Το παγκόσμιο σοκ που προκάλεσε η κατάρρευση σε ηλεκτρονικά συστήματα, μετά από μια ελαττωματική αναβάθμιση του λογισμικού της εταιρείας κυβερνοασφάλειας, CrowdStrike έχει θορυβήσει τους ειδικούς.
Παγκόσμιες τράπεζες, αεροπορικές εταιρείες, νοσοκομεία και κυβερνητικά γραφεία υπέστησαν ένα ψηφιακό μπλακ άουτ. Οι ειδικοί μιλούν για την «πιο σοβαρή βλάβη Πληροφορικής που έχει δει ποτέ ο κόσμος».
Οι εμπειρογνώμονες ασφαλείας δήλωσαν ότι η αναβάθμιση ρουτίνας της CrowdStrike, του ευρέως χρησιμοποιούμενου λογισμικού κυβερνοασφάλειας, η οποία προκάλεσε τη συντριβή των συστημάτων υπολογιστών των πελατών της σε παγκόσμιο επίπεδο την Παρασκευή, προφανώς δεν υποβλήθηκε σε επαρκείς ελέγχους ποιότητας πριν αναπτυχθεί.
Ένας ελαττωματικός κώδικας οδήγησε σε ψηφιακό χάος
Η τελευταία έκδοση του λογισμικού της Falcon Sensor είχε ως στόχο να καταστήσει τα συστήματα των πελατών της CrowdStrike πιο ασφαλή έναντι της πειρατείας, ενημερώνοντας τις απειλές από τις οποίες αμύνεται. Αλλά ο ελαττωματικός κώδικας στα αρχεία ενημέρωσης είχε ως αποτέλεσμα μία από τις πιο εκτεταμένες τεχνολογικές διακοπές των τελευταίων ετών για τις εταιρείες που χρησιμοποιούν το λειτουργικό σύστημα Windows της Microsoft
Η CrowdStrike δημοσίευσε πληροφορίες για τη διόρθωση των επηρεαζόμενων συστημάτων, αλλά οι ειδικοί δήλωσαν ότι η επαναφορά τους σε λειτουργία θα πάρει χρόνο, καθώς απαιτείται ακόμα και «χειροκίνητη» απομάκρυνση του ελαττωματικού κώδικα, δηλαδή χωρίς μια κεντρική εντολή εξ αποστάσεως.
«Αυτό που φαίνεται είναι ότι, ενδεχομένως, κατά τον έλεγχο που κάνουν όταν εξετάζουν τον κώδικα που πρόκειται να εισάγουν στα συστήματα, ίσως με κάποιο τρόπο αυτό το αρχείο δεν συμπεριλήφθηκε σε αυτό», είπε μεταξύ άλλων ο Steve Cobb, επικεφαλής ασφαλείας της Security Scorecard, η οποία είχε επίσης κάποια συστήματά της που επηρεάστηκαν από το πρόβλημα, σύμφωνα με όσα μετέδωσε το Reuters.
Τα προβλήματα ήρθαν στο φως γρήγορα μετά την κυκλοφορία της αναβάθμισης του λογισμικού την Παρασκευή και οι χρήστες δημοσίευσαν στα μέσα κοινωνικής δικτύωσης φωτογραφίες υπολογιστών με μπλε οθόνες που εμφάνιζαν μηνύματα σφάλματος. Αυτά είναι γνωστά στον κλάδο ως «μπλε οθόνες θανάτου».
Δεν έγιναν οι απαραίτητοι έλεγχοι
Ο Patrick Wardle, ερευνητής ασφαλείας που ειδικεύεται στη μελέτη απειλών κατά λειτουργικών συστημάτων, δήλωσε ότι η ανάλυσή του εντόπισε τον κώδικα που ευθύνεται για τη διακοπή λειτουργίας. Το πρόβλημα της αναβάθμισης ήταν «σε ένα αρχείο που περιέχει είτε πληροφορίες διαμόρφωσης είτε υπογραφές», είπε. Τέτοιες ψηφιακές υπογραφές είναι κώδικες που ανιχνεύει συγκεκριμένους τύπους κακόβουλου κώδικα ή κακόβουλου λογισμικού.
«Είναι πολύ συνηθισμένο τα προϊόντα ασφαλείας να ενημερώνουν τις υπογραφές τους, όπως μία φορά την ημέρα… επειδή παρακολουθούν συνεχώς για νέο κακόβουλο λογισμικό και επειδή θέλουν να διασφαλίσουν ότι οι πελάτες τους προστατεύονται από τις πιο πρόσφατες απειλές», δήλωσε.
Η συχνότητα των ενημερώσεων «είναι πιθανώς ο λόγος για τον οποίο (η CrowdStrike) δεν το δοκίμασε τόσο πολύ», είπε.
Δεν είναι σαφές πώς ο ελαττωματικός αυτός κώδικας μπήκε στην διαδικασία αναβάθμισης και γιατί δεν εντοπίστηκε πριν κυκλοφορήσει στους πελάτες. «Ιδανικά, αυτό θα έπρεπε να είχε κυκλοφορήσει πρώτα σε μια περιορισμένη ομάδα», δήλωσε ο John Hammond, κύριος ερευνητής ασφάλειας στην Huntress Labs.
«Αυτή είναι μια ασφαλέστερη προσέγγιση για να αποφευχθεί ένα μεγάλο χάος όπως αυτό».
Η κυριαρχία της CrowdStrike σε εταιρείες και οργανισμούς
Άλλες εταιρείες ασφαλείας είχαν παρόμοια επεισόδια στο παρελθόν. Μια προβληματική ενημέρωση antivirus της McAfee το 2010 ακινητοποίησε εκατοντάδες χιλιάδες υπολογιστές.
Αλλά ο παγκόσμιος αντίκτυπος της χθεσινής κατάρρευσης στα συστήματα της Microsoft που συνδέονταν με αυτό το λογισμικό κυβερνοασφάλειας αντικατοπτρίζει την κυριαρχία της CrowdStrike.
Πάνω από τις μισές εταιρείες του Fortune 500 (σ.σ. ετήσια λίστα του περιοδικού Fortune που κατατάσσει τις 500 από τις μεγαλύτερες εταιρείες των Ηνωμένων Πολιτειών με βάση τα συνολικά έσοδα για τα αντίστοιχα οικονομικά έτη) και πολλοί κυβερνητικοί φορείς, όπως η ίδια η κορυφαία αμερικανική υπηρεσία κυβερνοασφάλειας, η Cybersecurity and Infrastructure Security Agency, χρησιμοποιούν το λογισμικό της εταιρείας.