Как бъговете на Crowdstrike доведоха до колапс на компютърните системи в света

Но компанията разчита на дълбок достъп до милиони компютри, за да се защити срещу нови атаки, а инструкциите, изпратени от CrowdStrike до тези машини, работещи с операционната система Windows на Microsoft, за една нощ ги направиха безполезни до петък сутринта.

Докато банките, авиокомпаниите и системите за спешни повиквания 911 се мъчеха да се възстановят, CrowdStrike се извини и обвини грешка, вместо… Хакерска атака срещу вътрешните му системи.

„Това не беше кибератака“, каза CrowdStrike в своя блог. Базираната в Остин компания заяви, че е идентифицирала проблема и е предоставила решение на клиентите, за да помогне на служителите си да се върнат на работа.

Но провалът беше толкова широко разпространен и въздействието му беше толкова дълбоко, че не всички експерти по сигурността бяха убедени, че това е просто човешка грешка. CrowdStrike се разрасна бързо през последната година и едва миналия месец се присъедини към индекса Standard & Poor’s 500 на най-големите публично търгувани компании. Но си създаде врагове по целия свят, като разкри хакове като този на руското разузнаване, който открадна имейли от Националния комитет на Демократическата партия и председателя на кампанията на Хилъри Клинтън през 2016 г.

„Съмнявам се, че това е инцидент. Има много недостатъци“, каза Матю Хики, основател на тренировъчната компания Hackerhouse. Той добави, че файлът в нарушение съдържа произволни данни, не е цифрово подписан и не е адекватно тестван.

Американски федерален служител, говорещ при условие за анонимност, за да обсъди въпроси, свързани с националната сигурност, каза, че няма доказателства за саботаж или чужда намеса.

Някои анализатори казаха, че чакат да чуят повече от CrowdStrike и че сложността на усъвършенстваните хакерски защити ги прави опасно крехки.

Продукти за „откриване на крайни точки“ като инструмента Falcon на CrowdStrike често изпращат не само актуализирани идентификатори за злонамерен софтуер, за да го блокират, но и линии от активен код за осуетяване на сценарии, каза Джейк Уилямс, бивш хакер на NSA Най-сложната атака. Той каза, че е възможно системите на CrowdStrike за тестване на кода, преди да го инсталират навсякъде, да не са били „достатъчно разнообразни“, за да открият грешката.

Въпреки че прекъсванията на компютърната мрежа не са необичайни, експертите бяха изненадани в петък, когато откриха, че грешката на една компания се е разпространила в много системи.

„Никога не сме виждали каскада от провали като тази – може би някога“, каза Чък Херин, изпълнителен директор във фирмата за цифрова сигурност F5 Inc.

Степента на техническите смущения по света в петък Разкриване на рисковете, присъщи на вида софтуер за сигурност, който мнозина смятат за основен за бизнеса, за да се предпазят от ransomware и други опустошителни хакове.

За да бъдат ефективни тези програми, те трябва да могат да виждат всичко, което се случва на устройството. Но този достъп може да доведе до катастрофален провал, както се случи в петък, а поправката, която компанията въведе по-късно, беше сложна: много организации трябваше ръчно да рестартират всяко устройство едно по едно и да изтрият лошия файл за актуализация.

Този привилегирован достъп също прави софтуера за сигурност основна цел за обикновените шпиони и хакери. Само миналия месец американски служители забраниха на руската компания за антивирусен софтуер Kaspersky Lab да участва в каквато и да е нова бизнес дейност в страната, след като я обвиниха, че играе роля в кражбата на тайни от служители на Агенцията за национална сигурност и други.

Проблемите в петък доведоха до отмяна или забавяне на хиляди полети и принудиха болниците да отложат операции. Най-тежките кибератаки, като атаката на NotPetya на Русия срещу украински компании и вирусът WannaCry на Северна Корея, причиниха по-трайни щети чрез трайно увреждане на компютрите. Но дори тези атаки не се разпространиха толкова бързо и толкова далеч.

Размерът на финансовите щети от прекъсването на услугата, както и кой ще поеме тези разходи, няма да станат ясни след известно време. Повечето доставчици на софтуер са освободени от правна отговорност за вреди, причинени от техния софтуер, който е лицензиран, а не продаден. Но те обикновено сключват споразумения за обслужване с най-големите си клиенти, които може да се нуждаят от помощ за ремонт, отстъпки или друга компенсация.

Фиаското на CrowdStrike е забележително отчасти, защото ръководителите на компанията са сред най-видните гласове в индустрията, критикуващи Microsoft за повтарящи се уязвимости в сигурността. Софтуерният гигант е обвиняван за неотдавнашни големи нарушения в американските агенции, включително кражба на имейл миналата година от служители, включително министъра на търговията Джина Раймондо. Язвителен доклад от Съвета за преглед на киберсигурността, който се председателства от служител в Агенцията за киберсигурност и сигурност на инфраструктурата, отбеляза през април „корпоративна култура, която е деприоритизирала инвестициите в корпоративната сигурност и стриктното управление на риска“.

Отвъд тези пропуски в Microsoft, CrowdStrike каза, че доминиращата позиция на компанията на пазара на операционни системи и продуктивен софтуер прави всяка слабост потенциално катастрофална.

Като една от малкото водещи компании за сигурност, някои експерти сега казват същото за CrowdStrike, която е една от малката група компании за мрежова сигурност с такъв мащаб и мощ.

„Това очевидно е много сериозно и ще отнеме седмици“, каза Брайън Палма, главен изпълнителен директор на конкурентната фирма за сигурност Trilex. „Това показва необходимостта от дублиране и задълбочена защита.“

Агенцията за киберсигурност и сигурност на инфраструктурата заяви, че подпомага усилията за възстановяване и предупреди, че престъпници, представящи се като CrowdStrike, се опитват да убедят клиентите да изтеглят зловреден софтуер или да се откажат от достъпа до компютрите си.

Мери Васек, асистент в катедрата по компютърни науки в University College London, каза, че широко разпространените компютърни повреди показват колко зависими са глобалните технологични системи от софтуера на малък брой компании, включително тези на Microsoft и CrowdStrike.

„Проблемът тук е, че Microsoft е стандартен софтуер, който всеки използва, и грешката в CrowdStrike беше разпространена във всяка една система“, каза тя.

Васек каза, че технологичните мрежи са станали толкова мащабни, сложни и взаимосвързани, че е по-вероятно един грешен ред код да свали цели компютърни мрежи.

Пропускът засяга само компютри, работещи с операционна система Windows, която захранва стотици милиони персонални компютри и много бек-енд системи за авиокомпании, цифрови плащания, спешни услуги, центрове за обаждания и много други.

В изявление CrowdStrike заяви, че „работи с всички засегнати клиенти, за да гарантира, че системите са архивирани и могат да доставят услугите, на които клиентите им разчитат“.

Някои компании, засегнати от недостатъка на CrowdStrike, включително банки и центрове за спешни услуги, заявиха в петък, че са внедрили коригирания софтуер CrowdStrike и започват да се възстановяват.

Васек каза, че както Microsoft, така и CrowdStrike трябва да проучат своите процедури, за да предотвратят повторната поява на такива широкомащабни технологични повреди.

Тя каза, че CrowdStrike трябва да помисли как сигурно да актуализира софтуера си, за да побере милиони компютърни мрежи. Тя добави, че Microsoft трябва да положи повече усилия, за да гарантира, че софтуерните актуализации от други компании няма да причинят смущения в компютрите с Windows.

„Microsoft трябва да помисли как да провери дали софтуерът работи както трябва“, каза тя.

Microsoft не се обърна директно към тази критика, но каза в изявление, че компанията „активно подкрепя клиентите, за да им помогне с тяхното възстановяване“.

Компанията също обяви прекъсвания в някои от нейните популярни свързани с интернет софтуери за корпоративни и правителствени технологични мрежи.

Не беше веднага ясно колко от прекъсванията на компютърната мрежа в петък са причинени от дефектна софтуерна актуализация на CrowdStrike и кои са резултат от проблеми, започнали в четвъртък с онлайн услугите на Microsoft и корпоративната услуга за облачни изчисления Azure.

Говорител на Microsoft каза, че компанията не вярва, че грешката в CrowdStrike е свързана с прекъсването, което засегна „подмножество клиенти на Azure“. Той каза, че проблемът е решен.