Tóth István IT-biztonsági szakértőt kérdeztük a CrowdStrike-botrány miértjeiről és hogyanjairól, valamint arról, hogyan lehetne elkerülni egy hasonló globális hibát a jövőben.
Eredetileg a Microsoftot okolták a globális informatikai probléma miatt, amely megbénított több repülőteret, bankot és hivatalt Ausztráliától az Egyesült Államokig. Később kiderült, hogy a világ egyik vezető kibervédelmi cége, a CrowdStrike áll a „kékhalál-hullám” hátterében. Tóth István IT-biztonsági szakembert kérdeztük arról, hogy mi volt a hiba forrása, milyen eszközöket vethetnének be az informatikai cégek ezek elkerülésére, valamint hogy milyen hatásai lehetnek az eddigi legnagyobb ilyen malőrnek a jövőre nézve.
Nem a Microsoftnál kell keresni az okokat – szögezte le Tóth István. A CrowdStrike kiberbiztonsági technológiai vállalat főként a régen egyszerűen csak „vírusirtóknak” nevezett, de ma már több komplex elemből álló végpontvédelmi megoldásokkal foglalkozik, amelyek a kártékony kódokat hivatottak felderíteni, majd elhárítani az egyes „végpontok” között.
Végpont gyakorlatilag bármilyen hálózathoz csatlakozó eszköz lehet, például egy vállalati munkaállomás vagy egy kiszolgáló, azaz szerver. A CrowdStrike megoldása a világon az egyik, ha nem a legjobb rendszer, mellyel a szakértőnek személyes tapasztalata is van.
Munkám során szimulált és valós támadásokat hajtunk végre különböző szervezetekkel szemben, hogy teszteljük a védelmüket. Ahol a CrowdStrike fut, ott mindig nehezebb dolgunk van
– fogalmazott Tóth István.
Mint mondta, ha egy vállalat emellett a rendszer mellett teszi le a voksát, akkor gyakorlatilag minden számítógépükre felkerül a program, amely mindig ott fut a háttérben. Ezek folyamatosan kapcsolatban állnak a CrowdStrike központi rendszereivel, ahonnan automatikusan megkapják a frissítéseket is.
Ez egy „sima”, például a szintén automatikusan települő Windows-frissítéssel szemben abban különbözik, hogy ezeket a frissítéseket nem igazán lehet késleltetni, lekapcsolni, saját környezetben, esetleges tesztelés után telepíteni – gyakorlatilag teljesen önállóan működnek.
Emellett fontos tudni, hogy ezek a típusú végpontvédelmi megoldások a lehető legmagasabb jogosultsággal futnak a végpontokon, a számítógépen futó operációs rendszer minden szegmenséhez hozzáférnek.
Ez alapesetben egy jó dolog, hiszen a CrowdStrike és a többi végpontvédelmet biztosító cég nagyon gyorsan tud reagálni a támadásokra, a programok egyes hiányosságait pedig könnyen ki tudják küszöbölni. Azonban a július 19-én jelentkező probléma megmutatta az ilyesfajta rendszerekben rejlő veszélyeket is.
Lényegében az történt, hogy George Kurtz cége kiadott egy frissítést a végpontvédelmi szoftverükhöz, amelyet az összes CrowdStrike-kal rendelkező számítógép automatikusan telepített. A változtatásba azonban egy olyan hiba csúszott, amely gyakorlatilag megölte a Windows-rendszereket, világszerte kaptak kritikus hibaüzenetet, vagyis „kékhalált” az ilyen rendszeren futó PC-k.
Ezt a hibás frissítést ezután minden indításkor betölti a gép, így a népi hiedelemben elterjedt ki- majd bekapcsolás sem oldja meg a gondot. A CrowdStrike a hiba kiderülésekor ugyan gyorsan visszavonta, illetve javította a frissítést, azonban ez nem jelenti azt, hogy az összeomlott számítógépekről is le tudták azt szedni, ugyanis azok olyan súlyosan sérült állapotba kerültek, hogy gyakorlatilag el sem tudtak indulni.
Tóth István szerint jelenleg az egyetlen megoldás a számítógépek életre keltésére az, amit a CrowdStrike is javasol ügyfeleinek: úgynevezett biztonságos módban kell elindítani a Windowst, amely csak a legalapvetőbb funkciókkal működik. Ilyen állapotban hozzá lehet férni a frissítést tartalmazó mappához, majd manuálisan törölni azt.
EZ A hiba azonban csak azokat a gépeket nem érintette, amelyek nem voltak bekapcsolva a frissítés kiadásakor, csak annak visszavonása után kapcsolódtak a CrowdStrike szolgáltatásához.
Ebben a szerencsében azonban kizárólag munkaállomások részesülhettek, a manapság használt rendszerek kiszolgálói, ugyanis 0–24-es üzemre vannak tervezve, azok szinte biztosan megkapták a hibás frissítéseket.
A kiberbiztonsági szakember szerint ez volt a világtörténelem legsúlyosabb ilyen jellegű IT-katasztrófája. A CrowdStrike hibáját dollármilliárdokban lehet majd mérni, melyből a cég már meg is érzett egy keveset: a New York-i tőzsde pénteki nyitása előtt a részvényei 10 százalékot estek. Rengeteg rendszer, amely ilyen védelmet használt, leállt, olvasóink jelezték, hogy autógyári sorok egész nap szüneteltek, valamint többen nem fértek hozzá a bankjukhoz sem.
Tóth István elmondta, hogy bár a CrowdStrike egy a rengeteg ilyen jellegű cég közül, mégis nagy veszélyt rejt az, hogy ennyi kiszolgáló és ilyen jogosultságokkal használja a védelmi programokat. Ugyanakkor szerinte nincs jobb megoldás, ugyanis ahhoz, hogy az ilyen rendszerek működni tudjanak, szükség van ezekre a módszerekre.
A rosszindulatú szoftverek (malware) nagyon fejlettek, gyorsan jelennek meg az új
technikákat felvonultató kódok, amire a végpontvédelmi megoldásoknak azonnal reagálniuk kell. A cégeknek frissíteni, módosítani, adaptálni kell a programjaikat.
Ilyenkor mindenki arra gondol, hogy vajon pontosan mi történhetett. Kurtz az X-en (egykori Twitteren) számolt be arról, hogy nem támadás történt, ezért a legvalószínűbb az, hogy a tesztelések ellenére is emberi hiba csúszhatott a frissítésbe.
Tóth István szerint egy esetleges üzemeltetési kockázatcsökkentő megoldás lehetne az, hogyha az ilyen végpontvédelmi megoldások frissítéseit nem vennék át egyből, hasonlóan például a Windows-frissítésekhez. Ott ugyanis a szintén többször tesztelt update-eket nem veszik át azonnal, hanem vállalati szinten letöltik, tesztelik saját környezetben is, és csak utána küldik ki a szerverekre, munkaállomásokra.
A CROWDSTRIKE VAGY MÁS GYÁRTÓK VÉGPONTVÉDELMI SZOFTVEREINÉL AZONBAN EZ AZÉRT LENNE PROBLÉMÁS, MERT A KORÁBBAN EMLÍTETT MALWARE-EK ÍGY SOKKAL KÖNNYEBBEN JUTHATNÁNAK BE A VÉDENDŐ RENDSZEREKBE, HISZ AZ EXTRA RÉTEGEK MIATT A VÉGPONTVÉDELMI MEGOLDÁSOK LASSABBAN KERÜLNÉNEK KI AZ ÉLES KÖRNYEZETBE, ÉS íGY LÉPÉSELŐNYBE KERÜLHETNEK A TÁMADÁSOK.
Bár üzembiztonsági szempontból ez egy jó ötlet lenne, és a július 19-i informatikai katasztrófa elkerülhető lett volna, ha a frissítések aktiválása nem elég gyors, akkor egy, a „hálón” átjutó rosszindulatú kód akár még nagyobb károkat okozhatna.
Általában ha egy informatikai incidens történik, akkor többekben felmerül a kérdés, hogy történhetett-e adatszivárgás, kerülhettek-e adatok illetéktelen kezekbe. Tóth István válasza erre a kérdésre ebben az esetben egyértelmű nem, ugyanis a rendszerek elérhetetlenné váltak mindenki számára, így
az esetleges támadók számára is.
Egy fordított leak azonban történt, ugyanis most kiderült, hogy mely vállalatok dolgoznak Kurtz cégével – ami alapvetően titkos információ, bár egyéb információszerzési módszerekkel azért felderíthető.
Az, hogy merre tovább a CrowdStrike számára, a magyar szakértő szerint még elválik. Egyrészt már látjuk a részvények zuhanását, másrészt vannak, akik szerint negatív reklám nem létezik, csak reklám. Sokan az IT világában sem ismerték a ma híressé (vagy hírhedtté) váló cég nevét, az pedig, hogy a hiba elhárulása után hogyan fognak emlékezni rá, még nem látható előre.
Az eredetileg a Microsofttal összefüggésbe hozott botrány a MacOS és Linux operációs rendszeren futó gépeket nem érintette. Erre a rejtélyre könnyű a megoldás, ugyanis a CrowdStrike csak az előbbi rendszerre hozott ki frissítést – viszont ebből a szempontból is jó tanulság lehet a biztonsági vállalatnak.
(Borítókép: Várakozó utasok a hollandiai Rotterdamban, a hágai repülőtéren 2024. július 19-én. Fotó: Mouneb Taim / Anadolu / Getty Images)