Čo sa stalo: Analýza jedného z najväčších technologických výpadkov v histórii
Svet v uplynulých hodinách zasiahol jeden z najväčších technologických výpadkov v dejinách. Komplikácie hlásia letiská, nemocnice či banky naprieč celým svetom. Počiatočné informácie hovorili o nešpecifikovanom výpadku internetu, neskôr vysvitlo, že chyba vznikla na strane poskytovateľa kybernetickej bezpečnosti CrowdStrike. Kde presne?
Technicians looking at servers in data center using tablet pc
Technici sa pozerajú na servery v dátovom centre pomocou testovacieho tabletu. Foto: Profimedia
Platforma CrowdStrike je komplexným bezpečnostným riešením na detekciu rizík v cloude. Na predikciu hrozieb intenzívne využíva umelú inteligenciu. Veľké spoločnosti, ktoré potrebujú zabezpečiť stopercentnú dostupnosť svojich systémov a ktoré by boli prípadným hackerským útokom mimoriadne postihnuté, preto tento systém masívne nasadili.
Už z toho vyplýva, že problém aplikácie platformy CrowdStrike – ktorému sa Štandard venoval v samostatnom článku – zasiahne veľké množstvo užívateľov.
Aplikácia beží na operačnom systéme od Microsoftu, preto bola za počiatočného vinníka označená táto firma. Problém sa naozaj prejavil tak, že po reštarte sa objavila „Modrá obrazovka smrti“ a systém sa dostal do stavu obnovenia.
CrowdStrike nie je bežná aplikácia
Koreň problému však nebol v samotnom operačnom systéme. Existujú určité typy aplikácií, ktoré musia byť do systému hlboko „zahryznuté“ a preto ich časti bežia v takzvanom „systémovom“ či „jadrovom“ móde. Bežných programov sa to netýka, ak by „zamrzol“ napríklad MS Word, systém ho automaticky stopne a zvyšok systému aj aplikácii nebude zasiahnutý.
Medzi aplikácie so systémovými súčasťami patrí aj CrowdStrike. A ako každá aplikácia aj ona potrebuje raz za čas aktualizovať. Je potrebné opraviť chyby aj prípadné bezpečnostné riziká.
Pri update sa však aktualizovala aj jedna súčasť jadra systému, takzvané „kanálové súbory“. Ide o časti systému, cez ktoré sa pristupuje k súborom umiestneným v cloude. Vzhľadom k tomu, že súbory mali (pravdepodobne) nesprávny formát systém to po reštarte „nerozchodil“ a počítač skončil na modrej obrazovke.
Ako to vyriešiť
Riešenie problému je nasledovné:
Windows treba reštartovať v núdzovom režime (vtedy sa nenaťahujú systémové komponenty externého softvéru).
Z adresára C:\Windows\System32\drivers\CrowdStrike je potrebné vymazať nasledovné súbory “C-00000291*.sys“.
Potom stačí počítač reštartovať.
Odstránenie problému je teda relatívne jednoduché, vzhľadom k tomu koľko počítačov problém zasiahol, však môže oprava trvať aj pár dní. Správcovia systémov budú mať pokazený víkend.
Účinnou obranou proti takýmto situáciám je dôsledné testovanie a nasadzovanie aktualizovaných verzií softvéru do „živého“ prostredia až po ich dôkladnom vyskúšaní.