Възстановяването от глобалното прекъсване на технологиите може да бъде дълъг и труден процес
Компанията, която аргументи солиден компютърен срив по целия свят, споделя, че неверна актуализация е анулирана – само че това не е наложително да помогне на хилядите компании, които са били наранени от казуса.
Проблемът със софтуера CrowdStrike, който е в основата на спирането, е на толкоз надълбоко равнище в засегнатите компютри и системи , че стартирането им в деяние, единствено с цел да бъдат поправени, ще бъде в доста случаи, голямо предизвикателство.
Това се усложнява от обстоятелството, че доста от сървърите, които може да съдържат информация, нужна, с цел да накарат тези системи да работят още веднъж, сами са хванати в цикъл на сривове и рестартиране.
А някои наранени компютри може даже да не са елементарно налични, конфигурирани на отдалечени места и предопределени да работят без човешка интервенция.
„ Не мисля, че е прекомерно рано да го назовем: това ще бъде най-голямото спиране на ИТ в историята “, сподели специалистът по сигурността Трой Хънт в обява на X.
Погрешният програмен продукт на CrowdStrike работи на по този начин нареченото равнище на ядрото на компютъра, доста по-дълбоко равнище от това, което вършат по-обикновени приложения като браузъри или видеоигри. Тази част от устройството има доста по-голяма видимост и надзор върху компютъра и неговите съставни елементи, което го прави сериозен за работата на всички други системи - и доста по-чувствителен.
Работата на равнище ядро означава, че софтуерът на CrowdStrike може да направи повече за разкриване на хакерски атаки, само че също по този начин значи, че настоящият бъг кара компютрите с Windows да се срутват до наследник екран на гибелта, преди потребителите да могат да подхващат каквито и да било дейности, с цел да го поправят.
Проблемът наподобява изправим, сподели CrowdStrike, само че в доста случаи изисква усърдна работа: всяко наранено устройство би трябвало да бъде налично от админ и ръчно рестартирано в безвреден режим. След това проблематичният файл CrowdStrike би трябвало да бъде заличен на ръка.
За компании със стотици или хиляди преносими компютри, настолни компютри и сървъри, работещи със софтуера за сигурност на CrowdStrike, обособен човек може да би трябвало да извършва този развой още веднъж и още веднъж и още веднъж.
„ Не можете да автоматизирате това “, сподели Кевин Бомонт, откривател по сигурността и някогашен анализатор на заканите на Microsoft, в обява на X. „ Така че това ще бъде необикновено мъчително за клиентите на CrowdStrike. “
В петък страница за положението на Microsoft заяви, че някои консуматори на Windows Virtual Machine са се възстановили сполучливо от казуса посредством неведнъж рестартиране, в някои обстановки до 15 пъти поред.
„ Получихме противоположна връзка от клиенти, че може да са нужни няколко рестартирания (съобщени са до 15), само че като цяло противоположната връзка е, че рестартиранията са ефикасна стъпка за премахване на неизправности на този стадий “, сподели Microsoft на страницата. Компанията не спекулира за какво техниката наподобява работи.
Засегнатите организации също могат да опитат да възстановят своите машини до по-ранно положение, като се върнат към предходно архивиране на системата, добави Microsoft, макар че призна, че може да не е допустимо във всички случаи.
„ Компаниите, които не са вложили в решения за бързо архивиране, са заседнали в уловка-22 “, сподели Ерик О’Нийл, специалист по киберсигурност и някогашен чиновник на контраразузнаването на ФБР.
Влошава се.
Организациите, които се отнасят съществено към сигурността, евентуално са криптирали твърдите дискове на компютрите си, което прави още по-трудно достъпа до файла, който би трябвало да бъде заличен.
За тези организации „ би трябвало да дешифрирате ръчно диска с ключ за възобновяване на BitLocker, който евентуално – за множеството компании – се съхранява цифрово на един от сървърите, които сега се зареждат още веднъж и още веднъж “, сподели Ира Бейли, откривател по сигурността, в обява в BlueSky.
Всеки обиден компютър, който е криптиран с BitLocker, ще би трябвало да бъде отключен с ключ за възобновяване, преди организациите да могат да стартират процеса на заличаване на неприятния CrowdStrike файл и възобновяване на естествената работа, сподели специалистът по киберсигурност, който се употребява под псевдонима SwiftOnSecurity в обява на X.
Възстановяването ще бъде извънредно скъпо за фирмите от Fortune 500 с огромни екипи от ИТ личен състав и евентуално даже по-предизвикателно за по-малките компании, сподели пред CNN Кен Уайт, самостоятелен откривател по сигурността, който специализира в мрежовата сигурност.
„ Ако нямате физически личен състав, който фактически може да го допре, това ще отнеме доста, доста дни, с цел да се възвърне огромна част от корпоративната Америка “, сподели Уайт. „ Това е просто един звук трудоемка ръчна работа. “
„ Това е много комплицирана процедура за нетехнически хора “, добави Уайт, „ и даже доста квалифицирани ИТ експерти ще се затруднят да създадат това в мащаба, който ще бъде нужен поради броя на засегнатите машини. “
Как грешката в CrowdStrike докара до толкоз необятно публикувани резултати?
Тъй като софтуерът за сигурност на CrowdStrike работи на безчет обособени компютри по целия свят, актуализацията, която беше изпратена на тези устройства, накара всички те да се изключат, съвсем по едно и също време.
А в днешната мрежова стопанска система спирането на една част от веригата за доставки може да провокира резултат на доминото нагоре и надолу. Когато голям брой елементи от веригата за доставки се повредят, това води до каскада от проблеми.
Представете си човек, който се пробва да си купи кафе, сподели Андрю Пек, специалист по киберсигурност в университета Лафборо в Обединеното кралство. Това, което може да наподобява като елементарна транзакция, разчита на голям брой компютри, работещи в тандем, от мястото за продажба на кафенето до личните бек-енд системи на процесора за заплащане.
„ В тази верига има доста компютри и нормално колкото по-голям е бизнесът, толкоз по-голяма е веригата “, сподели Пек. „ Ако някой от компютрите е долу във веригата, транзакцията няма да приключи. “
