Windows, Crowdstrike i wielka awaria komputerów. Co właściwie się wydarzyło?

To jeden z najgorszych piątków w historii pracy administratorów IT. Kiedy świat zaczynał się budzić, a pierwsze firmy w Australii uruchamiać swoją codzienną działalność, wiele osób straciło dostęp do swoich komputerów. Te zamiast się uruchomić jak zwykle wyświetlają krytyczny błąd, uniemożliwiający rozruch i uruchomienie aplikacji do pracy.

Z upływem czasu szybko się okazało, że problem nie jest lokalny. Wraz z nastającym porankiem w kolejnych strefach czasowych kolejne dziesiątki tysięcy komputerów zaczęło odmawiać posłuszeństwa. Co gorsza, współpracy odmawiają nie tylko typowe maszyny biurowe, ale również te odpowiedzialne za niektóre bardzo istotne systemy - w tym związane z funkcjonowaniem banków czy lotnisk. Czy właśnie jesteśmy świadkami jakiejś globalnej cyberapokalipsy? Na szczęście nie, choć problem jest poważny.

Z tego tekstu dowiesz się:

Dotknięte problemem komputery nie są w stanie się poprawnie uruchomić. Podczas rozruchu wyświetlają informację o błędzie krytycznym, po czym uruchamiają się ponownie, by natrafić na ten sam błąd - i tak w kółko. Należy przy tym zaznaczyć, że opisany objaw może być symptomem nie tylko dzisiejszej awarii, istnieje wiele przyczyn z jakich dany komputer może się zepsuć. Jeżeli jednak problem występuje akurat dziś, niemal na pewno jest związany z dzisiejszą globalną awarią.

Po pierwsze, nie wszystkie. Problem dotyczy wyłącznie komputerów osobistych z systemem Windows (też nie wszystkich, o czym więcej za chwilę). Za występowanie opisywanego problemu odpowiedzialne jest oprogramowanie Crowdstrike. Nie jest ono częścią systemu Windows ani oprogramowania dodawanego przez producentów komputerów, jest ono jednak powszechne w środowiskach firmowych. Oprogramowanie to działa z bardzo wysokimi uprawnieniami przy jądrze systemu, co oznacza, że stabilność systemu jest uzależniona od stabilności oprogramowania Crowdstrike. Minionej nocy oprogramowanie to otrzymało wadliwą aktualizację, która w efekcie powoduje krytyczny błąd pracy komputera.

Crowdstrike to firma zajmująca się cyberbezpieczeństwem, która oferuje platformę ochrony punktów końcowych działającą w chmurze. Ich sztandarowy produkt, Crowdstrike Falcon, wykorzystuje zaawansowane technologie, takie jak sztuczna inteligencja (AI) i uczenie maszynowe, aby zapewnić ochronę przed różnorodnymi zagrożeniami cybernetycznymi.

Falcon ciągle monitoruje aktywność na urządzeniach, wykorzystując algorytmy uczenia maszynowego do identyfikacji podejrzanych zachowań i potencjalnych zagrożeń. Po wykryciu potencjalnego zagrożenia, system analizuje je, korzystając z ogromnej bazy danych znanych zagrożeń i wzorców ataków. W przypadku potwierdzenia zagrożenia, Falcon automatycznie podejmuje działania, aby zablokować atak i zapobiec naruszeniu bezpieczeństwa. CrowdStrike oferuje również usługi monitorowania bezpieczeństwa przez całą dobę, co pozwala na szybkie reagowanie na incydenty bezpieczeństwa.

CrowdStrike jest przede wszystkim skierowany do przedsiębiorstw i dużych organizacji, ale jego technologie mogą być również stosowane w mniejszej skali dla ochrony komputerów osobistych. Oprogramowanie to jest częścią większego systemu bezpieczeństwa i najlepiej sprawdza się w środowisku korporacyjnym, gdzie może być zarządzane i monitorowane przez specjalistów ds. bezpieczeństwa.

Najprawdopodobniej nie, jeżeli użytkowany komputer jest urządzeniem prywatnym, a nie udostępnionym przez firmę sprzętem służbowym. Crowdstrike nie jest częścią systemu operacyjnego Windows ani żadnego popularnego oprogramowania. To w oczywistej konsekwencji oznacza, że prywatne komputery z Windowsem będą dziś gotowe do pracy jak zwykle. Podobnie jak duża część firmowych - rozwiązania Crowdstrike dominują na rynku, nie wszyscy jednak korzystają z usług tej firmy, a ta nie jest monopolistą.

Należy jednak pamiętać, że to co nie dotyczy prywatnego komputera niezmiennie dotyczy wielu innych. Należy zatem mieć na uwadze, że wiele firm i instytucji nie będzie dziś działać i przewidzieć to w swoich planach. Należy też mieć na uwadze, że nawet jeśli używa się komputera Mac lub działającego pod kontrolą systemu Linux - to i tak użytkownik pośrednio może być dotknięty awarią. Chociażby za sprawą problemów z aplikacjami hostowanymi w chmurze, które nie działają lokalnie na komputerze i które mogą być dotknięte opisywaną awarią.

Nie. A raczej: powyższy przypadek tego nie dowodzi. Crowdstrike to oprogramowanie działające niskopoziomowo, a więc poniżej licznych warstw zabezpieczeń systemu. Systemy z rodziny unixowej - takie jak macOS czy Linux - są stereotypowo uważane za łatwiejsze w niskopoziomowej administracji i konserwacji, a w rzeczonej opinii jest wiele prawdy. Tym niemniej wspomniane systemy również byłyby podatne na zastrzyk złośliwego kodu, który jest oznaczony jako zaufany. Opisywana awaria dowodzi raczej ogromnej popularności platformy Windows w środowisku firmowo-instytucjonalnym (gdzie Linux ma również duże udziały, ale w innych kategoriach urządzeń, takich jak serwery czy IoT). Należy jednak przy tym dodać, że oprogramowanie Crowdstrike jest też dostępne dla systemów macOS i Linux - i te wersje nie doczekały się wadliwej aktualizacji.

Crowdstrike jak najbardziej już opublikował naprawioną wersję swojego oprogramowania, zareagował wręcz błyskawicznie. Problem w tym, że dotknięte awarią komputery nie są w stanie pobrać tej aktualizacji - bo nawet nie są w stanie się do końca uruchomić. Problemu nie można naprawić zdalnie i wiele wskazuje na to, że do każdej dotkniętej usterką maszyny będzie musiał fizycznie usiąść administrator i ręcznie usunąć problem.

W tym celu należy:

Czytaj też: