Глобалният IT срив: Каква е причината и какво още (не) се знае?

Глобалният срив предизвика отдавна невиждана паника в целия свят, тъй като засегна IT системи в Индия, САЩ, Германия, Обединеното кралство, включително и в България, като наруши работата на летища, банки, медии и телекомуникации и дори някои услуги за спешни повиквания.

В петък по обяд Microsoft съобщи, че облачните ѝ услуги са възстановени след прекъсването, но много потребители все още съобщават за проблеми.

Кибератака ли е причината за срива?

Microsoft заяви, че прекъсването е започнало в четвъртък, като клиентите са имали проблеми с множество услуги на Azure – платформата за изчисления в облак, която предоставя услуги за изграждане, внедряване и управление на приложения и услуги, както и с пакета приложения Microsoft 365.

Това логично насочи всички погледи към Microsoft, която побърза да увери, че е предприела нужните действия за овладяване на настъпилия повсеместен хаос. 

Официално се отрича да става дума за кибератака, но някои експерти в областта казват, че такава версия все още не може да бъде напълно изключена. Възможен вариант е т.нар. supply chain атака – верижната реакция, предизвикана от атака срещу един доставчик, която може да компрометира цяла мрежа от доставчици.

Джейк Мур, технологичен експерт и съветник по сигурността в ESET, е на мнение, че вероятно става дума за „техническа грешка“ от страна на Crowdstrike, но заяви, че не можем да изключим кибератака.

Бъг при CrowdStrike

Междувременно стана ясно, че проблемът изглежда произтича от друга компания – CrowdStrike, софтуерна фирма за киберсигурност. Според разпространената по-късно информация, компанията издала софтуерна актуализация, която се е объркала, засегнала е устройства с Windows и в крайна сметка е довела до т.нар. „син екран на смъртта“ на персоналните компютри.

Ако проблемът беше свързан с Windows, той щеше да бъде по-широко разпространен“, отбелязва киберкореспондент на BBC.

Според актуалната информацията екипът на CrowdStrike е открил основната причина. Появата на син екран се случва заради бъг в т.нар. EDR (съвременен антивирусен софтуер) Crowdstrike Falcon. В резултат на това спира работата на организациите.

Събитията от днешния ден са ярко напомняне, че прекъсванията на бизнеса може да не идват непременно от злонамерени участници“, коментира експертът по киберсигурност Красимир Коцев, основател на SoCyber и Kikimiro.io.

„Дори най-добрите планове за устойчивост допускат спиране на системи и трябва да има готовност за бързо възстановяване. В случая всяка организация зависи много ръчни действия по изтриване на един лош файл на всички компютри и от това Crowdstrike да поправят своя бъг“, коментира и депутатът Божидар Божанов, също експерт в сферата на IT и киберсигурност.

Препоръчителният начин на действие е да следвате стъпките и указанията на екипа на CrowdStrike, пише Красимир Коцев в профила си във Facebook.

1. Заредете Windows в безопасен режим или в средата за възстановяване на Windows.
2. Навигирайте до директорията 'C:\Windows\System32\drivers\CrowdStrike'.
3. Намерете файла, съответстващ на „C-00000291*.sys“, и го изтрийте.
4. Заредете нормално хоста.

Според Божанов този инцидент със сигурност е повод да се създадат по-адекватни механизми за устойчивост на критични системи.

Могат да бъдат взети технологични мерки в дългосрочен план – напр. операционните системи да подобрят механизмите за връщане към последно стабилно състояние“, дава пример той.

И споделя, че подобни технологични въпроси е по-добре да се оставят на саморегулацията. „В случая смятам, че технологичната индустрия ще се поучи от този срив.“