CrowdStrike: Το χρονικό μιας ενημέρωσης λογισμικού που «ρήμαξε» την παγκόσμια οικονομία

Την Παρασκευή στις 05:30 ώρα Γκρίνουιτς η CrowdStrike, αμερικανική εταιρεία κυβερνοασφάλειας, ξεκίνησε να στέλνει στους πελάτες της ειδοποιήσεις ότι το ευρέως χρησιμοποιούμενο λογισμικό «Falcon Sensor» προκαλεί κατάρρευση του λειτουργικού συστήματος Windows της Microsoft.

Ουσιαστικά ενημέρωσαν για την περιβόητη μπλε οθόνη, ανεπίσημα γνωστής ως «μπλε οθόνη θανάτου», που όποιος τη δει σημαίνει ότι ο υπολογιστής του έχει τη λειτουργικότητα ενός… τούβλου.

Microsoft: Τι προκάλεσε το παγκόσμιο ΙΤ black out

Σύντομα ο διευθύνων σύμβουλος της CrowdStrike, Τζορτζ Κουρτζ, μέσω ανάρτησης στο Χ ενημερώνει ότι «δεν πρόκειται για περιστατικό ασφαλείας ή κυβερνοεπίθεση» και ότι η εταιρεία έχει ήδη αναπτύξει λύση για το πρόβλημα.

Όπως διευκρίνισε ο ίδιος, το ζήτημα προήλθε από ένα ελάττωμα που εντοπίστηκε σε μία μόνο ενημέρωση για κεντρικούς υπολογιστές που χρησιμοποιούν Microsoft Windows, προσθέτοντας ότι οι κεντρικοί υπολογιστές που χρησιμοποιούν λειτουργικό Mac και Linux δεν επηρεάστηκαν από το ζήτημα.

Από την πλευρά της η Microsoft ανακοίνωσε ότι διόρθωσε την υποκείμενη αιτία της διακοπής λειτουργίας των εφαρμογών και υπηρεσιών 365, συμπεριλαμβανομένων των Teams και OneDrive, αλλά οι υπολειμματικές επιπτώσεις επηρέασαν ορισμένες υπηρεσίες.

Ωστόσο, η κατάσταση δεν είναι τόσο απλή μιας και οι servers που επηρεάστηκαν και έτρεχαν λειτουργικό σύστημα Windows δεν ήταν δυνατό να διορθωθούν εξ αποστάσεως, καθώς η «μπλε οθόνη θανάτου» προκαλεί συντριβή των υπολογιστών κατά την επανεκκίνηση πριν μπορέσουν να ενημερωθούν.

Άρα τα συστήματα θα έπρεπε να ενημερωθούν χειροκίνητα, κάτι που σημαίνει ότι όλη η διαδικασία θα είναι χρονοβόρα επιτείνοντας κυρίως την οικονομική ζημιά που έχει προκληθεί, τόσο στην CrowdStrike όσο (και πολύ περισσότερο) στους πελάτες που επηρεάστηκαν: δηλαδή τράπεζες, αεροδρόμια, αεροπορικές εταιρείες, νοσοκομεία, επιχειρήσεις.

Αρκετοί αναλυτές θεωρούν ότι το πρόβλημα καθεαυτό στην πραγματικότητα είναι αρκετά απλό, ωστόσο είναι η κλίμακα που το κάνει πρωτοφανές χαρακτηρίζοντας τη συγκεκριμένη διακοπή λειτουργίας μία από τις μεγαλύτερες των τελευταίων χρόνων.

«Στην Ελλάδα είναι πολύ μεμονωμένα τα προβλήματα» δήλωσε ο υπουργός Ψηφιακής Διακυβέρνησης Δημήτρης Παπαστεργίου για το χθεσινό ψηφιακό μπλακάουτ.

Όπως διευκρίνισε σε τηλεοπτική του συνέντευξη, «στη χώρα μας η αναβάθμιση του επίμαχου λογισμικού θα γινόταν αργότερα, και γι’ αυτό δεν επηρεάστηκαν σε μεγάλο βαθμό τα συστήματα».

Σε ό,τι αφορά τους απλούς χρήστες των Windows ο Δημήτρης Παπαστεργίου διευκρίνισε ότι το λογισμικό ασφάλειας χρησιμοποιείται από μεγάλες επιχειρήσεις, και γι’ αυτό δεν θα τους επηρεάσει.

Γιατί συνέβη;

Για να αντιληφθούμε τους λόγους για τους οποίους συνέβη το σημερινό… φιάσκο θα πρέπει να πάμε μερικά χρόνια πίσω. Ήδη τις τελευταίες δύο δεκαετίες, κυβερνήσεις και επιχειρήσεις εξαρτώνται όλο και περισσότερο από ελάχιστες τεχνολογικές εταιρείες που προσέφεραν την πολυπόθητη διασύνδεση.

Ο εμφάνιση του νέου κορωνοϊού έφερε νέα επιτάχυνση στις ανάγκες διασύνδεσης: τα πάντα μπορούσαν να γίνονται απομακρυσμένα και προφανώς ήταν μια κατάσταση που ήρθε για να μείνει.

Προφανώς όλα αυτά τα δίκτυα υπολογιστών είχαν και ανάγκη προστασίας από κυβερνοεπιθέσεις. Κάπως έτσι ξεκίνησαν να χρησιμοποιούνται προϊόντα κυβερνοασφάλειας υπό τη μορφή EDR (Endpoint Detection and Response), το οποίο εκτελείται στο παρασκήνιο των εταιρικών μηχανημάτων, ή αλλιώς «endpoints».

Εταιρείες όπως η CrowdStrike είναι σε θέση να χρησιμοποιούν τα προϊόντα EDR ως συστήματα έγκαιρης προειδοποίησης για πιθανές ψηφιακές επιθέσεις, να σαρώνουν για ιούς και να αποτρέπουν τους χάκερ από το να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε εταιρικά δίκτυα.

Αυτό που συνέβη χθες είναι ότι κάτι στον κώδικα της CrowdStrike ήρθε σε σύγκρουση με κάτι στον κώδικα που κάνει τα Windows να λειτουργούν και προκαλεί τη συντριβή αυτών των συστημάτων, ακόμη και μετά από επανεκκίνηση.

Με δεδομένη τη μετάβαση τόσων επιχειρήσεων στο cloud και το λογισμικό εταιρειών όπως η CrowdStrike να τρέχει σε εκατομμύρια υπολογιστές γίνεται απολύτως κατανοητή η έκταση του προβλήματος που δημιουργήθηκε.

Ποιοι επηρεάστηκαν

Αποτέλεσμα του προβλήματος ήταν πρακτικά να «σβήσουν» όλα τα συστήματα υπολογιστών σε πολλούς κλάδους την Παρασκευή, με μεγάλες αεροπορικές εταιρείες να σταματούν τις πτήσεις, ορισμένους ραδιοτηλεοπτικούς φορείς να βρίσκονται εκτός αέρα και τομείς από τον τραπεζικό τομέα έως την υγειονομική περίθαλψη να πλήττονται.

Ο ταξιδιωτικός κλάδος ήταν από τους πλέον πληγέντες με τα αεροδρόμια σε όλο τον κόσμο να αναφέρουν καθυστερήσεις και προβλήματα με το δίκτυο του συστήματός τους. Αεροδρόμια από το Λος Άντζελες έως τη Σιγκαπούρη, το Χονγκ Κονγκ, το Άμστερνταμ και το Βερολίνο ανακοίνωναν ότι ορισμένες αεροπορικές εταιρείες θα έπρεπε να κάνουν χειροκίνητο έλεγχο των επιβατών, προκαλώντας καθυστερήσεις (American Airlines, Delta Airlines, United Airlines και άλλες καθήλωσαν τις πτήσεις τους καθώς επικαλούνταν προβλήματα επικοινωνίας).

Τράπεζες και εταιρείες χρηματοπιστωτικών υπηρεσιών από την Αυστραλία και την Ινδία έως την Γερμανία προειδοποιούσαν τους πελάτες τους για διαταραχές ενώ χρηματιστηριακές σε όλες τις αγορές ανέφεραν προβλήματα στην εκτέλεση συναλλαγών.

Μέσα ενημέρωσης, όπως το βρετανικό Sky, βρέθηκαν εκτός αέρα για σημαντικό χρονικό διάστημα, οι κυβερνήσεις της Αυστραλίας και της Νέας Ζηλανδίας, αρκετές αμερικανικές πολιτείες ακόμη και το βρετανικό NHS, το βρετανικό Εθνικό Σύστημα Υγείας, αντιμετώπισαν επίσης προβλήματα.

Ουσιαστικά αυτοί που επηρεάστηκαν ήταν όσοι χρησιμοποιούσαν λογισμικό της CrowdStrike σε συνδυασμό με servers που «έτρεχαν» λειτουργικό σύστημα Windows, καθώς φαίνεται ότι δεν επηρεάστηκαν συστήματα Mac και Linux.

«Λυπούμαστε βαθύτατα για τον αντίκτυπο που προκαλέσαμε στους πελάτες, στους ταξιδιώτες, σε οποιονδήποτε επηρεάστηκε από αυτό, συμπεριλαμβανομένης της εταιρείας μας», δήλωσε ο Κουρτζ στο τηλεοπτικό δίκτυο NBC News.

«Πολλοί από τους πελάτες κάνουν επανεκκίνηση του συστήματος και το σύστημα επανέρχεται και θα είναι λειτουργικό», σημείωσε ο Κουρτζ. «Θα μπορούσε να περάσει κάποιο χρονικό διάστημα για ορισμένα συστήματα που δεν θα ανακάμψουν αυτόματα».

Οι μετοχές της CrowdStrike, εταιρείας με χρηματιστηριακή αξία περίπου 83 δισεκατομμυρίων δολαρίων και πάνω από 20.000 ενεργούς εταιρικούς πελάτες παγκοσμίως, σημείωσαν πτώση 14,5% λίγο μετά το άνοιγμα της Wall Street, ενώ η Microsoft σημείωνε πτώση σχεδόν 1,5%.

Αντίθετα, οι ανταγωνίστριες της CrowdStrike, SentinelOne και Palo Alto Networks, είδαν τις μετοχές τους να σημειώνουν άνοδο άνω του 10% και 2,6%, αντίστοιχα.