Informazioni personali

Cerca nel blog

Translate

sabato 12 ottobre 2024

The crowdstrike screen of death

Antonio Point of View

The crowdstrike screen of death

Antonio Ieranò

Security, Data Protection, Privacy. Comments are on my own unique responsibility 🙂

July 19, 2024

Il problemuccio di oggi con CrowdStrike, che ha mandato in tilt macchine in tutto il mondo, mi fa pensare a uno dei principi fondamentali della sicurezza: il caro vecchio “what if”.

Sì, proprio lui, la domanda che ti salva le chiappe quando le cose vanno male, la domanda che tutti dovremmo porci (non nel senso del suino) sempre.

“Che succede se?”

è una domanda che dovresti farti in continuazione, come una specie di mantra zen della tecnologia, e i vari scenari che saltano fuori dovrebbero essere analizzati, almeno, in termini di:

  • Danno
  • Tempi di ripristino
  • Costi di mitigazione e/o trasferimento

Tipo,

"Che succede se l'update mi manda a meretrici la macchina?" 

è una domanda fondamentale. Ma dobbiamo anche pensare:

"Che succede se non metto l'update?"

Magari si poteva evitare facendo un test prima dell’aggiornamento, magari no.

Magari ti veniva in mente che ti serve un processo di disaster recovery che comprenda i PC degli utenti, magari no.

Magari ti sovveniva che devi prevedere linee di comunicazione parallele su canali diversi nel caso il tuo canale principale vada a meretrici, magari no.

Insomma, se non ti fai queste domande rischi di trovarti in braghe di tela sul più bello. Perché, come insegnano le leggi di Murphy, se qualcosa può andare storto, lo farà. 😂 Anche i migliori possono sbagliare, e se non sei pronto, il problema alla fine è tuo.

Ecco, oggi sarebbe stato utile un approccio del genere.

PS: Ammesso e non concesso che tu abbia i diritti per farlo e sappia e riesca a entrare in modalità provvisoria, questi sono i file che dovresti cancellare: “csagent.sys” o “C-00000291*.sys”.

Buona fortuna! 😋

😋

NOTA:

Passaggi per Risolvere il Problema

1) Entra in Modalità Provvisoria:

Riavvia il tuo PC.

Durante il riavvio, premi ripetutamente il tasto F8 (o Shift + F8 per alcuni sistemi) fino a vedere il menu delle opzioni di avvio avanzate.

Seleziona “Modalità Provvisoria”.

2) Elimina i File Problematici:

Apri Esplora File e naviga alla directory di installazione di CrowdStrike.

Trova e cancella i file “csagent.sys” o “C-00000291*.sys”.

3) Riavvia il Sistema:

Una volta eliminati i file, riavvia il PC normalmente.

Verifica il Funzionamento di CrowdStrike:

Assicurati che CrowdStrike funzioni correttamente.

Controlla se gli aggiornamenti sono applicati correttamente senza causare ulteriori problemi.

tu sysadmin non l’utente:

4) Aggiorna CrowdStrike:

Verifica la disponibilità di aggiornamenti e applicali.

Prima di applicare aggiornamenti futuri, considera di testarli su una macchina di prova.

5) Implementa un Processo di Disaster Recovery:

Prepara un piano di disaster recovery che comprenda tutti i PC degli utenti.

Prevedi linee di comunicazione alternative in caso il canale principale vada offline.

6) Documenta e Comunica:

Documenta il problema e la soluzione.

Comunica a tutti gli utenti e al team IT le procedure da seguire in caso di problemi simili in futuro.

Seguendo questi passaggi, dovresti essere in grado di risolvere il problema e prevenire situazioni simili in futuro. 😋

English version (more or less accurate)


Today’s little hiccup with CrowdStrike, which has thrown machines worldwide into a tizzy, reminds me of one of the fundamental principles of security: the good old “what if.”

Yes, that question, which saves your bacon when things go south, is the question we should always ask ourselves.

“What happens if?”

is a question you should continuously ask yourself, like a kind of tech zen mantra, and the various scenarios that arise should be analyzed, at least in terms of:

  • Damage
  • Recovery time
  • Mitigation and/or transfer costs

Like,

"What happens if the update screws up my machine?" 

is a fundamental question. But we also have to think:

"What happens if I don't install the update?"

Maybe this could have been avoided by testing before updating, maybe not.

Maybe you’d realize you need a disaster recovery process that includes user PCs, maybe not.

Maybe you’d remember that you need to plan for parallel communication lines on different channels in case your main channel goes kaput, maybe not.

In short, if you don’t ask yourself these questions, you risk being caught with your pants down at the worst moment. Because, as Murphy’s laws teach us, if something can go wrong, it will. 😂 Even the best can make mistakes, and if you’re not prepared, the problem ultimately falls on you.

So, an approach like this would have been useful today.

PS: Assuming you have the rights to do so and can manage to get into safe mode, these are the files you should delete: “csagent.sys” or “C-00000291*.sys”.

Good luck! 😋

😋

NOTE:

Steps to Resolve the Problem

  • Enter Safe Mode:

Restart your PC.

Repeat the F8 key (or Shift + F8 for some systems) during the reboot until you see the advanced boot options menu.

Select “Safe Mode.”

  • Delete Problematic Files:

Open File Explorer and navigate to the CrowdStrike installation directory.

Find and delete the files “csagent.sys” or “C-00000291*.sys.”

  • Restart the System:

Once the files are deleted, restart your PC normally.

Check CrowdStrike Functionality:

Ensure CrowdStrike is working correctly.

Verify if updates are applied correctly without causing further issues.

this is for you sysadmin:

  • Update CrowdStrike:

Check for available updates and apply them.

Before applying future updates, consider testing them on a test machine.

  • Implement a Disaster Recovery Process:

Prepare a disaster recovery plan that includes all user PCs.

Plan for alternative communication lines in case the main channel goes offline.

  • Document and Communicate:

Document the problem and the solution.

Inform all users and the IT team of the procedures to follow in case of similar issues in the future.

By following these steps, you should be able to resolve the issue and prevent similar situations in the future. 😋

Nessun commento:

Posta un commento