Interview La confusion de CrowdStrike a été causée par un logiciel en folie dans le noyau Windows après une mise à jour ayant perturbé le code. eBPF est un outil utile pour la traçabilité et l’observabilité du noyau, mais aurait-il pu atténuer l’incident de CrowdStrike? « C’est intéressant », déclare Tom Wilkie, CTO de Grafana Labs, spécialiste de l’observabilité, à The Register, « car il y avait une vulnérabilité dans l’exécution de l’eBPF qui a provoqué une panne similaire également déclenchée par CrowdStrike dans un certain noyau Red Hat. » Wilkie fait référence à un incident en juin, où Red Hat a averti ses clients d’un bug du noyau Linux qui a provoqué le crash du code du capteur Falcon basé sur l’eBPF de CrowdStrike sur la partie utilisateur. Puis, ironiquement, quelques semaines plus tard, une mise à jour kernel Falcon cassée fabriquée et distribuée par CrowdStrike a laissé 8,5 millions d’ordinateurs Windows à travers le monde bloqués dans une boucle de démarrage à l’écran bleu. En d’autres termes, les ordinateurs avaient été précédemment mis hors service par une erreur de programmation dans le code d’implémentation de l’eBPF du noyau Linux, déclenchée de toute façon par le produit de CrowdStrike. Cela n’inspire pas confiance. eBPF permet aux applications de s’exécuter dans une machine virtuelle (VM) dans le noyau Linux, permettant aux développeurs d’ajouter des fonctionnalités à l’exécution sans avoir à écrire et charger des modules de niveau noyau ou ajouter du code au noyau réel, le reconstruire et le redéployer. La théorie est que un programme eBPF ne peut pas planter le noyau car il s’exécute dans un bac à sable et est vérifié au niveau de la sécurité par un vérificateur. En raison du faible niveau auquel certains programmes doivent s’exécuter, c’est une manière populaire de mettre en œuvre l’observabilité et la sécurité.
‘Entretien avec le Luddite’
Kelly : Mis à part l’incendie criminel et beaucoup de vandalisme, qu’ont accompli les Luddites à long terme ? Sale
