CrowdStrike katastrofa
Jedna od najvećih američkih kompanija za razvoj softvera sajber-bezbednosti CrowdStrike je 19. jula 2024. onemogućila pristup na oko 8.5 miliona Windows 10 i 11 radnih stanica i servera. Ovo čini ovaj događaj najvećim urušavanjem informacionih sistema ikada.
Šta se dogodilo?
Spornog dana američka kompanije je “pustila” ažuriranu verziju koji je sve Windows mašine koje se štite ovim softverom uvela u tzv. BSOD ili “Blue Screen Of Death”. Korisnici bi nakon svakog restartovanja računara došli u istu situaciju i naizgled je delovalo kao da je pristup računarima trajno onemogućen.
Ko je sve bio pogođen ovim incidentom?
Mnoge velike i važne kompanije i javni servisi su pogođeni ovim incidentom: avio-kompanije, vladine agencije, bolnice, banke, železnice, i svi oni koji koriste CrowdStrike na Windows računarima. Nije bilo moguće izdavanje avionskih karata pa su letovi otkazivani. Sistemi zdravstvene zaštite su zakazali pa su neki pacijenti ostali bez tretmana. Na kraju, milioni ljudi su došli u svoje kancelarije, pokrenuli svoje računare i imali su šta da vide. Većina velikih sistema su očekivano pretpostavili da se radi o sajber napadu. Sistem administratori su morali da prekinu svoje planirane godišnje odmore i da prekovremenim radom otklanjaju problem sa svakog od sistema ručno.
Mnogi su za ovaj incident inicijalno okrivili Microsoft. Međutim, istina je da američki gigant ovog puta nije bio kriv. Ovaj incident je proizveo ogromne finansijske gubitke i bezbednosne propuste, a njegove posledice će tek biti sagledavane u budućnosti. U narednih nekoliko pitanja pokušaćemo da objasnimo šta se zaista dogodilo, koje su posledice i pouke kao i predloge iz kontrola kroz standard ISO 27001:2022 koje su mogle da umanje štetu.
Šta je CrowdStrike?
CrowdStrike je američka kompanija specijalizovana za sajber bezbednost osnovana 2011. godine i bavi se razvojem softvera i pružanjem usluga za zaštitu od hakerskih napada, malvera, i drugih sajber pretnji. Njihov glavni proizvod je Falcon platforma, koja koristi napredne metode poput veštačke inteligencije i mašinskog učenja za detekciju i prevenciju pretnji u realnom vremenu. CS je poznat po tome što ga koriste velike korporacije i vladine agencije širom sveta.
Kako Falcon platforma radi?
Na svim radnim stanicama i serverima, sistem administratori bi instalirali nešto što se zove Falcon Sensor. To je softver instaliran na računarima i serverima koji kontinuirano prati aktivnost sistema i detektuje potencijalne pretnje. Falcon Sensor koristi napredne analitičke metode, uključujući veštačku inteligenciju i mašinsko učenje, kako bi identifikovao malver, zlonamerne aktivnosti i druge bezbednosne incidente u realnom vremenu.
Kako je CrowdStrike uspeo da naruši rad Windows-a?
CrowdStrike je izdao ažuriranu verziju Falcon Sensor-a koja je u sebi sadržala ozbiljnu programsku grešku. Falcon Sensor u sebi sadrži poseban drajver koji je ključ problema. Na Windows operativnom sistemu drajver je softver koji se pokreće u nečemu što se zove „RING 0“. Ovo praktično predstavlja nešto što se zove „Kernel“ opetativnog sistema. Onda kada Windows ne uspe da razreši softverske greške kodirane u drajveru pokrenutom kao „RING 0“, nema mehanizme da održi integritet i nema drugog izbora nego da se restartuje i pokrene proces ispočetka. Sistem će nastaviti ciklično ponavljanje istog ponašanja.
Kako su popravili Windows?
Jednostavno. Windows ima opciju pokretanja u tzv. „Safe Mode“. Ovako su pokrenuti samo esencijalni drajveri, ali ne bagovani Falcon Sensor drajver. U specifičnom folderu se obriše jedan fajl i ovo bi trebalo da omogući normalno startovanje.
Da li su drugi operativni sistemi oštećeni?
Ne. Linux i MacOS su ovo ažuriranje prošli neprimetno. Možda će rezultat incidenta podstaći neke od kompanije da prebace svoje poslovanje na druge operativne sisteme i povećaju otpornost sistema na ovakve incidente. Drugim rečima, dobro je da imate više opcija koje mogu da vam omoguće kontinuitet.
Šta su potencijalne posledice na informacionu bezbednost?
Zamislite sledeći scenario. Sistem administrator je zbog procedura bezbednosti informacija „zaključao“ BitLocker-om računare od CEO i CTO. BitLocker je softver koji vam omogućava da kriptografski zaštitite podatke na vašem računaru tj. hard disku, tako da samo onaj ko raspolaže sa ključem može da im pristupi. Ukoliko bi sistem administrator pokušao da reši problem sa Falcon Sensor odlaskom u Windows Safe Mode, bio bi mu potreban pomenuti kripto-ključ. Međutim, najveći broj IT odeljenja svoje ključeve čuva takođe na računarima koji pokreću Windows. U ovakvom katastrofalnom scenariju, admin koji je prethodno odštampao ključeve će dobiti povišicu. U suprotnom, podaci su trajno izgubljeni.
O tome kako će se ovo odraziti na poverenje u velike kompanije za sajber bezbednost i kako vam ISO 27001 može pomoći pročitajte u našem sledećem blogu.