Microsoft ha anunciado que planea realizar modificaciones en Windows para mejorar la seguridad, permitiendo a empresas como CrowdStrike y otros proveedores operar sin depender del kernel del Sistema Operativo. Esta decisión surge tras una cumbre de seguridad organizada por la compañía en su sede en Redmond, donde se discutieron cambios necesarios tras un incidente grave con CrowdStrike en julio, que afectó a 8,5 millones de PCs y servidores.
#1 Al contrario. Su idea es ampliar las funcionalidades del kernel.
Actualmente, para tareas básicas de detección y respuesta, las aplicaciones de seguridad necesitan tirar de ñapas como desarrollar drivers que hagan hooking en el kernel (de ahí el pantallazo azul de CrowdStrike Falcon). Su idea es limitar esto exponiendo una API, como hace Linux, de modo que puedan cargar módulos dinámicamente que no comprometan (tanto) la seguridad y la estabilidad del sistema.
#3 Lo que también, posiblemente, implicará fiar más la seguridad a los tiempos de respuesta de Microsoft. Lo de Crowdstrike fue una putada, pero reconozco que era un riesgo que compensa asumir. Estas empresas especializadas detectan y responden a patrones de ataque y parchean agujeros más rápido que los propios fabricantes de los sistemas operativos, a los que tienes que esperar por actualizaciones que en la mayoría de los casos distribuyen de forma mensual.
#3 No me lo tomes a mal pero lo que has dicho... es un poco cuñadil, si.
No sabes lo lejos que estas de la realidad. Por varios factores, Microsoft tiene esas APIs ( APIs muy ricas, frameworks, etc. desde hace decadas ya, incluso cuando linux no tenia ese tipo de APIs ) desde hace mucho tiempo. Ya hace años hacer hooks para antivirus, firewall, etc. es algo rarisimo, 2005/2006 fue, digamos, la ultima epoca de los hooks. Incluso antes de haber APIs de tipo hub/framework ( como el filter manager o WFP y otros, que van para o superan los 20 años ) habia el concepto de hacer attach a devices para ponerse en medio de stacks de ficheros, disco, red,... y se hacia todo sin hooks. Hoy dia ya te haces un minifilter de ficheros, un callout driver de WFP para red ( o un lightweight filter de NDIS6+ ) o te haces filtros PnP para otros temas...
Por no hablar de que hoy dia, que todo es x64 ya, tienes un bonito PatchGuard que, si no haces las cosas MUUUY bien, detecta los hooks o parches guarros a los que haces alusion y te da un pantallazo enseguida. Vamos, que no, que estamos en 2024, no en 2003.
Lo de CrowdStrike no tiene nada, NADA que ver con un hook.
Que puedan hacer algun framework de usuario... puede ser, pero ni hace falta ni tiene pinta de ser tan buena idea. Y por cierto, que se anden con ojo: Antitrust incoming
#7 Aunque no lo mencione en la información sobre su arquitectura, CrowdStrike Falcon sigue haciendo hooking (en 2024), no sólo de procesos del espacio de usuario, sino también en el kernel para funcionalidades "avanzadas".
CrowdStrike released an update of its Falcon Agent, part of its solution platform to prevent security breaches. This agent has privileged access to Microsoft Windows OS, hooking directly to the operating system's kernel (or core). The flaw caused the Blue Screen Of Death (BSOD) on Windows worldwide, affecting at least 8.5 million devices.
Cuando implementaron (de aquella manera) la protección contra parcheos del kernel la UE obligó a Microsoft a proporcionar las APIs y frameworks necesarios a las empresas de seguridad. Imagino que en este caso podría saldarse de igual manera.
#9 Insisto: lo de CrowdStrike no tuvo nada que ver con un hook. Por cierto que esa expresion de hooking directly to the OS, en ese contexto, y es una expresion de muy poco rigor, ojo, se refiere a que el driver registra callbacks y demas, no que ponga hooks. Insisto, los antivirus usan FltRegisterFilter para registrarse como minifiltro en el stack que gestiona sistemas de ficheros y despues recibe eventos de forma ordenada, y esto es asi desde 2003 ( posible ) o 2005 ( donde ya pa XP y 2K3Server en adelante todo se hacia asi.
El panorama que pintas hace 2 decadas que se acabo en Windows, asi de simple.
Pues a ver qué hacen, una aplicación nunca debería tumbar al sistema operativo, supongo que alguna forma habrá para hacer lo mismo o casi, pero desde fuera.
Estan hablando dos amigos y uno le dice a otro: quiza tienes razon, si microsoft hiciera armas nucleares el mundo seria mejor, pero demos gracias que no decidio fabricar condones.
Siempre recordaré mi primer empleo , replicando discos de 3,5" de un antivirus que salió meses después en alguna universidad ... en ese empleo aprendí mucho de los que significa "cubrir una necesidad".
Curioso que el auge de virus y problemas desciende o asciende en función de cómo lo hacen empresas rusas o americanas con su intención de "cubrir necesidades" ...algo parecido a lo de la ciberseguridad y los eventos geopolíticos con Korea , Israel o China .
De los kits de ramsonware con más nivel de uldates y soporte con firma Rusa ya ni opino por qué parecen prioridades de sus oligarcas y les llenan los bolsillos a paladas .
Windows y defender van muy bien , al menos en su vertiente profesional y si hay tantos vectores y vulnerabilidades criticos solo pienso en lo muy necesitados que estan en empresas como sophos o la próximamente fallecida crowdstrike de que eso sea así .
A Microsoft le tendría que sudar los cojones lo que digan todos estos y poner los medios para que incluso ellos lo tengan difícil para acceder al kernel por que a la vista esta que es la puerta principal de entrada .
La seguridad de arranque de secure boot , por la parte que afecta a sistemas como Linux o que fabricantes como Lenovo lo puedan usar para dar servicio propio o a terceros , es buena en general , pero quizás debria ponerse en manos de una organización global que nos protegiera también de los fabricantes y gobiernos .
Para mí , por ejemplo (hablo a nivel personal) el enfoque que ha tenido Valve con su sistema operativo inmutable , me parece el más acertado .
Una mezcla de secure boot realmente independiente , con sistemas inmutables , para mí sería lo ideal .
Solo hay que mirar hacia el mundo de las consolas y ver el efecto que produce cuando hay realmente una buena seguridad implementada.
No podemos reventar un ps5 pero si el móvil de un político ...a pastar .
Lo dicho , espero que Microsoft aplique su experiencia con Xbox y mande a toda esta gentuza a tomar viento .
Comentarios
#2 Y menos con retardante: Me voy a correr ahora... no, dentro de 1 hora y 23 minutos, no... en 12 minutos y 7 segundos , no... en 1 día y 3 horas...
Van a hacer un microkernel
#1 Al contrario. Su idea es ampliar las funcionalidades del kernel.
Actualmente, para tareas básicas de detección y respuesta, las aplicaciones de seguridad necesitan tirar de ñapas como desarrollar drivers que hagan hooking en el kernel (de ahí el pantallazo azul de CrowdStrike Falcon). Su idea es limitar esto exponiendo una API, como hace Linux, de modo que puedan cargar módulos dinámicamente que no comprometan (tanto) la seguridad y la estabilidad del sistema.
#3 Lo que también, posiblemente, implicará fiar más la seguridad a los tiempos de respuesta de Microsoft. Lo de Crowdstrike fue una putada, pero reconozco que era un riesgo que compensa asumir. Estas empresas especializadas detectan y responden a patrones de ataque y parchean agujeros más rápido que los propios fabricantes de los sistemas operativos, a los que tienes que esperar por actualizaciones que en la mayoría de los casos distribuyen de forma mensual.
#3 No me lo tomes a mal pero lo que has dicho... es un poco cuñadil, si.
No sabes lo lejos que estas de la realidad. Por varios factores, Microsoft tiene esas APIs ( APIs muy ricas, frameworks, etc. desde hace decadas ya, incluso cuando linux no tenia ese tipo de APIs ) desde hace mucho tiempo. Ya hace años hacer hooks para antivirus, firewall, etc. es algo rarisimo, 2005/2006 fue, digamos, la ultima epoca de los hooks. Incluso antes de haber APIs de tipo hub/framework ( como el filter manager o WFP y otros, que van para o superan los 20 años ) habia el concepto de hacer attach a devices para ponerse en medio de stacks de ficheros, disco, red,... y se hacia todo sin hooks. Hoy dia ya te haces un minifilter de ficheros, un callout driver de WFP para red ( o un lightweight filter de NDIS6+ ) o te haces filtros PnP para otros temas...
Por no hablar de que hoy dia, que todo es x64 ya, tienes un bonito PatchGuard que, si no haces las cosas MUUUY bien, detecta los hooks o parches guarros a los que haces alusion y te da un pantallazo enseguida. Vamos, que no, que estamos en 2024, no en 2003.
Lo de CrowdStrike no tiene nada, NADA que ver con un hook.
Que puedan hacer algun framework de usuario... puede ser, pero ni hace falta ni tiene pinta de ser tan buena idea. Y por cierto, que se anden con ojo: Antitrust incoming
En fin.
#7 Aunque no lo mencione en la información sobre su arquitectura, CrowdStrike Falcon sigue haciendo hooking (en 2024), no sólo de procesos del espacio de usuario, sino también en el kernel para funcionalidades "avanzadas".
CrowdStrike released an update of its Falcon Agent, part of its solution platform to prevent security breaches. This agent has privileged access to Microsoft Windows OS, hooking directly to the operating system's kernel (or core). The flaw caused the Blue Screen Of Death (BSOD) on Windows worldwide, affecting at least 8.5 million devices.
https://medium.com/devops-cloud-it-career/learning-from-the-crowdstrike-outage-mitigate-risks-prepare-for-incidents-c6cc00e6c417
que se anden con ojo: Antitrust incoming
Cuando implementaron (de aquella manera) la protección contra parcheos del kernel la UE obligó a Microsoft a proporcionar las APIs y frameworks necesarios a las empresas de seguridad. Imagino que en este caso podría saldarse de igual manera.
#9 Insisto: lo de CrowdStrike no tuvo nada que ver con un hook. Por cierto que esa expresion de hooking directly to the OS, en ese contexto, y es una expresion de muy poco rigor, ojo, se refiere a que el driver registra callbacks y demas, no que ponga hooks. Insisto, los antivirus usan FltRegisterFilter para registrarse como minifiltro en el stack que gestiona sistemas de ficheros y despues recibe eventos de forma ordenada, y esto es asi desde 2003 ( posible ) o 2005 ( donde ya pa XP y 2K3Server en adelante todo se hacia asi.
El panorama que pintas hace 2 decadas que se acabo en Windows, asi de simple.
En fin.
Pues a ver qué hacen, una aplicación nunca debería tumbar al sistema operativo, supongo que alguna forma habrá para hacer lo mismo o casi, pero desde fuera.
Israel qué opina de todo esto?
#5 SentinelOne es israeli y esta en esas reuniones, pero... que tiene que ver ?
Me recordó a un chiste:
Estan hablando dos amigos y uno le dice a otro: quiza tienes razon, si microsoft hiciera armas nucleares el mundo seria mejor, pero demos gracias que no decidio fabricar condones.
Siempre recordaré mi primer empleo , replicando discos de 3,5" de un antivirus que salió meses después en alguna universidad ... en ese empleo aprendí mucho de los que significa "cubrir una necesidad".
Curioso que el auge de virus y problemas desciende o asciende en función de cómo lo hacen empresas rusas o americanas con su intención de "cubrir necesidades" ...algo parecido a lo de la ciberseguridad y los eventos geopolíticos con Korea , Israel o China .
De los kits de ramsonware con más nivel de uldates y soporte con firma Rusa ya ni opino por qué parecen prioridades de sus oligarcas y les llenan los bolsillos a paladas .
Windows y defender van muy bien , al menos en su vertiente profesional y si hay tantos vectores y vulnerabilidades criticos solo pienso en lo muy necesitados que estan en empresas como sophos o la próximamente fallecida crowdstrike de que eso sea así .
A Microsoft le tendría que sudar los cojones lo que digan todos estos y poner los medios para que incluso ellos lo tengan difícil para acceder al kernel por que a la vista esta que es la puerta principal de entrada .
La seguridad de arranque de secure boot , por la parte que afecta a sistemas como Linux o que fabricantes como Lenovo lo puedan usar para dar servicio propio o a terceros , es buena en general , pero quizás debria ponerse en manos de una organización global que nos protegiera también de los fabricantes y gobiernos .
Para mí , por ejemplo (hablo a nivel personal) el enfoque que ha tenido Valve con su sistema operativo inmutable , me parece el más acertado .
Una mezcla de secure boot realmente independiente , con sistemas inmutables , para mí sería lo ideal .
Solo hay que mirar hacia el mundo de las consolas y ver el efecto que produce cuando hay realmente una buena seguridad implementada.
No podemos reventar un ps5 pero si el móvil de un político ...a pastar .
Lo dicho , espero que Microsoft aplique su experiencia con Xbox y mande a toda esta gentuza a tomar viento .