惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
云风的 BLOG
云风的 BLOG
美团技术团队
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
爱范儿
爱范儿
Stack Overflow Blog
Stack Overflow Blog
WordPress大学
WordPress大学
GbyAI
GbyAI
雷峰网
雷峰网
P
Proofpoint News Feed
IT之家
IT之家
人人都是产品经理
人人都是产品经理
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
aimingoo的专栏
aimingoo的专栏
小众软件
小众软件
T
The Blog of Author Tim Ferriss
月光博客
月光博客
V
Visual Studio Blog
L
LINUX DO - 热门话题
L
Lohrmann on Cybersecurity
T
Troy Hunt's Blog
Project Zero
Project Zero
U
Unit 42
T
Tor Project blog
Scott Helme
Scott Helme
L
LINUX DO - 最新话题
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
I
InfoQ
Cloudbric
Cloudbric
P
Proofpoint News Feed
The Cloudflare Blog
H
Heimdal Security Blog
Google DeepMind News
Google DeepMind News
The GitHub Blog
The GitHub Blog
Attack and Defense Labs
Attack and Defense Labs
有赞技术团队
有赞技术团队
T
Threat Research - Cisco Blogs
T
The Exploit Database - CXSecurity.com
J
Java Code Geeks
博客园 - 【当耐特】
Security Latest
Security Latest
The Register - Security
The Register - Security
F
Fortinet All Blogs
I
Intezer
H
Hackread – Cybersecurity News, Data Breaches, AI and More
MongoDB | Blog
MongoDB | Blog
N
Netflix TechBlog - Medium
NISL@THU
NISL@THU
T
Tenable Blog

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
两次全球蓝屏,祸首竟是同一人?14年后,灭霸CEO再酿IT灾难
新智元 · 2024-07-22 · via 人人都是产品经理

绝了,外媒刚刚发现:这次造成微软蓝屏灾难的CrowdStrike CEO,在Windows XP时代就曾搞崩过全球的设备。同样是一次更新,同样让设备断网,同样要人工修复。两次导致全球IT灾难,此君可以「名垂青史」了。

微软全球蓝屏事件,破案了!

一个由「C-00000291*.sys」配置文件触发的系统逻辑错误,瞬间就破坏掉全世界约10亿台计算机,并在随后引发所有的二阶、三阶效应。

就如AI大神Karpathy所言,技术领域还存在着的单点瞬时故障,都将对人类社会造成巨大隐患。

而这次造成全球TI灾难的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——

2010年在McAfee用一个更新搞崩全球设备的,竟然也是他!

一、逻辑错误,触发全球大崩溃

故障发生的第一时间,就有网友向大家发出警告——

停止所有CrowdStrike更新!停止所有CrowdStrike更新!

对于事件起因,Objective-See基金会创始人Patrick Wardle也在第一时间就做了一番详细调查。

首先,他查看了故障位置——mov r9d,[r8]。其中R8属于未映射的地址。

这个位置取自指针数组(保存在RAX中),索引RDX(0x14 * 0x8)保存了一个无效的内存地址。

其他的「驱动程序」(例如「C-00000291-…32.sys」)似乎是混淆的数据,并且被「CSAgent.sys」进行了x-ref’d操作。

因此,或许是这种无效(配置/签名)的数据,触发了CSAgent.sys中的故障。

通过调试,可以更容易地判断这一点。

显然,事故中最重要的悬而未决的问题就是,这个「C-00000291-…xxx.sys」文件究竟是什么?

CSAgent.sys一旦引用它们,就立马崩溃了;而只要删除它们,就可以修复崩溃。

在VT上,他还对CSAgent.sys以及来自单个故障转储的数据进行了逆向分析。

最后,Wardle分享出了CSAgent.sys的几个版本(+idb),以及各种「C-….sys」文件(包括他认为已经包含了「修复」的最新文件)。

他表示,由于自己没有任何Windows系统或虚拟机,所以希望网友们能继续挖掘。

就在昨天,恶意软件专家Malware Utkonos有了更多细节的发现——

37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66这个地址处,似乎有一个针对0xaaaaaaaa的文件魔法检查。

这个模式,也是「通道文件」(Channel Files)的前四个字节。全部为NULL的文件,就可能会导致该cmp失败。

可以看到,rcx中与0xaaaaaaaa进行比较的值,由ExAllocatePoolWithTagPriority分配在顶部;那里正是接收ZwReadFile读取的数据的缓冲区。

这个值会在之后用cmp传递给函数(Utkonos在图中将这些函数命名为内部的wdm.h函数调用)。

通过合理性检查可发现:0xaaaaaaaa字节模式仅在此处检查的「通道文件」偏移0处出现过一次。

以下就是执行类似cmp的地址。

可以看到,只有0xaaaaaaaa看起来不同。

二、CrowdStrike官方解释

很快,CrowdStrike在官博放出的解释,对于网友们疑惑的问题进行了澄清——

2024年7月19日04:09 UTC,CrowdStrike在持续运营中向Windows系统发布了一次传感器配置更新,这也是Falcon平台保护机制的一部分。
这次配置更新触发了一个逻辑错误,导致受影响的系统出现崩溃和蓝屏(BSOD)。
导致系统崩溃的更新已于2024年7月19日05:27 UTC得到修复。

报告地址:

We will https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

其中技术细节如下——

在Windows系统中,通道文件位于以下目录:C:WindowsSystem32driversCrowdStrike,并且文件名以「C-」开头。每个通道文件都有一个唯一编号作为标识。

此次事件中受影响的通道文件为291,文件名以「C-00000291-」开头,以.sys扩展名结尾。虽然通道文件以SYS扩展名结尾,但它们不是内核驱动程序。

通道文件291会影响Falcon如何评估Windows系统上的命名管道执行。这些命名管道用于Windows中正常进程间或系统间通信的机制。

周五的更新,本意是针对网络攻击中常见的C2框架中所使用的新发现的恶意命名管道,但实际上却触发了系统的逻辑错误,导致崩溃。

不过,这与通道文件291或任何其他通道文件中的空字节问题无关。

此事已被网友用Suno做成歌曲要想恢复,就必须在安全模式下启动机器,并且以本地管理员身份登录并删除内容——这是不可能自动化的。

因此,这次瘫痪的打击面才会这么大,并且难以恢复。

三、上次也是他

虽然CrowdStrike承认了自己的错误,并在周五发布了道歉声明和解决方案。

但他们尚未解释清楚,这个破坏性的更新是如何在未经过测试和其他安全措施的情况下发布的。

自然,众多批评的声音开始集中到事件的核心人物:CrowdStrike的首席执行官George Kurtz。

科技行业分析师Anshel Sag指出,这已经不是库尔茨第一次在重大IT事件中扮演重要角色了。

熟悉的配方,熟悉的味道

2010年4月21日,杀毒软件McAfee发布了一次面向企业客户的软件更新。

获得更新后的软件会删除一个Windows系统的关键文件,导致全球数百万台电脑崩溃并反复重启。

和CrowdStrike的错误类似,McAfee的问题也需要手动修复(设备断网离线)。

而Kurtz,正是当时McAfee的首席技术官。

2012年,Kurtz创立了CrowdStrike,并一直担任首席执行官至今。

2010年,发生了什么?

2010年4月21日早上6点,McAfee向企业客户发布了一个「有问题」的病毒定义更新。

然后,这些自动更新的Windows XP电脑,会直接陷入「无限重启」的循环中,直到技术支持人员到场手动修复。

背后的原因其实很简单——杀毒软件在收到新的定义之后,会将一个常规的Windows二进制文件

「svchost.exe」识别为病毒「W32/Wecorl.a」,并予以销毁。

一位大学IT人员报告称,他的网络上有1200台电脑因此瘫痪。

另一封来自美国企业的电子邮件称,他们有「数百名用户」受到了影响:

这个问题影响了大量用户,而简单地替换svchost.exe并不能解决问题。你必须启动到安全模式,然后安装extra.dat文件,再手动运行vsca 控制台。之后,你还需要删除隔离的文件。每个用户至少有两个文件被隔离,有些用户多达15个。不幸的是,使用这种方法,你无法确定你恢复的文件中哪些是重要的系统文件,哪些是病毒文件。

此外,还有一份来自澳大利亚的报告称,该国最大的超市连锁店有10%的收银机瘫痪,导致14到18家商店被迫关闭。

这件事在当时的影响之大,让众人纷纷惊叹:「即便是专注于开发病毒的黑客,估计都做不出能像McAfee今天这样能迅速『端掉』这么多机器的恶意软件。」

以下是SANS Internet Storm Center对这次事件的描述:

McAfee版本为5958的「DAT」文件,正在导致大量Windows XP SP3出现问题。受影响的系统将进入重启循环并失去所有网络连接。这个有问题的DAT文件可能会感染单个工作站以及连接到域的工作站。
使用「ePolicyOrchestrator」来更新病毒定义文件,似乎加速了这个有问题的DAT文件的传播。ePolicyOrchestrator通常用于在企业中更新「DAT」文件,但由于受影响的系统会失去网络连接,它无法撤销这个有问题的签名。

Svchost.exe是Windows系统中最重要的文件之一,它承载了几乎所有系统功能的服务。如果没有Svchost.exe,Windows根本无法启动。

两起事件虽然相隔14年,但却有着同样的疑惑——这样的更新是如何从测试实验室流出并进入生产服务器的。理论上,这类问题应该在测试初期就被发现并解决了才对。

何许人也?

George Kurtz在新泽西州的Parsippany-Troy Hills长大,就读于Parsippany高中。Kurtz表示,自己在四年级时就开始在Commodore电脑上编写电子游戏程序。

高中时,建立了早期的网络交流平台——公告板系统。

他毕业于西东大学,获得会计学学位。

随后他创办了Foundstone,并曾担任McAfee的首席技术官。

目前,George Kurtz在与Dmitri Alperovitch共同创立的网络安全公司CrowdStrike,担任首席执行官。

除了商业成就外,他还是一名赛车手。

Price Waterhouse(普华永道)和 Foundstone

大学毕业后,Kurtz在Price Waterhouse开始了他的职业生涯,担任注册会计师(CPA)。

1993年,Price Waterhouse让Kurtz成为其新成立的安全组的首批员工之一。

1999年,他与Stuart McClure和Joel Scambray共同撰写了《Hacking Exposed》,这是一本针对网络管理员的网络安全书籍。该书销量超过60万册,并被翻译成30多种语言。

同年晚些时候,他创办了一家网络安全公司Foundstone,这是最早专门从事安全咨询的公司之一。Foundstone专注于漏洞管理软件和服务,并发展出了一个广受认可的事件响应业务,许多财富100强公司都是其客户。

McAfee

McAfee在2004年8月以8600万美元收购了Foundstone,Kurtz因此成为McAfee的高级副总裁兼风险管理总经理。在任期内,他帮助制定了公司的安全风险管理策略。

2009年10月,McAfee任命他为全球首席技术官和执行副总裁。

随着时间的推移,Kurtz对现有的安全技术运行缓慢感到沮丧,因为他认为这些技术没有跟上新威胁的发展速度。

有一次,他在飞机上看到邻座乘客等待15分钟才让McAfee软件在笔记本电脑上加载完毕,这一事件成为他创立CrowdStrike的灵感之一。

CrowdStrike

2011年11月,Kurtz加入私募股权公司Warburg Pincus,担任「驻企企业家」(entrepreneur-in-residence),并开始着手他的下一个项目CrowdStrike。

2012年2月,他与前Foundstone的首席财务官Gregg Marston和Dmitri Alperovitch联手,正式成立了CrowdStrike。

CrowdStrike将重点从反恶意软件和防病毒产品(McAfee的网络安全方法)转移到识别黑客使用的技术,以便发现即将到来的威胁。并开发了一种「云优先」(cloud-first)模式,以减少客户计算机上的软件负担。

2017年5月,CrowdStrike估值超过10亿美元。2019年,公司在纳斯达克首次公开募股6.12亿美元,估值达到66亿美元。

2020年7月,IDC报告将CrowdStrike评为增长最快的端点安全软件供应商。

2024年,Kurtz仍然是CrowdStrike的总裁兼首席执行官。

果然,世界就是个巨大的草台班子。

参考资料:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/

编辑:Aeneas 好困

本文由人人都是产品经理作者【新智元】,微信公众号:【新智元】,原创/授权 发布于人人都是产品经理,未经许可,禁止转载。

题图来自Unsplash,基于 CC0 协议。