Ще отнеме дни, може би седмици – какво по-точно предизвика компютърния срив
"Случващото се не е безпрецедентно, но ми е много трудно да си представя прекъсване в такъв мащаб. Случвало се е през годините, но това е едно от най-големите. Мисля, че вероятно ще бъде краткотрайно, защото природата на проблема всъщност е доста елементарна. Но той е много, много, много, много, голям."
Това казва за "Ройтерс" Киъран Мартин, бивш ръководител на Националния център за киберсигурност (NCSC), част от британската разузнавателна агенция GCHQ.
Не само той смята, че мащабът на днешния компютърен срив по света е огромен.
"Разрешаването на проблемите може да отнеме дни, ако не и седмици", каза Василеос Караянопулос, изследовател по киберсигурност в Университета на Портсмут, пред "Файненшъл таймс". Той добави, че проблемите в момента са "толкова глобални и обширни из системите, че поради експлозия на търсенето ИТ поддръжката може да е оскъдна за нуждаещите се".
Какво по-точно предизвика тази криза
Експертите от години предупреждават за рисковете от един все по-свързан свят, разполагащ в онлайн пространството все по-голяма част от дейността си.
В случая ключов проблем е един ускорен от COVID-пандемията процес през последните две десетилетия - правителствата и фирмите стават все по-зависими от шепа взаимно свързани технологични компании.
За да защитят компютърните си мрежи от проникване от хакери, много фирми използват продукт за киберсигурност, известен като Endpoint Detection and Response (EDR), който работи във фонов режим на корпоративни компютри/сървъри (или "крайни точки").
Кои са CrowdStrike, причинили компютърния хаос по света
Фирми като CrowdStrike могат да използват своите EDR продукти като системи за ранно предупреждение за потенциални цифрови атаки, сканиране за вируси и предотвратяване на неоторизиран достъп на хакери до корпоративни мрежи.
Ето какво е известно до момента за ситуация, която продължава да се развива:
- В днешния случай нещо в кода на CrowdStrike е в конфликт с нещо в кода, каращ операционната система Windows да работи и причинява срив на тези системи дори след рестартиране. (системите на "Епъл" или тези като Linux с отворен код не са засегнати).
- В 8:30 (българско време) тази сутрин CrowdStrike изпраща предупреждение до клиентите си, според което техният широко използван софтуер Falcon Sensor причинява срив на Microsoft Windows и показва син екран, известен неофициално като "Синия екран на смъртта".
- Джордж Кърц, главен изпълнителен директор на CrowdStrike, пише в X, че CrowdStrike е разпратила разрешаване на проблема. "Това не е инцидент със сигурността или кибератака", уточнява той.
- Очевидно нещо се е случило по-рано. Според проф. Алън Удуърд, експерт по киберсигурност в университета в Съри изглежда от "Майкрософт" са имали проблем със своята платформа за облачни изчисления Azure. Известна степен на влошаване на тази услуга е започнало вечерта на 18 юли, но тя не спира напълно.
- Далеч по-големият проблем може би се оказва актуализация, която изглежда е била направена късно вечерта на 18 юли за продукта Falcon. Това е софтуер, дълбоко вграден в операционната система на всеки компютър, за да го наблюдава за опити за незаконно проникване, ransomware или заразяване и "се обажда у дома", ако има проблем. Falcon също така получава актуализации за това за какво да внимава, ако има заплаха. Използва се много от големи организации по целия свят, които имат огромен брой персонални компютри за следене (и рестартиране).
Санкционираната Русия не е засегната от глобалния компютърен срив
- Изглежда, че системният файл за актуализация е бил пуснат по някакъв начин в неправилен формат, казва проф. Удуърд за платформата The Conversation. "Въпрос за милиард долара" е как изобщо е било допуснато разпращането му.
- Операционната система Windows стига до тази актуализация, но не знае как да се справи, така че се срива и се появява "Синия екран на смъртта".
- Кризата плъзва от Австралия с началото на работния ден.
- Много часове по-късно този проблем не може да се коригира дистанционно. Трябва да се влезе ръчно във всяка машина поотделно и да бъде поставена в режим "безопасен" (safe) или "възстановяване" (recovery), за да се изолира софтуера. След това трябва да се рестартира (reboot) машината и да се зареди отново.
- Но повечето хора не знаят как да поставят компютрите си в безопасен режим и да го върнат към предишно състояние. А ако става дума за голяма глобална компания с голямо разпръснато по света ИТ оборудване, това ще отнеме много време.
Нещо като ransomware на стероиди
"Синият екран на смъртта" кара компютрите да се сриват при рестартиране, преди да могат да бъдат актуализирани, обяснява Даниел Кард от базираната във Великобритания консултантска компания за киберсигурност PwnDefend. "А с преминаването към облака и с компании като CrowdStrike, притежаващи огромни пазарни дялове, техният софтуер работи в милиони компютри по целия свят", допълва той.
Би трябвало да има начин корекцията да се улесни в сътрудничество с Microsoft.
Кевин Бомонт, изследовател по киберсигурност, е цитиран от "Файненшъл таймс" да казва в публикации в социалните медии, че клиентите на CrowdStrike са били вкарани в "невероятно болезнен" процес за отстраняване на проблема и принудени да действат като администратор и да "хакнат системата", за да я възстановят.
При умишлени атаки на ransomware обикновено се цели унищожаване една или две мишени едновременно. В този случай това се случи на хиляди организации едновременно. Не е имало нещо подобно досега.