Microsoft: Τι προκάλεσε το παγκόσμιο ΙΤ black out

Τα προβλήματα που σημειώθηκαν στα συστήματα της Microsoft από νωρίς την Παρασκευή αναδεικνύονται ήδη ως μία από τις μεγαλύτερες διακοπές στον κυβερνοχώρο που έχουν γίνει ποτέ, πλήττοντας έναν άγνωστο μέχρι στιγμής αριθμό επιχειρήσεων, φορέων, δομών και ιδιωτών σε όλο τον κόσμο. Και είναι ένα απτό παράδειγμα του πώς μια μικρή τεχνική αλλαγή, που έγινε από μια εταιρεία που είναι άγνωστη στους περισσότερους εκτός του κλάδου της πληροφορικής, μπορεί να προκαλέσει έναν εκτεταμένο όλεθρο.

Τι συνέβη με τη Microsoft;

Όπως υπογραμμίζουν σε ανάλυσή τους οι Financial Times, οι εταιρείες αντιμετωπίζουν προβλήματα που επηρεάζουν υπολογιστές, διακομιστές και άλλο εξοπλισμό πληροφορικής με Microsoft Windows.

Η Microsoft επέρριψε την ευθύνη σε ελαττωματική ενημέρωση από την CrowdStrike, έναν προμηθευτή λογισμικού ασφαλείας.

CrowdStrike: Από την κορυφή του cybersecurity στη δίνη του παγκόσμιου ΙΤ black out

Σύμφωνα με ειδοποίηση που έστειλε η CrowdStrike στους πελάτες της στις 05:30 GMT την Παρασκευή και εξετάστηκε από το Reuters, το ευρέως χρησιμοποιούμενο λογισμικό «Falcon Sensor» προκαλεί τη συντριβή των Microsoft Windows και την εμφάνιση μιας μπλε οθόνης, γνωστής ανεπίσημα ως «Blue Screen of Death» (μπλε οθόνη θανάτου).

Σε ανάρτησή του στο X (πρώην Twitter), ο διευθύνων σύμβουλος της CrowdStrike, Τζορτζ Κουρτς, είπε ότι η αιτία των προβλημάτων ήταν ένα «ελάττωμα που βρέθηκε σε μια ενημερωμένη έκδοση περιεχομένου για τα Windows». Οι υπολογιστές και οι διακομιστές που εκτελούν το MacOS της Apple και το λειτουργικό σύστημα ανοιχτού κώδικα Linux, το οποίο χρησιμοποιείται ευρέως στην υποδομή του Διαδικτύου, «δεν επηρεάστηκαν», είπε.

«Δεν πρόκειται για περιστατικό ασφαλείας ή επίθεση στον κυβερνοχώρο», έσπευσε να ξεκαθαρίσει: «Το πρόβλημα εντοπίστηκε, απομονώθηκε και έχει αναπτυχθεί η διαδικασία να επιδιορθωθεί».

CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…

— George Kurtz (@George_Kurtz) July 19, 2024

Η έκταση του προβλήματος

Η CrowdStrike είναι ένας από τους μεγαλύτερους παρόχους λογισμικού ασφαλείας «τελικού σημείου», το οποίο προστατεύει τις συνδέσεις μεταξύ δικτύων υπολογιστών και απομακρυσμένων συσκευών — από φορητούς υπολογιστές, τηλέφωνα και διακομιστές έως τερματικά πληρωμών λιανικής και μηχανήματα μετρητών — που είναι συνδεδεμένα σε εταιρικά δίκτυα. Οποιαδήποτε από αυτές τις συσκευές που εκτελούν Windows ενδέχεται να επηρεαστεί έχουν από το σφάλμα.

Οι πελάτες της πλατφόρμας υπολογιστικού νέφους Azure της Microsoft, το μεγαλύτερο μέρος της οποίας εκτελείται σε Windows, έχουν επίσης αναφέρει προβλήματα.

Το ΙΤ black out επηρέασε αεροπορικές εταιρείες, τράπεζες και ραδιοτηλεοπτικούς φορείς από τις ΗΠΑ και την Ευρώπη μέχρι την Αυστραλία, την Ιαπωνία και την Ινδία.

«Το παγκόσμιο IT black out που σημειώθηκε σήμερα το πρωί είναι άνευ προηγουμένου ως προς το εύρος και την κλίμακα των συστημάτων που έχει επηρεάσει», δήλωσε ο Harjinder Lallie, ειδικός στην ασφάλεια στον κυβερνοχώρο στο Πανεπιστήμιο του Warwick.

Ποια είναι η CrowdStrike;

Η CrowdStrike είναι μια εταιρεία ασφάλειας στον κυβερνοχώρο που ιδρύθηκε το 2011 και έχει την έδρα της στο Ώστιν του Τέξας. Η χρηματιστηριακή της αξία είναι περίπου 83 δισ. δολ. και όπως αναφέρεται στην ιστοσελίδα της εταιρείας, έχει περισσότερους από 20.000 συνδρομητές σε όλο τον κόσμο.

Το λογισμικό Falcon του έχει σχεδιαστεί για να σταματά τις επιθέσεις στον κυβερνοχώρο και περιλαμβάνει μια σουίτα προϊόντων που εκτελούνται σε μεμονωμένες συσκευές και παραδίδονται μέσω του cloud.

Τα έσοδά της αυξήθηκαν κατά ένα τρίτο στα 3,1 δισ. δολάρια το πιο πρόσφατο οικονομικό έτος, που έληξε τον Ιανουάριο, ενώ τα καθαρά έσοδα αυξήθηκαν στα 90,6 εκατ. δολάρια, από ζημία 183,2 εκατ. δολαρίων το προηγούμενο έτος.

Η εισηγμένη στο Nasdaq εταιρεία εντάχθηκε στον S&P 500 τον περασμένο μήνα.

Πόσο καιρό θα χρειαστούν για να διορθωθούν τα προβλήματα;

Ενώ η CrowdStrike είπε ότι «έχει αναπτυχθεί ήδη η διαδικασία επιδιόρθωσης» του προβλήματος, δεν είναι σαφές πόσος χρόνος μπορεί να χρειαστεί ώστε να λυθεί στο σύνολό του.

Τα ζητήματα θα μπορούσαν «να χρειαστούν μέρες για να επιλυθούν — αν όχι εβδομάδες», δήλωσε ο Βασίλειος Καραγιαννόπουλος, ερευνητής ασφάλειας στον κυβερνοχώρο στο Πανεπιστήμιο του Πόρτσμουθ. Πρόσθεσε ότι τα προβλήματα ήταν «τόσο παγκόσμια και εκτεταμένα σε όλα τα συστήματα που η υποστήριξη IT μπορεί να είναι αραιή λόγω της ζήτησης».

Δυσκολίες στην επανεκκίνηση

Και ασφαλώς δεν είναι σαφές πόσο εύκολα μπορούν να επιδιορθωθούν εξ αποστάσεως τα επηρεαζόμενα συστήματα, καθώς η «Μπλε οθόνη του θανάτου» προκαλεί το κρασάρισμα των υπολογιστών κατά την επανεκκίνηση προτού μπορέσουν να ενημερωθούν.

«Αυτό σημαίνει ότι σε αυτήν την κατάσταση, οι συσκευές δεν μπορούν να ενημερώνονται αυτόματα, πράγμα που απαιτεί χειροκίνητη παρέμβαση», δήλωσε ο Daniel Card, από την εταιρεία συμβούλων κυβερνοασφάλειας PwnDefend με έδρα το Ηνωμένο Βασίλειο.

Ο Ciaran Martin, πρώην επικεφαλής του Εθνικού Κέντρου Κυβερνοασφάλειας (NCSC), μέρος της βρετανικής υπηρεσίας πληροφοριών GCHQ, είπε ότι η κλίμακα του προβλήματος ήταν τεράστια.

«Αυτό δεν είναι πρωτόγνωρο, αλλά δυσκολεύομαι να σκεφτώ μια διακοπή σε τέτοια κλίμακα. Έχει συμβεί όλα αυτά τα χρόνια, αλλά αυτή είναι μια από τις μεγαλύτερες. Νομίζω ότι θα είναι πιθανότατα βραχύβια επειδή, η φύση το πρόβλημα είναι στην πραγματικότητα πολύ απλό».

«Αλλά είναι πολύ, πολύ, πολύ, πολύ, πολύ μεγάλο», πρόσθεσε.

Ο Kevin Beaumont, ερευνητής ασφάλειας στον κυβερνοχώρο, ανέφερε σε αναρτήσεις του στα μέσα κοινωνικής δικτύωσης ότι οι πελάτες της CrowdStrike αντιμετώπιζαν μια «απίστευτα επίπονη» διαδικασία για την επίλυση του προβλήματος.

«Η ανάκτηση είναι δυνατή μόνο χειροκίνητα», είπε. «Πρέπει κανείς να μεταβεί σε έναν διακομιστή ή έναν υπολογιστή, να τον εκκινήσει σε ασφαλή λειτουργία στην κονσόλα, να συνδεθεί ως διαχειριστής και, στη συνέχεια, βασικά να χακάρει το σύστημα για να το επαναφέρει στο διαδίκτυο».

Το παρασκήνιο και η πανδημία

Μετά την πανδημία, οι κυβερνήσεις και οι επιχειρήσεις εξαρτώνται όλο και περισσότερο από μια χούφτα διασυνδεδεμένων εταιρειών τεχνολογίας.

Οι ειδικοί λένε ότι η διακοπή του κυβερνοχώρου αποκάλυψε τους κινδύνους ενός ολοένα και πιο διαδικτυακού κόσμου.

Για να προστατεύσουν τα δίκτυα υπολογιστών τους από την παραβίαση από χάκερ, πολλές επιχειρήσεις χρησιμοποιούν ένα προϊόν κυβερνοασφάλειας γνωστό ως Ανίχνευση και Απόκριση Τελικού Σημείου ή EDR, το οποίο εκτελείται στο παρασκήνιο εταιρικών μηχανημάτων ή «τελικά σημεία».

Εταιρείες όπως η CrowdStrike μπορούν να χρησιμοποιούν τα προϊόντα EDR τους ως συστήματα έγκαιρης προειδοποίησης για πιθανές ψηφιακές επιθέσεις, να σαρώνουν για ιούς και να εμποδίζουν τους χάκερ να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε εταιρικά δίκτυα.

Όμως, σε αυτήν την περίπτωση, κάτι στον κώδικα της CrowdStrike ήρθε σε αντίθεση με κάτι στον κώδικα που κάνει τα Windows να λειτουργούν και προκάλεσε τη διακοπή λειτουργίας αυτών των συστημάτων, ακόμη και μετά την επανεκκίνηση.