Dan, ko smo občutili življenje brez računalnikov

United Airlines employees wait by a departures monitor displaying a blue error screen, also known as the "Blue Screen of Death" inside Terminal C in Newark International Airport, after United Airlines and other airlines grounded flights due to a worldwide tech outage caused by an update to CrowdStrike's "Falcon Sensor" software which crashed Microsoft Windows systems, in Newark, New Jersey, U.S., July 19, 2024. REUTERS/Bing Guan TPX IMAGES OF THE DAY

Več kot 42.000 poletov je imelo zaradi incidenta zamude, 4700 letov pa so morali odpovedati. Foto: Reuters

Poletje je za kratek čas pokazalo, kako bi se človeštvo moralo znajti, če bi nenadoma odpovedali vsi računalniški sistemi po svetu. Začuda incidenta ni povzročil kakšen obsežen hekerski napad, temveč ga je zakrivilo površno varnostno podjetje.

02. 01. 2025., 10.00

Aljaž Potočnik

Čeprav je bilo leto 2024 z vidika spletnih varnostnih incidentov kar pestro, pa ga je najbolj zaznamoval spodrsljaj podjetja, ki skrbi za varnost podatkovnih centrov oziroma oblaka. Ko se je 19. julija svet začel počasi prebujati, so se po zemeljski obli od vzhoda proti zahodu začeli širiti »modri zasloni smrti«. Podjetje Crowdstrike je uporabnikom storitve falcon sensor ponesreči poslalo nepravilno pripravljeno posodobitev, ki je na operacijskem sistemu windows povzročila hud sistemski konflikt. Ker je velik del svetovnega oblaka temeljil na Microsoftovih oblačnih storitvah Azure, pa je bilo prizadetih okoli 8,5 milijona naprav.

Kasneje se je izkazalo, da so težave nastale, ker je Crowdstrike zelo ambiciozno podjetje, ki želi strankam ponuditi najhitrejšo zaščito ob pojavu nove nevarnosti. Ker bi vsaka posodobitev falcon sensorja zahtevala nov postopek certifikacije gonilnika v jedru operacijskega sistema, so morali najti drugo rešitev. Neka nova ranljivost bi v času med njenim odkritjem ter namestitvijo posodobljenega in certificiranega gonilnika že lahko povzročila hudo škodo. Crowdstrike je zato izdelal relativno domiseln sistem z datotekami, ki jih gonilnik uporablja, niso pa del gonilnika. Sistem je deloval tako, da so se ob pojavu nove nevarnosti posodobile zgolj datoteke, ki jih gonilnik uporablja, sam gonilnik pa je ostal nespremenjen. Vsakič ko se je gonilnik zbudil, je poiskal te datoteke in iz njih pridobi navodila za delovanje. To pa seveda pomeni, da je v jedru operacijskega sistema v praksi delovala necertificirana oziroma nepreverjena programska oprema.

Zaradi ponesrečene posodobitve je po vsem svetu odpovedalo okoli 8,5 milijona naprav z operacijskim sistemom windows.

Kako je prišlo do tega, da je Crowdstrike storitev falcon sensor posodobil s slabo datoteko, ki je sprožila hrošča v gonilniku, še ni znano, je pa jasno, da je takšno igranje z jedrom operacijskega sistema že samo po sebi zelo nevarno. Crowdstrike je relativno kmalu izdal popravek, a ta do naprav, ki so že klecnile, ni mogel priti, ker se niso hotele naložiti do točke, ko bi samodejna posodobitev falcon sensorja lahko stekla. Napako je bilo treba odpraviti lokalno. Crowdstrike je po incidentu v desetih dneh izgubil skoraj polovico vrednosti, a se je vrednost delnice do danes že skoraj v celoti pobrala.

Spletni Mrk 2024 Crowdstrike Falcon Sensor

Priporočamo