Awaria miała miejsce w piątek, 19 lipca. Dotknęła około 8,5 miliona urządzeń z systemami operacyjnymi Microsoft. Firma podkreśliła, że było to mniej, niż 1 procent wszystkich komputerów z systemem operacyjnym Windows.
Tyle tylko, że w szeregu przypadków były to komputery wykorzystywane w kluczowej infrastrukturze. Dotknęło to działalności banków i internetowych transakcji, a także funkcjonowania lotnisk. Uziemionych zostało około 1,5 tysiąca samolotów. Były też problemy w szpitalach. Z powodu awarii część specjalistycznych zabiegów, do których potrzebne są komputery, trzeba było odwołać. W trzech stanach w USA przestały działać linie alarmowe (numer 911).
Okazało się, że powodem awarii były błędy w jednaj z aktualizacji programu Falcon firmy CrowdStrike.
– To bardzo specjalistyczne narzędzie. Osoby prywatne z niego nie korzystają. Program ten przeznaczony jest dla dużych instytucji, takich jak banki, placówki medyczne czy firmy lotnicze. I właśnie one ucierpiały na awarii – mówi dr inż. Adam Czubak, kierownik Zespołu Badawczego ds. Cyberbezpieczeństwa w Instytucie Informatyki Uniwersytetu Opolskiego.
Godzina i 18 minut
Dr inż. Adam Czubak zaznacza, że program Falcon to owoc wieloletniej pracy specjalistów działających w sektorze cyberbezpieczeństwa.
– To nie jest zwykły antywirus. Oni stworzyli niezwykle wyrafinowane narzędzie. Jedno z najlepszych do wykrywania prób włamań do systemu oraz malware [złośliwe oprogramowanie, jak wirusy – dop. red.]. Program jest piekielnie szybki, dzięki temu, że działa blisko tzw. jądra systemu operacyjnego Windows. W ten sposób obciążenie systemu jest niemalże niezauważalne. Działa w chmurze i umożliwia błyskawiczne łatanie luk w zabezpieczeniach – podkreśla.
– Przykładowo, jeśli gdzieś na świecie zostanie wykryte nowe zagrożenie, to w ciągu godzin pojawia się aktualizacja, która zabezpiecza przed nim urządzenia na całym świecie. Takich aktualizacji potrafi być kilkanaście dziennie. Pech chciał, że część kodu jednej z nich zawierała błąd logiczny, który prowadził do zawieszenia komputera – stwierdza dr inż. Adam Czubak.
Naukowiec zauważa, że problem pojawił się w piątek rano polskiego czasu. A pracownicy firmy CrowdStrike wykryli go po 1 godzinie 18 minutach. To wystarczyło jednak, by doprowadzić do awarii systemów komputerowych na skalę, jakich świat jeszcze nie widział.
– Statystycznie trzeba było się z tym liczyć. To po prostu kwestia skali – argumentuje.
Awaria Microsoft. Zawiodły procedury?
Dr inż. Adam Czubak przekonuje, że głośna awaria była absolutnie przypadkowa. Zauważa, że firma CrowdStrike testuje aktualizacje przed wysyłką pod kątem tego, czy nie przyniosą negatywnych konsekwencji.
– W firmie trwa dochodzenie, jak to się stało, że systemy testowe nie wykryły problemów, które pojawiły się po feralnej aktualizacji. Nie wierzę, aby nie było tam zestawu procedur związanych z publikowaniem łatek – stwierdza.
Damian Kolarczyk, dyrektor Centrum Przetwarzania Danych w Parku Naukowo-Technologicznym w Opolu, zaznacza, że takie aktualizacje zwyczajowo obejmują procedury bezpieczeństwa.
– Ale jest to kwestia delikatna – podkreśla. – Dział IT musi wybrać pomiędzy szybkością reakcji na zagrożenie, a narażeniem się na działania niepożądane w sytuacji, jeśli w aktualizacji były błędy. Dlatego w każdej firmie powinny być odpowiednie procedury, pozwalające ocenić zagrożenie w zależności od kluczowości systemów informatycznych oraz skali podatności. Procedury pomagają szacować ryzyko i odpowiedzieć na pytanie, czy trzeba działać natychmiast, tu zalecana jest procedura mówiąca o testowaniu aktualizacji na maszynach testowych, czy też można sobie pozwolić na odczekanie nieco czasu, by poobserwować rozwój sytuacji – stwierdza.
Możliwa powtórka
Dr hab. Adam Czubak podaje przykład, kiedy pośpiech związany z łataniem braków w zabezpieczeniach zrodził problem.
– Około półtora roku temu wykryto wiele podatności na ataki w systemie drukarek w systemie Microsoftu. Firma szybko przygotowała aktualizację. Przetestowała ją, ale okazało się, że nie dość gruntownie. Okazało się, że aktualizacja była tak restrykcyjna, że w ogóle nie dało się korzystać drukarek. Przestały działać – opowiada.
– Innym skutkiem wadliwej aktualizacji może być na przykład znaczne spowolnienie działania komputera. Na przykład o 30 procent. Wszystko dlatego, że systemy komputerowe są skomplikowane i wymagają czasochłonnych, dokładnych testów. Tyle, że oczekiwania klientów zazwyczaj są takie, że chcą jak najszybszej eliminacji zagrożenia – argumentuje naukowiec.
Awaria Microsoft. Ciągłe bombardowanie
Trzeba też mieć na uwadze, że systemy komputerowe są praktycznie stale bombardowane pod kątem prób wdarcia się do ich wnętrz.
– Czasy, w których jedna osoba atakowała jeden komputer już dawno za nami – mówi Damian Kolarczyk. – Obecnie robią to boty, które są w stanie równolegle wedrzeć się do tysięcy systemów naraz, z pomocą kilkudziesięciu metod jednocześnie. Wyszukują luk w zabezpieczeniach, aby hakerzy mogli dostać się do wnętrza. Ich cele są różne. Czasami to zwykłe narobienie szkód albo próba zablokowania działania krytycznej infrastruktury. Ale zazwyczaj chodzi o pieniądze. To m.in. phishing, czyli wyłudzanie danych, potrzebnych na przykład do logowania do kont bankowych. Albo ransomware, czyli szyfrowanie danych na komputerze i oczekiwanie zapłaty okupu za przywrócenie dostępu do nich.
Hakerzy starają się też przedrzeć przez bariery, aby zacząć wykorzystywać zasoby naszego sprzętu do wydobywania kryptowalut. Wtedy również mamy do czynienia z poważnym obciążeniem systemu, które bardzo utrudnia normalne korzystanie z komputera.
– Jakiś czas temu przeprowadziliśmy eksperyment – mówi dyrektor Centrum Przetwarzania Danych w PNT. – Chcieliśmy sprawdzić, ile czasu upłynie, zanim komputer bez zabezpieczeń podłączony do sieci będzie przejęty. Boty potrzebowały do tego bardzo krótkiego czasu.
AI po obu stronach barykady
Do włamań do komputerów wykorzystywana jest też już sztuczna inteligencja. Ta cały proces jeszcze usprawnia i przyspiesza. Tyle, że ten kij ma dwa końce. Ta sama AI działa też w obronie systemów. Potrafi wyszukiwać luki, alarmować oraz opracowywać rozwiązania, które je wyeliminują.
– Na szczęście nawet to, co obserwowaliśmy 19 lipca, nie było totalnym krachem. Część samolotów nie latała, ale nie było tak, że lotniska nie działały wcale. Ponieważ one mają też część systemów poza internetem. Bądź bazują na innych rozwiązaniach. Taka dywersyfikacja to rozsądny krok – mówi dr inż. Adam Czubak.
Damian Kolarczyk dodaje, że firmy dotknięte awarią z 19 lipca ponownie pochylą się nad kwestią szacowania ryzyka.
– Zaś podmioty dostarczające zabezpieczenia wprowadzą dodatkowe procedury i będą jeszcze bardziej wnikliwie sprawdzać aktualizacje przed wypuszczeniem – uważa.
– Tym niemniej musimy się liczyć z tym, że wcześniej czy później może dojść do kolejnej globalnej awarii – kwitują nasi rozmówcy.
Czytaj też: Cyberbezpieczeństwo, czyli jak chronić dane w sieci. „Hakerzy to ciężko pracujący oszuści”
***
Odważne komentarze, unikalna publicystyka, pasjonujące reportaże i rozmowy – czytaj w najnowszym numerze tygodnika „O!Polska”. Do kupienia w punktach sprzedaży prasy w regionie oraz w formie e-wydania.
