CrowdStrike 官方技术复盘报告出来了

**不是系统驱动**还放在%windir%\System32\drivers 里面啊...

不用经过任何 qa/preprod 测试还能一键 roll out 到 100% traffic ，怎样的草台班子

技术问题是肯定要解决的，
但更加要检讨的是更新流程，他们现在都不知道以后要小范围推送，反馈没问题后再逐步扩大范围推送吗？
要检讨的也不止是他们，包括微软，其他对操作系统有重大影响的软件的更新，也包括手机系统，不然这样的事只会陆续又来。

> The update that occurred at 04:09 UTC was designed to target newly observed, malicious named pipes being used by common C2 frameworks in cyberattacks.
看着像是个比较小的 change ，一路 lgtm 就上 prod 了，只是没想到这次炸了

@SeaTac 这就是流程有问题，test 肯定也没跑过，而且应该做 gradual rollout ，这都应该是自动化的东西，压根不需要人工介入的

草台班子：rm -rf /

我之前做的远控，类似灰鸽子
就是把一些信息用 sys 后缀名放到 drives 目录。
没想到啊

“客户你好，我们复盘了，我们知道问题了”

@HFX3389 典型的 hack 技巧，以前（ 20 年前）很多木马为了隐藏一些配置或者 payload ，也这么干。

@Biggoldfish 你怎么知道是 100%traffic, 也许 10%呢

@maladaxia 就是 100%，我们全部合作客户都中了

The entire sum of everything that Crowdstrike might ever have prevented is probably less than the damage they just caused ，这次悲剧挺大的

@Biggoldfish 这种类似病毒库特征的东西本来就要快速响应，roll out 100% 其实很正常，Cloudflare 当年也出过防御 XSS 的特征写错导致全球 outage 的事故。可不可以接受还是看 security 和 available 之间的 trade off 。