Obrovský celosvětový výpadek systému Windows způsobený katastrofální aktualizací bezpečnostní společnosti CrowdStrike opět jasně ukázal, jak moc je svět závislý na technologiích, kterým rozumí jen málokdo – zřejmě i firmy, které je mají na starosti.
Jste spokojeni s Windows 11?
Incident je ukázkou toho, jak je svět zranitelný nejen vůči technologiím, ale i vůči občasné krátkozrakosti a neschopnosti miliardových společností, které je používají.
V tomto případě se běžná bezpečnostní aktualizace, jakých se v průběhu let provedly tisíce, zvrtla, protože CrowdStrike prostě nedával pozor. V návaznosti na to se objevily výzvy ke změnám ve způsobu, jakým se tyto aktualizace dějí, aby se podobné věci už nikdy neopakovaly.
Hlavní z těchto výzev je ta, která říká, že CrowdStrike – nebo jakákoli jiná společnost – by neměla mít přístup ke klíčové části systému Windows, která by mohla vést k havárii každého systému, který ji používá. Podle této myšlenky může Microsoft udržet operační systém v bezpečí, pokud bude mít možnost zasahovat pouze do nejzranitelnější části systému Windows. Zastánci tohoto argumentu říkají, že je nevyhnutelné, že pokud se mnoho společností může vrtat v kernelu systému Windows, jedna z nich udělá chybu a budeme mít další masivní havárie, jako byla ta způsobená CrowdStrike.
Ale je tomu skutečně tak – vyřeší to problém? Abychom to zjistili, musíme se nejprve podívat na to, jak k celosvětovému pádu došlo.
Anatomie katastrofálního výpadku
Společnost CrowdStrike nabízí podnikům bezpečnostní software a tvrdí, že „zabezpečuje nejkritičtější rizikové oblasti – koncové body a cloudové pracovní zátěže, identitu a data, aby zákazníci měli náskok před dnešními protivníky a zastavili narušení bezpečnosti“.
Společnost na svých webových stránkách uvádí, že je široce používán mezi předními světovými společnostmi, včetně 298 společností z žebříčku Fortune 500, osmi z deseti největších firem v oblasti finančních služeb, šesti z deseti největších poskytovatelů zdravotnických služeb atd.
Podcast magazínu Computerworld
V podcastu se bavíme s lidmi, kteří znají svět ITC a mají o něm co říct. Podcast najdete na všech obvyklých podcastových aplikacích: Spotify, Apple Podcasts, Seznam Podcasty nebo Podbean.
Kybernetickou bezpečnost zajišťuje prostřednictvím své platformy CrowdStrike, která se podobně jako mnoho jiných bezpečnostních softwarů skládá ze dvou základních částí: „senzoru Falcon“, což je v podstatě jakýsi bezpečnostní motor, a „obsahu rychlé reakce“, který obsahuje data, jež senzor Falcon využívá ke kontrole potenciálních kybernetických útoků a malwaru.
Senzor Falcon se neaktualizuje často, ale obsah pro rychlou reakci se aktualizuje neustále, někdy i několikrát denně. To proto, že kybernetické útoky a malware se neustále vyvíjejí. Obsah rychlé reakce obsahuje informace o nových potenciálních útocích a senzor Falcon tyto informace využívá k zajištění bezpečnosti firem. Čím častěji je aktualizován, tím bezpečnější by firmy měly být.
Senzor Falcon i Rapid Response Content mají přístup ke kernelu Windows, tedy k samotnému jádru operačního systému. To znamená, že pokud se při aktualizaci CrowdStrike něco pokazí, může to způsobit pád systému Windows a ztížit opětovné spuštění operačního systému.
HP Knowledge HUB pro moderní firemní IT
NOVINKA Navštivte novou speciální on-line zónu CIO Business Worldu, kde vám ve spolupráci s HP budeme průběžně radit, jak snadno a bezpečně pracovat na cestách, jak si usnadnit život používám správných nástrojů, jak zvládnout přechod z kanceláří domů a zase nazpátek a jak se přitom chovat ekologicky.
Pomoc a inspiraci pro moderní IT najdete v našem HP Knowledge HUBu.
Přesně to se stalo v tomto případě. Společnost CrowdStrike řádně neprověřila aktualizaci Rapid Response Content a všechny systémy Windows, které aktualizaci obdržely, se kvůli tomu zhroutily s obávanou modrou obrazovkou smrti. Restartování systému Windows problém nevyřešilo, protože problém se týkal jádra systému Windows. Každý počítač se špatnou aktualizací musel být ručně restartován, spuštěn do nouzového režimu a poté musel někdo pomocí Průzkumníka souborů přejít do Windows > System32 > ovladače > CrowdStrike a odstranit konkrétní soubor. Proto trvalo zotavení z chybné aktualizace tak dlouho; na tuto práci prostě nebyl k dispozici dostatek pracovníků IT.
Pokud jde o to, proč CrowdStrike pustila špatnou aktualizaci do jádra systému Windows, jedním z důvodů je, že aktualizace Rapid Response Content neprochází tak komplexním kontrolním postupem jako aktualizace snímače Falcon. Společnost se zřejmě domnívala, že aktualizace Rapid Response Content nemohou napáchat tolik škody jako špatné aktualizace senzorů. Společnost se v tom určitě spletla a přislíbila, že problém rychle odstraní.
Návrh společnosti Microsoft na lepší zabezpečení
Krátce po havárii napsal John Cable, viceprezident společnosti Microsoft pro správu programů pro servis systému Windows, na svůj blog příspěvek o tom, jak by se systém Windows mohl v budoucnu lépe chránit před rozsáhlými haváriemi. V jeho doporučeních nebylo nic zvlášť překvapivého, mimo jiné: „Tento incident jasně ukazuje, že systém Windows musí upřednostnit změny a inovace v oblasti odolnosti celého systému.“ Cable také doporučil používat technologie, které nevyžadují přístup bezpečnostních společností k jádru systému Windows.
Získejte pro svůj produkt či službu ocenění IT produkt roku! Soutěž „IT produkt roku“ vyhlašuje redakce Computerworldu s cílem vyzdvihnout výrobky disponující vlastnostmi, které je významně odlišují od konkurenčních produktů stejné kategorie. Může přitom jít jak o celkově inovativní pojetí produktu, tak o jednotlivé funkční zdokonalení, výrazně zjednodušené ovládání nebo třeba o výjimečně příznivou cenu.
Soutěž probíhá ve třech samostatných kolech v kalendářním roce a každý postupující produkt či služba do jednoho ze tří finálových kol získává právo na titul IT produkt roku.
Máte-li zájem účastnit se soutěže IT produkt roku, neváhejte. Kontaktujte nás prosím na itprodukt@iinfo.cz.
O přihlášku a více informací si můžete napsat nebo zavolat na telefonech 776 204 420 nebo 604 266 707 či 725 326 893, případně na také na adrese itprodukt@iinfo.cz.
Z tohoto důvodu se mnoho lidí a společností, včetně CrowdStrike a dalších dodavatelů zabezpečení, domnívalo, že Cableovy připomínky jsou prvním krokem k odebrání přístupu bezpečnostních společností k jádru. Obávají se, že by Microsoft mohl argumentovat tím, že povolení používat jádro příliš mnoha společnostem snižuje bezpečnost systému Windows a že čím více společností k němu má přístup, tím více je příležitostí k chybám. Společnosti tuto možnost považují v podstatě za zábor půdy ze strany Microsoftu; pokud by byl společnostem odepřen přístup k jádru, mohl by je Microsoft připravit o jejich podnikání.
Například generální ředitel společnosti Cloudflare Matthew Prince varuje: „Abychom nezapomněli, sám Microsoft měl svůj vlastní věčný průšvih, kdy potenciálně umožnil cizímu aktérovi číst e-maily všech zákazníků, protože nedokázal dostatečně zabezpečit klíče pro podepisování relací. Stále ještě netušíme, jak závažné jsou důsledky #EternalBlue.“
Pište pro Computerworld
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computerworldu?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Nyní, i kdyby Microsoft chtěl zakázat přístup e kernelu, nemohl by tak učinit kvůli dohodě, kterou uzavřel s Evropskou unií v roce 2009, ta zaručuje přístup k jádru dodavatelům bezpečnostních řešení. Společnost by však mohla využít fiasko CrowdStrike jako způsob, jak jednání znovu otevřít.
Byl by systém Windows bezpečnější, kdyby měl přístup k jádru pouze Microsoft? Určitě ne. Prince má pravdu – Microsoft má za sebou velké bezpečnostní průšvihy. Často jsem o nich psal, zejména o laxních bezpečnostních postupech, které umožnily čínským špionům nabourat se do účtů vysoce postavených vládních úředníků, včetně americké ministryně obchodu Giny Raimondo, velvyslance v Číně Nicholase Burnse a republikána Dona Bacona (R-NE). (Všichni se podílejí na vztazích země s Čínou.)
Nejlepším způsobem, jak zvýšit bezpečnost systému Windows, je poskytnout spolehlivým bezpečnostním společnostem přístup k jádru systému Windows. Kolektivní zabezpečení je lepší sázkou než nechat Microsoft, aby si poradil sám, zejména vzhledem k jeho problematické bezpečnostní historii. To platilo před průšvihem s CrowdStrike a platí to i po něm.
Computerworld si můžete objednat i jako klasický časopis. Je jediným odborným měsíčníkem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computerworldu je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.