Gigantikus IT-leállás 2024-ben: kiderült, így bénította meg valójában egyetlen frissítés a világot

Soha nem volt akkora leállás az IT-rendszerekben, mint amit a héten a CrowdStrike frissítés okozott a Windows rendszereiben. A lap emlékeztetett a 2003-as Slammer féregre, az Oroszország által Ukrajnában végrehajtott NotPetya kibertámadásra vagy az észak-koreai WannaCry zsarolóprogramra. Azonban a jelenlegi digitális katasztrófát nem hackerek által kibocsátott rosszindulatú kód, hanem éppen ellenkezőleg, egy biztonsági szoftver frissítése okozta - írják.

A CrowdStrike nevű kiberbiztonsági vállalat egyik szoftverfrissítése véletlenül világszerte megzavarta az informatikai rendszereket. Két internetes infrastruktúra-katasztrófa ütközött össze pénteken, ami repülőtereken, vasúti rendszerekben, bankokban és még sok más helyen okozott fennakadásokat, ahogy arról lapunk is beszámolt. Csütörtök este a Microsoft Azure felhőplatformja széles körű leállást szenvedett el. Péntek reggelre pedig a CrowdStrike hibás szoftverfrissítése miatt Windows számítógépek milliói kerültek újraindítási spirálba.

A probléma forrása egy hibás kód volt, amelyet a CrowdStrike Falcon felügyeleti termékének frissítéseként terjesztettek ki. Ez lényegében egy vírusirtó platform, amely mély rendszereléréssel fut laptopokon, szervereken és útválasztókon, hogy felismerje a rosszindulatú szoftvereket és gyanús tevékenységeket. Az ilyen mély hozzáférés azonban azt jelenti, hogy ha valami rosszul sül el, az egész rendszer összeomolhat.

Mikko Hyppönen, a WithSecure kiberbiztonsági vállalat kutatási igazgatója szerint ez "a történelem legnagyobb esete". A CrowdStrike ügyvezető igazgatója, George Kurtz elmondta az eset kapcsán, hogy azonosították és elkülönítették a problémát, valamint bevetették a javítást. Hangsúlyozta továbbá, hogy nem kibertámadásról van szó. Az érintett gépeket azonban manuálisan kell újraindítani és javítani.

Costin Raiu szerint azonban még ennek a magyarázatnak ellenére is meglepő, hogy egy kernel vezérlő frissítése ekkora globális számítógépes összeomlást tud okozni. Raiu korábban 23 éven keresztül dolgozott a Kaspersky orosz biztonsági szoftvercégénél, és vezette annak fenyegetéselhárítási csapatát. A Kasperskynál töltött évei alatt a Windows szoftverekhez tartozó vezérlő frissítéseket alaposan ellenőrizték és hetekig tesztelték, mielőtt kiadták volna azokat.

Sőt, a kód ellenőrzése és annak kriptografikus aláírása kötelezte a Microsoft is - ez arra utal, hogy a Microsoft is könnyen elkerülhette a CrowdStrike Falcon vezérlőjében kiváltó hibát. A szakértő szerint meglepő, hogy ennyi biztontonsági előírás ellenére megtörtént a tegnapi világméretű kékhalál. „Egy egyszerű vezérlő mindent le tud dönteni. Ezt láttuk itt” - mondja Raiu. 

A Microsoft szóvivője elmondta a WIRED-nek, hogy a "CrowdStrike frissítés felelős volt több IT rendszer globális leállításáért", és hozzátette, hogy "a Microsoft nem felügyeli a CrowdStrike által a rendszereiben végrehajtott frissítéseket". Arra nem adtak magyarázatot, hogyhogy nem ellenőrzi a Microsoft a kernel vezérlő frissítéseket.

Raiu emlékeztetett, hogy máskor voltak már hasonló esetek és hogy nem egyetlen cég kezében van a globális kibervédelem. A feladatok megoszlanak különböző kibervédelmi vállalatok között. „Minden biztonsági megoldásnak vannak saját Crowdstrike pillanatai” - mondja Raiu. „Ez nem újdonság, de az esemény mérete igen.”

Azt írják, a katasztrofális helyzet tükrözi az internet törékenységét és mély összefonódottságát. Számos biztonsági szakember elmondta a lapnak, hogy előre láthatók voltak az esetleges összeomlás jelei és azon dolgoztak ügyfeleikkel, hogy minél jobb védelmet építsenek ki ez ellen a hiba ellen: amikor a védelmi rendszer maga okoz leállást.