Две катастрофи на интернет инфраструктурата се судрија во петокот и предизвикаа прекини низ целиот свет.
Само неколку пати во историјата се случило еден единствен код да успее веднаш да ги уништи компјутерските системи ширум светот. Компјутерскиот црв Slammer од 2003. Руски кибер напад NotPetya насочен кон Украина. Севернокорејски ransomware WannaCry кој сам се шири. Но, се чини дека актуелната дигитална катастрофа што ја потресе интернет и ИТ инфраструктурата ширум светот кон крајот на минатата недела не беше предизвикана од злонамерен код објавен од хакери, туку од софтвер дизајниран да ги спречи.
Две катастрофи во интернет инфраструктурата се судрија во петокот и предизвикаа прекини во светот на аеродромите, железничките системи, банките, здравствените установи, хотелите, телевизиските станици… Во четвртокот вечерта престана да работи платформата во облакот Azure на Microsoft. До петокот наутро, ситуацијата се претвори во совршена бура кога безбедносната фирма CrowdStrike објави баг ажурирање на софтвершто ги испрати компјутерите со Windows во катастрофална спирала за рестартирање. Портпаролот на Мајкрософт изјави за Wired дека двата неуспеси во ИТ не се поврзани.
Погрешен код
Причината за една од тие две катастрофи беше јасна: неисправниот код објавен како ажурирање на производот за следење Falcon на CrowdStrike, всушност антивирусна платформа која работи со длабок системски пристап до „крајните точки“ како лаптопи, сервери и рутери за откривање малициозен софтвер и сомнителни активности кои може да укаже на компромитирање. Falcon бара дозволи за автоматско и редовно ажурирање бидејќи CrowdStrike постојано додава детекции во системот за да се брани од нови закани. Сепак, негативната страна е што овој систем, кој треба да ја подобри безбедноста и стабилноста, би можел наместо тоа да го поткопа она што го штити.
„Никогаш во историјата не сме имале ваков вид на несреќа на работна станица во светот“, вели Мико Хипонен, главен истражувач во фирмата за сајбер безбедност WithSecure. Пред десет години, вели Хипонен, раширените прекини беа почести поради ширењето на црви или тројанци. Неодамна, глобалните прекини се случија на „страната на серверот“ на системите, што значи дека прекините доаѓаат од давателите на облак услуги, како што се веб-услугите на Amazon, поради прекини на интернет-кабелот или проблеми со автентикација и DNS.
„Ажурирањето на конфигурацијата предизвика логичка грешка“
Извршниот директор на CrowdStrike Џорџ Курц изјави во петокот дека проблемите се предизвикани од дефект во кодот што компанијата го објави за Windows. Системите Mac и Linux не се засегнати. „Проблемот е идентификуван, изолиран и во тек е поправка“, рече Курц во соопштението, додавајќи дека проблемите не се резултат на сајбер напад. Во интервју за Ен-Би-Си, Курц се извини за нарушувањето и рече дека може да биде потребно извесно време работите да се вратат во нормала.
Во подетално ажурирање во петокот вечерта, CrowdStrike тврдеше дека основната причина за падот е единствена конфигурациска датотека испратена како ажурирање на Falcon. Ажурирањето е специјално насочено кон промена на начинот на кој Falcon ги испитува „именуваните цевки“ во Windows, функција која му овозможува на софтверот да испраќа податоци помеѓу процесите на истиот компјутер или на други компјутери на локална мрежа.
CrowdStrike вели дека ажурирањето на конфигурациската датотека имало за цел да му овозможи на Falcon да препознае нов метод што хакерите го користеле за да комуницираат помеѓу нивниот малициозен софтвер на нападнатите компјутери и серверите за команда и контрола. „Ажурирањето на конфигурацијата предизвика логичка грешка што резултираше со пад на оперативниот систем“, се вели во соопштението на CrowdStrike.
„Како операција на отворено срце“
Безбедносните и ИТ аналитичарите кои ја бараат основната причина за големиот прекин најпрво помислија дека тоа е поврзано со ажурирање на „кернел драјверот“ на Falcon. Програмите за управување на кернелот се софтверски компоненти кои им овозможуваат на апликациите да комуницираат со јадрото на Windows. Тоа чувствително ниво на пристап е неопходно за да може безбедносниот софтвер да работи пред да се инсталира каков било малициозен софтвер на системот. Како што се подобруваше и се развиваше малициозниот софтвер, софтверот за одбрана бара постојана поврзаност и пообемна контрола.
CrowdStrike објави дека конфигурациската датотека што го предизвикала падот не бил управувачки програм на кернелот.
Сепак, се чини дека управувачкиот програм ја користел конфигурациската датотека, ја променил нејзината функционалност и го предизвикал падот, според Костин Раиу, кој работел за руската компанија за безбедносен софтвер Касперски 23 години. Тој сугерира дека конфигурациската датотека можеби била помалку проверено ажурирање што сепак би можело да го промени начинот на кој функционирал управувачкиот програм на кернелот: „Еден едноставен драјвер може да сруши сè“.
Катастрофалните последици укажуваат на кревкоста на интернетот
Способноста на едно ажурирање да предизвика толку големо нарушување сè уште го збунува Раиу. CrowdStrike сочинува 14 проценти од пазарот на безбедносен софтвер според приходите, што значи дека неговиот софтвер е на многу системи. Раиу сугерира дека ажурирањето на Фалкон мора да предизвикало падови во други делови од веб-инфраструктурата, што би можело да ја влоши катастрофата. „CrowdStrike е голем, но не може да биде толку голем. Не може едноставно да биде CrowdStrike насекаде. Претпоставувам дека тоа е комбинација од елементи, каскаден ефект и верижна реакција“, вели Раиу.
Хипонен од WithSecure вели дека проблемите можеби се предизвикани од „човечка грешка“ во процесот на ажурирање. Хипонен сугерира дека CrowdStrike можел да достави непроверен софтвер или случајно да ги замени датотеките. „Овој вид софтвер мора да помине низ опширно тестирање. Тоа е она што го правиме. Тоа е она што го прави CrowdStrike, се разбира. Мора да бидете многу внимателни за тоа што испраќате, што не е лесно бидејќи безбедносниот софтвер се ажурира многу често“, вели Хипонен.
Првичните упатства на CrowdStrike за „заобиколно решение“ велат дека компјутерите со Windows треба да се подигнат во безбеден режим, да избришат одредена датотека и потоа да се рестартираат. „Поправките што ги видовме досега значат дека треба физички да пристапите до секој компјутер, што ќе потрае неколку дена, бидејќи милиони компјутери ширум светот моментално се погодени“, вели Хипонен од WithSecure.
Како да се спречи тоа да се повтори?
Додека системските администратори се тркаат да го задржат последиците, се поставува поголемо егзистенцијално прашање за тоа како да се спречи друга слична криза.
„Корисниците ќе бараат промени во овој оперативен модел. CrowdStrike штотуку покажа зошто ажурирањето без ИТ интервенција е неодржливо“, рече Џејк Вилијамс, потпретседател за истражување и развој во консултантската компанија за сајбер безбедност Hunter Strategy.