Jaki był powód globalnej awarii systemów komputerowych?

Wczorajsza awaria związana z bezpieczeństwem cybernetycznym uznana została za jeden z najpoważniejszych incydentów od lat. Niektórzy porównują ją do ataku ransomware z 2017 r., który dotknął firmy i organy państwowe na całym świecie.

Choć początkowo sądzono, że awaria jest wynikiem kolejnego działania hakerów, szybko stało się jasne, że był to wynik błędu jednej z firm. Dla niektórych może to być ulgą, jednak spowodowane tym zakłócenia nadal stanowią poważny problem dla firm i rządów na całym świecie. Zrozumienie tego, co się stało, i rozwiązanie problemu również nie będzie łatwym zadaniem, więc zająć może nawet kilka tygodni.

Już od wczesnych godzin porannych użytkownicy i firmy korzystający z urządzeń z systemem Windows zaczęli wczoraj doświadczać problemów z tzw. niebieskim ekranem śmierci, który wskazuje na błąd systemu, a pojawia się w systemie operacyjnym Microsoftu i sygnalizuje awarię o poziomie krytycznym.

Pierwszym krajem, który dotknięty został awarią, stała się Australia, gdzie firmy były w trakcie pracy, a następnie problem zaczął pojawiać się w Azji, Europie, Afryce, USA i innych państwach. Początkowo sądzono, że awaria była wynikiem cyberataku, szybko jednak ustalono, że przyczyną była wadliwa aktualizacja oprogramowania udostępniona przez firmę CrowdStrike.

Miało to być regularne uaktualnienie oprogramowania antywirusowego – wypuszczone późno w nocy czasu amerykańskiego, a i uznano, że w ten sposób zminimalizuje się zakłócenia. Jednak poważny błąd w kodzie sprawił, że wynik tego działania był zupełnie inny.

Dyrektor generalny CrowdStrike George Kurtz opisał ten problem jako „wadę aktualizacji treści” dla systemu Windows.

CrowdStrike to amerykańska firma technologiczna, założona 13 lat temu i mająca siedzibę w Austin w Teksasie. Marka nie jest powszechnie znana, ale zyskała ona renomę w kręgach biznesowych dzięki swojej działalności w dziedzinie cyberbezpieczeństwa. Część jej pracy polega na pomaganiu firmom w odzyskiwaniu danych po cyberatakach i badaniu ich skutków, ale firma oferuje również własną ochronę, w tym oprogramowanie antywirusowe o nazwie Falcon. CrowdStrike ma na świecie prawie 24 000 klientów, w tym IBM, BT, Santander i Dell.

Co jest istotne, problem pojawił się w takiej skali, gdyż jednym z głównych partnerów CrowdStrike jest Microsoft, ale co może dziwić, gigant zezwolił CrowdStrike na głęboki dostęp do jego systemu operacyjnego, a to jest ewenementem na skalę światową. CrowdStrike może więc sprawować nadzór nad całym systemem Microsoft i ma do niego właściwie nieograniczony dostęp pod względem bezpieczeństwa wirusowego. Powodem takiego postępowania była chęć wykrywania i likwidowania błędów w systemie Windows, a co za tym idzie, usprawnienie go do wysokiego poziomu. To jednak wymusiło na Microsofcie, aby udzielił szerokiego dostępu do oprogramowania, by systemy antywirusowe CrowdStrike, mogły działać w pełni swoich możliwości. Ten właśnie rozszerzony dostęp – w połączeniu z popularnością oprogramowania CrowdStrike – paradoksalnie wytworzył głęboką lukę w zabezpieczeniach, przed którą miał chronić.

Awarią dotknięte zostały firmy i instytucje na całym świecie, w tym również linie lotnicze Ryanair, Wizz Air, United, Delta, American Airlines i Cathay Pacific, a problemy z systemami zgłosiły także lotniska Gatwick, Bruksela, Charles de Gaulle, Orly, Berlin i Edynburg. Jednak w przypadku linii lotniczych i lotnisk, napotkały one problemy z powodu opóźnień i przerw w działaniu.

Sprzedawcy detaliczni, m.in. Morrisons i Ladbrokes w Wielkiej Brytanii, McDonalds w Japonii i Woolworths w Australii, zgłaszali problemy z systemami płatności, w wyniku czego niektórzy klienci przez pewien czas musieli płacić wyłącznie gotówką.

Nadawcy Sky News, CBBC, MTV i ESPN, zostali zmuszeni natomiast do przerwania nadawania z powodu trwałej awarii ich systemów operacyjnych komputerów. Ucierpiały niektóre systemy ochrony zdrowia i służb ratunkowych, w tym NHS w Wielkiej Brytanii i niektóre służby alarmowe 911 w USA.

W tak zwanym międzyczasie wiele aplikacji, w tym programy Transport for Ireland, na pewien czas utraciły część swoich funkcji, a problem miał również swoje odbicie w irlandzkim systemie NCT.

Aktualnie nie można z jakąś dokładnością powiedzieć, ile potrwa pełna naprawa po tej awarii, a Microsoft twierdzi, że jest świadomy problemu i ma nadzieję na jego szybką likwidację. CrowdStrike poinformował natomiast, że problem został „zidentyfikowany, odizolowany i wdrożono rozwiązanie”. Jednak dodano, że to tylko powstrzyma dalsze rozprzestrzenianie się problemu. Prawdziwym wyzwaniem będzie naprawa wszystkich urządzeń, na których pojawił się niebieski ekran, co może zająć trochę czasu. Jak mówią specjaliści, urządzenie, które ma krytyczną awarię, taką jak ta, samo ponowne uruchomienie nie jest możliwe. Zdalne przesyłanie poprawki do wielu urządzeń również nie wchodzą w grę. Microsoft sugeruje jednak, że niektórzy użytkownicy mogą być w stanie przezwyciężyć ten problem poprzez wielokrotne ponowne uruchomienie komputera.

Niestety większość użytkowników będzie musiała najprawdopodobniej ponownie uruchomić urządzenie w trybie awaryjnym, a następnie ręcznie naprawić błąd, który spowodował wyświetlenie niebieskiego ekranu. To jednak będzie wyzwaniem, a tylko dlatego, że każdy z 24 000 klientów CrowdStrike posiada dziesiątki, setki, a nawet tysiące urządzeń z systemem Windows. To z kolei duże wyzwanie dla działów IT na całym świecie, które będą musiały teraz wykonywać powolny, ręczny proces korygowania błędów na każdym dotkniętym błędem urządzeniu.

Nie można też wykluczyć końca firmy CrowdStrike, która może spotkać się w najbliższym czasie z pozwami o wypłatę odszkodowań dla firm i osób prywatnych.

Bogdan Feręc

Źr. RTE

Photo CC BY-SA 4.0 CEFX