Фаталният ъпдейт на CrowdStrike – софтуерният апокалипсис за 2024 г.
Skynet ще се активира като облачна операционна система Genesys, която ще поеме контрола над всички дигитални платформи, включително отбранителните. След което ще последва Денят на Страшния съд. Това в общи линии е част от фабулата на един от по-новите филми от поредицата „Терминаторът“. На 19 юли донякъде тя се реализира и в реалния живот. След един фатален ъпдейт за изключително популярна сред корпоративния свят платформа за киберсигурност, буквално счупи хиляди компютри и сървъри по света.
Последствията започнаха да напомнят ситуацията като първите минути при активацията на Skynet. Тотален срив на множество ключови системи, липса на връзка, спирането на важни услуги. За разлика от сюжетите на холивудската поредица не последва ядрен апокалипсис, а само неудобство, множество отменени полети и много главоболия за IT екипите по света. Така, можем да опишем накратко какво се случи на 19 юли в глобален мащаб.
Първата жертва – Австралия
По обяд в Австралия редица компютри и сървъри изведнъж дават фаталния за всеки потребител на Windows – „син екран на смъртта“. Той се показва, когато има критична грешка в системата. В случая тя звучи доста мистериозно и общо – It looks like Windows didn’t load correctly. Грешката е доста непозната и не е от стандартните, с които повечето експерти се сблъскват. При рестарт тя се появява и на пръв поглед не може да бъде отстранена. Всеки засегнат компютър или сървър де факто спира да работи, защото се завърта в омагьосан кръг от рестартиране и показване на синия екран.
Този срив се разпространява изключително бързо. Редица важни институции, включително държавни, медии, корпорации, доставчици на IT услуги и най-вече летища и авиокомпании се блокират ключови елементи от тяхната дейност. Телевизионният гигант Sky News спира да излъчва близо час, поради „технически проблеми“. Австралийският телеком Telstra също съобщава за проблеми със своите системи. Част от облачните услуги на Microsoft и тяхната корпоративна платформа Azure също са засегнати.
Летището в Сидни е принудено да затвори. То бързо е последвано от тези във Великобритания, Германия, Нидерландия, Япония, Индия, САЩ и други държави. Британски ЖП компании също са засегнати. В САЩ спират всички вътрешни полети, поради „затруднения с комуникацията“, като нареждането идва от авиационния регуалтор FAA.
Някои компании спират да осъществяват дигитални плащания, в България онлайн и мобилното банкиране на част от банките не функционира. В щата Аляска в САЩ спира да работи телефонът за спешни случаи 911. Засегнатите бизнеси, хора и институции са милиони и то по цялото земно кълбо.
CrowdStrike – неволният Skynet
Хакери, осъзнат изкуствен интелект и други подобни асоциации са първите заподозрени за проблема. Този път проблемът идва от лошо компилиран ъпдейт на решение за киберсигурност Falcon за Windows 10. Само за тази версия на операционната система се активира порочният кръг със „синия екран на смъртта“. Компанията, отговорна за решението се казва CrowdStrike. Тя е малко известна на масовата аудитория, но е доста популярна сред корпоративните клиенти. Има силна репутация не само сред големите компании, но и сред редица държавни институции.
CrowdStrike е използвана активно в осъществяването на различни разследвания свързани с кибератаки. През май 2014 г. помага на щатското правосъдно министерство в дело срещу петима китайски граждани заподозрени в кибер шпионаж. Тя разкрива и руски хакери, които се опитват да ударят различни системи в енергийния сектор. CrowdStrike намира доказателства за участието на Северна Корея в пробива и изтичането на данни от Sony през 2014 г.
В сривът от 19 юли, CrowdStrike влиза в ролята на „лошите“ по неволя. Лошо разработен ъпдейт за тяхно решение, започва да „чупи“ компютри и сървъри и да ги прави неизползваеми. Компанията бързо намира проблема и връща старите ъпдейти, но всички засегнати вече машини продължават да се въртят в кръга между синия екран и рестарта.
Бавното решение на проблема
Само с ъпдейт не се получава и затова връщането на всички засегнати компютри и сървъри трябва да бъде направено от IT екипите на компаниите или институциите, които са отговорни за тях. Което прави целия процес изключително бавен и зависи изцяло от възможностите за реакция на жертвите.
Публикуваните в интернет решения са сравнително лесни за всеки един системен администратор. Пускане на машината в Safe Mode и след това има три опции, които са подробно описани от Windows Latest. Едната е да се изтрият ръчно проблемните файлове през Command Prompt-а. Вторият метод е просто да се преименува директорията на решението на CrowdStrike-а. Последният променя регистъра и при стартиране на компютъра да не се активира тази програма за киберсигурност. Самите CrowdStrike също дават съвети за някои случаи как да се действа.
Вече редица компании, корпорации и институции успяха да възобновят нормалната работа на своите системи. Някои го направиха веднага, други в рамките на 19 юли. Трети – очакват да възстановят всичко в рамките на 24 до 36 часа.
Проблемът с CrowdStrike обаче показва, колко лесно могат да се неутрализират стотици, хиляди, ако не и милиони компютри само с един прост ъпдейт. И как дигиталният апокалипсис всъщност е на един клик разстояние.
