Проблема с широко используемым программным обеспечением для обеспечения безопасности под названием Crowdstrike привела к блокировке крупных технологических систем по всему миру, включая авиакомпании, транспортные системы и фондовые биржи
Следующее эссе перепечатано с разрешения 
The Conversation, онлайн-издания, освещающего последние исследования.
Крупные сбои в работе информационных технологий затронули предприятия по всему миру, из-за чего не работают самолеты, а также банки и сектор здравоохранения.
О поддержке научной журналистики
Если вам понравилась эта статья, подумайте о том, чтобы поддержать нашу журналистскую деятельность, отмеченную наградами, подписавшись на нее. Приобретая подписку, вы помогаете обеспечить будущее впечатляющих историй об открытиях и идеях, формирующих наш современный мир.
Джордж Курц, генеральный директор компании Crowdstrike, занимающейся информационной безопасностью, заявил, что проблема связана с “дефектом, обнаруженным в одном обновлении контента” для программного обеспечения безопасности, которое компания предоставляет для операционной системы Microsoft Windows на компьютерах.
Microsoft заявила, что проблема была вызвана “обновлением со сторонней программной платформы” и что “основная причина” теперь устранена.
Мы поговорили с профессором Аланом Вудвордом, экспертом по кибербезопасности из Университета Суррея, о том, что пошло не так и как можно решить проблему.
Не могли бы вы объяснить, что здесь произошло?
Я думаю, есть две вещи. Во-первых, у Microsoft, похоже, возникла проблема с платформой облачных вычислений Azure. Пока неясно, но вечером 18 июля в этой службе наблюдалась некоторая деградация. Однако сбой не был полным.
Но гораздо большей проблемой, по–видимому, является обновление, которое, судя по всему, было выпущено поздним вечером 18 июля для продукта [компании, занимающейся ИТ-безопасностью] Crowdstrike Falcon — средства проверки компьютерных угроз. В основе работы Falcon лежит программное обеспечение-“агент”, встроенное в операционную систему каждого ПК, которое отслеживает этот компьютер и “звонит домой”, если возникает проблема. Оно также получает обновления о том, на что следует обратить внимание при возникновении угрозы. Он широко используется крупными организациями по всему миру, у которых есть огромное количество компьютеров для контроля.
Я уверен, что Crowdstrike срочно расследует произошедшее. Это программное обеспечение предназначено для защиты людей от атак программ-вымогателей и тому подобного. Судя по последней информации, которую я просмотрел, похоже, что системный файл обновления был каким-то образом выпущен в неправильном формате.
Операционная система Windows получает это обновление и не знает, как с ним справиться, поэтому происходит сбой. Вот почему у людей появляется “синий экран смерти” [экран компьютера с сообщением об ошибке, указывающим на сбой системы].
И большая проблема в том, что вы не можете устранить эту проблему удаленно. Вам необходимо зайти на каждый компьютер отдельно и перевести его в режим “безопасность” или “восстановление”, чтобы изолировать программное обеспечение. После этого вы сможете перезагрузить компьютер и снова запустить его. Но если вы крупная международная компания с большим распределенным ИТ-подразделением, это займет много времени.
Почему этот сбой привел к таким масштабным последствиям?
Crowdstrike пользуется большим успехом – ее программное обеспечение для обеспечения безопасности используется сотнями тысяч крупных клиентов по всему миру. Авиакомпании, аэропорты, железные дороги, больницы, фондовые биржи… все они терпят крах.
Это началось в Австралии, когда в пятницу они приступили к работе. Очевидно, что обновление было разослано вчера вечером по британскому времени, и оно только что распространилось по всему миру.
При целенаправленных атаках программ-вымогателей обычно уничтожается одна или две цели за раз. Но в данном случае это произошло с тысячами организаций одновременно. У нас раньше не было ничего подобного.
Как Crowdstrike исправит программное обеспечение, еще предстоит определить. Как я уже объяснял, ясно, как компании могут решить эту проблему. Но для некоторых очень крупных организаций это может повлиять на их критически важную инфраструктуру и бизнес еще на долгое время – им потребуется несколько дней, чтобы физически обойти все эти машины.
Могут ли охранные компании гарантировать, что подобное больше не повторится?
Программное обеспечение для обеспечения безопасности тесно связано с операционной системой компьютера – оно находится глубоко внутри. Должен быть способ, при котором, если что–то окажется поврежденным, это не приведет к постоянному сбою системы — возможно, это необходимо сделать в сотрудничестве с Microsoft, которой принадлежит операционная система Windows.
Должен быть какой-то способ обойти это, и он есть. Однако большинство людей, пытающихся войти на свои пустые компьютеры, не знают, как перевести их в безопасный режим и вернуться к предыдущему состоянию.
На данный момент, похоже, что глобальную проблему создает один поврежденный файл. Компьютеры постоянно загружают обновления, поэтому я не знаю, как Microsoft предотвращает это с помощью этого обновления. Это не сразу очевидно. И вопрос на миллион долларов заключается в следующем: как вообще этот поврежденный файл был обнародован?
Сколько времени пройдет, прежде чем эта проблема будет полностью решена?
На это, безусловно, уйдут дни, если не недели. Это похоже на те больницы в Лондоне, которые подверглись атаке программ-вымогателей. Они все еще страдают – за ними тянется очень длинный хвост.
И в данном случае это не просто длинный хвост, а очень широкий спектр глобальных организаций в сфере транспорта, здравоохранения и других областях. Я не думаю, что мы видели что-либо подобное раньше.
Джордж Курц, соучредитель и генеральный директор Crowdstrike, на сайте X, ранее работавшем в Twitter, прокомментировал это так: “Проблема была выявлена, изолирована, и было внедрено решение. Мы направляем клиентов на портал поддержки для получения последних обновлений.”
