Kako izbjeći da se "slučaj CrowdStrike" ponovi ili dogodi kod vas?

Slijedom nemilih događaja u informatičkom svijetu ovog petka, potražili smo nekoliko savjeta stručnjaka. Doznali smo da da postoji više metoda oporavka, ali da je od svega najbolja – prevencija i edukacija

Sandro Vrbanus subota, 20. srpnja 2024. u 12:05

Na društvenim se mrežama neki već šale da će se 19. srpnja ubuduće obilježavati kao "Svjetski dan plavog ekrana smrti", jer je to bio prizor na milijardama računala diljem svijeta. Sve to bilo je uzrokovano jednom nes(p)retnom nadogradnjom softvera, koja je bila automatski aplicirana na CrowdStrikeov softver, a potom poslala sva zahvaćena računala u beskonačnu petlju resetiranja i prikaza notornog BSOD ekrana.

Sada, kad se malo stišala panika oko velikog ispada sustava povezanih s CrowdStrikeovim sigurnosnim rješenjem Falcon Sensor, popričali smo sa stručnjakom koji radi s tim alatima i ima nešto bolji uvid u problematiku iz prve ruke. On je Leo Valentić, istraživač svega povezanoga s kibernetičkom sigurnošću…

Kako ste doživjeli ovaj slučaj, kao netko "iznutra"?

Incident s CrowdStrikeom, premda već u kategoriji "starih vijesti", ostat će zapamćen kao jedan od najvećih događaja u svijetu cyber sigurnosti, usporediv s napadom ransomwareom WannaCry u njegovo vrijeme. Unatoč incidentu, iz kompanije su pokazali brzinu u komunikaciji s medijima, jasno naglašavajući da se nije radilo o kibernetičkom napadu, već o grešci prilikom ažuriranja. Ova brza reakcija osigurala je kontrolu nad situacijom i spriječila širenje panike.

Incident je također naglasio kakav je to profil tvrtki i institucija koji im vjeruje, pokazavši da njihove usluge koriste ne samo privatne firme, već i aviokompanije te one vezane uz kritičnu infrastrukturu.

Što biste savjetovali pogođenima? Postoji li više metoda za otklanjanje kvara?

Iako su u međuvremenu pružili metodu za rješavanje problema, specifično brisanjem određene datoteke, o kojoj ste već pisali, ta metoda nije bila učinkovita za sve korisnike, jer nisu svi imali istu datoteku. Stoga smo potražili dodatne metode kako bi omogućili da se u normalno operativno stanje vrate i oni kod kojih ova metoda ne funkcionira. Kako? Pregledom zadnjih promjena na svim datotekama unutar CrowdStrike direktorija, te pregledom zadnje modificiranih datoteka.

Neke od dodatnih metoda:

Ulazak u sigurni način rada i brisanje određenih .sys datoteka:

  • Pokrenite Windows u sigurnom načinu rada ili u Windows Recovery Environment.
  • Idite na direktorij: C:\Windows\System32\drivers\CrowdStrike.
  • Izbrišite sve .sys datoteke modificirane 19.7.2024.
  • Provjerite da su ostale samo .sys datoteke modificirane do 18.07.2024. Nakon toga bi sustav trebao normalno raditi.

Preimenovanje direktorija:

  • Otvorite naredbeni redak s administratorskim privilegijama (u sigurnom načinu rada).
  • Unesite sljedeću naredbu:
  • ren "c:\windows\system32\drivers\crowdstrike" "crowdstrike.bak"
  • Ponovno pokrenite računalo.

Preimenovanje datoteke csagent.sys:

  • Pokrenite Windows u sigurnom načinu rada.
  • Otvorite File Explorer.
  • Idite na direktorij: C:\Windows\System32\drivers\CrowdStrike.
  • Pronađite datoteku "csagent.sys".
  • Promijenite naziv datoteke u "csagent_old.sys".
  • Ponovno pokrenite sustav kako bi se promjene primijenile.

Važno je napomenuti da su ovom greškom bili zahvaćeni samo Windows sustavi, dok su CrowdStrike agenti za operativne sustave poput macOS-a i Linuxa radili bez greške.

CrowdStrike je također svojim partnerima pružio upute za remedijaciju na partner i support portalima, uključujući resurse kao što su Azure i AWS. Povratak ovih resursa u funkciju bio je izazovniji, a problemi su uključivali i vraćanje novih računala zbog BitLockera. Administratori infrastrukture trebaju imati pohranjen ključ za svakog korisnika kako bi riješili takve probleme.

I u ovom su se slučaju, pretpostavljamo, javili neki "generali poslije bitke"?

Nažalost mogli smo vidjeti dosta proizvođača kao npr. Kaspersky koji je iskoristio ovaj primjer za ismijavanje CrowdStrikea, no točno oni su napravili istu stvar nekoliko godina ranije, doduše na manjoj razini, jasno, samo zato jer nisu u tako širokoj upotrebi kao CrowdStrike.

Postoji li recept kako spriječiti slične incidente u budućnosti?

Uređivanje politika ažuriranja: Tvrtka omogućava isključivanje automatskih ažuriranja. Preporučuje se čekanje na potvrdu stabilnosti nove verzije prije implementacije kako bi se izbjegle slične situacije.

Leo Valentić
Leo Valentić

Opsežno testiranje: Potrebno je provoditi temeljita testiranja novih ažuriranja na različitim verzijama operativnih sustava i konfiguracijama prije puštanja u produkciju. Ovakav pristup osigurava da ažuriranja budu stabilna i kompatibilna s različitim sustavima.

Kontinuirana edukacija i obavještavanje korisnika: Praktične smjernice za korisnike o najboljoj praksi u vezi s ažuriranjima i rukovanjem sustavima mogu spriječiti mnoge probleme. Redovito informiranje korisnika o mogućim rizicima i načinima prevencije ključno je za održavanje sigurnosti.

Iako smo to već mnogo puta čuli i ponovili do te mjere da je postalo floskula, proaktivan pristup sigurnosti i upravljanju ažuriranjima ima iznimnu važnost za održavanje integriteta sustava, što se sada najbolje i pokazalo u praksi.

I naravno, svakako treba izbjegavati puštanje ažuriranja proizvoda petkom, jer svi znamo da tada imamo najveći problem s dostupnim resursima te je najteže okupiti sve potrebne stručnjake u slučaju hitne situacije. Redovita interna testiranja, poboljšana komunikacija s klijentima i brza reakcija na probleme ključni su za održavanje povjerenja i minimiziranje potencijalne štete.

Koliko je ovaj slučaj utjecao na povjerenje koje IT zajednica ima prema CrowdStrikeu?

Iako je vidljiv pad dionica CrowdStrikea, ne vjerujem da će to značajno utjecati na njihovu reputaciju. Brzo su reagirali na incident, pojavili se u medijima poput CNN-a i SkyNewsa te jasno objasnili da je problem nastao zbog greške u ažuriranju softvera, a ne zbog cyber napada. Također, odmah su izolirali grešku, što je pomoglo u smirivanju panike. Na svojim partnerskim portalima kontinuirano su obavještavali klijente o trenutnoj situaciji.

Mislite li da će incident od petka imati neke dalekosežne posljedice?

Vrlo vjerojatno, jer je ovo bio jedan od najvećih IT zastoja u povijesti. Utjecao je na aviokompanije, supermarkete i mnoge druge sektore. Međutim, ne smatram da će te posljedice značajno promijeniti cyber industriju.