Эксперты объяснили глобальный сбой Windows
Глобальный технический сбой вызван с установленными системами защиты CrowdStrike, сообщил РБК эксперт в области информационной безопасности Алексей Лукацкий. CrowdStrike Falcon Sensor — это система безопасности, блокирующая кибератаки.
Решить проблему можно, переведя компьютеры в безопасный режим и удалив определенные компоненты программного обеспечения. «Правда, сделать это надо вручную, что представляет проблему для крупных компаний с парком в десятки тысяч компьютеров», — рассказал он. По словам эксперта, Россию эта проблема не затронула, так как в стране практически нет решений CrowdStrike.
Сбой произошел на компьютерах, за которыми работают офисные работники авиакомпаний, занимающиеся регистрацией пассажиров, оформлением багажа, грузов и т.д., говорит Лукацкий. «Таким образом, на текущий момент на безопасности полетов это не сказывается», — пояснил эксперт.
В то же время косвенные последствия для россиян уже происходят, потому что различные стыковочные рейсы невозможно оформить, отметил Лукацкий в беседе с РБК. Также отдельные аэропорты на массовых для россиян направлениях отдыха в настоящий момент не работают, что приводит к достаточно большим задержкам в авиаперелетах. «С точки зрения IT-инфраструктуры компании России этому инциденту не подвержены, но с точки зрения обычных россиян они могут ощутить определенные последствия от данного инцидента. Для многих из них, особенно с учетом стыковочных рейсов, это может быть достаточно серьезное последствие, связанное с невозможностью пересадки на другие рейсы и невозможностью вовремя долететь до места назначения», — пояснил эксперт.
Для россиян, проживающих в других странах, проблема актуальна, если Crowdstrike Falcon используется в их компаниях и установлен на рабочем ноутбуке, говорит старший инженер по информационной безопасности «Инфосистемы Джет» Максим Малышев. По его словам, на личных устройствах проблемы вряд ли могут возникнуть, так как Crowdstrike Falcon — это enterprise-решение.
На текущем этапе сложно оценить, сколько времени потребуется на исправление ситуации, сложность заключается в том, что при возникновении подобной проблемы каждое устройство необходимо перегружать в safe mode вручную, с помощью средств управления это сделать невозможно, пояснил РБК руководитель управления исследования угроз «Лаборатории Касперского» Александр Лискин. «Это действительно очень серьезная проблема, затронувшая многочисленные процессы в том числе в критической инфрастуктуре», — говорит он.
Большинство компаний закладывают сбой при обновлении в модель рисков и предусматривают откат на предыдущую версию в качестве компенсирующей меры, что, скорее всего, и сделают пострадавшие, рассказал РБК заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов.
Он напомнил, что Microsoft отключила большинство российских компаний от Azure еще год назад в рамках санкций, поэтому России это коснуться не должно. Компании же, которые используют Azure через другие страны, могут пострадать и отреагируют согласно своим планам восстановления, считает Хайретдинов.
Несмотря на то что проблема CrowdStrike вызывает сбои именно в Windows, она может иметь и другие последствия, сказал РБК директор по развитию бизнеса компании «К2 Кибербезопасность» Андрей Заикин. «Учитывая, что Windows — очень популярная операционная система, а CrowdStrike — крупная компания по кибербезопасности, множество компаний и сервисов также испытывают перебои в работе из-за того, что их компьютеры не работают», — заявил эксперт.
Проблема решается только ручными действиями на поврежденных машинах, которые предстоит выполнять администраторам, обслуживающим затронутые организации, пояснил РБК руководитель департамента сетевой безопасности компании F.A.C.C.T. Никита Кислицин. Он отметил, что это уже вторая подряд проблема с Falcon Sensor за последнее время: в конце июня возникла схожая проблема с высокой утилизацией центрального процессора после установки обновления модуля сканирования памяти. По словам Кислицина, софт CrowdStrike очень популярен во всем мире, но в России эта компания не работает, поэтому в стране может быть незначительное количество устройств с данным программным обеспечением.
Облачные сервисы, несмотря на множество преимуществ, таких как инновационность, гибкость, высокий уровень поддержки, также несут риски по сравнению с on-premise-решениями, отметил вице-президент ГК Softline Андрей Благоразумов. По его словам, в случае резких изменений в конфигурациях самого сервиса организации, использующие облачные решения, могут столкнуться с рисками, которыми они не управляют.
По данным Благоразумова, сегодня в России очень мало организаций, которые используют облачные сервисы Microsoft, и еще меньше тех, кто использует Falcon Sensor, ставший причиной проблемы. Поэтому, по его словам, проблема практически не затронет российские компании. «Я уверен, что в мире эта проблема будет решена достаточно быстро и организации, подключенные к этому сервису, восстановят деятельность своей облачной и IT-инфраструктуры в ближайшее время», — отметил эксперт в разговоре с РБК.
Инцидент требует серьезного расследования, и назвать точные причины его возникновения пока не представляется возможным, говорит заместитель директора по продуктовому развитию ГК «Солар» Артем Избаенков. По его словам, причиной могли стать ошибки при обновлениях программного обеспечения, которые могут возникать, например, в результате человеческого фактора или неполадок в QA-тестировании при раскатке обновлений.
Причиной могли стать и другие киберугрозы, например хакеры-инсайдеры, считает Избаенков. Еще одной возможной причиной сбоя он называет внешние кибератаки. В этом случае хакеры получают доступ к исходному коду и внедряют вредоносный компонент, активирующийся при определенных условиях. Этот процесс сложнее, требует большого мастерства и времени для обхода множество уровней защиты, однако риск его успешного выполнения сохраняется, пояснил Избаенков. Также на работу программного обеспечения могли повлиять комплексные кибератаки на поставщиков услуг или целевая атака на критические отрасли. «Учитывая, что сбои затронули транспортный сектор, возможно, что за атакой стоят хакерские группировки, стремящиеся дестабилизировать работу критических инфраструктур. Аэропорты, авиакомпании, международные перевозчики — все эти цели привлекательны для тех, кто хочет нанести максимальный урон», — сказал эксперт.
Сегодня «день гибели CrowdStrike», оценил ситуацию основатель компании по киберисследованиям Imperum Сенад Арун.
«Некоторые связывают это с услугами безопасности, предлагаемыми CrowdStrike. Другие связывают это с Microsoft или Amazon. Власти и отрасль будут следить, но на данном этапе еще рано делать выводы», — предупредила завкафедрой кибербезопасности SmartSat в Университете Южной Австралии Джилл Слэй. Сбой, по ее мнению, вполне может быть результатом «неправильной настройки в одной из этих компаний или взаимодействия между продуктами», причем глобальное воздействие проблемы огромно.
Сбой не связан с кибератаками, уверен Микко Хиппонен, главный научный сотрудник финской компании по информационной безопасности WithSecure Oyj.
Этим утром по всему миру произошел глобальный сбой систем Windows. Пользователи жалуются на появление «синего экрана смерти» на устройствах с Windows 10.
«CrowdStrike осведомлен о сообщениях о сбоях на хостах Windows, связанных с программой Falcon. Симптомы включают в себя хосты, на которых возникает ошибка bugcheck\blue screen, связанная с датчиком Falcon», — сообщила компания, комментируя сбои.
О сбоях в работе систем от Microsoft в России пока не известно. В минувшем марте компания Microsoft объявила о блокировке доступа к своим облачным сервисам на территории России.
Вещание нескольких телеканалов приостановлено, о приостановке полетов из-за сбоя уже объявили крупнейшие американские авиакомпании American Airlines, United Airlines, Delta Airlines и Frontier Airlines и крупнейшая турецкая авиакомпания Turkish Airlines.