CrowdStrike na počítačích Microsoft způsobil celosvětové výpadky IT a miliardové škody
Celý článek si můžete poslechnout v audio verzi zde:
20. července 2024
Společnost CrowdStrike má „zastavit útoky. Zabezpečení obchodních operací.“ Tolik k reklamě. Zjevně nedostatečně otestovaná aktualizace, která byla v pátek automaticky nainstalována na miliony počítačů a dalších zařízení, však způsobila jedno z největších a nejkatastrofičtějších selhání systému v historii na celém světě. Nemocnice, letiště a podniky všeho druhu musely přerušit nebo masivně omezit provoz. U nároků na náhradu škody se společnost odvolává na Všeobecné obchodní podmínky.
To je věc, která každému IT manažerovi přináší bezesné noci. Chybná aktualizace bezpečnostního softwaru CrowdStrike paralyzovala miliony počítačů s Windows po celém světě. Ne všechny je možné zachránit – a chyba je tak závažná, že postižené stroje musí být v podstatě opraveny „ručně“. Neexistuje žádná naděje pro systémy, které jsou šifrovány pomocí Bitlocker – a jejichž klíče jsou na počítačích, které samy jsou touto chybou postiženy.
The New York Times uvedl několik velkých společností , včetně leteckých společností jako American, United a Delta, stejně jako Air France-KLM a Japan Airlines, které musely dočasně pozastavit svůj letový provoz. Několik zpravodajských společností jako TF1, Canal+ a Sky News také nebylo schopno udržet provoz. Odpovědná společnost, CrowdStrike, se nyní pokorně omluvila – a ztratila obrovské množství hodnoty na akciovém trhu. Právních důsledků se podle vlastních vyjádření nebojí – protože by byla podle obchodních podmínek vyloučena odpovědnost.
Today was not a security or cyber incident. Our customers remain fully protected.
We understand the gravity of the situation and are deeply sorry for the inconvenience and disruption. We are working with all impacted customers to ensure that systems are back up and they can…
— George Kurtz (@George_Kurtz) July 19, 2024
Příčinou globálních výpadků byla aktualizace konfigurace senzoru pro systémy Windows. Tento software zavedl chybu, která způsobila zhroucení postižených systémů s nechvalně známou „Windows Blue Screen of Death“. Poté, co nebyly zasaženy ruské systémy, někteří odborníci v prvních minutách šoku věřili v kybernetický útok. Ve skutečnosti Rusko kvůli válečným sankcím aktuálně nedostává žádné aktualizace softwaru – a bylo tedy „v bezpečí“.
Na počítačích, které nejsou specificky zašifrovány, lze chybu opravit ručně – což je katastrofa z hlediska nákladů a času. V registru“C:\Windows\System32\drivers\CrowdStrike\
Teoreticky by k takovým chybám nemělo docházet, pokud odpovědné společnosti pečlivě testují své aktualizace. Kromě toho existuje to, co každý administrátor od začátku svého školení v oblasti IT zná jako „běžící gag“: Aktualizace neinstalujete jen rychle v pátek. Před víkendem je to nejhorší možný čas, pokud si nejste jisti, že bude všude k dispozici dostatek personálu, který případné chyby opraví.
Aktualizace, kterou CrowdStrike nyní zpřístupnil, je zcela nesmyslná v tom, že dotčené systémy jsou ve stavu „selhání“, a proto nemohou načítat a instalovat aktualizace. Situace by byla zvláště problematická u systémů, které používají řešení „Bitlocker“ pro bezpečnostní šifrování. Na příslušných fórech se odpovědným doporučuje, aby se oběsili.
Techničtí analytici si nejsou zcela jisti , že CrowdStrike z toho vzejde bez právních dopadů. Například u Seekingalpha existuje podezření, že hodnota a finanční síla společnosti by mohla klesnout kvůli kompenzačním platbám nebo soudnímu řízení.
Globální výpadek IT způsobený chybnou aktualizací softwaru od CrowdStrike Holdings, Inc. bude mít pro společnost finanční důsledky. V současné době není možné přesně vyčíslit finanční dopad, kterému budeme čelit.
Dilantha De Silva, Seekingalpha.com
Fatální závislost prostřednictvím globálních sítí
Incident ukazuje vzájemnou závislost a zranitelnost světové počítačové infrastruktury. Pokud skutečně zákeřní hackeři zaútočí na systémy, které používá srovnatelný počet uživatelů – a do nich vloží škodlivý kód pomocí softwarové aktualizace – může se svět ponořit do naprostého chaosu. Velkým problémem je zde také používání operačních systémů Microsoft. Ty jsou používány většinou uživatelů kvůli jejich snadnému použití – ale jen zřídka jsou dostatečně chráněny před bezpečnostními riziky.
V tomto případě však bylo problémem samotné bezpečnostní řešení – zabezpečení by tedy kromě deaktivace automatických aktualizací nebylo vůbec možné. Ty jsou zase nezbytné k tomu, aby byly systémy vždy chráněny před nejnovějšími hrozbami – princip porovnejte s antivirovým softwarem, který je vždy potřeba aktualizovat. V tomto případě jde o začarovaný kruh, který ukazuje, jak rychle lze globálně propojený svět srazit na kolena.
Zajímavý je další bod. Na posledním Světovém ekonomickém fóru pořádaném Klausem Schwabem zazněla varování před katastrofálními selháními po počítačových virech a útocích hackerů. Společnost CrowdStrike je partnerem Světového ekonomického fóra a má udržovat příslušné technické zázemí na Ukrajině. Jméno společnosti se objevilo i ve skandálu se serverem DNC, kde Donald Trump oznámil, že dotyčné servery byly ukryty na Ukrajině, aby americkým úřadům ztížil přístup. Američtí demokraté tehdy tvrdili, že došlo k hackerským pokusům Rusů ovlivnit volby. Nakonec se ukázalo, že aféra byla PR trik demokratů, nikdy nebyly žádné důkazy o ruském útoku.
Mezi akcionáře CrowdStrike patří Blackrock (16,13 milionů akcií), Vanguard (16,06 milionů akcií), Stanley Morgan (5,79 milionů akcií), Jennison Associates (5,03 milionů akcií) a JP Morgan Chase & Company (4,26 milionů akcií). To ale nemusí znamenat nic velkého, protože těmto společnostem dnes stejně patří více než polovina světa. Stejně jako americká tajná služba, která tak okázale nedokázala ochránit Donalda Trumpa před zraky světa, se CrowdStrike zavázal k doktríně DEI – tedy preferovanému zaměstnávání „různorodých“ zaměstnanců.
Remember when Trump said Crowdstrike had the DNC server in Ukraine to hide it from the government? pic.twitter.com/9L7bxYGcUs
— 🇺🇸Travis🇺🇸 (@Travis_4_Trump) July 20, 2024
Omg. Crowdstrike CEO starts panicking and choking on his words when the media asks him why a single content update could shut down the entire system.
Look at how nervous this man is.
What is he hiding? pic.twitter.com/vUE94qP7dZ— Green Lives Matter (@Ultrafrog17) July 19, 2024
Everyone is talking about #Microsoft #Crowdstrike and forgot about this video of #WEF Klaus Schwab in 2020 openly telling the world that they are planning a world wide #Cyberattack to bring the entire globe to a complete stop.#India #America #Germany #Japan #Russia #Computer pic.twitter.com/J5WdGM6W2g
— pradhyumn sharma (@pradhyu78651514) July 19, 2024
Specialista na C++ podrobně vysvětluje, která chyba v aktualizaci vedla k fatálním pádům. Software se zjevně pokusil o přístup do chráněné oblasti paměti Windows. Potom se spustí vlastní zabezpečení systému Windows a zabrání tomuto přístupu. Programátor také zapomněl zahrnout některé bezpečnostní kontroly, které tomuto chování brání. Toto vysvětlení je o to podivnější, jak mohla taková chyba při povinném testování přehlédnout.
Crowdstrike Analysis:
It was a NULL pointer from the memory unsafe C++ language.
Since I am a professional C++ programmer, let me decode this stack trace dump for you. pic.twitter.com/uUkXB2A8rm
— Zach Vorhies / Google Whistleblower (@Perpetualmaniac) July 19, 2024
ZDROJ:
