IT yöneticilerinin kabusu

[Akif Eyler]

It yöneticilerine bu gece uyku yok. 19 Temmuz Cuma günü olanların benzeri daha önce yaşanmamıştı. Özellikle hava yolları, hastaneler ve bankalar etkilendi. CrowdStrike ürünü olan "virüsten korunma" yazılımındaki bir hata nedeniyle Windows sistemleri dünya çapında sorun yaşadı.

The company has been involved in investigations of several high-profile cyberattacks, including the 2014 Sony Pictures hack, the 2015–16 cyberattacks on the Democratic National Committee (DNC), and the 2016 email leak involving the DNC. In July 2024, a faulty update to its security software caused global computer outages, impacting air travel, banking, broadcasting, and other services.

https://en.wikipedia.org/wiki/CrowdStrike

According to Crowdstrike boss George Kurtz, the issues are only impacting Windows PCs and no other operating systems, and were caused by a defect in a recent update. "The issue has been identified, isolated and a fix has been deployed," he said. "This is not a security incident or cyber-attack."

https://bbc.com/news/articles/cp4wnrxqlewo

Hakikaten siber saldırı değil miydi? APT41 ile ilgisi olabilir mi?

Dün bir Google firması tarafından yayınlanan şu bildiriye ne dersiniz?

Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom.

https://cloud.google.com/blog/topics/threat-intelligence/apt41-arisen-from-dust

https://en.wikipedia.org/wiki/Mandiant

Yıllardır dile getirilen AI tehdidi ile bu olayın ilgisi yok ama o tehdidin nasıl gerçekçi olduğunu, günlük hayatımızın bilgi sistemlerine ne kadar bağlandığını açıkça gördük. Artık makinelerin fişini çekemeyecek kadar bağımlı olmuşuz! Bu makineler olmayınca uçaklar uçamıyor, ameliyatlar yapılamıyor, para çekilemiyor. Ekmek bile alınamayacak günler uzak değil.

__Akif Eyler__

[Akif Eyler]

Katkılar için teşekkür ederim, olayı kısaca özetledim:

https://eyler.blogspot.com/2024/07/siber-saldr.html

On Sun, Jul 21, 2024 at 3:01 PM  Tuncay GENÇOĞLU 

Kısacası; Microsoft hatası sonrası yaşanan mavi ekran olayının bir otonom AI robotlarının operasyonu olup olmadığını belirlemek için olayın teknik detaylarının incelenmesi gerekmektedir. Bu tür olaylar genellikle yazılım hatalarından kaynaklanmakla birlikte, siber saldırılar da bir etken olabilir.

On Sun, Jul 21, 2024 at 7:00 PM onur karadeli 

YZ kaynaklı olmayabilir ancak tüm sistemlerimizin birbirine bağlı ve domino etkisi ile kırılganlaştığını düşünüyorum:))

link

On Sun, Jul 21, 2024 at 7:48 PM hüseyin atanur ünal

Yarın aramızda olup her kötülüğü otonom düşünebilen ve birleştiklerinde tek ve en büyük sorunumuz olabileceği korkusu komplo teorisi olmayabilir. 

Maalesef öyle...

 

[Hakan DILEK]

On Sun, Jul 21, 2024 at 7:00 PM onur karadeli 

YZ kaynaklı olmayabilir ancak tüm sistemlerimizin birbirine bağlı ve domino etkisi ile kırılganlaştığını düşünüyorum:))

link

Onur'un yazdığına bir ekleme yapmak istiyorum. Bir güvenlik prensibi olarak birçok ekip, "attack surface"i daraltmayı hedefler. Bu da genellikle tüm yumurtaları aynı sepete koymakla sonuçlanır. Windows sistemlerin çökmesiyle (belki 30 yıl önce kısmen kâğıt üzerinde yürüyen) operatif işlemler durma noktasına geldi. Maliyetli de olsa, kritik süreçlere alternatifleri de dahil etmek, sistem tasarlarken sorumluluğu dağıtmak gerekiyor. Kâğıt kullanmaktan bahsetmiyorum. COVID ile bunu yaşayarak öğrendik.

Aynı şekilde, bir güvenlik önceliği olarak "auto update" işlenen sistemler bundan etkilendi. O kadar güveniyoruz ki yazılımı sağlayanlara, gözümüz kapalı kabul edebiliyoruz her yeni gelen güncellemeyi. Biraz daha işi bilen ekipler, güncellemeyi binlerce sisteme dağıtmadan önce test edip izole etmeyi başardı. Bu da yine sorumluluğu dağıtma prensibine dayanıyor ve ancak doğru risk/maliyet öngörüsüyle mümkün.

Selamlar

Hakan

[Tuncay Başkan]

Hocam,

Katkılar için teşekkür ederim, olayı kısaca özetledim:

https://eyler.blogspot.com/2024/07/siber-saldr.html

Olayın Windows tarafındaki detaylı açıklaması aşağıdaki linkte. 13 dk içinde kernel/user mode, MS WHQL dijital imzalama ve dijital imzalamanın etrafından dolanma ve finalde boot driver olarak öğretici bilgiler var;

https://x.com/davepl1968/status/1815405445684859207

Kodda neler olduğunun (Null dereferencing) detaylı açıklaması;

https://x.com/Perpetualmaniac/status/1814376668095754753

Neden Windows etkilendi sorusunun cevabı geçmişteki işletim sistemi pazarındaki neredeyse tekel pazar payı. 2009 yılında EU ile anlaşma imzalayarak diğer güvenlik yazılımı üreticilerinin de cihaz üzerinde aynı seviyede yetkilerinin olmasını kabul etmişler;

https://www.euronews.com/next/2024/07/22/microsoft-says-eu-to-blame-for-the-worlds-worst-it-outage

Microsoft has Windows Defender, its in-house alternative to CrowdStrike, but because of the 2009 agreement made to avoid a European competition investigation, had allowed multiple security providers to install software at the kernel level.

Soruna neden olan Falcon Sensor daha önce Linux'ta da benzer sorunlara neden olmuşlar;

https://x.com/shanselman/status/1814651405967499489

MacOS neden etkilenmedi konusuna girmeye bile gerek yok. Karbon ayak izi en düşük OS neticede :-)

/tb.

[Tuncay Başkan]

Crowdstrike başkanı "most epic fail" ödülünü alırken;

https://x.com/singe/status/1822324795645575263

Bir yandan da PR çalışması gibi olmuş ama yine de bilemedim 🤔

/tb.