Winдец недели

По всему миру произошёл крупный сбой в работе устройств операционной системы Windows, задевший не только обычных пользователей, но и нарушивший работу жизненно важных компаний и организаций: аэропортов, железных дорог, больниц, банков. В некоторых аэропортах персоналу пришлось заполнять билеты вручную шариковой ручкой. При этом сообщается, что сбой не задел аэропорты России, Беларуси и Казахстана.

Также пострадали офисные компании, телеканалы, биржи, операторы связи.

Они столкнулись тем, что компьютеры перестали работать, а на мониторах возник так называемый «синий экран смерти».

Причиной стало недавнее обновление американского сервиса по кибербезопасности — CrowdStrike. Позже компания подтвердила о наличии проблем:

«CrowdStrike известно о сообщениях о сбоях на хостах Windows, связанных с Falcon Sensor».

При этом сбоев в работе оборудования на iOS и Linux зафиксировано не было.

Глава CrowdStrike Джордж Куртц заявил СМИ, что проблема была «выявлена, изолирована и исправлена», запущен процесс устранения неполадок, а пока компания внедрила некое «временное решение».

Компьютеры, пострадавшие из-за глобального IT-сбоя, будет сложно восстановить централизованно, пишет The Times.

Эксперт в области информационной безопасности Алексей Лукацкий пояснил, что всё сильно зависит от конкретной компании, использовавшей ПО CrowdStrike:

«Специфика этого сбоя в том, что для возврата компьютера в состояние до сбоя надо либо в ручном режиме перезапускать компьютеры, либо использовать специализированное ПО, что, скорее всего, реализовано было далеко не у всех».

Сбой произошел на компьютерах, за которыми работают офисные работники авиакомпаний, занимающиеся регистрацией пассажиров, оформлением багажа, грузов и т.д., говорит Лукацкий. «Таким образом, на текущий момент на безопасности полетов это не сказывается», — пояснил эксперт.

В то же время косвенные последствия для россиян уже происходят, потому что различные стыковочные рейсы невозможно оформить, отметил Лукацкий в беседе с РБК. Также отдельные аэропорты на массовых для россиян направлениях отдыха в настоящий момент не работают, что приводит к достаточно большим задержкам в авиаперелетах. «С точки зрения IT-инфраструктуры компании России этому инциденту не подвержены, но с точки зрения обычных россиян они могут ощутить определенные последствия от данного инцидента. Для многих из них, особенно с учетом стыковочных рейсов, это может быть достаточно серьезное последствие, связанное с невозможностью пересадки на другие рейсы и невозможностью вовремя долететь до места назначения», — пояснил эксперт.

Для россиян, проживающих в других странах, проблема актуальна, если Crowdstrike Falcon используется в их компаниях и установлен на рабочем ноутбуке, говорит старший инженер по информационной безопасности «Инфосистемы Джет» Максим Малышев. По его словам, на личных устройствах проблемы вряд ли могут возникнуть, так как Crowdstrike Falcon — это enterprise-решение.

Большинство компаний закладывают сбой при обновлении в модель рисков и предусматривают откат на предыдущую версию в качестве компенсирующей меры, что, скорее всего, и сделают пострадавшие, рассказал РБК заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов.

Он напомнил, что Microsoft отключила большинство российских компаний от Azure еще год назад в рамках санкций, поэтому России это коснуться не должно. Компании же, которые используют Azure через другие страны, могут пострадать и отреагируют согласно своим планам восстановления, считает Хайретдинов.

Несмотря на то что проблема CrowdStrike вызывает сбои именно в Windows, она может иметь и другие последствия, сказал РБК директор по развитию бизнеса компании «К2 Кибербезопасность» Андрей Заикин:

«Учитывая, что Windows — очень популярная операционная система, а CrowdStrike — крупная компания по кибербезопасности, множество компаний и сервисов также испытывают перебои в работе из-за того, что их компьютеры не работают».

Проблема решается только ручными действиями на поврежденных машинах, которые предстоит выполнять администраторам, обслуживающим затронутые организации, пояснил РБК руководитель департамента сетевой безопасности компании F.A.C.C.T. Никита Кислицин. Он отметил, что это уже вторая подряд проблема с Falcon Sensor за последнее время: в конце июня возникла схожая проблема с высокой утилизацией центрального процессора после установки обновления модуля сканирования памяти. По словам Кислицина, софт CrowdStrike очень популярен во всем мире, но в России эта компания не работает, поэтому в стране может быть незначительное количество устройств с данным программным обеспечением.

Облачные сервисы, несмотря на множество преимуществ, таких как инновационность, гибкость, высокий уровень поддержки, также несут риски по сравнению с on-premise-решениями, отметил вице-президент ГК Softline Андрей Благоразумов. По его словам, в случае резких изменений в конфигурациях самого сервиса организации, использующие облачные решения, могут столкнуться с рисками, которыми они не управляют.

По данным Благоразумова, сегодня в России очень мало организаций, которые используют облачные сервисы Microsoft, и еще меньше тех, кто использует Falcon Sensor, ставший причиной проблемы. Поэтому, по его словам, проблема практически не затронет российские компании. «Я уверен, что в мире эта проблема будет решена достаточно быстро и организации, подключенные к этому сервису, восстановят деятельность своей облачной и IT-инфраструктуры в ближайшее время», — отметил эксперт в разговоре с РБК.

«Тем временем, мир узнает о том, что антивирусы в 2024 году не только бесполезны, но и вредны, — считает IT-эксперт и автор Telegram-канала «ЗаТелеком» Михаил Климарёв. — Есть такая "платформа" Crowdstrike — антивирус и чо-то там по кибербезопасности. Так вот, оно с треском упало. Даже обвалилось. И теперь полтвиттера забиты картинками, как радуются офисные трудяги, что работать не надо — все компьютеры с Windows и вот этим самым антивирусом просто лежат и моргают BSOD».

В разговоре с «Роскомсвободой» израильский ИБ-специалист Владимир Жаботинский озвучил несколько интересных мыслей, одна из которых — это кризис централизации, когда «монокультура создаёт точку отказа». Однако самое интересное, это узнать — что именно привело к сбою:

«Есть прикол, которого мы пока не видим. Что, собственно, произошло? Обычно патчи для критических систем обкатывают на тестовых стендах. Вот и это обновление кем-то было проверено, после чего оно получило «добро», потому что протестировалось без каких-либо траблов. Но вот когда их накатили на живые машины, произошёл сбой, от которого полмира до сих пор не может отойти. Какая именно причина привела к тому, что если ранее всё нормально обновлялось без негативных последствий, а тут вдруг было протестировано, установлено на живые машины, и слетело всё, — вот это пока никто не публикует. Произошёл какой-то хитрый сбой внутри инженерии, которого мы пока не понимаем. Это нужно, чтобы кто-то тестил. Я думаю, сейчас куча народу сидит и тестирует то, как это устроено, но для этого нужны живые машины. Я думаю, что, учитывая масштабы произошедшего, мы в течение какого-то количества часов будем знать, как это всё случилось».

Ещё один израильский IT-эксперт Илья Вайцман указывает на некий неизвестный фактор, который могли не заметить специалисты:

«Ну хорошо... Даже если разработчики CrowdStrike прошляпили дыру в обновлении и выкатили глюк, то почему он стал раскатываться на десятки и сотни тысяч рабочих систем без предварительной проверки на тестовых стендах? Даже обновления Windows в корпорациях попадают на рабочие станции, как правило, после проверки и одобрения командами тестирования, а тут моментально все получили глючный апдейт. Как так-то?!»

«У всех систем, в том числе и Линукса, на котором работаю я, есть свои точки уязвимости. Программы же пишут живые люди, — вторит им технический специалист из Казахстана Мират. —  Вообще любое ПО не застраховано от сбоев. К примеру, у Линукса есть центральный репозиторий, с которого ты качаешь обновления, либо (для психов) собираешь из исходников, но если есть какая-то уязвимость или сбой в новой версии, ты все равно её получишь. То есть, разработчики ошиблись — получишь фэйл и ты. Ну и в целом, критические системы должны обновляться только после тестовой обкатки обновлений».

Инцидент требует серьезного расследования, и назвать точные причины его возникновения пока не представляется возможным, говорит заместитель директора по продуктовому развитию ГК «Солар» Артем Избаенков. По его словам, причиной могли стать ошибки при обновлениях программного обеспечения, которые могут возникать, например, в результате человеческого фактора или неполадок в QA-тестировании при раскатке обновлений.

Причиной могли стать и другие киберугрозы, например хакеры-инсайдеры, считает Избаенков. Еще одной возможной причиной сбоя он называет внешние кибератаки. В этом случае хакеры получают доступ к исходному коду и внедряют вредоносный компонент, активирующийся при определенных условиях. Этот процесс сложнее, требует большого мастерства и времени для обхода множество уровней защиты, однако риск его успешного выполнения сохраняется, пояснил Избаенков. Также на работу программного обеспечения могли повлиять комплексные кибератаки на поставщиков услуг или целевая атака на критические отрасли.

«Учитывая, что сбои затронули транспортный сектор, возможно, что за атакой стоят хакерские группировки, стремящиеся дестабилизировать работу критических инфраструктур. Аэропорты, авиакомпании, международные перевозчики — все эти цели привлекательны для тех, кто хочет нанести максимальный урон», — сказал эксперт.

«Некоторые связывают это с услугами безопасности, предлагаемыми CrowdStrike. Другие связывают это с Microsoft или Amazon. Власти и отрасль будут следить, но на данном этапе еще рано делать выводы», — предупредила завкафедрой кибербезопасности SmartSat в Университете Южной Австралии Джилл Слэй. Сбой, по ее мнению, вполне может быть результатом «неправильной настройки в одной из этих компаний или взаимодействия между продуктами», причем глобальное воздействие проблемы огромно.

Сбой не связан с кибератаками, уверен Микко Хиппонен, главный научный сотрудник финской компании по информационной безопасности WithSecure Oyj.

Российские чиновники также поспешили высказать своё мнение об этом инциденте.

Пресс-секретарь президента Дмитрий Песков тоже прокомментировал глобальный IT-cбой устройств с операционной системой Windows 10. По его словам, в Кремле все работает без сбоев.

Минцифры сообщили СМИ, что ситуация с Microsoft в очередной раз показывает значимость импортозамещения иностранного ПО. Уведомлений о сбоях систем в российских аэропортах в Минцифры не поступали, пояснили в министерстве.

В РОЦИТ также заявили об устойчивости российских систем после того, как было проведено импортозамещение, а западное ПО получило отечественные аналоги, которые «надёжнее и безопаснее».

Между тем, акции Microsoft и поставщика решений информационной безопасности CrowdStrike падают на премаркете на бирже Nasdaq на фоне глобального сбоя, следует из торговых данных.

Акции CrowdStrike на минимуме упали на 21,3%, до $270, акции Microsoft — почти на 3,5%, до $425,13. На 14:18 мск падение стоимости акций Microsoft замедлилось до 1,4%, CrowdStrike — до 11,67%.