CrowdStrike: Πιθανώς ελλιπείς έλεγχοι η αιτία για το ψηφιακό μπλακάουτ

Ειδικοί σε θέματα ασφάλειας δήλωσαν ότι η περιβόητη ενημέρωση ρουτίνας λογισμικού της CrowdStrike, του ευρέως χρησιμοποιούμενου λογισμικού κυβερνοασφάλειας, που προκάλεσε τη συντριβή των συστημάτων υπολογιστών των πελατών παγκοσμίως την Παρασκευή, προφανώς δεν υποβλήθηκε σε επαρκείς ποιοτικούς ελέγχους πριν από την ανάπτυξή του.

Η πιο πρόσφατη έκδοση του λογισμικού Falcon Sensor είχε σκοπό να κάνει τα συστήματα των πελατών της CrowdStrike πιο ασφαλή, ενημερώνοντας σχετικά με τις απειλές έναντι των οποίων αμύνεται. Ωστόσο, ο ελαττωματικός κώδικας στα αρχεία ενημέρωσης είχε ως αποτέλεσμα ένα από τα μεγαλύτερης έκτασης τεχνολογικά μπλάκαουτ των τελευταίων χρόνων που σχετίζονται με το λειτουργικό σύστημα Windows  της Microsoft.

Αγωνία από το μπλάκαουτ – Πότε θα αποκατασταθούν οι υπηρεσίες

Η λειτουργία παγκόσμιων τραπεζών, αεροπορικών εταιρειών, νοσοκομείων και κυβερνητικών υπηρεσιών διαταράχθηκε με την πλήρη διόρθωση του προβλήματος ίσως να απαιτεί εβδομάδες. Η CrowdStrike δημοσίευσε νέες ενημερώσειςγια να διορθώσει τα επηρεαζόμενα συστήματα, αλλά οι ειδικοί αναφέρουν ότι η επαναφορά τους στο διαδίκτυο απαιτεί χρόνο, καθώς απαιτείται η μη αυτόματη εξάλειψη του ελαττωματικού κώδικα.

«Αυτό που φαίνεται ότι έγινε είναι, πιθανώς, ότι ο έλεγχος ή το sandboxing – δηλαδή η δοκιμαστική λειτουργία – διαδικασίες που γίνονται όταν ελέγχουν τον κώδικα , ίσως με κάποιο τρόπο αυτό το αρχείο δεν συμπεριλήφθηκε ή απλά τους διέφυγε», δήλωσε στο Reuters ο Στιβ Κομπ, επικεφαλής ασφαλείας στην Security Scorecard, το οποίο είχε επίσης ορισμένα συστήματα που επηρεάζονται από το ζήτημα.

Τα προβλήματα ήρθαν στο φως γρήγορα μετά την κυκλοφορία της ενημέρωσης την Παρασκευή και οι χρήστες δημοσίευσαν φωτογραφίες στα μέσα κοινωνικής δικτύωσης υπολογιστών με μπλε οθόνες που εμφανίζουν μηνύματα σφάλματος. Αυτά είναι γνωστά στη βιομηχανία της πληροφορικής ως «μπλε οθόνες θανάτου».

Ο Πάτρικ Γουάρντλ, ερευνητής ασφάλειας που ειδικεύεται στη μελέτη απειλών κατά λειτουργικών συστημάτων, είπε ότι η ανάλυσή του εντόπισε τον κωδικό που ευθύνεται για τη διακοπή. Το πρόβλημα της ενημέρωσης ήταν «σε ένα αρχείο που περιέχει είτε πληροφορίες διαμόρφωσης είτε υπογραφές», είπε. Οι υπογραφές είναι κώδικας που εντοπίζει συγκεκριμένους τύπους κακόβουλου κώδικα ή κακόβουλου λογισμικού.

«Είναι πολύ συνηθισμένο τα προϊόντα ασφαλείας να ενημερώνουν τις υπογραφές τους, ίσως και μια φορά την ημέρα… επειδή παρακολουθούν συνεχώς για νέο κακόβουλο λογισμικό και επειδή θέλουν να βεβαιωθούν ότι οι πελάτες τους προστατεύονται από τις τελευταίες απειλές», δήλωσε στο Reuters. Η συχνότητα των ενημερώσεων «είναι πιθανώς ο λόγος για τον οποίο (η CrowdStrike) δεν το δοκίμασε τόσο πολύ», κατέληξε.

Ωστόσο, παραμένει ασαφές πώς αυτός ο ελαττωματικός κώδικας μπήκε στην ενημέρωση και γιατί δεν εντοπίστηκε πριν κυκλοφορήσει στους πελάτες.

«Ιδανικά, αυτό θα είχε αναπτυχθεί πρώτα σε μια περιορισμένη δεξαμενή συστημάτων», δήλωσε στο Reuters ο Τζον Χάμοντ, κύριος ερευνητής ασφαλείας στο Huntress Labs. «Αυτή είναι μια πιο ασφαλής προσέγγιση για να αποφευχθεί ένα μεγάλο χάος όπως αυτό».

Άλλες εταιρείες ασφαλείας είχαν παρόμοια επεισόδια στο παρελθόν. Η ενημέρωση προστασίας από ιούς της McAfee το 2010 «καθήλωσε» εκατοντάδες χιλιάδες υπολογιστές. Αλλά ο παγκόσμιος αντίκτυπος αυτής της διακοπής αντανακλά την κυριαρχία της CrowdStrike. Περισσότερες από τις μισές εταιρείες του Fortune 500 και πολλοί κυβερνητικοί φορείς, όπως η ίδια η κορυφαία υπηρεσία κυβερνοασφάλειας των ΗΠΑ, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών, χρησιμοποιούν το λογισμικό της εταιρείας.

Μοιραία τίθεται το ερώτημα: είναι σοφό να έχει παραχωρηθεί τέτοια δύναμη σε ελάχιστες εταιρείες;