Περίληψη Άρθρου:

Μια διακοπή στο δίκτυο που προκλήθηκε από ελάττωμα στο λογισμικό της Crowdstrike επηρέασε 8,5 εκατομμύρια υπολογιστές παγκοσμίως, οδηγώντας στο χάος πολλούς τομείς, συμπεριλαμβανομένων των υπηρεσιών υγειονομικής περίθαλψης και κηδειών. Οι διαχειριστές του συστήματος εργάστηκαν αδιάκοπα για να αποκαταστήσουν τις επιχειρήσεις, αντιμετωπίζοντας προκλήσεις όπως η έλλειψη στελέχωσης και η κρυπτογράφηση κωδικών πρόσβασης Bitlocker. Το περιστατικό τόνισε τα σφάλματα στο σχεδιασμό του λογισμικού και έθεσε ανησυχίες σχετικά με την αξιοπιστία του Crowdstrike.

Κύρια σημεία του άρθρου:

• Μια διακοπή δικτύου που προκλήθηκε από ελάττωμα στο λογισμικό Crowdstrike επηρέασε 8,5 εκατομμύρια υπολογιστές παγκοσμίως.
• Το περιστατικό δημιούργησε χάος σε διάφορους τομείς, ιδιαίτερα τις υπηρεσίες υγειονομικής περίθαλψης και κηδειών.
• Οι διαχειριστές του συστήματος αντιμετώπισαν συνεχείς προκλήσεις ενώ προσπαθούσαν να αποκαταστήσουν τις πληγείσες επιχειρήσεις.
• Τα βασικά ζητήματα που δυσκόλεψαν την προσπάθειά τους ήταν η έλλειψη στελέχωσης και οι δυσκολιές κρυπογράφησης κωδικών πρόσβασης Bitlocker.
• Το περιστατικό τόνισε σφάλματα στο σχεδιασμό λογισμικού του Crowdstrike.
• Έθεσε ανησυχίες σχετικά με την αξιοπιστία του CrowdStrike ως πάροχο λογισμικού.

Αναλυτικά το άρθρο:

Οι διαχειριστές συστημάτων και οι ομάδες τους ανέλαβαν αμέσως δράση την περασμένη Παρασκευή και εργάστηκαν ακατάπαυστα για να επαναφέρουν τις εταιρείες τους σε απευθείας σύνδεση εν μέσω ενός από τα χειρότερα ψηφιακά μπλακάουτ που έχουν συμβεί ποτέ.

Λίγο πριν από τη 1:00 π.μ. τοπική ώρα την Παρασκευή, ένας διαχειριστής συστήματος μιας εταιρείας της Δυτικής Ακτής που ασχολείται με υπηρεσίες κηδειών και νεκροθαλάμων ξύπνησε ξαφνικά και παρατήρησε ότι η οθόνη του υπολογιστή του έλαμπε. Όταν κοίταξε το τηλέφωνο της εταιρείας του, αυτό ήταν γεμάτο με μηνύματα σχετικά με αυτό που οι συνάδελφοί του αποκαλούσαν πρόβλημα δικτύου. Ολόκληρη η υποδομή τους είχε πέσει, απειλώντας να διαταράξει τις κηδείες και τις ταφές.

Σύντομα κατέστη σαφές ότι η μαζική διακοπή προκλήθηκε από τη διακοπή λειτουργίας της CrowdStrike. Η εταιρεία ασφαλείας προκάλεσε κατά λάθος χάος σε όλο τον κόσμο την Παρασκευή και μέσα στο Σαββατοκύριακο, αφού διέθεσε ελαττωματικό λογισμικό στην πλατφόρμα παρακολούθησης Falcon, παρακωλύοντας αεροπορικές εταιρείες, νοσοκομεία και άλλες επιχειρήσεις, μικρές και μεγάλες.

Ο διαχειριστής, ο οποίος ζήτησε να διατηρήσει την ανωνυμία του επειδή δεν έχει την άδεια να μιλήσει δημοσίως για τη διακοπή λειτουργίας, ανέλαβε αμέσως δράση. Κατέληξε να εργάζεται σχεδόν 20 ώρες την ημέρα, οδηγώντας από νεκροτομείο σε νεκροτομείο και επαναφέροντας δεκάδες υπολογιστές αυτοπροσώπως για να επιλύσει το πρόβλημα. Η κατάσταση ήταν επείγουσα, εξηγεί ο διαχειριστής, επειδή οι υπολογιστές έπρεπε να επανέλθουν σε λειτουργία ώστε να μην υπάρξουν διαταραχές στον προγραμματισμό των υπηρεσιών κηδείας και στην επικοινωνία των γραφείων τελετών με τα νοσοκομεία.

«Με ένα ζήτημα τόσο εκτεταμένο όσο αυτό που είδαμε με την διακοπή λειτουργίας της CrowdStrike, ήταν λογικό να βεβαιωθούμε ότι η εταιρεία μας ήταν έτοιμη να λειτουργήσει, ώστε να μπορέσουμε να φέρουμε αυτές τις οικογένειες, για να μπορέσουν να προχωρήσουν με τις τελετές και να είναι μαζί με τα μέλη της οικογένειάς τους», λέει ο διαχειριστής του συστήματος. «Οι άνθρωποι θρηνούν».

Η ελαττωματική ενημερωμένη έκδοση της CrowdStrike προκάλεσε το μπλοκάρισμα περίπου 8,5 εκατομμυρίων υπολογιστών Windows παγκοσμίως, στέλνοντάς τους στη φοβερή μπλε οθόνη θανάτου (BSOD). «Η εμπιστοσύνη που χτίσαμε με το σταγονόμετρο όλα αυτά τα χρόνια χάθηκε μέσα σε λίγες ώρες, και ήταν μια γροθιά στο στομάχι», έγραψε στο LinkedIn νωρίς τη Δευτέρα ο Shawn Henry, επικεφαλής ασφαλείας της CrowdStrike. «Αλλά αυτό ωχριά μπροστά στον πόνο που προκαλέσαμε στους πελάτες και τους συνεργάτες μας. Απογοητεύσαμε τους ίδιους τους ανθρώπους που δεσμευτήκαμε να προστατεύσουμε».

Διακοπές σε πλατφόρμες cloud και άλλα προβλήματα λογισμικού -συμπεριλαμβανομένων κακόβουλων κυβερνοεπιθέσεων- έχουν προκαλέσει και στο παρελθόν μεγάλες διακοπές στην πληροφορική και παγκόσμιες διαταραχές. Αλλά το περιστατικό της περασμένης εβδομάδας ήταν ιδιαίτερα αξιοσημείωτο για δύο λόγους. Πρώτον, προήλθε από ένα λάθος στο λογισμικό που προοριζόταν να βοηθά και να υπερασπίζεται τα δίκτυα και όχι να τα βλάπτει. Και δεύτερον, η επίλυση του προβλήματος απαιτούσε πρόσβαση σε κάθε επηρεαζόμενο μηχάνημα: ένα άτομο έπρεπε να εκκινήσει χειροκίνητα κάθε υπολογιστή στην ασφαλή λειτουργία των Windows και να εφαρμόσει τη διόρθωση.

Η Πληροφορική είναι συχνά μια άχαρη δουλειά, αλλά το φιάσκο της CrowdStrike ήταν μια δοκιμασία επόμενου επιπέδου. Ορισμένοι επαγγελματίες πληροφορικής έπρεπε να συντονιστούν με απομακρυσμένους υπαλλήλους ή με πολλαπλές τοποθεσίες πέρα από τα σύνορα, καθοδηγώντας τους μέσω χειροκίνητης επαναφοράς των συσκευών.Ένας νεαρός διαχειριστής συστήματος με έδρα την Ινδονησία για μια μάρκα μόδας έπρεπε να βρει πώς να ξεπεράσει τα γλωσσικά εμπόδια για να το κάνει αυτό. «Ήταν τρομακτικό», λέει.

«Δεν γινόμαστε αντιληπτοί, εκτός αν συμβαίνει κάτι λάθος», δήλωσε στο WIRED ένας διαχειριστής συστήματος σε έναν οργανισμό υγειονομικής περίθαλψης στο Μέριλαντ.

Το άτομο αυτό ξύπνησε λίγο πριν από τη 1:00 π.μ. EDT. Οι οθόνες στις φυσικές τοποθεσίες του οργανισμού είχαν γίνει μπλε και δεν ανταποκρίνονταν. Η ομάδα τους ξόδεψε αρκετές πρωινές ώρες για να επαναφέρει τους διακομιστές σε λειτουργία και στη συνέχεια έπρεπε να ξεκινήσει να επιδιορθώνει χειροκίνητα περισσότερες από 5.000 άλλες συσκευές εντός της εταιρείας. Η διακοπή μπλόκαρε τις τηλεφωνικές κλήσεις προς το νοσοκομείο και διατάραξε το σύστημα που χορηγεί τα φάρμακα - όλα έπρεπε να καταγραφούν με το χέρι και να τρέξουν στο φαρμακείο με τα πόδια.

Την ήδη εφιαλτική διαδικασία περιέπλεκαν οι ελλείψεις προσωπικού. Το τεχνικό προσωπικό του συστήματος υγειονομικής περίθαλψης έχει μειωθεί τα τελευταία χρόνια, λέει ο διαχειριστής του συστήματος, και αυτό ώθησε τους εναπομείναντες υπαλλήλους να κάνουν 12- έως 14ωρα. Αν καταρρεύσουν, δεν υπάρχει κανείς να τους αντικαταστήσει. «Όλοι μας νοιαζόμαστε για την κοινότητα που εξυπηρετούμε - θέλουμε να βεβαιωθούμε ότι όλα λειτουργούν και ότι οι άνθρωποι φροντίζονται», λέει ο διαχειριστής του Maryland. «Αλλά είναι πολύ δύσκολο να το κάνεις αυτό όταν δεν έχεις αρκετό προσωπικό».

Ένας υπεύθυνος ασφάλειας πληροφοριών ενός μεγάλου συστήματος υγείας στα μεσοδυτικά των ΗΠΑ τόνισε ότι δεν είναι ασυνήθιστο στην υγειονομική περίθαλψη οι προϋπολογισμοί να είναι τόσο σφιχτοί που οι οργανισμοί να πρέπει να επιλέξουν μεταξύ της πρόσληψης κλινικού προσωπικού και της πρόσληψης υποστήριξης ΤΠ.

Τα πάντα κατέστησαν πιο δύσκολα από τους επηρεαζόμενους υπολογιστές που ήταν κρυπτογραφημένοι με το χαρακτηριστικό ασφαλείας των Windows BitLocker. «Αν χρησιμοποιείτε το BitLocker, πηδήξτε από μια γέφυρα», σχολίασε την Παρασκευή στο X ένας γνωστός λογαριασμός ειδήσεων ανάλυσης κακόβουλου λογισμικού και ασφάλειας. Στην ήδη προβληματική κατάσταση, οι χρήστες δεν μπορούσαν να εισάγουν τα κλειδιά BitLocker που απαιτούνται για να ξεκλειδώσουν τις συσκευές και να εφαρμόσουν τη διόρθωση χωρίς να καταφύγουν σε περίπλοκες λύσεις. Η Microsoft κυκλοφόρησε το Σάββατο ένα εργαλείο αποκατάστασης που περιλαμβάνει μια διόρθωση για το πρόβλημα.

Ο CISO του Midwestern λέει ότι, παρόλο που ο εργοδότης του δεν είναι πελάτης της CrowdStrike, η ομάδα του έπρεπε να αντιμετωπίσει χειροκίνητα τα ζητήματα σε περίπου 120 υπολογιστές που εκτελούσαν το επηρεαζόμενο λογισμικό. Αλλά οι μεγαλύτερες διαταραχές του οργανισμού του προήλθαν από συνεργάτες και άλλα τρίτα μέρη που επηρεάστηκαν άμεσα και αντιμετώπισαν διακοπές λειτουργίας.

«Η δυνατότητα επιλογής Medicaid έπεσε», λέει. «Η δυνατότητα συμμετοχής στην κοινωνική ασφάλιση περιορίστηκε. Οι τοπικές πόλεις με τις οποίες συνεργαζόμαστε ήταν εκτός λειτουργίας. Και μίλησα με ανθρώπους σε άλλα συστήματα υγείας - αυτό αιφνιδίασε τα τμήματα πληροφορικής σε σημείο που ήταν όλοι στο πλευρό τους. Σε ορισμένα από τα μεγαλύτερα νοσοκομειακά συστήματα της Αμερικής υπήρχαν μη εξειδικευμένοι άνθρωποι που έτρεχαν με USB flash drives και έκαναν τις διορθώσεις».

Η CrowdStrike δήλωσε τη Δευτέρα ότι «ένας σημαντικός αριθμός» των 8,5 εκατομμυρίων συσκευών που επηρεάστηκαν «είναι και πάλι συνδεδεμένες και λειτουργικές». Και οι επαγγελματίες της πληροφορικής δηλώνουν στο WIRED, ότι μετά από μερικές εξαντλητικές ημέρες, η πλειοψηφία των συστημάτων των οργανισμών τους έχει αποκατασταθεί. Αλλά θα χρειαστεί χρόνος για να επιτευχθεί η πρόσβαση σε κάθε μηχάνημα, παντού. Και η κατάσταση έχει εγείρει βαθύτερα ερωτήματα σχετικά με τον τρόπο σχεδιασμού του λογισμικού παρακολούθησης και τις διασυνδέσεις των σημερινών ψηφιακών συστημάτων.

«Το μόνο που χρειάζεται είναι ένας πωλητής υποδομών όπως η CrowdStrike», λέει ο CISO της υγειονομικής περίθαλψης. «Αυτό που συνέβη είναι ότι οι εταιρείες δίνουν έμφαση στο να βάλουν τα πράγματα στην παραγωγή και να μην παίρνουν τους ανθρώπους από τον χώρο για να τους εκπαιδεύσουν σχετικά με το τι πρέπει να κάνουν αν κάτι χαλάσει».

Λέει ότι το σύστημα υγειονομικής περίθαλψης για το οποίο εργάζεται έχει επανέλθει στην κανονικότητα τώρα, αλλά όχι όλοι οι συνεργάτες του. «Αν είμαι πελάτης της CrowdStrike», λέει, “το πρώτο πράγμα για το οποίο ανησυχώ είναι αν αυτή η εταιρεία θα συνεχίσει να υπάρχει με τη σημερινή της μορφή μετά από αυτό”.

Πηγή: How IT Departments Scrambled to Address the CrowdStrike Chaos