Погрешен кернел драјвер испратен од CrowdStrike на компјутерите ширум светот креираше серија на рестартирања поради што со проблеми се соочија авиосообраќајот, болници, банки, како и многу бизниси.
Ова не е прв пат лош код да предизвика хаос во компјутерскиот систем, но наместо од малициозни причини, овој пат хаосот настана поради код испратен, не од хакери, туку од софтвер дизајниран да ги спречи хакерите да направат ваков хаос.
Две катастрофи на интернет инфраструктурата се случија истовремено во петокот и предизвикаа прекини ширум светот на аеродромите, железничките системи, банките, здравствените организации, хотелите, телевизиските станици и многу повеќе. Во четвртокот навечер, клауд платформата на Microsoft Azure доживеа широко распространет прекин. До петокот наутро, ситуацијата се претвори во совршена бура кога безбедносната фирма CrowdStrike објави погрешно ажурирање на софтверот што ги испрати компјутерите со Windows во катастрофална спирала за рестартирање. Останува нејасно дали или како се поврзани двата инциденти.
Причината за една од катастрофите е јасна: проблематичен код испратен како ажурирање за програмата за мониторинг Фалкон на CrowdStrike, што е антивирус кој е вграден во системот на уреди како лаптопи, сервери и рутери за да пресретнува малвер и сомнителни активности што може да ги компромитираат системите, пишува Wired.
Фалкон бара дозвола да може да се ажурира самиот и редовоно, бидејќи CrowdStrike постојано додава нови можни опасности кои треба да бидат детектирани, за системот да може да се брани. Лошата страна на ваквата поставеност е што системот кој е замислен да обезбедува безбедност и стабилност, може да го сруши.
„Ова е најголемиот ваков случај во историјата – не сме виделе ваков глобален прекин претходно“ вели Мико Хипонен, истражувач во компанијата за интернет безбедност WithSecure. Пред една деценија, вели Хипонен, компјутерските прекини беа почести поради развојот на компјутерски црви или тројанци. Сега, ваквите прекини се случуваат поради проблеми на страната на серверот.
Директорот на CrowdStrike, Џорџ Курц во петокот рече дека глобалниот прекин бил предизвикан пореди дефект во кодот што компанијата го пуштила за Виндоус уредите. Уредите кои работат на Мек или Линукс не беа зафатени од прекините.
„Проблемот беше идентификуван, изолиран и решението веќе беше објавено“ рече Курц додавајќи дека прекините не се последица на компјутерски напад.
Во интервју за NBC, Курц се извини и рече дека ќе треба време додека се се врати во нормала.
Безбедносните и ИТ аналитичари го бараат изворот на проблемот, а по се изгледа тоа е кернел драјвер за софтверот Фалкон. Кернел драјверите се софтверски компоненти кои дозволуваат апликациите да комуницираат со оперативниот систем на најдлабоко ниво. Тоа високочувствително ниво на пристап е неопходно за безбедносниот софтвер да може да работи пред било кој малициозен софтвер на системот да може да пристапи до податоците. Како што се подобруваше и еволуираше малициозниот софтвер, тој го наметна одбранбениот софтвер да бара постојана врска и пообемна контрола.
Подлабокиот пристап во системот исто така отвора опасност дека безбедносниот софтвер и ажурирањата на истиот може полесно да го срушат целиот систем. Сепак, според експертите, изненадувачки е што ажурирање на кернел драјвер предизвика таков глобален прекин. Костин Раиу, кој 23 години работел во Касперски вели дека ажурирањата на драјверите за Виндоус биле многу проверувани и тестирани со недели пред да бидат испратени до корисниците.
Исто така, Мајкрософт треба да ги провери кодот и да криптографски да го потпише, сугерирајќи дека и тие не го увиделе проблемот во кодот на CrowdStrike.
„Изненадувачки е што покрај толку внимание што се дава на ажурирањата на драјверите, ова се уште може да се случи“ вели Раиу кој додава дека видовме како еден драјвер може да сруши се.
CrowdStrike не е првата компанија за интернет безбедност која со ажурирање на драјвери предизвикала „Сини екрани на смртта“ на Виндоус. Ажурирањата за Касперски, па дури и за антивирусниот софтвер на Виндоус, Windows Defender предизвикале вакви проблеми во минатото.
Природата на дефектот значи дека индивидуалните машини кои се блокирани поради ажурирањето ќе треба рачно да бидат рестартирани и нема да може тоа автоматски да се изведе. Иницијалното решение е компјутерите да бидат рестартирани во безбедносен режим, една датотека да биде избришана и компјутерот да се рестиртира. Но, проблемот со ваквиот пристап е што тоа треба физички да се направи на секој уред, што ќе одземе доста време бидејќи се работи за милиони уреди низ светот кои го имаата истиот проблем.
