Európai idő szerint péntek hajnalban a vállalati rendszergazdák egyik legnagyobb rémálma vált valóra globális szinten, hiszen egy olyan, eddig még nem tapasztalt informatikai leállás történt számos közép- és nagyvállalatnál, amely a legkülönbözőbb szektorokban okozott fennakadásokat a légiforgalomtól a banki, pénzügyi szektoron át számos más informatikai rendszerekig – összegzett Koi Tamás, a HWSW informatikai szakportál újságírója.
Mivel a Microsoft felhős rendszereiben is volt egy – lényegesen kisebb jelentőségű – fennakadás a hajnali órákban, először ezt okolták a gondokért. Ám a Microsoft addigra már megoldotta a problémát, és közben ki is derült, hogy a CrowdStrike nevű cég egyik fő termékével, egy kifejezetten közép- és nagyvállalatok számára fejlesztett kiberbiztonsági megoldással, a Falcon nevű védelmi eszközzel van probléma.
"Ez egy nagyvállalatok számára fejlesztett víruskereső. A szoftverkomponens a cégeknél működő klienseket – tipikusan Windows-os PC-ket – védi különböző típusú kibertámadásokkal szemben. A Falcon frissült ma hajnalban egy olyan hibás komponenssel, ami aztán gyakorlatilag kiütötte az érintett PC-ket: a frissítést követően ezek a gépek megpróbáltak újraindulni, de az nem sikerült. A szakzsargonban ez a kék halál nevű jelenség, amikor a számítógép csak egy kék képernyőt produkál és egy hibaüzenetet jelenít meg. Mindez pedig
használhatatlanná tett több millió vagy akár több tízmillió PC-t világszerte"
– magyarázta Koi Tamás.
A CrowdStrike Falcon szoftvere a világ legelterjedtebb úgynevezett EDR-rendszere, nagyon sok nyugati vállalatnál alkalmazzák, piacvezető a cég. A szakíró szerint ironikus a helyzet, mert a biztonsági szakértők az elmúlt években folyamatosan azt szajkózták, hogy a kibertámadások elkerülésére a nagy cégeknek ilyen szoftvereket kell telepíteni, most meg úgy tűnik, hogy épp egy ilyen védelmi szoftver miatt "hasal el" a fél világ.
A legnagyobb gondot egyelőre az okozza, hogy nincs automatizált megoldás a problémára (vagyis egy központilag kiadott "javítócsomagot" letöltve nem hárítható el a probléma). Mivel a gépek, amelyekre a hibás frissítés felkerült, nem indíthatók el a szokott módon, ezért nem is lehet "visszacsinálni" ezt a frissítést, nem lehet eltávolítani ezt a komponenst, hanem minden egyes gépet egyénileg kell úgynevezett biztonsági módban elindítani.
"A hibaelhárítás hossza a vállalati IT-adminisztrátorok számától függ, meg főleg attól, hogy a vállalat mennyire felkészült az ilyen esetekre. A folyamat több napot vagy akár több hetet is igénybe vehet. Azt mondják biztonsági szakértők és elemzők, hogy
megbecsülni is nehéz, pontosan mekkora károkat okozhatott ez globálisan.
Egybehangzó állítások szerint ez egy eddig példa nélküli eset, és nagyon komoly tanulságai lehetnek a későbbiekre nézve" – vázolta a kihívásokat Koi Tamás.