menschen müßte es für jeden Bewohner einer Industrienation etwa 19 geben, die überhaupt keinen Windows-Computer haben oder in irgendeiner Form (z.B. Schule) nutzen können.
So kraß hatte ich mir das Zahlenverhältnis nicht vorgestellt.
zu "Windows has NO business running medical equipment!":
Da wird nicht hinreichend (oder aber grundfalsch) differenziert:
Ein unkritisches System wie ein CT kann doch unter Windows laufen, dann steht es halt mal 1/2 oder 1 Tag – zumal wir "kann bei Linux nicht passieren!!!" doch eben erst als Irrtum entlarvt haben.
An kritische Infrastruktur (dann aber nicht nur im med. Bereich!) kann man die Anforderung "kein Windows!" stellen, aber auch da sollte sie mMn eher "In kritischer Infrastruktur ausschliesslich gehärtete OS mit Fallback!" heissen.
Besser wäre es aber, solche Systeme soweit irgend möglich vom Netz (vom Internet und autom. Updates sowieso!) abzukoppeln und den Bedienern notfalls den Zusatzaufwand "Datentransfer per Medium X" zumuten.
Was genau ist denn bei Dir ein kritisches System wenn ein CT nicht dazugehört? Das steht ja nicht nur zum Spass in Krankenhäusern herum und hat durchaus seine Berechtigung (die durchaus auch zeitkritischer Natur ist).
https://www.crowdstrike.com/terms-and-conditions-de/
siehe 8.6 Haftungsausschluss.
"DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN"
kritisch == auch kurzer Ausfall bedeutet Verluste (Gesundheit/Leben) bzw. (zu) hohe Verluste (Sachwerte)
Also z.B. Lebenserhaltendes in der Medizin (aber nicht Diagnostik) oder für die öff. Ordnung Erforderliches (zuvorderst Strom!).
Natürlich kann man die Schwelle auch niedriger legen, wenn man bereit ist, die explodierenden Kosten zu tragen (auch hier gilt idR das Paretoprinzip, dass man 80%* Ergebnis (z.B. Verfügbarkeit) mit 20%* Aufwand erzielt und der Aufwand immer stärker steigt, je näher man an die 100% will/muss).
* über den jeweils zutreffenden genauen Wert kann man trefflich streiten (gerade in der IT ist es bzgl. Verfügbarkeit sicher >>90%)
naja ein CT oder MRT braucht man zum Leben retten bei schweren Unfällen mit multiplen Verletzungen aber u.U schon
aber es stirbt niemand davon
Denke mal an die Bande von Kriminellen bei Boeing, deren Software hunderte Menschen getötet hat, in dem die Software die Flugzeuge in den Boden gerammt haben, aus Geldgier und Unfähigkeit.
Ob da Windows gelaufen hat weiß ich nicht.
aber das ist auch vollkommen egal, wenn man es mit Kriminellen zu tun hat.
So eine Software ist kritisch, oder die Steuerung einer Infusions Pumpe.
und natürlich darf auch ein CT nicht plötzlich durchdrehen oder völlig uberhöhte Strahlenwerte erzeugen, wie es ja bekanntlich bereits vor Jahren zum Töten von Patienten gekommen ist, weil das Dummchen von Programmierer ein Flag per inc/dec getoggelt hat und nicht per Xor (es war die Erste reine Software Steuerung eines kombinierten Röntgen/Strahlen Therapie Gerätes und dieses Flag sollte eine Verwechslung der Modi ausschließenm..)
Windows verbietet sich hier da es ganz klar gegen das K.I.S.S
Prinzip verstößt und viel zu kompliziert ist.
Aber zur reinen Steuerung Bedienung könnte man doch Windows nehmen…oben die Röntgen Maschine Theac 25 sollte auch nur per Software bedient werden…
wenn du stirbst, weil nach einem Unfall etwas übersehen wurde (da keine Diagnose per CT/MRT gemacht werden konnte), bist auch tot.
Und? Wenn der Notarzt nicht schnell genug da ist bist auch tot…
Menschen leben halt nicht ewig… Wenn deine Zeit um ist ist sie um.
Entweder du hast Schwein oder eben nicht…
Nen Menschenleben hat nunmal einen kalkulierten Wert, auch wenn das niemand wahr haben möchte.
Ebenso wie dich kein Gesetze schützen wenn diese dem andern am Arsch vorbeigehen. Töten ist strafbar nützt dir nix wenn dir dein Gegenüber ne Kugel in den Kopf jagt.
Und manchmal ist ne Menschenleben eben nicht mal nen Pfifferling wert.
Siehste aktuell in der Ukraine und in Palestina
"Menschen leben halt nicht ewig… Wenn deine Zeit um ist ist sie um."
Mit Verlaub, dass ist an Arroganz nicht zu übertreffen. Wann meine Zeit um ist, bestimmt die Biologie und niemand anders. Dank moderner Medizintechnik muss ein Leben durch einen Unfall nicht zu Ende sein. Dann erwarte ich aber, dass derart kritische Infrastruktur nicht durch ein gewöhnliches Windows betrieben wird.
@Tastensperre:
Auch du lebst nicht ewig, das ist Fakt und dabei spielt es keine Rolle ob dir Technik da hilft oder nicht… werd dir einfach deine Sterblichkeit bewusst.
Ich weiss das und Lebe daher im hier und jetzt, könnte jdere Tag der Letzte sein!
/Edit/
@Tastensperre
ich habe gedient 16 Jahre und nein nicht im Kaspereleverein BW sondern in ner richtigen Armee und ja auch im Einsatz und ich kann dir aus erster Hand versichern es ist nicht immer die Biologie die entscheidet ob du lebst oder stirbst! Wenn du das glaubst bist du lediglich "Opfer".
Ah, ok. Du kennst Dich nur nicht aus, wofür ein CT verwendet wird. Also im Endeffekt wieder mal das gute alte "ich brauch es gerade nicht, also kann es nicht so wichtig sein".
Nein, es ist eher das ("menschenverantend!!!"e) "mit gewissen Verlusten muss man leben", die billigende Inkaufnahme von gewissen Verlusten*, auch an Menschenleben (ist in einigen Bereichen gesellschaftliche Übereinkunft, am Bekanntesten ist wahrscheinlich der Verkehr).
Wo, genau, wollen Sie denn die Grenze ziehen? Warum genau da und wie wollen Sie es finanzieren?
* Sie haben sicher eine seriöse Statistik zur Hand, über wie viele Fälle wir sprechen?
Ah, die üblichen Nebelkerzen, wenn man nicht zugeben kann, dass man sich bei was geirrt hat. Für mich ist die Diskussion zum Thema CT beendet, da wird nichts sinnvolles mehr kommen.
Ich habe eher das Gefühl, dass Sie da eine Mücke (Einzelfälle) zum Elefanten (Regelfall) aufblasen wollen.
Immer eine tolle Sache, so lange es Andere bezahlen müssen.
Ein CT strahlt Röntgenstrahlen aus, wenn da die Strahlung halt mal größer wird, wegen einem BSOD Windows-Update usw. – kann des der Behandelte schlecht nachweisen, bekommt er 5 Jahre später einen Hirntumor :-) Also alles easy.
Die Juristen fassen das unter "allgemeines Lebensrisiko". 🤷♂️ Ich trage das natürlich auch, so wie Jeder.
Weil Fordern ja so leicht fällt: Welchen Aufpreis wären Sie (und die anderen Forderer hier im Thread) denn bereit, monatlich (oder pro Untersuchung) zu zahlen, wenn sie (statt der Versichertengemeinschaft) die Mehrkosten für höhere Verfügbarkeit bzw. mehr Zuverlässigkeit aufbringen müssten?
Referenz hierzu wäre der Therac-25 (https://en.wikipedia.org/wiki/Therac-25) wo es auch lange Zeit dauerte, bis die Betroffenen genug wußten um beweisen zu können, daß sie von einem fehlerhaft arbeitenden Gerät verstrahlt wurden.
Nun ja, ich wollte es die Nacht eigentlich thematisieren, hab es aber sein lassen. Am 12. März 2015 wurde ich nach einem schweren Sportunfall mit partieller Querschnittssymptomatik in die nächstgelegene Neurochirurgie eingeliefert – war so ca. 40 Minuten nach dem Unfall (was ein riesiges Glück war, da Zeit eine große Rolle spielte, da eine Rückenmarksverletzung durch Kompression vorlag). Ich kam sofort ins MRT – erinnere mich noch, dass ich wegen Schmerzen kaum still liegen konnte – aber beim 2. Durchlauf hat es geklappt. Ein paar Minuten später hatten die Ärzte ein genaues Bild meiner Halswirbelsäule und wussten, was los war, und wie sie operieren mussten. Ich habe die Bilder später gesehen – ich hatte riesiges Glück – auch mit Neurochirurgen, die auf moderne Technik zugreifen konnten.
Eine Stunde nach dem Unfall lag ich auf dem OP-Tisch mit Neurochirurgen um mich herum. Was ich auch noch erinnere: Kaum war ich aus dem MRT, als das nächste Unfallopfer schon in die Röhre geschoben wurde. Gleiches beim CT am Morgen nach der Operation (wo dann ein "Vorfall passierte", weil ich nicht schnell genug vom Tisch weg kam, und mit einem Ruck heruntergezogen wurde). Ich hatte einige Tage später das Gefühl, dass sich die dorsale Verplattung gelöst habe, das ich beim Drehen des Kopfes ein Ruckeln spürte. Die Krankenschwestern hielten es für Spinnerei, die Assistenzärztin meinte "zur Sicherheit noch ein CT". Hin und zurück bin ich zwar noch gelaufen – aber ich war kaum im Zimmer zurück, als die Tür aufflog und zwei Ärzte herein stürmten "nicht mehr bewegen, Lebensgefahr, sie haben Recht gehabt, sie werden direkt wieder operiert" riefen. Wenn das MRT und das CT kaputt gewesen wäre, hätte Ahnungslosigkeit geherrscht und ich hätte jederzeit eine Querschnittslähmung erleiden können. Diese beiden für mich dramatischen Situationen haben mir gezeigt, wie wichtig bei Unfällen eine funktionierende Infrastruktur in Kliniken ist.
Gut, ich bin als Individuum nicht so wichtig. Aber nur mal so: Wenn es damals geheißen hätte "sorry, MRT /CT geht momentan nicht, Ausfall durch Ransomware oder Update-Bug, kommen se morgen wieder", hätte sich das Diskutieren hier im Blog vor 9 Jahren erledigt. In diesem Kontext sehe ich MRT und CT durchaus als kritische Infrastruktur.
siehe mein Kommentar von 10:47.
Auch an Sie die Frage: Wie soll das finanziert werden? Schon im IST-Zustand gehen dem Gesundheitswesen die Mittel aus (und dem Staat leider auch, der kann nicht mehr gross bezuschussen (er zahlt ja nicht einmal den vollen Kostenanteil* für Sozialleistungsbezieher, sondern wälzt diese Last völlig unsolidarisch auf die unter Zwang (Gesetz) Pflichtversicherten ab))
* laut AOK kostet ein Versicherter ø ~2.500 € p.a., der "KV-Beitrag" (z.B. bei Hartzern) ist aber nur ~1.200 € – die restlichen ~1.300 € müssen die Pflichtversicherten leisten(!)
Dann überlege mal, worüber wir hier im Thread diskutieren. Es geht um Medizintechnik, die Millionen kostet und der Hersteller zur Windows greift, weil es so schön einfach ist und "man das kennt". Alleine schon eine Ausdifferenzierung, was ich da an sicherer IT-Technik unterbringen kann, würde schon den Unterschied machen, ohne den Kliniken Mittel zu entziehen.
Und wo nimmt der Hersteller die Linuxkoryphäen her, die das so betriebssicher wie Sie fordern implementieren?
Zumal wir dann ja nicht von 1 Hersteller 1-nes Produktes reden, sondern einer grossen Branche.
Und, gerne erneut: Auch Linux ist nicht das Gelbe vom Ei, seit DEI und CoC grassieren sowieso nicht mehr.
Selbst bei Solaris (seinerzeit das OS der ONBA-Server 'meiner' Bank) habe ich in den 2000ern schon monatlich ganze CDs Updates einpflegen müssen.
wikipedia
theac 25 lesen
und dann Weiter.
hier werden gerade wieder 2 Sachen vermischt:
Verfügbarkeit und Schädlichkeit.
Das Theac war natürlich Windows frei und sehr zuverlässig.
Es hat nur durch einen klitzekleinen Programmier Fehler den einen oder anderen Patienten umgebracht…
(oder Boeing" Mcas hat die Flieger sehr zuverlässig geerdet)
Es gibt viele Menschen, die ohne moderne Technik nicht mehr leben würden.
Günter hat unsägliches Schwein gehabt. und eine unglaubliche Kraft, sich gegen die Arroganz des Personals trotz seines Zustandes durchzusetzen(ich hätte da auch eine Episode zu berichten)
das hat aber nichts mit Windows oder nicht Windows zu tun.
sondern einfach, weil es viel zu wenig dieser MRT gibt. (man fragt sich, ob es da evtl. ein Kartell gibt, das die Preise so hoch hält?)
Aber auch weil wir heute Hubschrauber und Autos haben.
Es ist natürlich ein Unding, wenn auf dem MRT dann auch noch eine BSOD erscheint.
Was aber nie passieren darf, ist dass Menschen durch Software getötet werden könnten.
Nachdem "Theac 25" nix findet – sollte das "Therac-25" heissen?
Also Hardware mit Windows zu steuern ist nicht "schön einfach".
Da ist man mit Linux schneller und sicherer fertig.
Einfach weil keine Dinge im Hintergrund laufen, von denen nur MS. weiss dass und warum.
Microsoft hat bei "Windows Embedded XP" versucht das Problem zu lösen. Wer ein Embedded XP haben wollte, könnte das feinst filigran konfigurieren. Das waren gefühlt 5000 Checkboxen die der Systemintegrator setzen mußte. Grausam, unmöglich.
mit W7 wurden die Möglichkeit auf ein paar zig reduziert.
Und boom, hatte man dann doch etwas drin was unbedingt eine Garbage Collection machen musste, obwohl die CPU woanders gebraucht wurde. Das Problem wurde dann durch eine Absurd starke CPU gelöst… Das Windows kein Echtzeit Betriebs system ist hatte man irgendwie völlig übersehen oder durch ein paar zusätzliche Treiber implementiert, die ein erzwungenes Timeslicing emulieren wollten, aber, da tief im Kern, auch zu BSODs führte…
Aber Windows benutzen doch alle.
Millionen Fliegen fressen….mach Du das dich auch.
Es ist ganz einfach: Verzicht auf Windows und Verzicht auf Netzwerkanbindung. Das kostet dann nicht mehr, sondern weniger pro Untersuchung. Gerade in dem Bereich sehe ich weder das eine, noch das andere also notwendig für den sicheren Betrieb an.
Sie werden lachen: Die Zeiten, als wir Windowsserver 'sicherheitshalber' aller 3 Wochen durchbooteten, sind seit Win2000, spätestens seit Win2003, vorbei.
Ohne Netzwerkanbindung (und damit auch ohne die leidigen "Sicherheitsupdates") läuft auch Windows sehr stabil, ich schrieb das oben schon, um 07:51*.
borncity. com/blog/2024/07/22/nachlese-des-crowdstrike-vorfalls-der-grten-computerpanne-aller-zeiten/#comment-188682
Ich halte Diagnosetechnik für ebenso wichtig wie Monitoringtechnik für Vitalfunktionen oder Automatisierungstechnik zur Medikamentengabe.
Aus meiner Sicht spricht nichts dagegen, Windows auf diesen Geräten zu betreiben. Ein Patchmanagement setze ich hier voraus. Das sähe für mich so aus, dass es zu jedem Gerät eine virtuelle Maschine gibt, die das Betriebssystem und die Produktionssoftware im aktuellen Stand abbildet. Die virtuelle Maschine wird gepatcht und ausgiebig getestet. Sind alle Tests bestanden, halte ich das Risiko, in einen Fehler beim / nach dem Patchen zu laufen, für stark verringert. Hierfür braucht es aber Personal und Zeit.
Im Idealfall werden solche Geräte ganz ohne Netzwerk oder in einem gekapselten Netzwerk ohne Internetzugang betrieben.
Selbstverständlich ist ne funktionierende Infrastruktur insb. in der Medizin wichtig… nur leider ist das eben auch eine Kostenfrage und ein Menschenleben ist ne reine Kalkulation… find ich jetzt nicht mal schlimm, man kann eben nicht alles tun!
Man muss sich auch damit abfinden das ein Leben eben mal zu Ende ist.
Viel mieser finde ich da: die Entscheidung welches Leben wichtiger/ mehr wert ist! Ist das Leben des Präsidenten mehr wert als das des H4 Empfängers?
An einem MRT / CT installiert man weder eigene Software (auch keinen AV) noch hängt das Ding einfach so angreifbar im Netzwerk. Dafür ist das System zu wichtig, wertvoll und zu teuer.
Das selbe gillt auch für Windows-Systeme die in Lokomotiven der Bahn, in großen Ozeanschiffen, oder in Atomkraftwerken laufen. Ja, die gibts (das bei der DB ging ja schon durch die Presse, und ich kenne jemanden, der für genau diese Einsatzzwecke alte SIEMENS-Industrie-PCs wieder aufarbeitet, u.a die Bahn, diverse Werften und Kraftwerksbetreiber sind seine Kunden), und das ist alles ernsthaft lebensbedrohend wenn da was schief geht. Aber diese Dinger sind eben autark und so wie vom Hersteller konzipiert und installiert in eigenen Netzen. Und die Dinger laufen größtenteils unter Windows, teils 3.11, teils 9x, teils NT und 2ooo, je nach dem wie alt die Anlage ist.
Ich habe in meiner Karriere schonmal in einer Bundesbehörde administriert, die Umgebung war/ist recht klein (so um die virtuelle 200 Server) und über 3 Standorte in Deutschland redundant verteilt und gehörte zur "Kritischen Infrastruktur des Bundes", lief/läuft alles unter Windows. (Ich hab noch Kontakt zu einem meiner Nachfolger, daher weiß ich dass es immer noch so ist – und mehr darf ich natürlich nicht verratent)
Also wie konnte es soweit kommen.
https://youtu.be/wAzEJxOo1ts
in dem Video erklärt ein Ex Microsoft Mitarbeiter genau wo das Problem ist/lag.
Kurzfassung der Treiber wurde als "boot start driver" definiert, wer das so definiert, baut eine Abhängigkeit ein die dann zu diesem Ergebnis führt, sollte sein Treiber kaputt sein. .
In dem Video wird das gut erklärt, Treiber im Ring 0 zu betreiben erfordert halt einfach Wissen und Tests etc. Wie wir seit Jahren von MS ja selbst vorgelebt bekommen sind Testen/QA nur für schwache. Also wieso sollten sich andere Firmen an was anderes halten wie der "Gold Standard" bei Patches. Wie wir hier ja jeden Monat selbst mitbekommen sind die Patches von MS wirklich übel geworden.
Das Video ist super. In den 15 Minuten erklärt er alles nötige.
Auch wenn der Treiber als zwingend nötig zum Starten deklariert wurde, erklärt er nicht so richtig, warum man nicht die -funktionierende- Vorgänger Version nehmen könnte.
Es ist halt Schlangenöl.
CloudStrike muss natürlich verhindern, das irgendwie ein böses Programm verhindert, das der Treiber geladen wird…es ist ja wichtig. Aber dann zur Laufzeit Windows den Treiber unter dem A.. wegziehen und neu programmieren….und automatisch ohne Test ausliefern…und alles ungeprüft fressen was da von außen kommt…
Weil es keine Vorversion des Treibers gibt, die Windows stattdessen laden koennte – was sich geaendert hat war ein Datenfile, und davon weiss Windows nix.
Natuerlich haette CrowdStrike einen Mechanismus einbauen koennen, der nach so einem Crash das verwendete Datenfile als mistig deklariert und die (hoffentlich laenger vorgehaltene) Version von davor verwendet, aber das haben sie halt nicht…
Wenn das Problem wirklich ein Datenfile voller Null-Bytes war haette sogar eine simple Pruefsumme ueber deren Inhalt das Problem verhindert, aber wie man sieht – nicht mal das…
Nicht nur Prüfsumme. Ich würde erwarten, daß auch ein solches Datenfile eine gültige kryptographische Signatur mitbringt wie sie inzwischen jeder Treiber haben muß, den man in Windows laden will.
Zitat:"aller Zeiten" – Da hat wer eine Glaskugel :-D
Ich gebe zu, dass mir sofort die Simpsons ("worst day of my life"*) in den Sinn kamen, aber wir wissen doch alle, dass solche Aussagen sich auf alle bisherigen Zeiten beziehen.
* youchu. be/watch?v=bfpPArfDTGw
War tief in der Nacht, da sind alle Katzen grau. Hab noch ein bisher eingefügt.
Die Politik hat sehr wohl eine Mitschuld an der momentanen Situation. Denn früher hätten die Amis Unternehmen wie Google, Facebook, Amazon oder Microsoft zerschlagen. Es ist eine der Kernaufgaben der Politik, Wettbewerb zuzulassen und zu fördern, indem die Bildung von Mono- und Duopolen konsequent bekämpft wird. Mit den ständig neuen Datenschutzverordnungen, Gesetzne und Vorgaben nimmt man allfälligen Konkurrenten die Möglichkeit, eine Alternative aufzubauen. Die Markteintrittskosten werden schlichtweg zu hoch. Das gleiche sieht man übrigens im Bankensektor, wo die gut gemeinten Regulierungen dazu geführt haben, dass die Grossen noch grösser und die Kleinen geschluckt oder ganz vom Markt verschwunden sind.
Die Politik/Bürokratie ist das Grundübel dieser Situationen. Die Großen leisten sich Rechtsabteilungen, die sich um diese Vorschriften kümmern (Einhaltung bzw. Umgehung), die Kleinen dürfen das alles ausbaden und scheitern daran.
Gewollt? Ich glaube allmählich: JA
Das war ein Fehler von Crowdstrike. Crodstrike hat im Markt der Antiviren/EDR-Sicherheitssoftware mal mindestens 20-30 Mitberwerber. Der Marktanteil von Crowdstrike ist im einstelligen Bereich!
Wozu muss dafür nun Microsoft zerschlagen werden? Jede Firma, die eine Alternative zu Crowdstrike eingesetzt hat, hatte keine Probleme!
Nun ja, ich bemerke, dass einige Leute schon beginnen, die Frage zu stellen, wie bekömmlich ein Microsoft-Monopol ist. Redmond hat imho den Zenit überschritten – in den letzten 24 Monaten sind einfach zu viele Klöpse passiert. Es mag zwar sein, dass das alles momentan als alternativlos angesehen wird. Aber die Schmerzen werden zunehmen und dann gilt irgendwann "Der Krug geht solange zum Brunnen bis er bricht". Wann das passiert, vermag ich nicht zu sagen, es wird aber kommen.
Das ist völliger Unsinn! Weil ein AV Hersteller Mist baut, gleich das zugrundelegenede Betriebssystem mit seinen weltweit sehr verbreiteten Anwendungen zu zerschlagen? Sie leben da irgendwien in einer Blase, Sie berichten jeden Tag von Problemen, das ist gut, aber vielfach sehen Sie deswegen auch den Wald vor lauter Bäumen nicht mehr. Das was Sie da als große Probleme sehen, ist zwar da, aber es ist nicht jeder davon betroffen. Das beste Beispiel ist ja nun wieder dieser umbenannte Crowdstrike-Treiber .sys.old. Ein übereifriger Admin, eine Mücke, kein Elefant!
Soll man nun auch Linux zerschlagen, weil yz mal einen Fehler eingeschleust bekommen hat?
Ich finde Ihre Seite gut, aber manchmal verbreiten Sie zu viel Panik. Ich arbeite nun schon seit über 30 Jahren mit verschiedenen Windows-Versionen, es gab schon immer Probleme, wo man das System wutentbrannt aus dem Fenster werfen wollte. Das war aber bei der "Alternative" wo jeder in den Quellcode reingucken kann es aber kaum einer tut nie anders. Der Klassiker: Kernel-Update eingespielt, WLAN, Soundkarte oder Grafikkarte geht nicht mehr oder ganzt schlimm, System kommt nicht mehr hoch weil der Distributor die falsche glibc dazugepackt hat. Alles schon erlebt, anschließend stundenlanges gebastel oder Neunitsnatllation inkl. Datenverlust. Oder Linux flog entnervt mal wieder hochkant aus dem Fenster. Es mag jeder das einsetzen, was er mag, das ist völlig Ok, aber es bringt absolut nichts, die Nutzer von/zu Alternativen umstimmen zu wollen, vor allem nicht auf die Tour die auch hier immer wieder in den Kommentaren zu lesen ist, es gibt Gründe dafür, dass man dieses oder jenes OS einsetzt.
Wäre mal interessant, wenn Sie über ihren eigenen demonstrativen Umstieg bloggen würden. Es wird am Anfang sicher ganz toll laufen, das ist völlig klar. Und das wäre sicher eine fette Faust in die MS-Magengrube, der Blogger und Ex-Microsoft-Autor GB steigt auf Linux um und wird dafür von einer neuen Fanboy-Leserzielgruppe gefeiert! Wird sicher gut gehen.
Solche Dinge treffen heute alle Hersteller, ob Hard- oder Software. Es wird zu schnell freigegeben, ohne ausreichende Tests. Testen kostet Zeit und Geld – das will scheinbar kein Unternehmen mehr. Gutes Beispiel ist die Automobilindustrie.
Das Computertomograph Bild ist älter und hat mti CrowdStrike nichts zu tun.
Ändert aber am Grundsätzlichen nichts, dass da kein Windows rein gehört.
Auf dem Bild ist ein schlecht gephotoshopter völlig anderer Bluescreen.
Das Problem ist nur, dass gerade in großen Firmen (Philips, Siemens, etc.) die Entscheidungsträger kaum Interesse daran haben, auf was anderes zu setzen. Das kostet in der Entwicklung am Anfang mehr Geld als unter Windows (es gibt weniger Entwickler die sich wirklich mit Linux auskennen bzw. bereit dazu sind, sich damit auseinanderzusetzen; die Development-Kits für Linux kosten auch richtig Geld (also der (Treiber-)Support, das OS kostet natürlich nichts); es gibt Probleme, die man von Windows so nicht kennt (zB USB-Enumeration hat schon für diverse WTF-Momente gesorgt; fehlende Treiber; etc.)). Das System mag am Ende wahrscheinlich wesentlich robuster und weniger störanfällig sein (falls man den Entwicklern die Zeit zum Entwickeln gibt), aber das sehen die Schlipsträger leider nicht – da gehts immer nur um die Rendite und im Zweifelsfall kommt ein "das haben wir immer so gemacht" und damit wird jede sinnvolle Diskussion zu dem Thema abgewürgt.
Mit Linux kann genau so ein Mist passieren, siehe xz neulich. Daher ist das keine Lösung!
Wennschon, dann müssten Hersteller von solchen Maschinen komplett ihr eigenes Betriebssystem haben, dann wirds aber richtig teuer.
Und letztlich ist das Betriebssystem auf so einem Gerät völlig egal. So ein Ding wird in einem eigenen Netz betrieben, es wird mit den Versiuonsständen benutzt, wie es der Hersteller ausstattet, da kommt keine fremde Software drauf, nicht mal ein Antivirus. Und somit läuft das Ding einfach so, wie es der Hersteller konzipiert hat.
Das Computertomograph Bild ist ein Photoshop mit einem ganz anderen Bluescreen, hat nichts mit CrowdStrike zu tun.
Und einige EU-Firmen und -Organisationen lassen sich wieder von Microsoft kaufen …
Das Video ist super. In den 15 Minuten erklärt er alles nötige.
Auch wenn der Treiber als zwingend nötig zum Starten deklariert wurde, erklärt er nicht so richtig, warum man nicht die -funktionierende- Vorgänger Version nehmen könnte.
Es ist halt Schlangenöl.
CloudStrike muss natürlich verhindern, das irgendwie ein böses Programm verhindert, das der Treiber geladen wird…es ist ja wichtig. Aber dann zur Laufzeit Windows den Treiber unter dem A.. wegziehen und neu programmieren….und automatisch ohne Test ausliefern…und alles ungeprüft fressen was da von außen kommt…
Also Hardware mit Windows zu steuern ist nicht "schön einfach".
Da ist man mit Linux schneller und sicherer fertig.
Einfach weil keine Dinge im Hintergrund laufen, von denen nur MS. weiss dass und warum.
Microsoft hat bei "Windows Embedded XP" versucht das Problem zu lösen. Wer ein Embedded XP haben wollte, könnte das feinst filigran konfigurieren. Das waren gefühlt 5000 Checkboxen die der Systemintegrator setzen mußte. Grausam, unmöglich.
mit W7 wurden die Möglichkeit auf ein paar zig reduziert.
Und boom, hatte man dann doch etwas drin was unbedingt eine Garbage Collection machen musste, obwohl die CPU woanders gebraucht wurde. Das Problem wurde dann durch eine Absurd starke CPU gelöst… Das Windows kein Echtzeit Betriebs system ist hatte man irgendwie völlig übersehen oder durch ein paar zusätzliche Treiber implementiert, die ein erzwungenes Timeslicing emulieren wollten, aber, da tief im Kern, auch zu BSODs führte…
Aber Windows benutzen doch alle.
Millionen Fliegen fressen….mach Du das doch auch.
Echtzeitsteuerung mit Windows geht gar nicht.
Es gibt ein paar Firmen, die das hinkriegen (Beckhoff z.B.) aber da ist es so gelöst, daß man quasi ein eigenes Echtzeitbetriebssystem hat, in dem Windows nur noch als Task läuft.
Wir hatten früher teilweise Einsteckkarten mit eigener CPU, die den Echtzeit-Teil erledigt haben, inzwischen sind es aber aus Aufwandsgründen abgesetzte Geräte, die mittels CAN, USB oder einer echtzeitfähigen Industrial-Ethernet-Variante angebunden sind.
Windows ist gut für zeitunkritische Visualisierung oder eine GUI zum Parametrieren, aber nicht für Maschinenbetrieb.
Es ist absolut richtig.
Solange die Maschine läuft, muss man an einer Maschine auch keine Updates machen. Viele Industrie Betriebe handeln so.
Denn eine Vernetzung ist ein Fass ohne Boden.
Ich habe mal eine Maschine gesehen, da waren 4 8086 mit 4 mal DOS getrennt drauf. Nie ein Update, lief einfach und machte Geld für den Kunden…Aber nach 40 Jahren war halt die Hardware durch..
Oder eine andere Mähre.
Die Festplatte nur zu 30MB belegt, keine Spur von der Steuerungssoftware…
Die wurde per PXE Boot vom Server gezogen. Die 30MB waren der Bootloader….
So geht es auch. Es erfordert natürlich ein bisschen mehr Knowhow als einfach Windows zu installieren… und gute Leute, auch in der Führung…
Hier hätte CloudStrike das per PXE geladene Image zerstört, neu booten und alles wieder ganz…
Aber CloudStrike wäre gar nicht so weit gekommen, weil es ja das PXE Image hätte befallen müssen, da ist aber der Admin vor…das nicht mehr in Echtzeit Treiber Tauschen können. Natürlich hätte dieser, absolut fitter und erfolgreiche Kunde niemals so etwas wie CloudStrike an seine Maschinen gelassen. Er will damit ja Geld verdienen, für sich und nicht Schlangenöl-Verkäufer reich machen…
"Es ist absolut richtig.
Solange die Maschine läuft, muss man an einer Maschine auch keine Updates machen. Viele Industrie Betriebe handeln so.
Denn eine Vernetzung ist ein Fass ohne Boden."
Das ist richtig.
Ein alter HP 3070 Bordtester läuft im Prüffeld immer noch mit einer HP Visualize B180L Workstation. Als Betriebssystem läuft ein HP-UX drauf. Die Benutzeroberfläche ist Common Desktop Environment.
Der neuere Aglient Medalist i 3070 lief unter Windows XP bedeutend instabiler. Teilweise hatte man beim bedienen über Funktionstasten das Gefühl, dass es einen Permanenten Imput Lag gibt. Daran hat ein Intel Core to duo nichts geändert.
Nach dem defekt des Windows PCs, wurde eine HP-UX Workstation beschafft. Seitdem läuft der Bordtester bedeutend stabiler. Die Benutzeroberfläche ist Common Desktop Environment.
Ich möchte die Frage stellen wie z.B. Günter Born von genau so einem Vorfall singulär monetär profitiert in dem er/sie hier berichtet.
"Es ist alles gesagt, nur noch nicht von allen" (damit beschreibt er 100 Jahre vorher irgendewelche Influcencer Bitches)
– Karl Valentin
RLY? Missgunst als Argument?
Die 10. Zeitung soll nicht mehr erscheinen, weil ja die anderen 9 schon berichten und/oder weil Herausgeber sowie MA davon leben?
Ausweislich des Erfolges bietet Herr Born eine Dienstleistung, für die eine Marktlücke existiert. Falls das Blog also einer Existenzberechtigung jenseits der Meinungs- und der Pressefreiheit bedürfte wäre das doch bereits völlig hinreichend.
"Missgunst als Argument?"
Ist der erste Gedanke.;) Der sagt du wirst sterben egal wie alt woher oder sonstwas.
*bye
Es wäre wirklich schön, wenn wir uns in Subthreads auf das Thema das S. fokussieren könnten.
Der 19:11-Sebastian hat Sterben/Tod nicht als Argument gebracht, Sie führen des jetzt erst ein. Aber ja, sterben müssen wir alle, @Luzifer fasste es 14:59 zwar empathiefrei (a.k.a. sachlich) aber korrekt zusammen.
Falls Sie der 19:11-Sebastian sind: Was konkret stört Sie denn daran, dass (auch) Herr Born berichtet und warum brachten sie "monetär profitiert in dem er hier berichtet" in den Diskurs ein?
Ich fand – gerade am Freitag – das sich die Berichterstattung hier wohltuend von den anderen Medien abhebt.
Während die großen Leitmedien alle irgendwelche Stockphotos von weinenden Kindern auf überfüllten Flughäfen zeigten (auf keinem dieser Bilder war auch nur ein blauer Bildschirm zu sehen) wurde hier schon analysiert und zum Beispiel die zwei sich überlagernden Ereignisse (ein nicht so dramatischer Schluckauf in der M365 Cloud und eben die Verteilung des kaputten CrowdStrike-Updates) auseinanderdividiert und auch zeitnah erste praktische Tips (lösche c-000271*.sys) gegeben.
Das rechne ich G.B. und dem Blog hier hoch an, daß man eben nicht in diese "wir werden alle sterben" Panik verfallen ist sondern rational analysiert wurde, was die Ursache sein könnte und wie sich potentielle Auswirkungen darstellen – und was auch deren Grenzen sind.
Immerhin sind ja keine Flugzeuge vom Himmel gefallen, sondern es wurde ja gerade vermieden, weiter Flugzeuge in Richtung der als ausgefallen bekannten Flughäfen auf den Weg zu bringen. Ärgerlich für die Reisenden, aber wohl der bessere Weg.
Überhaupt war hier das erste Forum, in dem ich etwas zu den Ursachen gelesen habe und nicht nur eine – fast süffisante – Beschreibung des entstandenen Chaos aus der Sicht eines empatielosen Beobachters.
Danke Günter Born, alle Daumen hoch und weiter so 👍
Ich gehe davon aus, dass er „monetär davon profitiert", und das ist auch gut und richtig so.
Also ich bin da bein hart der Meinung alles kritische gehört _NICHT_ ans Netz und man sollte sich updates lieber Spaaren!!!
Das macht mehr ärger und bringt mehr risiken als die security fixes wert sind.
Und sollte man ein wirklich dringender security fix da sein sollte man das in aller ruhe manuell installieren und testen während eines geplanten Servicefensters wo das gerät ohne hin down ist.
Es ist absolut richtig.
Solange die Maschine läuft, muss man an einer Maschine auch keine Updates machen. Viele Industrie Betriebe handeln so.
Denn eine Vernetzung ist ein Fass ohne Boden.
Ich habe mal eine Maschine gesehen, da waren 4 8086 mit 4 mal DOS getrennt drauf. Nie ein Update, lief einfach und machte Geld für den Kunden…Aber nach 40 Jahren war halt die Hardware durch..
Oder eine andere Mähre.
Die Festplatte nur zu 30MB belegt, keine Spur von der Steuerungssoftware…
Die wurde per PXE Boot vom Server gezogen. Die 30MB waren der Bootloader….
So geht es auch. Es erfordert natürlich ein bisschen mehr Knowhow als einfach Windows zu installieren… und gute Leute, auch in der Führung…
Hier hätte CloudStrike das per PXE geladene Image zerstört, neu booten und alles wieder ganz…
Aber CloudStrike wäre gar nicht so weit gekommen, weil es ja das PXE Image hätte befallen müssen, da ist aber der Admin vor…das nicht mehr in Echtzeit Treiber Tauschen können. Natürlich hätte dieser, absolut fitter und erfolgreiche Kunde niemals so etwas wie CloudStrike an seine Maschinen gelassen. Er will damit ja Geld verdienen, für sich und nicht Schlangenöl-Verkäufer reich machen…
Tavis Ormandy hat den CrowdStrike-Treiber CSagent.sys analysiert:
x[.]com/taviso/status/1814762302337654829
CSagent.sys stürzt genau am Offset 0xe35a1 ab, dort liegen die Bytes "45 8b 08". Diese Maschinencodes in Assembler übersetzt ist der Befehl mov r9d, [r8]
Unmittelbar vor diesem Befehl gab doch einen NULL-Check ( test r8, r8; jz ), siehe Tweet Nr 6 in seinem Strang.
Er vermutet, es wurden in einer Schleife ungültige Pointer gelesen (aus der fehlerhaften Config-Datei *291*.sys) und die vorher nicht initialisierten Variablen (Ziel-Adressen?) waren mit zufälligem Datenmüll gefüllt und wurden durch die falsch gelesenen Pointer nicht mit korrekten Daten gefüllt. Das könnte der Grund sein, warum bei verschiedenen Leuten die Crashadresse abweicht, weil sie aus dem nicht initialisierten zufälligen Datenmüll resultiert.
Der mov-Befehl greift dann auf illegale (und je nach Computer variable) Speicherbereiche zu und der Kernel wertet das als fatalen Fehler.
Ohne Zugriff auf Source und Symbole kann man das aber nicht so einfach debuggen.
Ob eine speichersichere Sprache wie Rust da geholfen hätte?
Vermutlich nicht, denn die Tabelle für die Pointer befindet sich gar nicht im Programm selber, sondern in der ausgelagerten Datei *291*.sys, die der Compiler nicht kennen kann, da sie erst später ausgeliefert wurde.
Derselbe Programmierfehler befindet sich aber dann auch in der Linux- und Mac-Version.
Im CSagent.sys fehlt also die Überprüfung, ob die Speicheradressen, die aus den Config-Dateien *291*.sys gelesen wurden, auch tatsächlich innerhalb des eigenen Programmspeicherbereichs liegen oder ob sie außerhalb dessen liegen. Im zweiten Fall darf nicht an diesen Speicheradressen gelesen oder geschrieben werden.
Die CSagent.sys muss gefixt werden, sonst kann dieser Fehler jederzeit wieder ausgelöst werden, wenn eine fehlerhafte Config-Datei ausgeliefert wird.
Das kann auch auf Linux und MAC passieren.
Am besten löscht man CrowdStrike Falcon Sensor, weil bisher nur die eine Hälfte der 2-teiligen Bombe (1. Treiber, 2. Config-Daten) gefixt wurde, indem man nur die Config-Datei austauschte, aber nicht auch den Treiber, der die Adressen aus der Config-Datei ohne ausreichende Prüfung verarbeitet.
Crowdstrike löschen? Hast du eine Ahnung, was die Lizenz kostet? Ich weiß es, ich hatte Angebot auf dem Tisch. Da wirst du wach… Und weißt du, was es eine Arbeit ist, eine vergleichbare Mitbewerber-Lösung dann wieder zu evaluieren und einzurichten und anlernen? (Ja, da kommt tatsächlich KI zum Einsatz, die erstmal wochenlang die Umgebung und das Nutzerverhalten "lernen" muss, bevor sie ihren Schutzmechanismus voll entfaltet, ohne dass man in False-Positives ertrinkt. Wir haben eine Lösung eines Mitbewerbers im Einsatz, und weiß was das für ein Akt war, umgerechnet ca. 2 Mannjahre… Das macht man nicht mal eben einfach so.
Nein, die bei Crodstrike müssen das Fehlerhandling im Treiber verbessern, so dass diese SYS-Dateien erstmal auf Gültigleit geprüft werden, bevor sie verarbeitet werden. Das ist täglich Brot, was bei den Entwicklern versäumt wurde…
Em.. auch Beckhoff 3s oder wie dass gerade heißt, kann mit unter sauer auf Windows Updates reagieren, weil sie zum Teil tiefst im Windows rumpopeln müssen. Auch bauen die eigene Ethernet treiber, als Teil von Windows ein… Windows muss sie laden und mit Speicher versorgen.
Inzwischen ist es wohl soweit, das der Teil mit der SPS dauerhaft eine eigene CPU braucht. Schön wenn die CPU nur 2 Kerne hat. Schon mal ein Windows mit nur einer Mobil-CPU gefahren?
Most dangerous things: A Software with a hardware patch.
Niemand kann zaubern und alle Kochen nur mit Wasser und wollen nur unser Bestes.
Aber klar das das hier keiner hören mag
"Aber klar das das hier keiner hören mag"
…der alte Kampf zwischen Gesinnungs*- und Verantwortungsethik 🤷♂️
* idR von jenen vertreten, die die Forderungen nicht umsetzen oder bezahlen müssen
Tja, wie gut, dass die kritische Infrastruktur der sonst gern gescholtenen Deutschen Bahn abgeschottet vom Internet autark betrieben wird. Und einige Sicherungssysteme laufen unter Linux, das vom Hersteller für die sicherheitskritische Infrastruktur angepasst wurde. Es geht, wenn man will. Zumal der Hersteller sich die horrenden Lizenzkosten für M$ so sparen kann.
Ich erinnere mich an die Zeit eines WannaCry-Virus, der seine Erpresserbotschaft über verschlüsselte Files sehr prominent auf den Abfahrt- und Ankunftstafeln der Deutschen Bahn anzeigte.
Bilder finden sich im Netz genug, z.B. hier: https://heise.de/-3713426
Vielleicht hat man daraus ja gelernt? Immerhin bin ich am Freitag, wie üblich mit einer Stunde Verspätung und einmal ungeplanten zusätzlichen Umsteigens wegen „Zug fährt heute nur bis X", angekommen. Bei der Bahn also anscheinend alles wie immer…
Die "horrenden Lizenzkosten" sind meistens kein Problem. Was kostet eine Windows-Linzenz? Was kostet eine Lokomotive? Was kostet ein Atomkraftwerk? Ich hoffe, du erkennst das Verhältnis zwischen den beiden…
Naja, immerhin eine Gemeinsamkeit: Windows und AKW – beides völlig unnütz, um nicht zu sagen, schädlich und überteuert :-)
Ich bin enttäuischt von dir, dass so eine billige Antwort von dir kommt.
Die Frage ist auch, "wie lange hält so eine Lokomotive"?
Die ICEs der ersten und zweiten Generation aus den 90ern haben z.B. bis zur Umrüstung als "neo" für die Komfortfunktion "Anzeige der reservierten Sitzplätze" ein Diskettenlaufwerk…
Ich kenne jemand, hatte ich an anderer Stelle schon geschrieben, der hat unter anderem mehrere Werften in als Kunde. Dessen Job ist, die alten Rack-PCs, welche diese Werft einst in die Brücke oder den Maschinenraum dieser Schiffe eingebaut hat, wieder aufzuarbeiten, damit diese Schiffe weiter fahren können. Schiff verschrotten weil der PC kaputt ist, ist einleuchtenderweise keine Option. Teils ist auf solchen Schiffen noch MS-DOS die Basis für die Steuerung der Schiffsfunktionen, der hat viele dieser PCs auch schon vor Jahren von 5,25er Diskettenlaufwerken auf Gotek-Floppyemulatoren umgerüstet, die sind auch in der Classic-Computing-Szene beliebt, funktionieren unter anderem auch an Atari und Commodore-Computern (ST, Amiga). (Ob die Marine damit auch die 8-Zoll-Laufwerke ersetzen kann, weiß ich nicht, die haben teilweise eine andere Ansteuerung als wie den Standard-Shugart-Bus, der Bekannte wird aber sicher schon an dem Thema drann sein…) Er hat auch Kraftwerksbetreiber (Kohle, Wasser, früher auch deutsche AKW), selbstverständlich die Bahn usw. als Kunde.
Der ICE-1 hatte seine Erstfahrt übrigens schon 1988.