Lecțiile cazului CrowdStrike. Internetul e vulnerabil fiindcă nu e destul de divers12 min read
O parte semnificativă a economiei mondiale a avut de suferit din cauza unui upgrade software. Nu va fi ultima dată când se întâmplă asta.
Cazul CrowdStrike a fost un moment bun de a reaminti tuturor cât de vulnerabilă e lumea modernă din cauza tehnologiei care o interconectează. Iar unul dintre principalele motive este această particularitate a economiilor capitaliste* de a depinde, cel mai adesea, de un număr limitat de furnizori care domină un domeniu, cel mai adesea doi, uneori trei, cu câțiva playeri de nișă, pentru hipsteri și hipioți.
Gândește-te la Intel vs AMD, Windows vs MacOS, Android vs iOS, Chrome, Safari și Firefox, PlayStation vs Xbox etc. O eroare făcută de vreunul dintre acești playeri – sau un atac informatic intenționat – poate pune pe butuci mare parte din economia lumii.
Desigur, firmele menționate mai sus și altele ca ele știu asta, și cel mai adesea verifică cu atenție produsele pe care le lansează, să nu creeze o asemenea criză. Nu le iese mereu, cum au învățat-o pe propria piele Facebook // Când serviciile firmei au fost căzute vreme de șase ore, wikipedia.org // Google // Detalii pe wikipedia.org // sau clienții Amazon Web Services // 21 de cazuri fiind documentate de wikipedia.org //
Oarecum ironic, ultimul astfel de caz a fost produs de o firmă care există tocmai pentru firmele încearcă să prevină astfel de întreruperi ale serviciilor. CrowdStrike își propune se prevină atacurile cibernetice în timp real, direct pe dispozitivele conectate la internet (la endpoint), prin monitorizarea și analiza activității lor. Pentru aceasta a dezvoltat produse precum Falcon, care este, practic, un antivirus ceva mai sofisticat – iar aici s-a produs ruptura.
Echipa CrowdStrike a aflat de o vulnerabilitate zero-day – adică una necunoscută până atunci –, deci un posibil punct de atac pentru atacatori, și a încercat să se miște rapid pentru a o acoperi, trimițând un update tuturor computerelor care aveau instalate Falcon. Ceva a fost codat greșit și, cel puțin în cazul celor care rulau Windows, a fost accesată o zonă din // Partea centrală a sistemului de operare, care gestionează resursele hardware și permite comunicarea dintre hardware și software. // ce n-ar fi trebuit atinsă, ceea ce a dus la căderea sistemului de operare – marcată de celebrul ecran albastru, blue screen of death.
Estimările făcute de Microsoft // „CrowdStrike IT outage affected 8.5 million Windows devices, Microsoft says”, bbc.com // că ar fi fost afectate 8,5 milioane de computere, dar cum mult prea multe erau servere ale unor companii majore sau componente esențiale ale unor întregi industrii, asta a dus la haosul din aviație sau industria bancară.
Sunt câteva lecții de învățat aici, pe lângă cum se face comunicarea de criză, atât de către // „To Our Customers and Partners”, crowdstrike.com // cât și de // „Helping our customers through the CrowdStrike outage”, microsoft.com //
Prima ar fi că riscurile cele mai ridicate apar atunci când nu te aștepți. Pentru celebra problemă a anului 2000, Year 2K, programatorii au avut la dispoziție destul timp ca să învețe computerele să folosească patru cifre, în loc de două, pentru ani, așa că problemele // Detalii pe wikipedia.org //
Pe de altă parte, în 2017 nu se aștepta nimeni ca un programator din comunitatea open-source să strice netul ștergând // Povestea e fascinantă, o poți citi integral aici, medium.com // în urma unei dispute cu deținătorii aplicației de mesagerie Kik – ceea ce a creat probleme pentru siteuri ca Facebook, Quarz și chiar Kik.
A doua e că, deși nimeni de la CrowdStrike n-a vrut să strice internetul, aceștia au încălcat o regulă importantă și de bun simț: să testeze upgrade-urile înainte de a le da drumul în lume. Pentru o firmă care ar trebui să protejeze computerele de atacuri, lipsa unei proceduri atât de primare de management a riscului e inacceptabilă – rămâne de văzut cât de mult îi va afecta asta afacerile pe termen lung.
Problema putea fi rezolvată dacă se făcea o multiplă verificate a codului (un CTC, control tehnic de calitate, cum ar veni sau, trimiterea upgrade-ului în mai multe stadii (dacă după primul stadiu cad servere, te oprești).
O a treia lecție este pentru clienți. Ar fi de preferat să nu depinzi de un singur provider al unor servicii esențiale – evident, asta vine la pachet cu costurile aferente și e greu de estimat care pot fi pierderile nediversificarii, până când aceste pierderi nu se produc. Și, mai ales, că trebuie să ai backup-uri peste backup-uri, în așa fel încât să te întorci rapid la un punct anterior și să minimizezi întreruperile.
Cea de-a patra lecție ar fi că, deși existența unor doupoluri sau oligopoluri amplifică riscul, și încercarea de a diversifica oferta poate crea destule probleme. Sau cel puțin așa susține Microsoft, care // „EU gave CrowdStrike the keys to the Windows kernel, claims Microsoft”, theregister.com // pe reglementările UE pentru faptul că CrowdStrike avea acces la kernel. Aș zice că a treia „problemă” nu-i cu adevărat una și că acuzația e mai degrabă din seria bătăliilor de imagine pe care Big Tech-ul american le duc cu regulile europene.
Ce e clar e că astfel de situații se vor mai întâlni și toată lumea trebuie să fie pregătită pentru ele. Eu unul dintre sacrificiile care trebuie făcute pentru rapiditatea cu care poți accesa sau comanda orice. Cine știe, poate că data viitoare va fi un update al Solitaire care va determina brusc mulți angajați să devină subit semnificativ mai eficienți, gripând lumea prin supraproducție.
Acestea sunt momentele în care departamentele de IT, precum pompierii, își dovedesc necesitatea – și, precum incendiile, sunt inevitabile și imprevizibile. Important e să se învețe ceva din ele și măcar să nu se producă de mai multe ori din aceeași cauză.
* Am pus o steluță mai sus și pentru că Rusia // „Russia thanks Western sanctions for helping it avoid the CrowdStrike IT outage”, businessinsider.com // că n-ar fi fost afectată de problemă din cauza sancțiunilor accidentale, care practic nu-i dau acces la serviciile CrowdStrike, la fel cum China spune că // „CrowdStrike-Microsoft outage: China avoids disruption on back of cybersecurity drive”, scmp.com // datorită Internetului închis pe care-l are. Ceea ce pare un avantaj va fi o vulnerabilitate mai mare atunci când vor consta că, spre deosebire de oligopolurile occidentale ei lucrează cu monopoluri – când le va cădea rețeaua, lor la va cădea tot.