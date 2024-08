Obrovský celosvětový výpadek systému Windows způsobený katastrofální aktualizací bezpečnostní společnosti CrowdStrike opět jasně ukázal, jak moc je svět závislý na technologiích, kterým rozumí jen málokdo – zřejmě i firmy, které je mají na starosti.





Incident je ukázkou toho, jak je svět zranitelný nejen vůči technologiím, ale i vůči občasné krátkozrakosti a neschopnosti miliardových společností, které je používají.

V tomto případě se běžná bezpečnostní aktualizace, jakých se v průběhu let provedly tisíce, zvrtla, protože CrowdStrike prostě nedával pozor. V návaznosti na to se objevily výzvy ke změnám ve způsobu, jakým se tyto aktualizace dějí, aby se podobné věci už nikdy neopakovaly.

Hlavní z těchto výzev je ta, která říká, že CrowdStrike – nebo jakákoli jiná společnost – by neměla mít přístup ke klíčové části systému Windows, která by mohla vést k havárii každého systému, který ji používá. Podle této myšlenky může Microsoft udržet operační systém v bezpečí, pokud bude mít možnost zasahovat pouze do nejzranitelnější části systému Windows. Zastánci tohoto argumentu říkají, že je nevyhnutelné, že pokud se mnoho společností může vrtat v kernelu systému Windows, jedna z nich udělá chybu a budeme mít další masivní havárie, jako byla ta způsobená CrowdStrike.

Ale je tomu skutečně tak – vyřeší to problém? Abychom to zjistili, musíme se nejprve podívat na to, jak k celosvětovému pádu došlo.

Anatomie katastrofálního výpadku

Společnost CrowdStrike nabízí podnikům bezpečnostní software a tvrdí, že „zabezpečuje nejkritičtější rizikové oblasti – koncové body a cloudové pracovní zátěže, identitu a data, aby zákazníci měli náskok před dnešními protivníky a zastavili narušení bezpečnosti“.

Společnost na svých webových stránkách uvádí, že je široce používán mezi předními světovými společnostmi, včetně 298 společností z žebříčku Fortune 500, osmi z deseti největších firem v oblasti finančních služeb, šesti z deseti největších poskytovatelů zdravotnických služeb atd.

Kybernetickou bezpečnost zajišťuje prostřednictvím své platformy CrowdStrike, která se podobně jako mnoho jiných bezpečnostních softwarů skládá ze dvou základních částí: „senzoru Falcon“, což je v podstatě jakýsi bezpečnostní motor, a „obsahu rychlé reakce“, který obsahuje data, jež senzor Falcon využívá ke kontrole potenciálních kybernetických útoků a malwaru.

Senzor Falcon se neaktualizuje často, ale obsah pro rychlou reakci se aktualizuje neustále, někdy i několikrát denně. To proto, že kybernetické útoky a malware se neustále vyvíjejí. Obsah rychlé reakce obsahuje informace o nových potenciálních útocích a senzor Falcon tyto informace využívá k zajištění bezpečnosti firem. Čím častěji je aktualizován, tím bezpečnější by firmy měly být.

Senzor Falcon i Rapid Response Content mají přístup ke kernelu Windows, tedy k samotnému jádru operačního systému. To znamená, že pokud se při aktualizaci CrowdStrike něco pokazí, může to způsobit pád systému Windows a ztížit opětovné spuštění operačního systému.

Přesně to se stalo v tomto případě. Společnost CrowdStrike řádně neprověřila aktualizaci Rapid Response Content a všechny systémy Windows, které aktualizaci obdržely, se kvůli tomu zhroutily s obávanou modrou obrazovkou smrti. Restartování systému Windows problém nevyřešilo, protože problém se týkal jádra systému Windows. Každý počítač se špatnou aktualizací musel být ručně restartován, spuštěn do nouzového režimu a poté musel někdo pomocí Průzkumníka souborů přejít do Windows > System32 > ovladače > CrowdStrike a odstranit konkrétní soubor. Proto trvalo zotavení z chybné aktualizace tak dlouho; na tuto práci prostě nebyl k dispozici dostatek pracovníků IT.

Pokud jde o to, proč CrowdStrike pustila špatnou aktualizaci do jádra systému Windows, jedním z důvodů je, že aktualizace Rapid Response Content neprochází tak komplexním kontrolním postupem jako aktualizace snímače Falcon. Společnost se zřejmě domnívala, že aktualizace Rapid Response Content nemohou napáchat tolik škody jako špatné aktualizace senzorů. Společnost se v tom určitě spletla a přislíbila, že problém rychle odstraní.

Návrh společnosti Microsoft na lepší zabezpečení

Krátce po havárii napsal John Cable, viceprezident společnosti Microsoft pro správu programů pro servis systému Windows, na svůj blog příspěvek o tom, jak by se systém Windows mohl v budoucnu lépe chránit před rozsáhlými haváriemi. V jeho doporučeních nebylo nic zvlášť překvapivého, mimo jiné: „Tento incident jasně ukazuje, že systém Windows musí upřednostnit změny a inovace v oblasti odolnosti celého systému.“ Cable také doporučil používat technologie, které nevyžadují přístup bezpečnostních společností k jádru systému Windows.

Z tohoto důvodu se mnoho lidí a společností, včetně CrowdStrike a dalších dodavatelů zabezpečení, domnívalo, že Cableovy připomínky jsou prvním krokem k odebrání přístupu bezpečnostních společností k jádru. Obávají se, že by Microsoft mohl argumentovat tím, že povolení používat jádro příliš mnoha společnostem snižuje bezpečnost systému Windows a že čím více společností k němu má přístup, tím více je příležitostí k chybám. Společnosti tuto možnost považují v podstatě za zábor půdy ze strany Microsoftu; pokud by byl společnostem odepřen přístup k jádru, mohl by je Microsoft připravit o jejich podnikání.

Například generální ředitel společnosti Cloudflare Matthew Prince varuje: „Abychom nezapomněli, sám Microsoft měl svůj vlastní věčný průšvih, kdy potenciálně umožnil cizímu aktérovi číst e-maily všech zákazníků, protože nedokázal dostatečně zabezpečit klíče pro podepisování relací. Stále ještě netušíme, jak závažné jsou důsledky #EternalBlue.“

Nyní, i kdyby Microsoft chtěl zakázat přístup e kernelu, nemohl by tak učinit kvůli dohodě, kterou uzavřel s Evropskou unií v roce 2009, ta zaručuje přístup k jádru dodavatelům bezpečnostních řešení. Společnost by však mohla využít fiasko CrowdStrike jako způsob, jak jednání znovu otevřít.

Byl by systém Windows bezpečnější, kdyby měl přístup k jádru pouze Microsoft? Určitě ne. Prince má pravdu – Microsoft má za sebou velké bezpečnostní průšvihy. Často jsem o nich psal, zejména o laxních bezpečnostních postupech, které umožnily čínským špionům nabourat se do účtů vysoce postavených vládních úředníků, včetně americké ministryně obchodu Giny Raimondo, velvyslance v Číně Nicholase Burnse a republikána Dona Bacona (R-NE). (Všichni se podílejí na vztazích země s Čínou.)

Nejlepším způsobem, jak zvýšit bezpečnost systému Windows, je poskytnout spolehlivým bezpečnostním společnostem přístup k jádru systému Windows. Kolektivní zabezpečení je lepší sázkou než nechat Microsoft, aby si poradil sám, zejména vzhledem k jeho problematické bezpečnostní historii. To platilo před průšvihem s CrowdStrike a platí to i po něm.