CrowdStrike CrowdSuck INDIGNATIE AI & Politiek

Spread the love en help Indignatie

Inhoud

CrowdStrike Hoe kon software die was ontworpen om klanten te beschermen tegen verlammende systeemstoringen in plaats daarvan de meest destructieve softwarestoring in de geschiedenis veroorzaken? Een antitrustzaak uit 2018 biedt wat aanwijzingen.

CrowdStrike Tijdens het “perfecte telefoongesprek” vroeg de toenmalige president Donald Trump de Oekraïense president Volodymyr Zelensky om onderzoek te doen naar een Republikeinse samenzweringstheorie over het Californische cybersecuritybedrijf CrowdStrike.

Het Democratisch Nationaal Comité had CrowdStrike ingehuurd om te reageren op een beveiligingsinbreuk op zijn servers, maar volgens Trump was het bedrijf in het geheim eigendom van een Oekraïense oligarch die zijn werknemers had opgedragen bewijs te fabriceren dat de inbraak was uitgevoerd door hackers die banden hadden met de Russische overheid, om te verbergen dat de e-mails waren gelekt door een low-level DNC-kiezersbereikgegevensbeheerder genaamd Seth Rich, die twee maanden na de inbreuk op mysterieuze wijze was vermoord.

Er was, zoals vaak het geval is, een kern van aannemelijkheid in een deel van de theorie. Hoewel er geen bewijs naar boven kwam dat Rich in verband bracht met de gelekte e-mails, en Fox News een schikking van zeven cijfers moest betalen aan Rich’s familie voor het verspreiden van de onjuiste bewering, zou CrowdStrike medeoprichter Dimitri Alperovitch binnenkort met pensioen gaan uit de software-industrie om een fulltime professionele neo-Cold Warrior te worden, een denktank oprichten die de Russische invasie van Oekraïne voorspelde en een boek schrijven over de naderende wereldoorlog om Taiwan.

Maar cybersecurity trekt vaak de geopolitiek paranoïde aan, en CrowdStrike, wiens startkapitaal afkomstig was van private equity firma Warburg Pincus en Google, was net naar de beurs gegaan op de NASDAQ en het eigendom was openbaar: de grootste individuele aandeelhouder was het vermogensbeheerimperium BlackRock.

Opvallender nog, CrowdStrike was net voor de rechtbank beschuldigd van het orkestreren van een samenzwering die verband hield met de cyberaanval van de DNC, hoewel er geen moorden bij betrokken waren. Volgens de eiser, een onafhankelijke testservice voor cybersecuritysoftware genaamd NSS Labs, had de hack de incompetentie van CrowdStrike blootgelegd, die de DNC had ingehuurd om de inbreuk in mei 2016 te stoppen, maar die “een plek miste” waardoor hackers nog vijf maanden onopgemerkt op de servers konden rondhangen.

Volgens de rechtszaak zou CrowdStrike, in een poging om de schade te beperken, hebben samengewerkt met enkele concurrerende softwareontwikkelaars en een non-profitorganisatie voor standaarden waarvan zij de leiding controleerden om een groep onafhankelijke externe softwaretestbedrijven te blokkeren die gespecialiseerd waren in het testen en identificeren van defecten in zogenaamde “endpoint protection”-software, een verscheidenheid aan cybersecuritysoftware die CrowdStrike pionierde.

De klacht stelt dat de bedrijven via de non-profitorganisatie Anti-Malware Testing Standards Organization (AMTSO) een valse nieuwe reeks nauwe parameters hadden afgekondigd waarmee externe testbedrijven hun producten mochten testen – in wezen een Mutual Enshittification Pact – en beloofden externe testbedrijven te boycotten en/of aan te klagen die lobbyden voor uitgebreidere of strengere testnormen.

Alles leek erop dat het plan werkte: eind 2020 was de testorganisatie die de zaak had aangespannen gesloten, was CrowdStrike een bedrijf met een omzet van 50 miljard dollar en waren nachtmerrieachtige, verstorende ransomware-aanvallen bijna dagelijkse kost geworden.

“Het feit is dat er heel weinig empirisch bewijs is dat endpoint detection software ook maar in de buurt komt van wat de marketing beweert, laat staan dat het de catastrofale beveiligingsinbreuken voorkomt” die steeds vaker voorkomen, zegt een advocaat en cybersecurity consultant die onder de naam Brian in Pittsburgh twittert en de Prospect heeft gevraagd om zijn volledige naam niet te gebruiken om professionele redenen. “Sommige grote bedrijven huren consultants in om softwarepakketten tegen elkaar te testen, maar de resultaten van dat soort tests worden bijna nooit openbaar gemaakt.”

Woensdag publiceerde CrowdStrike een gedetailleerde technische uitleg over de software-update die volgens sommigen de grootste IT-storing in de geschiedenis veroorzaakte.

Het resultaat, zegt hij, is een informatievacuüm dat, in combinatie met de historische vrijstelling van de software-industrie van productaansprakelijkheidswetten en de “enorme druk van investeerders om constante winstgroei te genereren”, onvermijdelijk resulteerde in de corrupte software-update die vorige vrijdag duizenden vluchten, operaties en elektronische transacties annuleerde en vertraagde.

Woensdagochtend plaatste CrowdStrike een gedetailleerde technische uitleg van de “content configuration update” die had geleid tot wat sommigen hebben beschreven als de grootste IT-storing in de geregistreerde geschiedenis. Het verhaal van het bedrijf gaf de schuld aan een bug in de “content validator for rapid response content” die de update “valideerde” ondanks de “problematische content” die de storing veroorzaakte.

“Met andere woorden,” legde Brian uit in Pittsburgh, “ze hebben de update niet getest. In plaats daarvan hebben ze hem door de ‘content validator’ gehaald die ze hadden ontworpen voor ‘rapid response content’ die ze niet willen testen.” Het verzenden van slechts één ongeteste update naar acht miljoen computers, waarvan er veel vitale essentiële infrastructuur aandrijven, is “zeer onaanvaardbaar,” zei hij. “En het feit dat niemand er geschokt door is, zou echt schokkend voor ons moeten zijn.”

Maar als de samenzwering die NSS Labs in zijn klacht beschrijft ook maar een kern van waarheid bevat, werpt het veel licht op hoe CrowdStrike in minder dan tien jaar is uitgegroeid tot een bedrijf dat groot en machtig genoeg is om twee multimiljardairs te creëren en de wereld op de knieën te krijgen, ondanks een vlaggenschipproduct dat bijna niemand begrijpt, dat aantoonbaar faalde in zijn meest opvallende opdracht en waarvan de recente blunder praktijken suggereert die zo slordig zijn dat ze doen denken aan veel oudere, meer corrupte ondernemingen zoals Boeing of de besmette babyvoedingfabriek van Abbott.

Twee cybersecurity-experts vertelden de Prospect dat hun industrie nog erger was. “Deze industrie is doordrongen van een ongelooflijke mate van geheimhouding en rot”, zegt Brian in Pittsburgh, “en dat zal blijven bestaan totdat we een neutraal, adequaat gefinancierd orgaan creëren … om deze verstoringen te onderzoeken.”

DE ZADEN VAN CROWDSTRIKE , volgens de medeoprichter, George Kurtz, een in New Jersey geboren boekhoudkundige George Kurtz van Seton Hall University, werden geplant toen Kurtz de chief technology officer was van McAfee, de alomtegenwoordige en beruchte fabrikant van antivirussoftware die vaak moeilijk te onderscheiden is van een virus zelf. (De gelijknamige cokeverslaafde oprichter van McAfee, inmiddels overleden, is het onderwerp van talloze van zijn eigen complottheorieën.) Kurtz zat in een vliegtuig en keek toe hoe een andere passagier zijn computer opstartte en wachtte — en wachtte — tot de software klaar was met het scannen van zijn computer.

Terwijl de man daar geduldig zat, zo gaat het verhaal, stierf Kurtz van binnen met elke minuut die verstreek en zwoer hij iets handigers te bedenken: een cybersecurity-app die niet zou werken om de alomtegenwoordige maar vaak goedaardige plaag van malware te filteren, maar om de beveiligingsinbreuken die malware mogelijk maakte te voorkomen, en die volledig in de cloud zou bestaan.

In april 2010 veroorzaakte een mislukte software-update die griezelig veel leek op die van vrijdag een enorme wereldwijde Windows-storing ; binnen een paar maanden was Kurtz weg. Hij belandde in een functie bij Warburg Pincus, waar hij als aangewezen “ondernemer in residentie” het bedrijf pitchte voor een “private cyber intelligence agency”, of “Digital Blackwater”, in de woorden van voormalig CIA-directeur Michael Hayden. Bedrijven zouden Kurtz’ creatie inhuren om beveiligingsinbreuken te stoppen, maar ook om preventief lokvogels en vallen op te zetten in de hoop toekomstige kwaadwillende actoren te dwarsbomen. Warburg investeerde $ 26 miljoen om het idee van de grond te krijgen en CrowdStrike was geboren.

Maar Digital Blackwater was slechts de eerste fase van Kurtz’ plan, zoals hij eerder dit jaar uitlegde in een interview met de Logan Bartlett Show-podcast. In 2016 onthulde CrowdStrike zijn vlaggenschip “endpoint protection platform”, of EPP, software Falcon Host, net op tijd voor een explosie in een nieuwe reeks ransomware-aanvallen, uitgevoerd door willekeurige freelance criminelen uitgerust met hackingsoftware geleased van een (typisch Russische) “bende”. Het bedrijf nam een vlucht.

“Wat ik wist van security was dat als je de relatie had, met name aan de servicekant, je de software zou kunnen verkopen. Dat is niet altijd het geval in andere branches. Maar in security wel,” legde hij uit. “Omdat het zo’n vertrouwde relatie is, is het alsof je naar je dokter gaat als iemand een inbreuk heeft, je hebt een probleem dat opgelost moet worden, en als iemand het oplost ben je dankbaar … stop de bloeding [en] word je de held.”

In 2018 had CrowdStrike de jaarlijkse omzet van $ 100 miljoen overschreden; het jaar daarop bereikte de bruto-omzet een kwart miljard dollar en diende het een aanvraag in om naar de NASDAQ-beurs te gaan, waar de aandelen bijna verdubbelden op hun eerste handelsdag. Maar CrowdStrike had een geheim: volgens documenten die in twee rechtszaken waren ingediend, had Falcon een aantal ernstige gebreken.

CrowdStrike had NSS in april 2016 ingehuurd, de maand voordat de DNC CrowdStrike inhuurde, om de Falcon-modules te onderwerpen aan een reeks privétests om hun kwetsbaarheden te bepalen. De resultaten van die tests zijn niet bekend, maar je kunt waarschijnlijk extrapoleren uit wat er in 2017 gebeurde nadat NSS CrowdStrike had geïnformeerd dat zijn openbare groepstestafdeling, die beweerde de Consumer Reports van beveiligingssoftware te willen worden en het strikt verboden was om software of gegevens te delen met zijn privétestafdeling,

onafhankelijk een aantal Falcon-modules had gekocht en deze had onderworpen aan een reeks gestandaardiseerde tests samen met een aantal concurrerende producten, waarvan het de resultaten wilde vrijgeven op de jaarlijkse RSA-beveiligingsconferentie.

CrowdStrike klaagde NSS onmiddellijk aan en eiste een tijdelijk verbod om het lab te verbieden de resultaten vrij te geven. Het bedrijf beweerde dat de test neerkwam op diefstal van bedrijfsgeheimen en dat een openbare vrijgave zou resulteren in “onherstelbare schade” aan zijn bedrijf. Een federale rechter was het daar niet mee eens en wees de TRO af de dag voordat de conferentie zou beginnen.

Ben Gray/AP-foto

Reizigers staan in de rij op Hartsfield Jackson International Airport in Atlanta, 19 juli 2024, terwijl een grote internetstoring vluchten over de hele wereld verstoort.

Maar CrowdStrike had nog een andere truc in petto, volgens de antitrustklacht die NSS het jaar daarop zou indienen. Op een handelsorganisatieconferentie in Polen in het jaar van de DNC-hack, zo beweert een aangepaste versie van de klacht, organiseerde CrowdStrike-medeoprichter Dimitri Alperovitch een bijeenkomst met andere leveranciers van beveiligingssoftware “met de uitdrukkelijke bedoeling, het doel en het effect om overeenstemming te bereiken tussen de concurrenten om te weigeren zaken te doen met bedrijven [die] proberen openbare tests van hun producten uit te voeren met behulp van andere testmethodologieën dan die overeengekomen door de EPP Vendor Conspirators.”

Samen formuleerden de bedrijven een nieuwe set regels die testbureaus moesten volgen als ze hun software wilden testen, waaronder een minimale kennisgeving van vijf werkdagen voordat de tests begonnen, een vereiste dat testbureaus softwareleveranciers bepaalde tests opnieuw mochten uitvoeren voordat de resultaten werden gepubliceerd, zolang ze volhielden dat de storing ‘anomaal’ was, en strikte parameters voor het soort tests dat ze mochten uitvoeren.

CrowdStrike en zijn bondgenoten kwamen verder overeen om ’te weigeren zaken te doen met cybersecurity-testservices die zich niet hielden’ aan hun nieuwe ‘normen’. Zoals een Symantec-bestuurder betoogde in een e-mail aan andere AMTSO-leden waarin hij hen aanspoorde om vóór de nieuwe normen te stemmen: ‘Als je het geld wilt dat Symantec voor die tests betaalt, zul je de normen moeten volgen. Als een tester dat niet leuk vindt, jammer dan. We zullen een van hun concurrenten vinden die dat wel wil.’

NSS en minstens drie andere testlaboratoria verzetten zich tegen de nieuwe bepalingen, die volgens de klacht “het doel van onafhankelijke tests door derden tenietdoen door de EPP Vendor Conspirators de mogelijkheid te geven om de tests waaraan ze werden onderworpen, te bedriegen”. “In plaats van de Draft Standard te gebruiken om het productaanbod te verbeteren en de eindgebruiker te beschermen, hebben leveranciers het herhaaldelijk gebruikt als een hulpmiddel om hun ontevredenheid over tests aan te tonen wanneer ze ondermaats presteerden”, schreef NSS in een brief aan AMTSO-president Dennis Batchelder, waarin hij betoogde dat de hele reden van bestaan van de organisatie op zijn kop werd gezet door de nieuwe regels.

Een ander testbedrijf schreef aan AMTSO dat niet bij naam genoemde softwareleveranciers routinematig dreigden het testlaboratorium aan te klagen om te voorkomen dat het testresultaten zou vrijgeven. “Is het ethisch gedrag om op een ’testmelding’ te reageren met juridische dreigementen, zonder eerst te proberen een oplossing te bespreken?” vroeg dat bedrijf. “Moet AMTSO leveranciers die lid zijn toestaan om laboratoria die lid zijn te bedreigen met juridische stappen om te voorkomen dat ze hun producten testen?”

Het antwoord van de AMTSO-top was snel en ondubbelzinnig. “Het is verboden om de ‘status of inhoud van een lopende of dreigende rechtszaak’ te bespreken,” antwoordde Jaimee King, algemeen adviseur van AMTSO, die alle AMTSO-leden kopieerde. Toen het testbedrijf protesteerde dat de vraag algemeen was en niet gerelateerd aan specifieke rechtszaken, reageerde een bestuurslid en een leidinggevende van Symantec: “De formulering is ‘lopende of dreigende rechtszaken’.”

En voor het geval dat een te subtiele hint was, stond AMTSO erop om te stemmen om de nieuwe regels in een openbaar forum in te voeren, ondanks de bezwaren van een softwarebedrijf dat zich zorgen maakte dat dissidenten het slachtoffer zouden worden van de “angst voor intimidatie” [ sic ] als de stemmingen niet geheim zouden worden gehouden.

Terwijl de CrowdStrike-leiding overuren maakte om onflatteuze testresultaten te onderdrukken, liet het volgens een rapport in The Daily Caller een aantal serieuze slechteriken door de kieren van de firewalls van klanten glippen.

Niet alleen slaagde het er maandenlang niet in om een van de servers te betrappen die “Fancy Bear” gebruikte om de DNC te bespioneren – een nieuwtje dat oorspronkelijk werd gepubliceerd in de memoires van Donna Brazile, volgens The Daily Beast – het bedrijf slaagde er het jaar daarop niet in om een beveiligingsinbreuk te detecteren in de servers van zijn collega-klant, het National Republican Congressional Committee, die leidde tot het hacken van de e-mails van vier hoge functionarissen.

Die inbreuk werd in plaats daarvan gedetecteerd door een aparte beveiligingsadviseur nadat de NRCC CrowdStrike had ingehuurd. “Ik haat CrowdStrike gewoon zo erg”, zei een voormalig senior Democrat-informatiebeveiligingsprofessional destijds . “Hun incompetentie doet me gewoon zuchten.”

EEN CYBERVEILIGHEIDSEXPERT DIE MET DE MEESTE spelers in de rechtszaak HEEFT SAMENGEWERKT en anoniem wil blijven, zegt dat er waarschijnlijk enige geldigheid zat in CrowdStrike’s bewering dat de tests van NSS gebrekkig waren.

“Falcon was, in die begindagen in ieder geval, een best-in-class software,” zegt hij, en merkt op dat CrowdStrike de eerste en enige cybersecurity softwareontwikkelaar was die klanten een “garantie” van service bood genaamd Falcon Complete, die klanten vergoedt voor de kosten van een verstoring als een kwaadwillende erin slaagt om zijn firewalls te doorbreken. (Brian, de consultant uit Pittsburgh, doet Falcon Complete af als “een soort marketingtruc” die “vol zit met mazen en kleine lettertjes.”)

Maar er was algemene overeenstemming dat de plaag systemisch is. “Het probleem is dat cybersecuritysoftware een uniek onverantwoorde sector is van een onverantwoorde industrie, en in een onverantwoorde industrie zal er altijd de neiging zijn om standaarden te laten versoepelen en meer te leunen op verkoop en marketing,” zei de cybersecurityexpert. Wat de zaken nog erger maakte, vervolgde hij, is dat de meeste testlabs, inclusief NSS, waren opgericht om antivirussoftware te testen, wat een veel eenvoudiger voorstel is dan het testen van EPP-software.

“Bij antivirus probeer je 100 procent van de virussen te blokkeren waarvan bekend is dat ze bestaan; bij EPP probeer je 95 procent daarvan te pakken te krijgen en hopelijk nog eens 95 procent van de bedreigingen waarvan je nog niet weet dat ze bestaan, maar die wel aan bepaalde patronen voldoen, en je probeert dat te doen met zo min mogelijk netwerkbronnen. Je kunt EPP-software op een bijna oneindig aantal manieren ontwerpen, wat het exponentieel moeilijker maakt om een objectieve methodologie te vinden om de ene [EPP-software] tegen de andere te testen.”

“Het probleem is dat cybersecuritysoftware een uniek onverantwoorde sector is in een onverantwoorde industrie.”

De NSS-rechtszaak werd in september 2018 zonder veel ophef afgesloten, een paar maanden voordat CrowdStrike een beursintroductie indiende. De lente daarop schikte CrowdStrike buiten de rechtbank met NSS, in een niet bekendgemaakte regeling die vereiste dat NSS zijn negatieve testresultaten van het bedrijf zou intrekken , een paar weken voordat CrowdStrike een van de succesvolste IPO’s van het jaar had, en een marktkapitalisatie bereikte die gelijk was aan die van Symantec op zijn eerste handelsdag, ondanks dat het slechts 5 procent van de inkomsten van de softwaregigant vertegenwoordigde.

Maar het ministerie van Justitie van Trump blies een paar weken later nieuw leven in de klacht tegen AMTSO en zijn andere samenzweerders, door een “verklaring van belang” in te dienen waarin de rechter werd aangespoord de zaak niet af te wijzen. De rechter hoefde niet te reageren: NSS raakte blijkbaar door zijn geld heen en verkocht zichzelf die herfst aan een klein private equity-bedrijf en liet de rechtszaak tegen AMTSO in december vallen. Ondertussen ontdekte de NRCC dat zijn eigen e-mails waren gehackt en schakelde een oude vijand in om het op te lossen: CrowdStrike.

In januari 2020 gaf AMTSO CEO Batchelder in besloten kring toe dat de NSS-zaak enige verdienste had. “Ik vind dat leveranciers … dat AMTSO leveranciers helpt om samen te spannen,” vertelde hij leden tijdens een heimelijk opgenomen telefonische vergadering die was getranscribeerd in een gerechtelijk document .

“Wanneer je deze e-mails hebt die heen en weer gaan op AMTSO, kunnen de leveranciers meedoen en uiten dat, ja, ik ben het er ook mee eens of plus één of samenspannen of we zouden allemaal moeten samenwerken. Het kan eigenlijk het slechtste in de leveranciers naar boven halen, omdat ze niet echt de mogelijkheid hebben om in besloten kring samen te spannen zonder dit soort problemen te veroorzaken.”

Helaas was het te laat om NSS te redden, dat een paar maanden na het gesprek abrupt sloot , waarbij de schuld niet overtuigend bij COVID-19 werd gelegd. Telefoontjes naar de voormalige CEO’s werden niet beantwoord. CrowdStrike reageerde ook niet op een verzoek om commentaar.

ONDERTUSSEN groeide de marktwaarde van Crowdstrike bijna net zo snel als de cyberaanval die het bedrijf wilde bestrijden. In de 14 maanden na het begin van de pandemie verkocht Kurtz voor $ 250 miljoen aan aandelen en richtte hij een groot deel van zijn aandacht op zijn tweede carrière in het racen met exotische auto’s.

De afgelopen vijf jaar heeft de CEO 49 keer aandelen verkocht, waarbij zijn laatste verkoop op 21 juni hem meer dan $ 20 miljoen opleverde. Ook Chief Security Officer Shawn Henry heeft ongeveer $ 30 miljoen verdiend door het afgelopen jaar meer dan 85.000 aandelen te verkopen, waarvan hij de laatste 4.000 op maandag 15 juli in een geplande transactie verkocht.

Vier dagen later, net voor 01:00 uur Eastern Time, stuurde het bedrijf een defecte “sensorconfiguratie-update” naar tienduizenden klanten, waardoor miljoenen computerschermen een foutmelding lieten zien die bekendstaat als het “blauwe scherm des doods”. De buggy update zorgde ervoor dat duizenden vliegtuigen aan de grond bleven, de patiëntenzorg in honderden ziekenhuizen en dokterspraktijken werd opgeschort, miljoenen e-mails werden onderschept en de toegang tot miljoenen bankrekeningen van consumenten werd verstoord.

Het was niet , zo hield Kurtz snel vol, het resultaat van een cyberaanval; de bug in de update was zelfgemaakt, waarschijnlijk het resultaat van slordige testprotocollen. Een (uiteindelijk gerechtvaardigde ) gebruiker op een subreddit voor systeembeheerders beweerde dat CrowdStrike al een tijdje updates verstuurde zonder ze te testen ; een ander beweerde dat CrowdStrike het jaar daarvoor honderden technici en kwaliteitsinspecteurs had ontslagen .

CrowdStrike zegt op zijn beurt dat het nog steeds bezig is met een ‘oorzaakanalyse’ van de mislukking en binnenkort verslag zal uitbrengen; twee Republikeinen in het Huis van Afgevaardigden schreven een niet- boze, maar juist-teleurgestelde brief aan het bedrijf waarin ze eisten dat Kurtz uiterlijk woensdag verslag uitbracht over zijn beschikbaarheid voor de verplichte geseling door het Congres.

“Wat ik het meest absurd vond, was de manier waarop ze bleven volhouden dat het ‘geen hack was’. Alsof dat iets uitmaakt voor iemand die een spoedoperatie moest uitstellen of die geen toegang had tot zijn bankrekening vanwege wat misschien wel de grootste IT-storing in de geschiedenis is”, mijmerde de cybersecurity-expert.

“Deze softwarebedrijven stijgen en als ze eenmaal stijgen, geven ze meer geld uit aan raceauto’s, actiefiguren en advertenties op luchthavens dan aan de mensen en processen die ervoor zorgen dat die luchthavens soepel en veilig blijven werken…” hij pauzeerde. “Het is net als de val van Rome, elke keer weer.”