Már most minden idők egyik legnagyobb informatikai kimaradásaként tartják számon a CrowdStrike nevű kiberbiztonsági cég által okozott globális leállást, melynek eredményeként július 19-én világszerte rengeteg számítógépen jelentkezett a kék halál, vagyis a Blue Screens of Death (BSOD).

A cég Falcon Sensor nevű termékével kapcsolatos hiba számos banki szolgáltatót, és a komplett légiközlekedési szektort megbénította, az pedig már csak hab a tortán, hogy az információáramlás is sok helyen akadozott: több tévétársaság egyszerűen nem tudta sugározni az adását a nap korai óráiban. Emellett a tömegközlekedés és az egészségügyi szolgáltatások is akadoznak több országban: Angliában a gyógyszerkiadást, Németországban a nem életmentő műtéteket állították le.

A hiba feltűnésének reggelén még úgy tűnt, hogy a Microsoftnál lehet a gond, viszont hamar kiderült, hogy a CrowdStrike nevű kiberbiztonsági cég okozta a bajt.

A vállalat kiadott egy hibás frissítést, ami több ezer windowsos PC-t és szervert bénított meg. A hiábát hiába realizálték gyorsan, és hívték vissza a problémás frissítést, az ekkor már érintett gépeken ez nem segített, a cég pedig csak korlátozottan működőképes, tüneti kezelést biztosító megoldást tudott nyújtani a problémára.

Na de mi ez a szoftver, és mi ez a vállalat, amelyről sokan még az életükben nem hallottak, mégis – ironikus módon – kibervédelmi szereplőként sikerült megközelíteni a 2017-es WannaCry, majd a NotPetya nevű zsarolóvírusok által okozott globális fennakadás szintjét? Szakértő segítéségével azt is megpróbáltuk megállapítani, hogyan lehetséges, hogy egyetlen szoftver hibája több milliárd ember életére van kihatással.

Bemutatkozik a CrowdStrike

A 2011-ben alapított texasi székhelyű kiberbiztonsági vállalatnak nem ez élete legjobb napja, ugyanis a világ IT-rendszereinek megbénítása a cég részvényeinek jelentős mértékű bezuhanását hozta magával. A vállalat fő szolgáltatása, a most hibás frissítéssel ellátott Falcon platform tulajdonképpen egy kibervédelmi szoftvercsomag, amelynek számos komponense van.

A platform többek közt végpontok közötti védelemmel, fenyegetések elhárításával és a kibertámadásokra való reagálással kapcsolatos szolgáltatásokat biztosít.

Felmerül persze a kérdés: hogy kapcsolódik ez az egész a Microsofthoz?

Makay József, a Makay Kiberbiztonsági Kft. ügyvezetője lapunknak elmondta, hogy a cég olyan technológiákat forgalmaz és gyárt, ami megerősíti a Windows operációs rendszerének és szervereinek védelmét. Mivel az elmúlt évek során a CrowdStrike-nak sikerült nagyon nagy szeletet kihasítania a piacból – több mint 24 ezer ügyfelük van világszerte –, nagyon sok olyan óriásvállalat akad, ami a cég fejlesztését használja.

Mivel az érintett Falcon Sensor szoftvernek mély hozzáférése van az operációs rendszer erőforrásaihoz, ha a védelmi technológiában valamilyen hiba merül fel, az kihat az operációs rendszerre is, ahogyan az jelenleg is történt. Ennek köszönhető, hogy a CrowdStrike frissítésébe került hibára a Windows kék halállal reagált.

Mit lehet tenni a hiba javításáig?

A CrowdStrike viszonylag gyorsan elkezdett dolgozni a Microsofttal a hiba megoldásán, ezzel párhuzamosan pedig tüneti kezelési módokat is bejelentettek. Brody Nisbet, a CrowdStrike szakértője szerint átmeneti megoldásként érdemes kipróbálni a Windows gépek biztonságos módban történő újraindítását, majd megkeresni a CrowdStrike eszközmeghajtónak a fájljait, és kitörölni azokat a System32 mappából. Ezt követően már normál módban is el lehet majd indítani a gépet.

There is a faulty channel file, so not quite an update.

There is a workaround…
1. Boot Windows into Safe Mode or WRE.
2. Go to C:\Windows\System32\drivers\CrowdStrike
3. Locate and delete file matching “C-00000291*.sys”
4. Boot normally.

1/2

— Brody (@brody_n77) July 19, 2024

Makay elmondása szerint ezzel a megoldással azért akad probléma: felmerül például a kérdés, hogy milyen hatást gyakorol az operációs rendszer későbbi működésére. A szakember ugyanakkor jelezte, jelenleg akkora a baj, hogy a cégek örülnek, ha egyáltalán elindulnak a rendszerek, még ha csak csökkentett védelemmel is.

Több helyről jelezték ugyanakkor, hogy ez a megoldás nem működik, ám a szakember szerint nagy valószínűséggel csak hibás kivitelezésről lehet szó.

A dolog annyira friss, hogy gyors javításként működhet ez, de hogy pontosan honnan ered a probléma, sejtésem szerint még a CrowdStrike-nál sem tudják pontosan.

– mondta Makay.

Vannak tanulságok

Kevin Beaumont kiberbiztonsági kutató a Wired-nek nyilatkozva jelezte, a CrowdStrike eredeti, hibás frissítésével az volt a probléma, hogy nem volt megfelelően formázva, emiatt pedig minden alkalommal összeomlott a Windows. A problémát tovább tetézte, hogy a cégnél jelenleg nincs automatizált módszer a problémák megoldására.

Makay szerint egy ideális világban minden frissítést hosszas tesztelésnek vetnek alá, de ahogy azt a Microsoft esetében is gyakran látni, olykor előfordul, hogy olyan frissítést élesítenek, ami hazavágja az operációs rendszert – nagy valószínűséggel ebbe futott bele most a CrowdStrike is.

A szakértő szerint a hiba minden bizonnyal arra fogja ösztönzöni a cégeket, hogy még jobban odafigyeljenek: hogyha már egy ennyire nagy kiterjedésű, sok entitás, sok céget érintő frissítést adnak ki, akkor azt megfelelően ellenőrizzék és teszteljék előtte.

Az sem elhanyagolható szempont, hogy ha más nem, legalább a legnagyobb, több millió ember életére kihatással lévő ügyfeleikkel teszteljék le a frissítést valamilyen tesztkörnyezetben

– mondta a kiberbiztonsági szakértő, hozzátéve, hogy az is hozzájárulhatott a villámgyorsan elharapódzó globális problémához, hogy a CrowdStrike saját tesztjein minden rendben volt, és a hibák csak akkor jöttek elő, mikor a frissítés más környezetbe került. Makay ezért azt ajánlja, hogy a cégeknek a védelmi rendszereik frissítésének telepítése előtt várják ki legalább a kockázatarányos időintervallumot.

Kapcsolódó Világszerte káoszt okoz egy informatikai hiba, a magyarokat is érinti A meghibásodás világszerte számos országban felütötte a fejét, a magyarokat is érintheti.

The post Egyetlen szoftverfrissítés elég volt, hogy káosz söpörjön végig a Földön first appeared on 24.hu.