Що насправді трапилось з CrowdStrike та які наслідки для світу
Перші блакитні «екрани смерті» з’явились на комп’ютерах та касах самообслуговування в Австралії 19 липня, а за кілька годин глобальний збій охопив 8,5 млн комп’ютерів та серверів і скасував кілька тисяч польотів. Розповідаємо, чому стався глобальний збій CrowdStrike, чому блакитні екрани з’явилися лише на комп’ютерах з операційною системою Windows та які наслідки явища.
Збій в оновленні CrowdStrike: що сталося
У п’ятницю люди по всьому світу побачили екран помилок, відомий як «синій екран смерті».
«Синій екран смерті» (BSoD, blue screen of death) — критична помилка на комп'ютерах із Windows, яка зупиняє всі операції та відображає повідомлення про помилку на синьому екрані. Це свідчить про збій системи, під час якого операційна система досягає критичного стану, коли вона більше не може працювати безпечно. Спричинити BSoD можуть апаратні збої, проблеми з драйвером пристрою або несподіване завершення важливого процесу.
Цього разу масові збої стала результатом оновлення продукту Falcon від CrowdStrike.
Falcon — платформа, призначена для припинення кіберзломів за допомоги хмарних технологій. CrowdStrike розробляє програмне забезпечення, яке допомагає компаніям виявляти та блокувати хакерські атаки. Його використовують багато компаній зі списку Fortune 500, зокрема світові банки, медичні та енергетичні компанії. CrowdStrike відома як компанія із захисту кінцевих точок, оскільки вона використовує хмарні технології для застосування кіберзахисту до пристроїв, підключених до інтернету.
Які компанії постраждали від збою через оновлення CrowdStrike
За даними Microsoft, від глобального збою через оновлення Falcon Sensor постраждали 8,5 млн пристроїв з Windows. Це менш як 1% усіх пристроїв із Microsoft, але постраждало чимало бізнесів та організацій.
Серед них системи охорони здоров’я кількох країн, McDonald's, служби доставки UPS і FedEx, чимало авіакомпаній (United Airlines, Delta Air Lines, American Airlines, Lufthansa та Ryanair), а ще кілька банків.
Серед українських сервісів наслідки збою відчули «Нова пошта», Vodafone та Sens Bank, хоча повідомили про відновлення роботи того самого дня.
Підписуйтеся на наші соцмережі
Проблеми призвели до того, що великі авіакомпанії у США призупинили роботу своїх флотів і працівників у Європі в банках, лікарнях та інших великих установах, які не змогли ввійти у свої системи. Швидко з’ясувалося, що все через один маленький файл.
Як стався збій та чому він був можливим
Захисне програмне забезпечення Falcon від CrowdStrike працює у Windows на рівні ядра, основної частини операційної системи, яка має необмежений доступ до системної пам’яті та обладнання. Більшість інших програм працюють у режимі користувача й не потребують спеціального доступу до ядра. Програмне забезпечення Falcon від CrowdStrike використовує спеціальний драйвер, який дозволяє йому працювати на нижчому рівні, ніж більшість програм, щоб воно могло виявляти загрози у системі Windows.
Доступ до ядра дає змогу драйверу створити проблему з пошкодженням пам’яті, що й сталося у п’ятницю вранці. Він намагався отримати доступ до деякої пам’яті, яка не була дійсною. В ядрі це спричинить помилку і призведе до збою системи.
CrowdStrike швидко помітив проблеми, але шкоди вже було завдано. Компанія випустила виправлення через 78 хвилин після виходу оригінального оновлення і намагалася відкотити систему.
Артем Кияниченко
Sales Manager з рішень кібербезпеки у BAKOTECHПостраждали ті замовники (компанії та користувачі), у яких налаштовані автоматичні оновлення CrowdStrike. Є компанії, що відтерміновують будь-які оновлення і чекають певний час. Якби клієнти зачекали 2-3 години, вони не потрапили б на цей збій. Однак варто зазначити, що ніхто нікого не попереджає про такі оновлення, бо це реліз.
Перевагою і водночас проблемою CrowdStrike є її висока ринкова впізнаваність та світове визнання — має понад 20 тис. передплатників по всьому світу, серед яких Microsoft та Amazon.
Утім будь-які інновації та нові продукти у сфері кібербезпеки мають бути детально відтестовані, перед тим як запустити їх у продуктивну мережу до замовників, які працюють на постійному потоці трафіку. В IT є таке поняття, як «зоопарк», або «зоопарк рішень». У вас може бути IT-мережа з 10 вендорів (продуктів), і передові рішення з кіберзахисту мають взаємодіяти та синхронізуватися з усім цим «зоопарком». Якщо якесь одне рішення не підтримає оновлення від передового вендора, вся система може дати збій.
У CrowdStrike дуже багато інтеграцій з різними рішеннями з кібербезпеки, тому що ендпоінт є фактично захистом кінцевого користувача. Це може бути ноутбук, макбук, сервер, на якому зберігається інформація. І рішення має синхронізуватися з різними операційними системами — Linux, UNIX, Windows, macOS. Ми розуміємо, що CrowdStrike відтестував інтеграцію з усім «зоопарком рішень», але десь прорахувався в інтеграції з Microsoft.
Розслідування інциденту з CrowdStrike триває, провідна теорія полягає в тому, що у драйвері, ймовірно, була помилка, яка деякий час була бездіяльною.
Як IT-адміністратори вирішували проблему глобального збою CrowdStrike
Коли причина помилки стала відомою, усунути її не було складним завданням. Потрібно було запустити Windows у безпечному режимі та видалити драйвер від CrowdStrike. Однак цей обхідний шлях потребує у більшості випадків фізичного доступу до машини. А у деяких середовищах це може ускладнитися шифруванням диска, наприклад BitLocker, або навіть відсутністю прав адміністратора, щоб мати можливість видалити несправний драйвер.
Інший варіант — дочекатися виправлення CrowdStrike, але отримати його було проблемою. Деякі ІТ-адміністратори просто знову і знову перезавантажують комп’ютери, сподіваючись, що оновлення CrowdStrike проштовхнеться через мережевий стек до того, як механізм захисту CrowdStrike ініціалізує систему, а потім покаже комп’ютеру BSOD.
Чому збій трапився лише на комп’ютерах на Windows
Досить стандартною практикою є поступове розгортання оновлень, що дозволяє розробникам перевірити наявність будь-яких серйозних проблем, перш ніж оновлення вразить всю базу користувачів. Якби CrowdStrike належним чином протестував свої оновлення вмісту з невеликою групою користувачів, то п’ятниця була б тривожним дзвінком для дрібної проблеми перед релізом, а не технічною катастрофою, яка охопила весь світ.
Проблема у доступі CrowdStrike до ядра оперативної системи, що забезпечує кращий захист користувачів. Теоретично Windows може заблокувати доступ до ядра, щоб сторонні драйвери не виводили з ладу весь ПК. Так, наприклад, зробила Apple у 2020 році. Microsoft намагалася зробити саме це з Windows Vista, але зустріла опір з боку постачальників кібербезпеки та регуляторів ЄС.
У 2006 році Microsoft намагалася впровадити у Windows Vista функцію, відому як PatchGuard, що обмежувала доступ третіх сторін до ядра. McAfee і Symantec, дві великі антивірусні компанії того часу, виступили проти змін Microsoft, і Symantec навіть поскаржилася в Європейську комісію.
У 2009 році Microsoft уклала угоду про взаємодію з Єврокомісією, яка була «публічною ініціативою», щоб дозволити розробникам отримати доступ до технічної документації для створення програм на основі Windows. Угода була частиною договору, який містив впровадження екрана вибору браузера в Windows і пропонування спеціальних версій Windows без Internet Explorer, доданого в ОС.
Угода про те, щоб змусити Microsoft пропонувати вибір браузерів, завершилася через п’ять років у 2014 році, і Microsoft також припинила виробництво своїх спеціальних версій Windows для Європи. Тепер Microsoft інтегрує свій браузер Edge у Windows 11, що не заперечується європейськими регуляторами.
Водночас Європейська комісія стверджує, що це не стримує Microsoft від безпекових рішень, а також заявляє, що компанія не мала жодних питань з безпеки до комісії ані щодо недавнього інциденту, ані після.
Наслідки збою CrowdStrike для компанії та світової економіки
За оцінками аналітичної компанії Gartner, частка доходів CrowdStrike на глобальному ринку корпоративної безпеки більш ніж удвічі перевищує частку його трьох найближчих конкурентів: Trellix, Trend Micro і Sophos.
CrowdStrike, заснована у 2011 році, згодом заявила про хвилю попиту, після того як на початку 2024-го Microsoft заявила, що її системи були зламані хакерами інших держав. У травні компанія випустила продукт, призначений для роботи разом з інструментом антивірусного захисту Microsoft Defender.
У день збою виконавчий директор Джордж Куртц вибачився перед клієнтами CrowdStrike та підкреслив, що інцидент не був кібератакою, наполягаючи на тому, що клієнти CrowdStrike залишаються повністю захищеними.
За останні п’ять днів акції компанії упали на 27%. Але через нетривалий час збою та малий відсоток уражених серверів вплив на глобальну економіку був незначним.