Co je CrowdStrike Falcon
CrowdStrike se zaměřuje na to, že svým zákazníkům poskytuje nepřetržitě běžící službu pro vyhledávání hrozeb a okamžitou distribuci opravných řešení. K tomu využívá mechanismus, který Microsoft poskytuje v rámci Windows, kdy lze udělit takovému vnějšímu nástroji oprávnění pro vlastní aktualizace nezávislé na správci daného IT systému. Ty jsou realizovány systémovými soubory (ovladači) ve struktuře Windows (viz například soubory CrowdStrike popisované o odstavec níže). Zjednodušeně řečeno správce systému nastaví vše tak, že CrowdStrike pomocí instalovaného nástroje (zde jde o CrowdStrike Falcon) částečně převezme správu nad strojem co do funkčnosti v oblasti kompetencí daného instalovaného ovladače / nástroje. Výměnou za to může správce daného stroje / IT systému / korporátu klidně spát, protože veškerou tu složitost zabezpečení současných IT systémů v současném propojeném světě outsourcoval na důvěryhodného partnera. Úkolem CrowdStrike pak je o, aby si kvalitou své práce tuto důvěru udržela. To se jí 19. července nepovedlo.
Falcon od Crowdstrike je platformou zaměřenou na zastavení průlomů do IT systému, k čemuž využívá sadu cloudově-distribuovaných technologií chránících proti různým typům útoků od malware po viry. Zaměřuje se na ochranu proti zneužití exploitů, zero day chyb, odcizení přihlašovacích údajů a dalších nástrojů (včetně třeba použití PowerShellu pro takové akce). Falcon tak obsahuje jak vlastní antivirus, tak slouží jako nástroj pro endpoint detection and response (EDR; i pro mobilní zařízení), cyber threat intelligence, postará se i o USB zařízení, hostitelský firewall či forenzní datovou analýzu.
Funkčnost má rozdělenu na dvě části, předně tzv. Sensor Content, což je balík pravidel distribuovaný vždy s novým vydáním základu platformy Falcon, přičemž tento obsah není měněn dynamicky z cloudu. Uživatel si zde může volit, zdali chce používat verzi aktuální, nebo předchozí, nebo ještě tu před ní.
Druhým prvkem pak je Rapid Response Content, který již je dynamicky z cloudu aktualizovaným balíkem reagujícím co nejrychleji na aktuální dění, vyhodnocujícím chování odpovídající vzorům a využívajícím aktualizovanou telemetrii a detekční vzory. Tento balík je distribuován ve formě binárního souboru a doplňuje v systému ony statické definice distribuované se samotným Falconem. A právě u nejnovějšího balíku Rapid Response Content došlo k inkriminované chybě. Rapid Response Content samozřejmě podléhá testování před distribucí zákazníkům, které však chybu neodhalilo.
Co se stalo
V pátek 19. července 2024 v 04:09 UTC tedy americká bezpečnostní společnost CrowdStrike začala do světa distribuovat vadnou aktualizaci svého bezpečnostního softwaru Falcon (označují jej za senzor), který se v krátké době rozšířil na milióny počítačů, u kterých způsobil fatální selhání, reprezentované modrými obrazovkami smrti (BSoD).
Odhadem padlo za oběť této aktualizaci na 8 a půl miliónů strojů (méně než 1 % světových strojů s Windows; šlo o Windows stroje, které přijaly vadnou aktualizaci mezi 04:09 a 05:27 – platformy Mac a Linux byly z obliga) a postiženy byly spousty velkých společností a již dnes lze výpadek označit za jeden z nejvýznamnějších v historii IT. Poškozeny byly například mnohé americké aerolinky, akciové trhy, obchody, čerpací stanice, vládní úřady či lékárny a další instituce. Celkové škody jsou v tuto chvíli odhadovány na minimálně 10 miliard USD. Z amerických leteckých společností snad jedině aerolinky Southwest byly uchráněny, neb stále používají Windows 3.1.
Příčinu výpadků se tedy podařilo rychle identifikovat (distribuce vadné aktualizace byla pozastavena zhruba po hodině a čtvrt a po 5:27 UTC už žádné další stroje tuto aktualizaci neobdržely) a připravit opravné řešení, které však vyžadovalo „spoustu ruční práce“ ze strany správců IT po celém světě.
Oprava problému
Jelikož jde o problém softwaru s vysokými oprávněními na platformě Windows, na rychlém řešení se podílel Microsoft a je specifické pro Windows. Administrátorovi stačí na daném postiženém stroji nabootovat do nouzového režimu, smazat v adresáři %windir%\System32\drivers\CrowdStrike\ všechny soubory typu C-00000291-*.sys s časovou značkou 0409 UTC. Následně restartovat.
Proces je nutné provést lokálně na každém jednotlivém stroji. Na strojích s šifrováním pomocí BitLockeru je řešení mírně složitější kvůli potřebnému obnovovacímu klíči. Na platformě Azure zase uživatelé zjistili, že k řešení většinou stačí virtuální stroj zhruba 15× restartovat. Microsoft také doporučuje obnovit stroj ze zálohy z 18. července.
Otřesená důvěra ve spolehlivost
Až dosud nebylo o CrowdStrike obvykle slyšet, což prokazuje jediné: reputaci spolehlivého dodavatele, která byla nyní poškozena. Firma se nemusí zásadně bát, že by ji nějaká hromadná žaloba o miliardy položila na lopatky, v licenčních podmínkách softwaru Falcon má ustanovení, že je žalovatelná maximálně do výše placených poplatků. Otázkou je, zdali dopady nebudou jiné v Evropě s ohledem na GDPR, nicméně tyto věci jsou nyní v běhu a ještě dlouho budou.
Jinou otázkou je důvěra v CrowdStrike jako takový. Zdali budou zákazníci přecházet na konkurenční řešení, nelze předjímat. Dovolil bych si v tomto kontextu použít přirovnání k smartphonu Samsung Galaxy Note 7, který před mnoha lety kvůli designové vadě uživatelům často hořel či přímo explodoval, až Samsungu nezbylo nic jiného, než spolknout miliardovou hořkou pilulku a Note 7 kompletně stáhnout z trhu a zákazníky odškodnit. Kdo by si tehdy vsadil, že lidé přestanou po celém světě kupovat výrobky Samsung, by se mýlil. Naopak se dalo předpokládat, což představitelé Samsungu detailně komunikovali, že od té chvíle nebude na světě poctivější společnosti, co se návrhu akumulátorů a prostoru pro ně v těle smartphonů týče.
Obdobně může otřesení důvěry přežít i CrowdStrike. Vydané prohlášení a informace na firemních stránkách se ostatně nesou v obdobném duchu jako Samsung před lety a dobře celou věc komunikují směrem k veřejnosti.
CrowdStrike hodlá do budoucna vylepšit procedury testování svého systému Rapid Response Content v různých oblastech (local developer, content update a rollback, stress, fuzzing, fault injection, stability a content interface). Budou zavedeny další mechanismy validace v Content Validatoru, aby se předešlo podobným problémům. Posílen bude mechanismus nakládání s chybami u Falconu. Ale hlavně budou aktualizace distribuována postupně, nikoli vyhrnuty současně všem. Posíleno bude i monitorování a měření výkonu systému během postupné distribuce aktualizace a uživatelům bude k dispozici větší kontrola nad aktualizacemi Rapid Response Content (jemnější nastavení toho, co a kdy chce uživatel aktualizovat). Uživatelé také budou dostávat notifikace o dostupných aktualizacích a jejich načasování. CrowdStrike také využije více třetích subjektů pro kontrolu bezpečnosti kódu.
Lze vůbec nesvěřit vlastní IT bezpečnost někomu třetímu?
Škodolibě by se dalo konstatovat, že dobře tak všem, kteří bezpečnosti svých IT systémů svěří nějaké vnější firmě, kterou pak ani nemohou žalovat o plnou výši škody. Avšak v době, kdy je celosvětová propojenost počítačů takřka kompletní, natolik komplikovaná a kdy IT hrozby mohou nabývat myriády rozličných podob a objevovat se každou jednotlivou sekundu z těch 86 400, co jich v každém dnu v roce je, si těžko představit, že by nějaký IT správce – ať už na vesnické základce či v nadnárodní korporaci – mohl obsáhnout veškeré zabezpečení, které je potřeba.
Outsourcujeme všichni všechno, běžně, každý den, a to už mnoho let. Tu je to platba platební kartou, tu přihlášení k webu skrze Google či facebook, tu důvěra v antivirový program, důvěra v cloudové úložiště, důvěra v kolektivní obranu NATO, důvěra v bezpečnost kolektivního proočkování, důvěra v ostatní a kvalitu jejich práce. Vždyť důvěřujeme slepě i našemu milovanému Linuxu, ač není na světě nikdo, kdo by četl 100 % jeho zdrojového kódu a mohl dát ruku do ohně za to, že neobsahuje chyby. Vzpomeňme události kolem Minnesotské univerzity před pouhými třemi roky.
Vývoj IT systémů je překotný a je nad ním pouze omezená kontrola. A den má pouze 24 hodin a život je příliš krátký na to, aby jej člověk strávil řešením potenciálních bezpečnostních problémů, které mohou / nemusejí nastat. Jestli lze svěřit vlastní IT bezpečnost někomu jako je CrowdStrike? Odpovím otázkou: lze tak s klidným svědomím neučinit? Je však potřeba mít nadále na paměti, že IT systémy jsou závislé na lidském faktoru lidí, kteří je tvoří, na jejich schopnosti intuitivně vidět potenciální problémy, a dále pak neopomenout holý fakt, že žádný IT systém není stoprocentně spolehlivý. Může se k tomu blížit, ale nikdy dokonalosti nedosáhne.
