Pogrešna softverska nadogradnja koju je izdao bezbednosni gigant CrowdStrike dovela je do masovnog prekida rada Windows računara širom sveta, i ozbiljno omela poslovanje aerodroma, železničkih stanica, banaka, emitera i zdravstvenog sektora.
CrowdStrike je saopštio da prekid rada nije prouzrokovan sajber napadom, već je rezultat "kvara" u softverskoj nadogradnji za njegov vodeći bezbednosni proizvod, Falcon Sensor, a kvar je izazvao pad svih Windows računara na kojima je instaliran Falcon.
Ukoliko ne radite u IT ili sajber bezbednosnom svetu, male su šanse da ste čuli za ovu kompaniju ranije. Ali ako smo nešto naučili iz svega ovoga, to je da čak i naizgled mala greška može imati ogroman uticaj na celokupnu infrastrukturu modernog života.
Šta je CrowdStrike?
CrowdStrike je firma za sajber bezbednost osnovana 2011. godine u Teksasu. Ona tehnološkim gigantima nudi rešenja za onlajn bezbednost zasnovana na cloudu kao što su Amazonov AWS, aviokompanijama i bankama.
CrowdStrike je takođe kompanija zasnovana na cloud tehnologiji koja upravlja zaštitom krajnjih tačaka, antivirusnim sposobnostima, praćenjem u realnom vremenu i detekcijom pretnji kako bi se izbegao neovlašćeni pristup zaštićenim sistemima kompanije — sa posebno naznačenim ciljem zaštite svojih korisnika od hakera i bezbednosnih proboja. Pritom, kompanija ima popriličnu zavidnu reputaciju u industriji.
Do 2017. godine, CrowdStrike je bio vrednovan na preko milijardu dolara, a tu je i impresivna lista korisnika, od kojih je 500 na listi Fortune 1000 najbogatijih i najvećih kompanija. Takođe, CrowdStrike posluje u preko 170 zemalja, ostvarujući preko 900 miliona dolara prihoda sa preko 29.000 korisnika.
Jedna od najvećih nedavnih tvrdnji kompanije o svojoj uspešnosti bila je kada je uhvatila grupu ruskih državnih hakera kako provaljuju u Nacionalni komitet Demokratske stranke pre predsedničkih izbora u SAD 2016. godine. CrowdStrike je takođe poznat po korišćenju nezaboravnih imena inspirisanih životinjama za grupe hakera koje prati na osnovu njihove nacionalnosti, kao što su: Fancy Bear, za koju se veruje da je deo Glavne obaveštajne uprave ruskog Generalštaba, ili GRU; Cozy Bear, za koju se veruje da je deo ruske Spoljne obaveštajne službe, ili SVR; Gothic Panda, za koju se veruje da je kineska državna grupa; i Charming Kitten, za koju se veruje da je iranska grupa podržana od strane države. Kompanija čak pravi i akcione figure koje predstavljaju ove grupe, koje prodaje kao promotivni materijal.
Poenta je da je CrowdStrike veliki igrač, što objašnjava kako je njegova greška imala tako široke posledice. A sada je odgovoran za zaustavljanje legija Windows računara i industrija sa izdavanjem pogrešne nadogradnje.
Šta se zaista dogodilo?
U suštini, CrowdStrike je odgovoran za pogrešan kod koji je ometao osnovne funkcije na pogođenim Windows računarima, prikazujući poruku: "Vaš PC je naišao na problem i mora se restartovati”.
Problem je bio u Falcon platformi kompanije. Ovaj softver sprečava proboje kombinovanjem tehnologija koje se isporučuju putem clouda kako bi se sprečili svi tipovi napada.
To je rešenje 100% zasnovano na cloud tehnologiji koje nudi onlajn zaštitu od malvera, virusa i sajber pretnji. U pitanju softverski alat koji radi kompatibilno sa klasičnim antivirusnim softverom na desktop računaru, a monumentalna greška u izdatoj nadogradnji je karika u lancu koja je zaustavila svet.
CEO CrowdStrike-a, George Kurtz, kaže da ovo nije rezultat bezbednosnog ili sajber incidenta. A u postu na društvenoj mreži X napisao je: "Razumemo ozbiljnost situacije i duboko nam je žao zbog neugodnosti i prekida. Radimo sa svim pogođenim korisnicima kako bismo osigurali da svi sistemi ponovo budu funkcionalni i nastave da isporučuju usluge na koje njihovi korisnici računaju".
Pogođene kompanije kao što je Microsoft su izjavile da su rešile problem i oporavile Microsoft 365 usluge i aplikacije. Međutim, nastaviće da prate problem.
Kako pogođeni korisnici mogu da poprave svoje Windows računare?
Glavni problem je što je softver CrowdStrikeovog Falcon Sensora imao kvar, uzrokujući pad Windows računara, a ne postoji jednostavan način da se to popravi.
Do sada je CrowdStrike izdao patch i takođe je detaljno opisao privremeno rešenje koje bi moglo da pomogne pogođenim sistemima da funkcionišu normalno dok se ne pronađe trajno rešenje.
Jedna opcija za korisnike je da "ponovo pokrenu [pogođeni računar] kako bi mu pružili priliku da preuzme vraćeni fajl," misleći na ispravljeni fajl. U poruci korisnicima, CrowdStrike je detaljno opisao nekoliko koraka koje korisnici mogu preduzeti, od kojih jedan zahteva fizički pristup pogođenom sistemu kako bi se uklonio neispravan fajl.
CrowdStrike kaže da korisnici treba da pokrenu računar u Safe Modu ili Windows Recovery Environmentu, navigiraju do CrowdStrike direktorijuma i obrišu neispravan fajl "C-00000291.sys."*
Širi problem sa ručnim popravljanjem fajla mogao bi biti veliki problem za kompanije i organizacije sa velikim brojem računara ili Windows servera u data centrima ili lokacijama koje se mogu nalaziti u drugom regionu ili potpuno drugoj zemlji.
Šta se dešava dalje?
Dok svet pokušava da se vrati online, možemo da očekujemo i širi uticaj prekida.
Poznati sajt za digitalnu tehnologiju Tom's Hardware napominje da je tržišna vrednost CrowdStrike-a već pala za 12,5 milijardi dolara.
Pojedini stručnjaci tvrde da će biti pravnih postupaka i mogućih budućih sajber bezbednosnih rizika.
Stručnjak za sajberbezbednost, Martin Greenfield, CEO bezbednosne kompanije Quod Orbis, smatra da kompanije moraju da shvate koliko je globalni IT sistem postao međusobno povezan.
"Kompanije moraju da sprovedu temeljne procene rizika, ne samo svojih sistema, već čitavog lanca snabdevanja i zavisnosti od trećih strana. Ovaj incident pokazuje kako jedna tačka kvara može imati dalekosežne posledice u različitim sektorima i geografijama”, objašnjava Greenfield.
Kompanije će bez sumnje dodatno utegnuti svoju IT infrastrukturu nakon ovih događaja, a firme za sajber bezbednost (slično kao CrowdStrike) će biti željne da uskoče i pomognu.
Bez obzira na sve što će se desiti u budućnosti sa bezbednosnog aspekta, ovaj incident pokazao je celoj industriji da njeni tehnički procesi i radni tokovi možda imaju više slabosti nego što se prethodno pretpostavljalo.
7 komentara