1 คะแนน โดย GN⁺ 2024-07-22 | 3 ความคิดเห็น | แชร์ทาง WhatsApp
  • แยกจากเหตุขัดข้องครั้งใหญ่แบบ BSOD บน Windows เคยมีกรณีที่อัปเดตของ CrowdStrike ทำให้เซิร์ฟเวอร์หยุดทำงานในสภาพแวดล้อม Debian และ Rocky Linux มาแล้ว
  • เมื่อเดือนเมษายน ห้องแล็บ civic tech แห่งหนึ่งพบว่า หลังอัปเดตไม่นาน เซิร์ฟเวอร์ Debian Linux ทั้งหมดล่มพร้อมกันและปฏิเสธการบูต และกู้คืนได้ก็ต่อเมื่อลบ CrowdStrike ออกเท่านั้น
  • คอนฟิก Debian ดังกล่าวถูกมองว่าอยู่ในกลุ่มที่รองรับ แต่ไม่เข้ากันกับ Debian เวอร์ชันเสถียรล่าสุด และการวิเคราะห์สาเหตุรากพบว่ามี การตกหล่นในเมทริกซ์การทดสอบ
  • ผู้ใช้ Rocky Linux ก็ระบุว่า หลังอัปเกรดเป็น RockyLinux 9.4 เซิร์ฟเวอร์ที่ใช้ CrowdStrike ล่มด้วยบั๊กเคอร์เนล และทีมซัพพอร์ตของ CrowdStrike ก็ยอมรับปัญหานี้
  • องค์กรที่พึ่งพา CrowdStrike ควรจัดการการนำอัปเดตไปใช้อย่างระมัดระวังยิ่งขึ้น และควรมี แผนฉุกเฉิน เพื่อรับมือเหตุขัดข้อง

กรณี Linux หยุดทำงานก่อนเหตุขัดข้องบน Windows

  • ปัญหา Blue Screen of Death ที่เกิดขึ้นเป็นวงกว้างบนพีซี Windows ทำให้การดำเนินงานของหลายภาคส่วน เช่น สายการบิน ธนาคาร และผู้ให้บริการด้านสาธารณสุขหยุดชะงัก
    • สาเหตุมาจาก channel file ที่มีปัญหาซึ่ง CrowdStrike ส่งผ่านการอัปเดต
    • CrowdStrike ยืนยันว่าการล่มครั้งนี้ไม่กระทบต่อพีซี Mac หรือ Linux
  • อย่างไรก็ตาม ผู้ใช้ Debian และ Rocky Linux ก็เคยประสบเหตุหยุดชะงักอย่างมากจากอัปเดตของ CrowdStrike เช่นกัน ซึ่งนำไปสู่ความกังวลเกี่ยวกับ ขั้นตอนการอัปเดตและการทดสอบ
    • อาจเป็นความเสี่ยงต่อผู้ใช้งานที่พึ่งพาผลิตภัณฑ์ CrowdStrike ทุกวัน

ปัญหาที่พบใน Debian และ Rocky Linux

  • เซิร์ฟเวอร์ Debian ล่มพร้อมกัน

    • เมื่อเดือนเมษายน ห้องแล็บ civic tech แห่งหนึ่งพบว่าอัปเดตของ CrowdStrike ทำให้ เซิร์ฟเวอร์ Debian Linux ทั้งหมดล่มพร้อมกันและบูตไม่ได้
    • อัปเดตดังกล่าวไม่เข้ากันกับ Debian เวอร์ชันเสถียรล่าสุด แต่คอนฟิก Linux นั้นถูกมองว่าอยู่ในกลุ่มที่รองรับ
    • ทีม IT ตรวจพบว่าเมื่อลบ CrowdStrike ออก เครื่องจะบูตได้ และจึงแจ้งเหตุการณ์นี้
  • การตอบสนองล่าช้าและการทดสอบที่ตกหล่น

    • สมาชิกทีมที่เกี่ยวข้องกับเหตุการณ์แสดงความไม่พอใจกับการตอบสนองที่ล่าช้าของ CrowdStrike
    • CrowdStrike ยอมรับปัญหาในวันถัดมา แต่ใช้เวลาหลายสัปดาห์กว่าจะให้ การวิเคราะห์สาเหตุราก
    • ผลการวิเคราะห์พบว่าคอนฟิก Debian Linux ไม่ได้ถูกรวมอยู่ในเมทริกซ์การทดสอบของ CrowdStrike
    • สมาชิกทีมวิจารณ์ว่า “โมเดลของ Crowdstrike ดูเหมือนจะเป็นการผลักซอฟต์แวร์ไปยังเครื่องของคุณเมื่อเราต้องการ โดยไม่สนว่าจะเร่งด่วนหรือไม่ และผ่านการทดสอบแล้วหรือไม่”
  • ล่มหลังอัปเกรดเป็น Rocky Linux 9.4

    • ผู้ใช้ Rocky Linux ระบุว่า หลังอัปเกรดเป็น RockyLinux 9.4 เซิร์ฟเวอร์ที่ใช้ CrowdStrike ล่มด้วยบั๊กเคอร์เนล
    • ทีมซัพพอร์ตของ CrowdStrike ยอมรับปัญหานี้
    • ปัญหาความเข้ากันได้เกิดซ้ำในระบบปฏิบัติการต่างกัน สะท้อนรูปแบบของการทดสอบไม่เพียงพอและขาดความระมัดระวัง

สิ่งที่องค์กรควรเตรียมรับมือ

  • เพื่อลดปัญหาลักษณะเดียวกันในอนาคต CrowdStrike ควรให้ความสำคัญกับการทดสอบที่เข้มงวดยิ่งขึ้นสำหรับทุกคอนฟิกที่รองรับ
  • องค์กรควรนำอัปเดตของ CrowdStrike ไปใช้อย่างระมัดระวัง และจัดทำ แผนฉุกเฉิน เพื่อลดผลกระทบจากการหยุดชะงักที่อาจเกิดขึ้น
  • แหล่งที่เกี่ยวข้อง

3 ความคิดเห็น

 
click 2024-07-22

ดูเหมือนว่า AI จะสรุปโฆษณาแทนที่จะเป็นเนื้อหาหลัก

 
xguru 2024-07-22

เว็บ Neowin มีโครงสร้าง HTML แปลก ทำให้โฆษณาทั้งหมดในแถบบนถูกมองว่าเป็นเนื้อหาบทความ เลยแก้ไขไว้แล้วครับ

 
GN⁺ 2024-07-22
ความคิดเห็นใน Hacker News
  • น่าทึ่งที่ระบบนิเวศ OSS/Linux แม้จะมีโค้ดกองใหญ่จำนวนมากที่กลุ่มอิสระซึ่งประสานงานกันแบบหลวม ๆ นำมาต่อกันฟรี ๆ แต่ก็มักจะแข็งแกร่งกว่าซอฟต์แวร์ที่บริษัทมูลค่าหลายพันล้านดอลลาร์สร้างขึ้น
    เหตุผลหนึ่งอาจเป็นเพราะโปรแกรมเมอร์ระบบ OSS ซักผ้าสกปรกกันในที่สาธารณะ ไม่ใช่แค่ “ตาหลายคู่ทำให้บั๊กตื้นขึ้น” แต่ใกล้เคียงกับ “แค่มีใครสักคนมอง โค้ดแย่ ๆ ก็ทำให้อับอายแล้ว”
    กำลังจะเปิดซอร์สโปรเจกต์เชิงพาณิชย์หนึ่งเป็นโอเพนซอร์ส แต่ก่อนเผยแพร่ซอร์สโค้ดต้องขัดเกลาพอสมควร เช่น ปรับปรุงเอกสาร เก็บกวาด TODO/FIXME และตรวจสอบคอมเมนต์ ทว่าในโค้ดเบสเชิงพาณิชย์แบบปิด เคยเห็นสิ่งที่แย่กว่านั้นมาก และคิดว่า ซอฟต์แวร์เอนเทอร์ไพรส์ ส่วนใหญ่ก็น่าจะอยู่ในระดับใกล้เคียงกัน

    • ซอฟต์แวร์ OSS แทบไม่มี แรงจูงใจด้านกำไร จึงถูกเขียนขึ้นเพื่อให้ “ทำงานได้” มากกว่าจะ “ขาย” อะไรบางอย่าง
      แรงกดดันด้านเวลาก็น้อยกว่า ต่อให้รีลีสเลื่อนก็ไม่กระทบผลประกอบการรายไตรมาส มองว่าซอฟต์แวร์เชิงพาณิชย์ใกล้เคียงกับ งานการตลาด มากกว่างานวิศวกรรม
    • Linus คงไม่เห็นด้วย และมีเหตุผลที่ kernel สร้างกำแพงขนาดใหญ่ไว้เสมอ เขาคงปฏิเสธโค้ดใน user space ส่วนใหญ่อย่างสมเหตุสมผล
      การที่สิ่งต่าง ๆ นอก kernel ทำงานได้เองก็เป็นปาฏิหาริย์แล้ว และเห็นได้จากความถี่ที่มันพังทุกครั้งที่อัปเดตดิสโทร หรือบ่อยแค่ไหนที่ต้อง build ทั้งหมดใหม่เพื่อให้กลับมาทำงานได้ การอัปเดตใน production เป็นกระบวนการที่เครียดมหาศาล
      ยังไม่ได้พูดถึง audio และ video เลย และถ้าเอา Wayland ทับเข้าไปอีกก็เป็นฝันร้ายอีกชุดหนึ่ง ดังนั้นในหลายแง่จึงมองว่า Windows ใกล้เคียงกับมาตรฐานมากกว่า เพราะแม้จะถูกใช้งานอย่างหนักหน่วงจากทุกทิศทาง แต่ก็ยังทำงานสำคัญบนเครื่องจำนวนมากได้ทุกวัน
      การได้รับค่าตอบแทนหรือไม่นั้นไม่สำคัญ ความลึกในการตัดสินใจที่เห็นได้จากงานเขียนของ Raymond Chen และคนอื่น ๆ เป็นสิ่งที่พบได้ยากมากแม้ในโลก OSS
    • สิ่งที่สร้างขึ้นโดยได้รับเงิน แต่ให้ MBA เป็นคนตัดสินใจขั้นสุดท้าย มักจะแย่กว่างานอดิเรกหรือโปรเจกต์ที่ทำด้วยความหลงใหลมาก
      คิดว่าสถานการณ์แบบนี้คงไม่ได้เกิดกับฉันคนเดียว และหวังว่าจะยังมี คอมมูนิตี้ ที่สร้างสิ่งที่มีประโยชน์และเครื่องมือที่พวกเขาควบคุมได้ต่อไป
    • เดดไลน์ ก็น่าจะเป็นปัจจัยใหญ่เช่นกัน นักพัฒนา OSS จำนวนมากทำโปรเจกต์ในเวลาว่างเพื่อตัวเองและคนอื่น ๆ และถ้าเป็นโปรเจกต์ที่ทำด้วยใจรัก ก็อาจภูมิใจกับงานของตัวเองมากกว่า
      ซอฟต์แวร์เชิงพาณิชย์มักให้ความรู้สึกเหมือนถูกแปะต่อกันด้วยเทปกาวเพื่อให้ทันกำหนดของผู้จัดการ จนกลายเป็น “ช่างมันเถอะ” และพอใจแค่ว่าทำเสร็จแล้ว
    • คิดว่าการเรียกคนเขียนโค้ดว่า มือสมัครเล่น ไม่ใช่คำอธิบายที่ดี คนส่วนใหญ่น่าจะเป็นคนที่มีประสบการณ์และมีทักษะเชิงเทคนิคสูง และ “ประสานงานกันแบบหลวม ๆ” ก็ใช้ได้กับหลายบริษัทเช่นกัน
      สิ่งสำคัญคือคนที่เขียนโค้ดในโอเพนซอร์สมักทำเพราะมีความสนใจ หากต้องการทำบางอย่างให้ดี ทำงานได้ดี และฉลาด โอกาสสำเร็จก็สูงกว่าการทำเพียงเพราะได้เงินหรือเพื่อหลีกเลี่ยงความอับอาย
  • ความเห็นที่เกี่ยวข้องจากเธรดใหญ่เรื่อง CrowdStrike เมื่อวาน: “CrowdStrike ทำแบบนี้กับ fleet Linux ใน production ของเราเมื่อวันที่ 19 เมษายน และฉันอยาก rant มาตลอดตั้งแต่นั้น” [1]
    จากนั้นก็เป็น rant หลายย่อหน้าต่อเนื่อง
    [1] https://news.ycombinator.com/item?id=41005936

    • แม้แต่ การวิเคราะห์สาเหตุราก ที่ออกมาหลังจากนั้นหลายสัปดาห์ ก็ยังไม่มี scenario ที่เราใช้ใน test matrix ทั้งที่ดูเหมือนเป็น configuration ที่รองรับ คือรันเวอร์ชัน n-1 บน Debian stable
      ใน postmortem ของพวกเขาเองก็ไม่มีวิธีที่เป็นรูปธรรมในการป้องกันไม่ให้เหตุการณ์เดิมเกิดซ้ำ เพราะโครงสร้างคือ “เราจะ push ซอฟต์แวร์เข้าเครื่องของคุณเมื่อใดก็ได้ตามใจ ไม่ว่าจะฉุกเฉินหรือไม่ และไม่มีการทดสอบ”
    • ไม่ใช่แค่ความคิดเห็นที่เกี่ยวข้อง แต่ดูเหมือนเธรด HN นี้ถูกใช้เป็น แหล่งข้อมูลหลัก ในบทความ
  • ตอนทำงานในสายนี้ มักมีคำถามติดตัวอยู่เสมอว่า “ของพวกนี้มีประโยชน์จริงหรือ?”
    เป็นคำถามที่ตอบยาก แต่สงสัยว่ามีงานวิจัยจากบุคคลที่สามที่ตรวจสอบประสิทธิผลของผลิตภัณฑ์อย่าง CrowdStrike หรือไม่ หรือจริง ๆ แล้วทุกคนกำลังทำให้ชีวิตแย่ลงเพราะ security theater กันแน่

    • คล้ายกับการพยายามศึกษาประสิทธิผลของแอนติไวรัส แต่ก็เหมือนตอบไปแล้วในตัว แค่สร้าง ตัวชี้วัด ที่ผู้บริหารย่อยได้ ก็ถือว่ามีคุณค่าแล้ว
      ยังสงสัยว่าการเพิ่มสิ่งที่ล่วงล้ำขนาดนั้นสมเหตุสมผลได้อย่างไร ในยุค 90 บริษัทแอนติไวรัสบางแห่งถึงกับสร้างไวรัสเอง และปล่อยสิ่งที่ตัวเองสร้างลงในเครือข่าย ขณะเดียวกันก็ป้องกันการติดเชื้อให้ผู้สมัครสมาชิกได้ราวกับมีเวทมนตร์
    • สงสัยว่ามีใครเคยเห็นมันหยุดอะไรได้จริง ๆ ไหม บริษัทที่สร้างเครื่องมือนั้นก็น่าจะใช้ผลิตภัณฑ์ของตัวเองอยู่แล้วแน่นอน
      ถ้าถามทั้งเว็บทั่วโลกว่า “มีใครเคยเห็นไหม?” ก็คงมีใครสักคนโผล่มา แต่คนที่เจอช่องโหว่ด้านความปลอดภัยเพราะเครื่องมือแบบนี้มีจำนวนมหาศาล และคนที่เจอปัญหาเสถียรภาพกับ availability ก็แทบจะพอ ๆ กับจำนวนคนที่ใช้เครื่องมือนั้น
  • คุณภาพผลิตภัณฑ์กำลัง ร่วงอิสระ ตั้งแต่เครื่องบินไปจนถึงซอฟต์แวร์ ทุกวันนี้ทุกคนสนใจแต่รายได้เสริม จนการขาด QA กลายเป็นค่าเริ่มต้น

    • เศรษฐกิจของเราถูก min-max เพื่อปรับให้เหมาะกับกำไรมาโดยตลอด และตอนนี้ดูเหมือนเรากำลังเข้าสู่ช่วงเก็บเกี่ยวผลลัพธ์นั้นแล้ว
      เหตุผลที่เราผลิตกระสุนปืนใหญ่ส่งให้ยูเครนได้ไม่พอ ย้ายการผลิตชิปกลับเข้าประเทศไม่ได้ และต่อเรือไม่ได้ ก็เป็นเหตุผลเดียวกัน
    • อีกสาเหตุคือมีคนที่ไม่ใช่สายเทคนิคเข้ามาตัดสินใจมากขึ้น และถึงขั้นพัฒนาโปรแกรมด้านเทคนิคกันมากขึ้นด้วย
      เมื่อ 15 ปีก่อน คนส่วนใหญ่ในอุตสาหกรรมนี้อยากอยู่ตรงนั้นจริง ๆ และมีข้อยกเว้นเพียงส่วนน้อย ตอนนี้มันกลายเป็นเหมือนอาชีพอื่น ๆ คือเดเวลลอปเปอร์ส่วนใหญ่แทบไม่สนใจผลลัพธ์ที่ส่งมอบ สุดท้ายงานที่ออกมาก็เละเทะ
      ในช่วงไม่กี่ปีมานี้ แทบไม่เคยเจอ เดเวลลอปเปอร์ระดับไม่เกินซีเนียร์ ที่ทดสอบโค้ดห่วย ๆ ของตัวเองจริง ๆ เลย
    • ต้นทุนทางเศรษฐกิจของการทำผิดนั้นน้อยกว่ากำไรที่หาได้ ตราบใดที่จุดนี้ยังไม่เปลี่ยน ก็จะไม่มีอะไรเปลี่ยน
    • นี่ไม่ใช่แค่ปัญหาคุณภาพผลิตภัณฑ์ธรรมดา
      มันคือโครงสร้างที่อินฟลูเอนเซอร์กลิ่นการตลาดซึ่งไม่รู้ด้วยซ้ำว่าตัวเองกำลังทำอะไรอยู่ เอาขยะไปขายให้คนที่พยายามปิดทับอาการหวาดระแวงที่ซัพพลายเออร์ก่อขึ้นด้วย checkbox ด้าน compliance คนพวกนี้ไม่รู้จัก threat modeling และไม่รู้ด้วยซ้ำว่าระบบปฏิบัติการทำงานอย่างไร
      ถ้ามองตามหลัก CIA triad ก็เท่ากับยอมทิ้ง availability ไปหมดแล้ว ส่งทุกความเคลื่อนไหวของระบบไปให้บริษัทคลาวด์บางแห่งจนยอมสละ confidentiality ไปบางส่วน และพยายามซื้อความรู้สึกมั่นคงปลอดภัยปลอม ๆ ในเรื่อง integrity ที่ซัพพลายเออร์ก็ไม่ได้รับประกันด้วยซ้ำ แทบไม่เคยเห็นหลักฐานเลยว่าผลิตภัณฑ์นี้ทำอะไรได้จริงในสถาปัตยกรรมความปลอดภัยที่แบ่งชั้นอย่างถูกต้อง
      นี่คือสิ่งตรงข้ามกับข้อเสนอด้านความปลอดภัย มันเป็นบ้านไพ่ที่ตั้งอยู่บนคำโกหกและความไร้ความสามารถ และแทบจะตรงกับนิยามของมัลแวร์ตามตัวอักษร ส่งข้อมูลที่ควบคุมไม่ได้ออกไปภายนอก สามารถทำให้ระบบล่มได้ด้วยความสามารถสั่งการและควบคุมจากระยะไกล และรันโค้ดใด ๆ ก็ได้อย่างสมบูรณ์ใน ring 0
      เดือนมีนาคม 2023 ผมชี้เรื่องทั้งหมดนี้ว่าเป็น ความเสี่ยงทางธุรกิจร้ายแรง แต่คนข้างต้นก็ยังดันต่อไป ผมอัดเสียงความเห็นคัดค้านไว้แล้ว และตอนนี้ตั้งใจจะใช้มันเอาคืน
      ถ้ามีคนซื้อ ต่อให้ทำออกมาเป็นขยะก็ไม่เป็นไร แต่ความจริงคือมันถูกทำออกมาเป็นขยะจริง ๆ
    • เป็นเรื่องน่าเศร้า แต่ละบริษัทก็แตกต่างกันไป และโดยส่วนตัวแล้วนี่เป็นส่วนที่ผมชอบที่สุดใน software engineering แต่บริษัทใหญ่จำนวนมากตัด QA ทิ้งทันทีที่มีโอกาส
  • มีรายงานด้วยว่า CrowdStrike inject DLL ที่มีบั๊กเข้าไปในแอปพลิเคชัน Windows ทำให้แอปพลิเคชัน crash ได้แม้ตัวแอปเองจะไม่ได้ผิดอะไร
    https://x.com/molecularmusing/status/1808756095860543916

    • นั่นเป็นคนละเรื่องกันโดยสิ้นเชิง DLL ที่ถูก inject เป็นฟีเจอร์เสริมที่ปิดไว้เป็นค่าเริ่มต้น และผู้ดูแลระบบได้รับคำเตือนอย่างชัดเจนให้ตรวจสอบความเข้ากันได้กับ fleet ก่อน deploy
      ระดับของ hook ที่ใช้ได้แบ่งเป็น 4 ขั้น และยิ่งสูงก็ยิ่งไม่เสถียร มีคำเตือนซ้ำ ๆ ใน UI และเอกสาร ตัวอย่างเช่น XUMD ช่วยให้ sensor มอนิเตอร์ข้อมูลได้โดยโหลดไลบรารีเข้าไปใน process ที่กำลังรันอยู่แล้ว hook API ฝั่ง user mode หลายตัว
      telemetry บางอย่างของ endpoint เก็บได้เฉพาะด้วย user mode hook เท่านั้น XUMD ให้ข้อมูลว่า process ใช้ API ใดบ้าง และข้อมูลนี้ถูกใช้กับกลไกป้องกันหลายอย่างของ sensor ตามพฤติกรรมสะสมที่สังเกตพบ
      ต่างจาก AUMD ตรงที่ cloud สามารถเปลี่ยน visibility ของ XUMD แบบไดนามิกได้โดยไม่ต้องอัปเดต sensor การตั้งค่ามี Disabled, Cautious, Moderate, Aggressive, Extra Aggressive และยิ่งไปด้านหลังก็ยิ่งมีปัญหาด้านประสิทธิภาพหรือความเข้ากันได้ของแอปพลิเคชันมากขึ้น จึงไม่แนะนำสำหรับ production
      เพราะ XUMD ถูกโหลดเข้าไปใน user process ที่ไม่ได้พัฒนามาคู่กันตั้งแต่แรก จึงอาจเกิด crash, เริ่มทำงานไม่สำเร็จ หรือประสิทธิภาพลดลงได้ โดยเฉพาะในสภาพแวดล้อมที่ติดตั้งผลิตภัณฑ์ความปลอดภัยอื่นไว้ หากต้องการดูว่า process ใดโหลด XUMD DLL ให้รัน tasklist /m csxumd* จาก command line
  • ทั้งหมดนี้เกิดขึ้นเพราะบริษัทสามารถเลี่ยง ความรับผิดต่อความเสียหายสืบเนื่อง ได้ด้วยสัญญา
    เช่นเดียวกับที่ไม่ควรให้ตัดความรับผิดต่อผลสืบเนื่องจากการสูญเสียชีวิตออกด้วยสัญญาได้ ก็ควรทำให้ข้อกำหนดแบบนี้บังคับใช้ไม่ได้ หรืออย่างน้อยต้องจำกัดไว้

    • นั่นไม่ใช่สิ่งที่ คำสั่งด้านความมั่นคงปลอดภัยไซเบอร์ ของยุโรปพยายามจะทำหรอกหรือ? คำสั่งที่ทุกคนโกรธกัน แล้วสุดท้ายมีข้อยกเว้นสำหรับ FOSS นั่นน่ะ
  • ข้อความว่า “อัปเดตไม่เข้ากันกับ Debian เวอร์ชัน stable ล่าสุด แต่การตั้งค่า Linux นั้นถูกระบุว่ารองรับ” และ “ผลการวิเคราะห์พบว่าการตั้งค่า Debian Linux ไม่ได้อยู่ใน test matrix” ดูค่อนข้างใกล้เคียงกับ การฉ้อโกง จริง ๆ
    เท่ากับประกาศว่ารองรับ configuration X แต่จริง ๆ แล้วไม่ได้ทดสอบ configuration X เลย เหมือนบอกว่ารถยนต์มีเข็มขัดนิรภัย แต่ในกระบวนการผลิตไม่มีจุดไหนตรวจว่าเข็มขัดนิรภัยถูกติดตั้งและใช้งานได้หรือไม่
    ถ้าบริษัทรถยนต์ทำแบบนั้นก็คงถูกดำเนินคดีไปแล้ว แต่ไม่รู้ว่าทำไม CrowdStrike ถึงไม่โดน การไม่รองรับ Linux บางเวอร์ชันยังพอเข้าใจได้ แต่ถ้าโฆษณาว่ารองรับแล้วยังไม่ทดสอบด้วยซ้ำ อย่างน้อยก็เป็นความประมาทเลินเล่อโดยเจตนา และอาจถึงขั้นเป็นการฉ้อโกงแบบโจ่งแจ้ง

  • คำว่า “ไม่มีใครสังเกตเห็น” ฟังเหมือนเป็นสำนวนสุภาพน่ารัก ๆ ว่า CrowdStrike กดเรื่องไว้ไม่ให้สื่อสังเกตเห็น ในโพสต์ HN วันที่เกิดบั๊ก มีคอมเมนต์ว่าผู้คนพยายามรายงานปัญหามาหลายเดือนแล้ว
    แม้แต่บทความเองก็เขียนเหมือนว่าผู้คนสังเกตเห็นปัญหาแล้ว แล้วใครกันที่ไม่สังเกตเห็น? หรือปัญหาเหล่านั้นแค่ไม่ดังพอจนถูกเมินไม่ได้?

    • คุณคิดว่า CrowdStrike กดการรายงานข่าวของสื่อไว้หรือ? อยากรู้ว่าคิดว่าเขาส่งเช็คให้ NY Times, WaPo และสถานีโทรทัศน์ใหญ่ ๆ หรือเปล่า
      สื่อไม่สนใจเรื่องเซิร์ฟเวอร์ไม่กี่เครื่องล่มหรอก เว้นแต่มันจะเห็นได้ชัดในโลกจริงอย่างเที่ยวบินถูกระงับ
    • จำได้ว่าตอนนั้นเห็นอะไรบางอย่าง แต่คิดว่าคนที่ติดตั้งซอฟต์แวร์แบบนั้นบน Linux คงมีน้อยมาก จริง ๆ แล้วบริษัทแบบนั้นก็มีน้อยมาก
      รัศมีผลกระทบ เล็ก และอาจเล็กกว่าไดรเวอร์ Nvidia แย่ ๆ ด้วยซ้ำ
  • ถ้ามีใครใช้ CrowdStrike อยู่ อยากรู้ว่ามันทำอะไรกันแน่ เห็นมีคนเรียกว่า “แอนติไวรัส” แต่พอดูที่ติดตั้งบนโน้ตบุ๊กสำหรับทำงานแล้ว มันดูเหมือน คีย์ล็อกเกอร์กับตัวมอนิเตอร์กิจกรรม มากกว่า
    ถึงจะบอกว่า “ไม่มีอะไรต้องปิดบัง” แต่การที่ซูเปอร์ยูสเซอร์ของบริษัทมาคอยเฝ้าดูเราก็ยังน่ารำคาญอยู่ดี

    • ช่วยให้ได้ ตราประทับอนุมัติ จากทีมความปลอดภัย คอมพลายแอนซ์ และกฎหมาย
    • มีทางออกที่ดีกว่าการเรียกโซลูชันแอนติไวรัส/EDR ว่าเป็นมัลแวร์หรือสปายแวร์ คืออย่าใช้อุปกรณ์ทำงานกับเรื่องส่วนตัว
      อุปกรณ์นั้นเป็นทรัพย์สินของบริษัท และใช้เข้าถึงสภาพแวดล้อมของบริษัท จึงเป็นจุดรับผิดชอบที่อาจสร้างความเสียหายได้ถ้ามีมัลแวร์จริง ๆ เข้ามา ถ้าต้องการความเป็นส่วนตัว ก็ควรใช้อุปกรณ์แยกต่างหาก
  • บางบริษัทบอกว่ามีการ deploy CrowdStrike ไปยัง endpoint ทั้งหมด แต่ก็มีคนบอกว่าแม้จะรันมันเฉพาะใน virtual machine ที่จำกัดทรัพยากรไว้ ก็ไม่มีใครว่าอะไร และยังบอกด้วยว่าช่วงนั้นเคยเห็น virtual machine ล้มเหลวเหมือนกัน
    จากอดีตเพื่อนร่วมงานในบริษัทใหญ่แห่งอื่น ก็ได้ยินมาว่า IT ยอมแพ้กับการบังคับใช้ compliance บน Linux endpoint ไปแล้ว ดูเหมือนผู้ดูแล IT บางคนใช้นโยบายแบบ “ไม่ถาม ไม่บอก” โดยพฤตินัย
    ทำนองว่าถ้าคุณจัด stack ทางเลือกเองได้ ไม่ก่อเรื่องหรือโกหก ก็เชิญตามสบาย ถ้าแรงจูงใจในการบังคับใช้ส่วนใหญ่เป็นแค่ checkbox compliance ก็ฟังดูสมเหตุสมผลพอ
    สงสัยว่าการปฏิบัติตามแบบเชิงประชด/ทำให้ครบอย่างไม่จริงใจแบบนี้แพร่หลายแค่ไหน และมีส่วนมากน้อยเพียงใดที่ทำให้เหตุการณ์เดือนเมษายนไม่กลายเป็นข่าวใหญ่กว่านี้