Reportaj Wall Street Journal: Patch-ul software care a zguduit lumea. O actualizare de securitate CrowdStrike a paralizat computerele şi a subliniat fragilitatea tehnologiei globale moderne. „Cum ne putem baza atât de mult pe o singură companie?”

Laptopul HP l-a anunţat brusc că trebuie să repornească. Apoi ecranul a devenit albastru. A încercat în zadar să repornească. În 10 minute, ecranele altor trei colegi din cameră au devenit şi ele albastre, scrie publicaţia americană Wall Street Journal într-un reportaj.

„Mi-a luat atât de mult timp să redactez acel e-mail”, a spus Rathod, vicepreşedinte senior al Pidilite Industries, companie de materiale de construcţii, prin telefon o jumătate de zi mai târziu, având încă laptopul mort cu el. „Chiar sper că mai este acolo, ca să nu fiu nevoit să scriu din nou”.

Întreruperea, una dintre cele mai importante din istoria recentă, a paralizat computerele din întreaga lume şi a scos în evidenţă fragilitatea sistemelor globale de software pe care ne bazăm, notează cei trei jurnalişti – Asa Fitch, Sam Schechner şi Sarah Needleman, care semnează reportajul.

Declanşată de o actualizare de software eronată a companiei de securitate cibernetică CrowdStrike, perturbarea s-a răspândit în timp ce majoritatea oamenilor de pe coasta de est a SUA dormeau, iar cei din Asia îşi începeau ziua.

Pe parcursul a mai puţin de 80 de minute înainte ca CrowdStrike să o oprească, actualizarea a intrat în calculatoarele Microsoft Windows din întreaga lume, transformând laptopurile corporative în cărămizi inutilizabile şi paralizând operaţiunile restaurantelor, companiilor media şi altor întreprinderi. Centrele de apeluri 911 din SUA au fost întrerupte, sistemul de e-mail corporativ al angajaţilor Amazon.com a intrat în pană, iar zeci de mii de zboruri globale au fost amânate sau anulate.

„În cariera mea tehnică de 30 de ani, acesta este de departe cel mai mare impact pe care l-am văzut vreodată”, a spus B.J. Moore, director de informaţii pentru sistemul de sănătate Providence, cu sediul în Renton, Washington, ale cărui spitale au avut dificultăţi în a accesa dosarele pacienţilor, în a efectua intervenţii chirurgicale şi în a efectua scanări CT.

Rezolvarea problemei a implicat paşi tehnici care i-au derutat pe mulţi utilizatori care nu sunt familiarizaţi cu tehnologia. Unele departamente IT ale companiilor încă lucrau la deblocarea sistemelor informatice vineri târziu. CrowdStrike a declarat că întreruperea nu este un atac cibernetic.

Adăugând haosului - şi subliniind şi mai mult vulnerabilitatea sistemului IT global - o problemă separată a afectat sistemul de cloud computing Azure al Microsoft joi, cu puţin timp înainte de defecţiunea CrowdStrike, provocând o întrerupere pentru clienţi, inclusiv pentru unele companii aeriene americane şi utilizatori ai Xbox şi Microsoft 365.

Problema CrowdStrike a scos la iveală riscurile unei lumi în care sistemele IT sunt din ce în ce mai interconectate şi dependente de o multitudine de companii de software - multe dintre ele nu sunt cunoscute. Acest lucru poate cauza probleme uriaşe atunci când tehnologia lor funcţionează defectuos sau este compromisă. Programele informatice funcţionează pe laptopurile noastre şi în cadrul sistemelor informatice ale întreprinderilor, unde, fără ca majoritatea utilizatorilor să ştie, sunt actualizate automat pentru îmbunătăţiri sau noi protecţii de securitate.

Într-un atac informatic din 2020, autori ruşi au introdus coduri maliţioase în actualizările software-ului SolarWinds într-un mod care a compromis o parte a guvernului SUA şi zeci de companii private.

Frecvenţa şi impactul în creştere ale atacurilor cibernetice, inclusiv cele care introduc ransomware şi spyware dăunătoare, au contribuit la creşterea CrowdStrike şi a unor concurenţi precum Palo Alto Networks şi SentinelOne în ultimii ani. Veniturile anuale ale CrowdStrike au crescut de 12 ori în ultimii cinci ani, ajungând la peste 3 miliarde de dolari.

Dar software-ul de securitate cibernetică precum cel al CrowdStrike poate fi deosebit de perturbator atunci când lucrurile merg prost, deoarece trebuie să aibă acces profund în sistemele informatice pentru a respinge atacurile rău intenţionate.

Nu toate actualizările au loc în mod automat, iar atacurile informatice au loc adesea pentru că oamenii sau întreprinderile nu adoptă rapid patch-urile trimise de companiile de software pentru a remedia vulnerabilităţile - în esenţă, nu iau medicamentul prescris de medici. În acest caz, medicamentul în sine le-a făcut rău pacienţilor.

Întreruperea globală a început cu o actualizare a unui aşa-numit „fişier de canal”, un fişier care conţine date care ajută software-ul CrowdStrike să neutralizeze ameninţările cibernetice, a declarat CrowdStrike. Actualizarea a fost marcată cu ora 4:09 a.m. UTC - imediat după miezul nopţii în New York şi în jurul orei 9:30 a.m. în India.

Această actualizare a făcut ca software-ul CrowdStrike să blocheze creierul sistemului de operare Windows, cunoscut sub numele de kernel. Repornirea computerului nu a făcut decât să îl blocheze din nou, ceea ce înseamnă că mulţi utilizatori au trebuit să elimine fişierul incorect de pe fiecare computer afectat.

Natura patch-ului a făcut ca impactul să fie inegal, oamenii din acelaşi birou resimţind întreruperea foarte diferit. Mac-urile Apple, care nu utilizează software-ul Windows afectat, au fost în regulă, iar serverele şi PC-urile care nu erau pornite şi conectate la internet nu au primit actualizarea toxică.

CrowdStrike şi-a dat repede seama că ceva nu este în regulă şi actualizarea fişierului a fost anulată 78 de minute mai târziu. Aceasta înseamnă că nu ar fi afectat computerele care erau oprite sau în modul de aşteptare în acea perioadă. Dar pentru multe dintre cele care erau pornite, răul era făcut.

Într-o postare pe blog, CrowdStrike le-a spus acestor utilizatori să pornească în „modul sigur” al Windows, să şteargă fişierul incorect - numit C-00000291*.sys - şi să repornească.

Adesea, echipele IT pot remedia problemele de pe computerele angajaţilor folosind software de acces de la distanţă - instrumente care au devenit deosebit de comune în timpul boom-ului de lucru de la domiciliu al pandemiei. Dar pentru laptopuri şi alte PC-uri această abordare nu funcţionează dacă maşinile nu pot reporni. Pentru aceste sisteme, soluţia CrowdStrike a trebuit să fie aplicată personal - fie de către o persoană de asistenţă tehnică la faţa locului, fie de către un angajat obişnuit care încerca să aplice instrucţiunile.

Moore, CIO al sistemului de sănătate din statul Washington, era plecat în vacanţă şi, iniţial, nu a fost îngrijorat atunci când e-mailurile despre funcţionarea defectuoasă a aplicaţiilor informatice au început să ajungă în căsuţa sa de e-mail joi seara.

Dar până la ora 23:00, ora Pacificului, a aflat că întreruperea a cuprins cele aproximativ 50 de spitale şi 1 000 de clinici din şapte state ale sistemului de sănătate non-profit. Sute de angajaţi IT au început să implementeze patch-uri, care au necesitat remediere manuală, a spus el.

Unele dintre computerele şi dispozitivele afectate ale sistemului au fost reparate până la ora 6 a.m., iar majoritatea funcţionau din nou până la ora 10 a.m. „Va fi sfârşitul zilei până când vom termina totul”, a spus Moore vineri dimineaţă.

Deseori, echipele IT pot remedia problemele de pe computerele angajaţilor folosind software de acces de la distanţă - instrumente care au devenit deosebit de comune în timpul boom-ului de lucru de la domiciliu al pandemiei. Dar pentru laptopuri şi alte PC-uri această abordare nu funcţionează dacă maşinile nu pot reporni. Pentru aceste sisteme, soluţia CrowdStrike a trebuit să fie aplicată personal - fie de către o persoană de asistenţă tehnică la faţa locului, fie de către un angajat obişnuit care încerca să aplice instrucţiunile.

În timp ce companiile se confruntau cu impactul, co-fondatorul şi directorul general al CrowdStrike, George Kurtz, apărea la televizor încercând să liniştească clienţii - şi acţionarii - care arătau îngrijoraţi după o noapte lungă.

„Am identificat acest lucru foarte repede şi am dat înapoi acest fişier de conţinut special”, a declarat Kurtz într-un interviu acordat CNBC la aproximativ nouă ore după actualizarea defectuoasă. „Este posibil ca unele sisteme să nu se recupereze complet şi lucrăm individual cu fiecare client în parte pentru a ne asigura că le putem face să funcţioneze şi să fie operaţionale”, a adăugat el.

Termenul de recuperare ar putea fi de câteva ore sau „un pic mai lung”, a spus el. Kurtz a declarat pe X că întreruperea nu este „un incident de securitate sau un atac cibernetic”.

CEO-ul Microsoft, Satya Nadella, a participat la X pentru a oferi propriile asigurări că societatea lucrează îndeaproape cu CrowdStrike pentru a readuce sistemele online. CEO-ul Tesla, Elon Musk, a răspuns: „Acest lucru a dat o criză lanţului de aprovizionare auto”, iar mai târziu a spus: „Tocmai am şters CrowdStrike din toate sistemele noastre”.

În Statele Unite, haosul din transportul aerian s-a prelungit sâmbătă pentru a doua zi, în timp ce unele companii aeriene se străduiau să repornească operaţiunile, în timp ce altele au început să revină la normal. Peste 1 200 de zboruri din SUA fuseseră anulate sâmbătă la prânz, pe lângă cele 3 400 care fuseseră anulate vineri, potrivit FlightAware, un site de urmărire a zborurilor.

Delta Air Lines a fost cea mai afectată, anulând peste o treime din zborurile sale vineri şi tot mai multe anulări sâmbătă. Directorii Delta au scris vineri într-o notă internă că un număr semnificativ de aplicaţii operaţionale ale companiei aeriene rulează pe Windows. Cele mai multe dintre acestea au fost restaurate, dar un instrument de urmărire a echipajelor a avut nevoie de mai mult timp pentru a procesa volumul mare de modificări. Transportatorul a informat piloţii, într-o actualizare separată transmisă sâmbătă, că un volum mare de curse deschise necesită echipaje şi că compania aeriană lucrează pentru a preveni blocarea avioanelor la sol, la hub-ul său din Atlanta.

Pentru Rathod, vicepreşedinte senior la Pidilite, dificultăţile nu s-au încheiat cu posibila pierdere a e-mailului său. După ce a trecut pe iPad pentru a continua să lucreze, a trebuit să se grăbească la aeroport pentru un zbor - doar pentru a găsi cozi lungi şi personal de securitate derutat care verifica manual biletele de îmbarcare. Ecranele cu informaţii despre zboruri nu funcţionau, aşa că a trebuit să găsească personal al companiei aeriene care să îl îndrume spre poarta corectă.

„A fost un dezastru la aeroportul din Delhi”, a spus Rathod. „Cum ne putem baza atât de mult pe o singură companie?”