Дата: 01-08-24 13:10

Що саме трапилося зі світовим збоєм ІТ – і що може зробити авіація?

Изображение

У п’ятницю, 19 липня , 8,5 мільйона комп’ютерів Windows вийшли з ладу, що призвело до сумнозвісного «синього екрану смерті». Це миттєво занурило авіаційну галузь у хаос: тисячі скасованих або затриманих рейсів нерівномірно розподілилися по мережі в той день, який мав бути одним із найзавантаженіших днів літа для європейських аеропортів. Коли дим розсіюється, виникають деякі з багатьох питань: чому, як і що ми можемо зробити, щоб цього більше не повторилося. На основі того, що ми знаємо на даний момент, ця стаття має на меті відповісти на ці запитання. 

Одним словом, несправне оновлення програмного забезпечення від компанії з кібербезпеки CrowdStrike вплинуло на користувачів служб Microsoft (Windows). Зараз CrowdStrike опублікував попередній огляд після інциденту, надавши коротку технічну розбивку та аналіз рекомендованого виправлення та наданого оновлення. Це дає змогу повернутися назад і намалювати картину того, де програмне забезпечення вийшло з ладу.

По-перше, важливо закласти основу та зрозуміти, чому програмне забезпечення для кібербезпеки взагалі здатне викликати такі катастрофічні збої. Це зводиться до того, як комп’ютери керують своїми ресурсами, такими як пам’ять, центральний процесор і пристрої, наприклад клавіатури/екрани. В основі комп’ютерних операційних систем лежить частина програмного забезпечення, яке називається ядром, яке керує цими ресурсами, дозволяючи програмам працювати, не заважаючи одна одній. Ядро діє як «бос», маючи привілейований доступ до системних ресурсів. Наприклад, коли кілька програм хочуть використовувати клавіатуру або зберегти щось у пам’яті, ядро ​​контролює дозвіл доступу. Такі програми, як браузери та текстові процесори, не мають тих самих рівнів привілеїв, що й ядро ​​– вони повинні запитувати у ядра дозвіл на виконання певних завдань. Для більшості програм це працює добре та дає користувачеві багато переваг. По-перше, якщо програма починає працювати з помилками або заражається зловмисним способом, ядро ​​може заблокувати або навіть припинити роботу програми: вбудований рівень безпеки завдяки архітектурному дизайну. По-друге, це означає, що навіть якщо одна програма виходить з ладу, решта системи зазвичай може продовжувати роботу. Якщо ваш текстовий процесор виходить з ладу, ваш комп’ютер рідко виходить з ладу взагалі, оскільки ядро ​​залишається працездатним і відокремленим від такого програмного забезпечення. 

Програмне забезпечення безпеки додає рівень ускладнень. Кіберзагрози не тільки зростають, але й стають дедалі складнішими. Постійно винаходяться нові методи атак, і для критично важливої ​​інфраструктури, наприклад аеропортів, програмне забезпечення кібербезпеки, здатне проактивно відстежувати такі загрози, є важливим. Для такого програмного забезпечення потрібен доступ до самого ядра. Це дозволяє програмному забезпеченню безпеки мати комплексний доступ до всієї системи, щоб ефективніше контролювати загрози. Платформа CrowdStrike Falcon працює таким чином. Надання сторонньому програмному забезпеченню, як-от CrowdStrike, доступу до ядра є важливим для належної роботи програмного забезпечення, але це пов’язано з високими ризиками. Ядра також можуть виходити з ладу, так само як і програми: за винятком ядра виходить з ладу вся система. Це функція безпеки. Ядро відповідає за такі важливі дії в системі, що сучасні комп’ютери вимикаються, коли ядро ​​більше не може працювати. Це зменшує ймовірність катастрофічної втрати даних або повного виходу машини з ладу. Користувачі зазвичай розпізнають це завершення роботи як «синій екран смерті» на комп’ютерах Windows.

Що саме пішло не так у цьому випадку? Хоча CrowdStrike ще не оприлюднила повний аналіз першопричини, їх попереднє розслідування можна підсумувати таким чином. У п’ятницю, 19 липня 2024 року, о 06:09 CEST CrowdStrike випустив невелике оновлення, що стосується нещодавно виявленого методу кібератаки. Програмне забезпечення CrowdStrike часто оновлюється, оскільки воно постійно відстежує нові методи атак і після виявлення оновлює власну систему, щоб розпізнавати їх у майбутньому. Один файл у цьому оновленні, файл каналу 291, мав помилку: він посилався на неіснуюче місце в пам’яті – подібно до посадкового талона із зазначенням виходу 48, коли аеропорт, про який йдеться, має лише 40 виходів. Це відомо як читання поза межами пам’яті та викликає виняткову ситуацію (помилку). Файл працює в ядрі, і ядро ​​не змогло грамотно впоратися (виправити) проблему: таким чином, ядро ​​вимкнулося як захід безпеки, виводячи з ладу всю систему.

Це означало, що будь-яка онлайн-система протягом приблизно 90 хвилин завантажила це оновлення з пошкодженим файлом і зазнала збою. Що зробило збій CrowdStrike особливо тривалим, це те, що його неможливо було виправити віддалено. CrowdStrike видав дистанційне виправлення, яке запобігло виведенню нових комп’ютерів з експлуатації, але для того, щоб виправити машини, які вже вийшли з ладу, потрібна була особиста ручна допомога. Уражені комп’ютерні системи можна було перезавантажити в безпечному режимі (ще одна процедура безпеки сучасних комп’ютерів, за якої комп’ютер завантажується з запущеними лише найважливішими файлами). Пошкоджений файл потрібно було вручну знайти та видалити вручну на кожному з приблизно 8,5 мільйонів пристроїв, які його завантажили.

Як і в будь-якій великомасштабній катастрофі, швидко постає питання, хто ж винен. CrowdStrike визнали, що несправний файл надійшов від них, і пообіцяли вдосконалити процедури тестування, оскільки дивно, що несправний файл, про який йде мова, пройшов усі поточні процедури тестування. Вони також пообіцяли надати клієнтам більший контроль над тим, коли оновлення впроваджуються в їх системі, як питання внутрішньої політики. Однак багато хто не дивиться на конкретну помилку й сумнівається, як така помилка взагалі могла виникнути: сумнівається, чому Microsoft навіть дозволяє третім особам доступ до ядра. Такий доступ, як згадувалося вище, неминуче є ризикованою справою, де наявність основних привілеїв низького рівня, необхідних для виявлення найскладніших загроз безпеці, створює ризик виведення з ладу всієї системи, якщо це ядро ​​постраждає.

У заяві для Wall Street Journal Microsoft звинуватила Європейську комісію в цій атаці, заявивши, що основу було закладено через угоду, укладену між ними в 2009 році щодо доступу до ядра. До цього Microsoft не дозволяла програмному забезпеченню сторонніх розробників мати доступ до ядра – це зберігалося виключно для власних продуктів Microsoft. Це забезпечує підвищену безпеку, оскільки жоден сторонній розробник не може впроваджувати помилковий код (або код взагалі) у ядро ​​відповідно до політики. Європейська комісія стверджувала, що це монополістична практика, і після років переговорів Microsoft погодилася надати доступ до ядра стороннім розробникам. Apple не укладала цієї угоди та не дозволяє такий доступ до ядра, що робить цю конкретну помилку неможливою для їх програмного забезпечення (пояснення, чому комп’ютери Mac не постраждали від цього збою).

Незважаючи на це, уроки щодо відключення вже були винесені. Цілком ймовірно, що всі фірми з кібербезпеки інвестуватимуть у ретельніше тестування оновлень і далі розроблятимуть фреймворки, які вони використовують для тестування нового коду, перш ніж він коли-небудь досягне клієнтів. Однак з точки зору клієнта, зокрема аеропорту, дії вже можна вжити. Внутрішня політика може діяти як надійний додатковий рівень захисту від таких збоїв. Вимога щодо наявності технічно підготовлених інженерів була важливою для усунення збою CrowdStrike. Оскільки все більше нашої ІТ-інфраструктури стає віддаленим, технічна допомога також стає віддаленою: у цьому випадку інженери, які могли фізично дістатися до місця, були дуже важливі. Використання систем із резервуванням, особливо для регулярного резервного копіювання всіх критичних систем і даних, може сприяти швидшому відновленню операцій за умови ефективного впровадження. Загальноорганізаційна політика заборони автоматичного оновлення програмних компонентів також може стати більш поширеною.

Оскільки авіаційні системи стають все більш цифровими та взаємопов’язаними, сектор повинен знайти справедливий баланс між стійкістю та належним захистом від кіберзагроз і вразливостей програмного забезпечення. Інцидент CrowdStrike демонструє можливість того, що навіть незначні технічні проблеми переростуть у серйозні збої в роботі, що вплине на тисячі рейсів і спричинить повсюдний хаос. Це служить і попередженням, і можливістю для авіаційної промисловості переглянути та зміцнити свій цифровий захист, забезпечуючи безпечніші та надійніші операції по всьому ланцюжку.

Прес-служба  ACI EUROPE.


Джерело інформації: www.aviation.com.ua

Подiлитись посиланням:  
 Tweet



Передрук матеріалів дозволяється тільки за наявності гіперпосилання на www.aviation.com.ua
Передрук, копіювання, відтворення або інше використання матеріалів, у яких міститься посилання на агентства УНІАН, Інтерфакс-Україна, суворо заборонено. Позиція адміністрації може не співпадати з думками авторів, які публікують статті.