Навколо масштабного збою в системі Windows 19 липня ходить чимало билин. І якщо одні з них мають місце бути, то інші змусили фахівців із кібербезпеки декілька разів від душі посміхнутися. Тож що сталося насправді?
19 липня користувачі з усього світу зазнали масштабного збою комп’ютерів, що працюють на операційній системі Windows. Спроба завантаження персональних комп’ютерів призводила до «синього екрана смерті», також відомого як BSOD. Першими про несправності повідомили авіакомпанії, фінансові установи, оператори мобільного зв’язку тощо.
Географія проблеми виявилася й зовсім всеосяжною — збоїв зазнав увесь світ. Так Федеральне управління цивільної авіації США вийшли з комунікацією до громадян, що рейси декількох авіакомпаній, серед яких Delta, United і American Airlines, скасовані через «проблеми зі зв’язком».
Винятком не стала й Україна: про відмову в обслуговуванні у зв’язку з технічними несправностями повідомили поштовий сервіс «Нова Пошта», другий в Україні мобільний оператор Vodafone, банки Sense Bank і Monobank, хоча останній цього не афішував.
Причини збоїв
Вважалося, що причиною цього величезного хаосу стало оновлення антивірусного програмного забезпечення Falcon Sensor, яке компанія CrowdStrike випустила того ранку.
Точно не претендую на роль експерта з кібербезпеки, але чи думали ви: «А як тисячі клієнти одразу перейшли на оновлену версію в той же день? Чи оновлення пройшло автоматично й у клієнтів не було навіть права на вибір?». Що ж, остання здогадка майже містить сенс.
Чому збій відбувся лише на пристроях з ОС Windows?
У 2009 році між корпорацією Microsoft і Єврокомісією було укладено угоду, за якою розробникам сторонніх безпекових програм надається той доступ до Windows, який мають її власні програми безпеки. Тобто, прямий доступ до ядра операційної системи. То, бачте, боротьба з монополією.
2020 року Apple проінформувала сторонніх розробників про те, що більше не надаватиме їм доступ до MacOS на рівні ядра, а лише за власним АРІ. За цим принципом працює й операційна система Linux.
Уже здогадуєтеся, у чому була справа?
Як оновлення пройшло без відома користувачів
Більше подробиць до приголомшливого технічного збою, який показав, наскільки сучасний світ залежить від інформаційних технологій, додав Юрій Гатупов, Chief Technology Officer в iIT Distribution, дистриб’юторі продуктів CrowdStrike в Україні.
За його словами, останнє оновлення програмного забезпечення Falcon Sensor відбулося за два дні до перших повідомлень про збої. Відповідно, це оновлення не було причиною несправності.
Оновлення, яке призвело до синього екрана смерті тисяч користувачів, стосувалося файлу з інструкціями для драйвера, які працюють на рівні ядра для збору телеметрії. Цей файл надсилається користувачам, коли антивірусне забезпечення виявляє загрозу. 19 липня файл містив неліквідні адреси. Ця інструкція й стала «вбивцею»: чи то комп’ютерів, чи то репутації CrowdStrike.
Модифікований файл з інструкціями для драйвера надсилається усім клієнтам, які перебувають у мережі, примусово, тож користувачі позбавлені контролю над цим оновленням.
Свого часу CrowdStrike стала першою компанією, яка стала автором ідеї й реалізації EDR — технології кібербезпеки, яка відстежує кінцеві точки на наявність загроз і працює над їх усуненням. Тепер ця технологія використовується майже в кожному антивірусному забезпеченні. Маємо надію, що інші виробники, як і сама компанія CrowdStrike, зроблять висновки й вживуть відповідних заходів для забезпечення безпеки своїх клієнтів.
Дбайте про свою безпеку й безпеку своїх пристроїв!
Аліна Тельнова