Неотдавнашният провал на CrowdStrike с Windows със сигурност ще заеме видно място в летописа на епичните технологични провали. На 19 юли гигантът в областта на киберсигурността постигна това, за което легиони хакери могат само да мечтаят – постави на колене милиони системи Windows по света с една-единствена грешна актуализация.
Като ветеран в технологичната журналистика съм виждал своя дял от софтуерни гафове. По дяволите, през 1988 г., когато бях системен администратор, се сблъсках с дядото на всички мрежови взривове – червея Morris. Въпреки това не мога да не се възхитя от мащаба и въздействието на тази грешка. CrowdStrike, компания, оценявана на над 70 милиарда долара, на която безброй организации се доверяват, за да защитават цифровите си активи, по невнимание стана източник на един от най-големите ИТ сривове в историята.
Последиците от този провал бяха зашеметяващи – хиляди отменени полети, прекъснати здравни услуги и изключени системи за спешна помощ. Това е сериозно напомняне за това колко дълбоко е преплетена нашата цифрова инфраструктура и колко уязвима може да бъде тя от една единствена точка на срив.
Нека да разгледаме каскадата от грешки, които доведоха до това фиаско.
В началото Microsoft разреши на софтуера за сигурност Falcon на CrowdStrike да работи на ниско ниво с ядрото на Windows. Всеки проблем на това ниско ниво вероятно ще предизвика син екран на смъртта (BSOD). Междувременно Microsoft уж иска да обвини Европейската комисия – не, наистина – за това, че е поискала от нея да предостави на доставчиците на софтуер от трети страни това ниво на достъп.
Знаете ли, мисля, че с всички разработчици и адвокати на Microsoft биха могли да измислят по-добър, законен начин да избегнат подобен вид гафове и да позволят на софтуерните компании да се конкурират равноправно. Това не е ракетна наука.
Майкрософт не иска да носи никаква вина, но заслужава част от нея. Твърде дълго време ние слагахме твърде много важни ИТ яйца в кошницата на Windows. Когато тази кошница падне, пада и голяма част от икономиката.
Връщайки се към CrowdStrike, компанията твърди, че „логическа грешка“ в рутинна актуализация на конфигурацията на сензора е причинила срива. Но за компания от калибъра на CrowdStrike подобна фундаментална грешка е непростима. Това не е някакъв неясен краен случай – това е критичен провал в основната ѝ функционалност.
Това дори не беше проблем с кода. Това не беше актуализация на софтуера сама по себе си. Злодеят на тази част беше конфигурационен файл на Falcon, наречен канален файл. Един прост файл, който трябваше да съдържа данни за актуализиране на настройка за сигурност, в крайна сметка предизвика каскада от един BSOD след друг.
Как такъв катастрофален бъг е преминал през проверката на качеството? CrowdStrike призна: „Поради грешка в Content Validator една от двете Template Instances премина валидирането, въпреки че съдържаше проблемни данни за съдържанието [и] беше внедрена в производството.“ Когато софтуерът ви има дълбоки връзки с милиони системи Windows, тестването ви трябва да е непробиваемо. Очевидно е, че протоколите за тестване на CrowdStrike се нуждаят от мащабна промяна.
Също така вече знаем, както посочи експертът по сигурността Кевин Бомонт в Mastodon: „Ключовият извод – в момента актуализациите на каналите се разгръщат глобално и незабавно.“ Винаги изпращам големи пачове на всички мои клиенти едновременно и изчаквам да видя какво ще се случи по-нататък. Дали всички не го правят? Кои са тези хора и защо някой им позволява да се занимават със сигурност?
Има една проста концепция, наречена тестване на канарчета. Може би сте чували за нея. Подобно на прословутото канарче в каменовъглена мина, първо проверявате дали едно ново пространство – или програма – е безопасно, като го изпробвате върху едно канарче – или малка група потребители – и след това, ако всичко е наред, пускате всички останали.
Нека не забравяме, че първоначалната реакция на CrowdStrike беше бавна и неадекватна. Потребителите бяха оставени да търсят отговори, докато критичната инфраструктура се сриваше. Дори днес, почти седмица по-късно, все още имам приятели, които имат проблеми с полетите си в Delta.
Това е отрезвяващ сигнал за събуждане за всички нас в технологичната индустрия. Докато бързаме да защитим системите си от външни заплахи, не трябва да пренебрегваме потенциала за самонараняване. Строгите тестове, механизмите за безопасност и здравословната доза смирение са от съществено значение при работата с критични системи.
В крайна сметка фиаското на CrowdStrike с Windows е учебникарски пример за закона на Мърфи в действие – всичко, което може да се обърка, ще се обърка. Това е болезнен урок, но е добре всички да се поучим от него. В края на краищата, в областта на киберсигурността следващата голяма заплаха може да е само на една актуализация разстояние.
