Már most minden idők egyik legnagyobb informatikai kimaradásaként tartják számon a CrowdStrike nevű kiberbiztonsági cég által okozott globális leállást, melynek eredményeként július 19-én világszerte rengeteg számítógépen jelentkezett a kék halál, vagyis a Blue Screens of Death (BSOD).
A cég Falcon Sensor nevű termékével kapcsolatos hiba számos banki szolgáltatót, és a komplett légiközlekedési szektort megbénította, az pedig már csak hab a tortán, hogy az információáramlás is sok helyen akadozott: több tévétársaság egyszerűen nem tudta sugározni az adását a nap korai óráiban. Emellett a tömegközlekedés és az egészségügyi szolgáltatások is akadoznak több országban: Angliában a gyógyszerkiadást, Németországban a nem életmentő műtéteket állították le.
A vállalat kiadott egy hibás frissítést, ami több ezer windowsos PC-t és szervert bénított meg. A hibát hiába realizálták gyorsan, és hívták vissza a problémás frissítést, az ekkor már érintett gépeken ez nem segített, a cég pedig csak korlátozottan működőképes, tüneti kezelést biztosító megoldást tudott nyújtani a problémára.
Na de mi ez a szoftver, és mi ez a vállalat, amelyről sokan még az életükben nem hallottak, mégis – ironikus módon – kibervédelmi szereplőként sikerült megközelíteni a 2017-es WannaCry, majd a NotPetya nevű zsarolóvírusok által okozott globális fennakadás szintjét? Szakértő segítéségével azt is megpróbáltuk megállapítani, hogyan lehetséges, hogy egyetlen szoftver hibája több milliárd ember életére van kihatással.
Bemutatkozik a CrowdStrike
A 2011-ben alapított texasi székhelyű kiberbiztonsági vállalatnak nem ez élete legjobb napja, ugyanis a világ IT-rendszereinek megbénítása a cég részvényeinek jelentős mértékű bezuhanását hozta magával. A vállalat fő szolgáltatása, a most hibás frissítéssel ellátott Falcon platform tulajdonképpen egy kibervédelmi szoftvercsomag, amelynek számos komponense van.
A platform többek közt végpontok közötti védelemmel, fenyegetések elhárításával és a kibertámadásokra való reagálással kapcsolatos szolgáltatásokat biztosít.
Makay József, a Makay Kiberbiztonsági Kft. ügyvezetője lapunknak elmondta, hogy a cég olyan technológiákat forgalmaz és gyárt, ami megerősíti a Windows operációs rendszerének és szervereinek védelmét. Mivel az elmúlt évek során a CrowdStrike-nak sikerült nagyon nagy szeletet kihasítania a piacból – több mint 24 ezer ügyfelük van világszerte –, nagyon sok olyan óriásvállalat akad, ami a cég fejlesztését használja.
Mivel az érintett Falcon Sensor szoftvernek mély hozzáférése van az operációs rendszer erőforrásaihoz, ha a védelmi technológiában valamilyen hiba merül fel, az kihat az operációs rendszerre is, ahogyan az jelenleg is történt. Ennek köszönhető, hogy a CrowdStrike frissítésébe került hibára a Windows kék halállal reagált.
Mit lehet tenni a hiba javításáig?
A CrowdStrike viszonylag gyorsan elkezdett dolgozni a Microsofttal a hiba megoldásán, ezzel párhuzamosan pedig tüneti kezelési módokat is bejelentettek. Brody Nisbet, a CrowdStrike szakértője szerint átmeneti megoldásként érdemes kipróbálni a Windows gépek biztonságos módban történő újraindítását, majd megkeresni a CrowdStrike eszközmeghajtónak a fájljait, és kitörölni azokat a System32 mappából. Ezt követően már normál módban is el lehet majd indítani a gépet.
There is a faulty channel file, so not quite an update.
There is a workaround…
1. Boot Windows into Safe Mode or WRE.
2. Go to C:\Windows\System32\drivers\CrowdStrike
3. Locate and delete file matching “C-00000291*.sys”
4. Boot normally.1/2
— Brody (@brody_n77) July 19, 2024
Makay elmondása szerint ezzel a megoldással azért akad probléma: felmerül például a kérdés, hogy milyen hatást gyakorol az operációs rendszer későbbi működésére. A szakember ugyanakkor jelezte, jelenleg akkora a baj, hogy a cégek örülnek, ha egyáltalán elindulnak a rendszerek, még ha csak csökkentett védelemmel is.
Több helyről jelezték ugyanakkor, hogy ez a megoldás nem működik, ám a szakember szerint nagy valószínűséggel csak hibás kivitelezésről lehet szó.
A dolog annyira friss, hogy gyors javításként működhet ez, de hogy pontosan honnan ered a probléma, sejtésem szerint még a CrowdStrike-nál sem tudják pontosan.
– mondta Makay.
Vannak tanulságok
Kevin Beaumont kiberbiztonsági kutató a Wired-nek nyilatkozva jelezte, a CrowdStrike eredeti, hibás frissítésével az volt a probléma, hogy nem volt megfelelően formázva, emiatt pedig minden alkalommal összeomlott a Windows. A problémát tovább tetézte, hogy a cégnél jelenleg nincs automatizált módszer a problémák megoldására.
Makay szerint egy ideális világban minden frissítést hosszas tesztelésnek vetnek alá, de ahogy azt a Microsoft esetében is gyakran látni, olykor előfordul, hogy olyan frissítést élesítenek, ami hazavágja az operációs rendszert – nagy valószínűséggel ebbe futott bele most a CrowdStrike is.
A szakértő szerint a hiba minden bizonnyal arra fogja ösztönözni a cégeket, hogy még jobban odafigyeljenek: hogyha már egy ennyire nagy kiterjedésű, sok entitás, sok céget érintő frissítést adnak ki, akkor azt megfelelően ellenőrizzék és teszteljék előtte.
Az sem elhanyagolható szempont, hogy ha más nem, legalább a legnagyobb, több millió ember életére kihatással lévő ügyfeleikkel teszteljék le a frissítést valamilyen tesztkörnyezetben
– mondta a kiberbiztonsági szakértő, hozzátéve, hogy az is hozzájárulhatott a villámgyorsan elharapódzó globális problémához, hogy a CrowdStrike saját tesztjein minden rendben volt, és a hibák csak akkor jöttek elő, mikor a frissítés más környezetbe került. Makay ezért azt ajánlja, hogy a cégek a védelmi rendszereik frissítésének telepítése előtt várják ki legalább a kockázatarányos időintervallumot.
