nlc.hu
Aktuális
Crowdstrike-káosz: jobb, ha felkészülünk a hasonló leállásokra

Globális informatikai káosz: jobb, ha felkészülsz a hasonló leállásokra

Példa nélküli leállást okozott számos kritikus szolgáltatásban a Crowdstrike szoftverfrissítése. De mi ez a totál ismeretlen program, ami megbénította a fél világot, és mire számítsunk a jövőben, amikor még inkább a digitális rendszerekre hagyatkozunk?

Egy globális informatikai hiba miatt múlt héten súlyos kimaradások voltak a légi közlekedésben, a banki szolgáltatásokban, egyes egészségügyi intézményekben és számos más iparágban világszerte. A szakértők szerint nem túlzás, hogy ez volt minden idők legsúlyosabb informatikai incidense.

Kritikus szolgáltatások omlottak össze

Az üzemzavar méretét jó mutatja, hogy pénteken világszerte több mint négyezer repülőjáratot töröltek, 35 ezer gép késett. A budapesti repülőtéren aznap estig 133 késést és 16 járattörlést okozott az informatikai káosz, Szicíliában és Mallorcán ragadtak magyarok a hiba miatt.

A Sky New brit televíziócsatorna és több ausztrál tévéadó nem tudott adást sugározni. Az Egyesült Királyságban leállt a háziorvosi szolgálat időpontfoglalási rendszere, sugárterápiás rákkezeléseket kellett szüneteltetni; Amerikában és Németországban műtétek maradtak el, képalkotó vizsgálatokat nem tudtak elvégezni, egyes amerikai államokban akadozott a 911-es segélyhívó rendszer működése; Dél-Afrikában legalább két nagy bank ügyfelei órákig nem tudtak kártyával fizetni vagy pénzt felvenni ATM-ből.

Viszonylag hamar kiderült, hogy a komputerek egy hibás szoftverfrissítés miatt térdeltek le, és mostanra már azt is tudni, hogy csaknem 8,5 millió Microsoft-eszközt érintett a probléma. De nem a redmondi óriásvállalat volt a hunyó, hanem az amerikai CrowdStrike nevű cég, és a Windows-gépeken futó Falcon nevű biztonsági programja – ezt még pénteken elismerte a vállalat, és közölte azt is, hogy nem támadás történt.

CrowdStrike biztonsági hiba

Értesítés a 2024. július 19-i Crawley-i Gatwick repülőtér globális informatikai leállása miatti esetleges utazási késésekről (Fotó: Jack Taylor/Getty Images)

Fejlettebb védelem, súlyosabb hiba

De hogyan lehetséges, hogy egyetlen program egyszerre tegyen használhatatlanná több millió számítógépet? Anélkül, hogy túlságosan belemennék technikai részletekbe, lássuk, mi a szoftver! A CrowdStrike programja a zsarolóvírusoktól és már biztonsági fenyegetésektől védi a gépeket, és az egyik legjobbnak számít ezen a területen; az úgynevezett modern végpontvédelmi megoldások 8,6 milliárd dolláros piacán 18 százalék a részesedése. A szoftver jóval komolyabb védelmet nyújt, mint az átlagos user gépére telepített vírusirtók, tűzfalak és hasonlók (ezért csak a szakmabeliek ismerik); folyamatosan monitorozza a számítógépet gyanús tevékenységek után kutatva, és ha kell, az észleléseket továbbítja egy központba, ahol hús-vér emberek értékelik a helyzetet, és döntenek az esetleges beavatkozásról.

Ehhez a fejlettebb védelemhez a programnak hozzá kell férnie a számítógép operációs rendszerének magjához, így viszont az is benne van a pakliban, hogy fatális hibát okoz a védendő rendszerben. Ez történt a pénteki leállás során a hibás frissítés miatt. És mivel a CrowdStrike mélyen az operációs rendszerbe integrálva működik, a probléma nemcsak a szoftvert tette tönkre, hanem „kék halált” okozott a számítógépeken – ezt súlyos hibát valószínűleg az is ismeri, aki csak pasziánszozni szokott a gépen.

CrowdStrike biztonsági hiba

A Sky News csatorna leállása a szoftverfrissítés után (Fotó: Jack Taylor/Getty Images)

Bár a CrowdStrike erős védelmet nyújt, a szolgáltatásnak megkérik az árát, emiatt vállalatok általában csak a legfontosabb feladatokat ellátó számítógépekre telepítik. Ebből persze az is következik, hogy ha ezek kritikus gépek meghibásodnak, akkor kulcsfontosságú szolgáltatások állhatnak le, ahogy azt most láthattuk.

A probléma megoldását tovább nehezítette, hogy miután a számítógépek újraindultak, az operációs rendszer nem töltődött be, így a hibát sem lehetett könnyedén kijavítani. Az informatika iránt érdeklődő olvasóink kedvéért leírjuk, hogy helyreállítási módban kellett elindítani a gépet, majd átnevezni a CrowdStrike mappát vagy törölni a C-00000291*.sys fájlt. A gond csak az, hogy ezt minden gépnél egyesével kellett elvégezni a helyszínen, ami nem tűnik nagy ügynek, de az akár több száz számítógépet használó szolgáltatásoknál nem egy pikk-pakk kivitelezhető feladat a rendszergazdák számára. Nem véletlen, hogy akár több hétbe is telhet, mire minden gép helyreáll, a Delta Air Lines még hétfőn is több mint 600 járatot törölt.

Jobb, ha hozzászokunk a hasonló leállásokhoz

„Egyre nagyobb az informatikai kitettség az egész világon, ennek természetes velejárója, hogy gyakoribbak lesznek a hasonló incidensek, különösen a jobban érintett ágazatokban, mint például a légi közlekedés” – mondta az nlc-nek Fehér Sándor, a vállalati kiberbiztonsággal foglalkozó White Hat IT Security Kft. vezérigazgatója. Hozzátette:

az viszont jó hír, hogy a mostani leállást nem egy rosszindulatú, külső támadás, hanem egy frissítési hiba okozta.

Igaz, a hackerek információkat gyűjthettek, hogy mely cégek futtatják a CrowdStrike rendszerét, azaz mi adja a védekezésük egyik fontos elemét.

Az eddig nyilvánosságra került információk alapján a szakember azt tartja a legvalószínűbb forgatókönyvnek, hogy a biztonsági szoftver frissítését nem tesztelték elég alaposan, mielőtt kiküldték a gépekre. Erre utal, hogy nemcsak néhány számítógépen jelentkezett a probléma – valamilyen egyedi, különleges körülmény miatt – hanem szinte az összes CrowdStrike Falcont futtató eszközön.

Fehér Sándor szerint a világszintű leálláshoz egy másik tényező is hozzájárult. A kritikus rendszereknél általában fokozatosan telepítik a szoftverfrissítéseket: először a kevésbé fontos gépekre, majd ha minden rendben működik, akkor jöhet a többi komputer, a kulcsfontosságú gépek pedig csak a legvégén kerülnek sorra. A mostani frissítésnél azonban nem lehetett ezt az elvet követni, mert – amennyiben az engedélyezve volt – a CrowdStrike automatikusan telepítette a frissítést, a biztonsági programot használó vállalatoknak a saját rendszereiken belüli ütemezésbe nem volt beleszólásuk.

Bár a leállás több életbevágóan fontos szektort érintett, Fehér Sándor emlékeztetett arra, hogy a kritikus informatikai rendszereknél általában van helyreállítási terv vészhelyzet esetére. Ez azt jelenti, hogy előre megtervezik, hogy egy esetleges hiba esetén hogyan és milyen tartalék eszközökre állnak át, valamint miként állítják vissza a működéshez szükséges adatokat. Azt nehéz megmondani, hogy a szolgáltatás visszaállítása mennyi időt vesz igénybe, de az biztos, hogy erre készülnek a vállalatok, bár a gyakorlatban olykor rögtönözni is kell.

CrowdStrike biztonsági hiba

Check-in terminál a Washington-i Nemzetközi Repülőtéren, 2024. július 19-én, miután a CrowdStrike kiberbiztonsági vállalat frissítése globális leállást okozott a számítógépes rendszerekben (Fotó: Nathan Howard/Getty Images)

Ha jó a kommunikáció, nincs pánik

Rab Árpád jövőkutató, a Nemzeti Közszolgálati Egyetem Információs Társadalom Kutatóintézetének tudományos főmunkatárs is egyetért azzal, hogy egyre több informatikai leállásra, incidensre kell felkészülnünk, hiszen egyre nagyobb szeletet hasít ki az életünkből a digitális tér. Napról napra több online szolgáltatásra hagyatkozunk, a személyes terünk egy része is átkerül a digitális térbe, ott kommunikálunk, ott tároljunk az emlékeinket, az adatainkat. Ugyanakkor az mindenképpen pozitívum, hogy a „digitális cselekvéseink” száma óriási mértékben nőtt az elmúlt években, ám a szolgáltatások kimaradása, az online incidensek és visszaélések aránya nem emelkedett ilyen nagy mértékben.

Az átlagemberek azon kívül, hogy megbarátkoznak a leállások gondolatával, nem sokat tehetnek a globális vállalatok működéséért. Rab Árpád szerint amikor üzemzavar áll be, akkor az a legfontosabb, hogyan tájékoztatnak minket a problémáról. Ha lehet tudni, hogy mi történt és várhatóan meddig fog tartani, az megnyugtatja az embereket, és elkerülhető a pánik.

„A jó hír, hogy most azonnal volt kommunikáció, és nem idegen, programozók által használt szakzsargonnal közöltek valamit, hanem bárki megérthette, körülbelül mi történt, és hamar kiderült a hiba oka is” – mondta Rab Árpád, aki szerint a kiszolgáltatottság ellenére az emberek felfogták és elfogadták a helyzetet.

Az nem valószínű, hogy egyik percről a másikra minden informatikai szolgáltatás összeomoljon, hiszen nincsenek világméretű, egybefüggő rendszerek, nehéz elképzelni, hogy egyszerre minden leálljon

– nyugtatott meg mindenkit a jövőkutató, hozzátéve, hogy egy napkitörés egy-két napra azért megzavarhatja az elektronikus rendszereket.

Az átlagos felhasználó számára a múlt pénteki leállás, valamint a Facebook, a Google és más online szolgáltatások jóval gyakoribb kimaradásai leginkább arra jók, hogy szélesebb körben felhívják a figyelmet az IT-biztonságra, már amennyit mi tehetünk ezen a téren. Legyünk kicsit tudatosabbak a digitális életünket illetően, és gondolkozzunk el, hogyan tudjuk jobban óvni az elektronikusan tárolt adatainkat, emlékeinket, és ne csak egy megoldásra hagyatkozzunk!

(Források: BBC, Wired, Los Angeles Times, Guardian, AP)

Ha kommentelni, beszélgetni, vitatkozni szeretnél, vagy csak megosztanád a véleményedet másokkal, az nlc Facebook-oldalán teheted meg.

Címlap

top