По всему миру 19 июля транспортные компании, почтовые сервисы и банки столкнулись с глобальным сбоем Windows. Компьютеры с этой операционной системой подверглись неудачному обновлению и получили критическую проблему с программным обеспечением Falcon Sensor от CrowdStrike. Их экраны показывали "синий экран смерти".

Среди жертв CrowdStrike – американские компании и сервисы Amazon Web Services, Microsoft 365, Azure, Instagram, eBay, Visa, AT&T, ряд авиакомпаний. В Украине сбой почувствовали Новая Почта, Monobank, Vodafone, Sens Bank.

Компания CrowdStrike оперативно признала наличие проблемы и занялась выяснением причины. К работе подключились и в Microsoft. Но последствия сбоя до сих пор ощущают на себе в мире.

24 Канал разобрался в ситуации и объясняет, почему последствия этого сбоя будут ощущаться еще долго.

К теме Сбой в работе Windows: что такое CrowdStrike и почему пользователи сталкиваются с синим экраном смерти

"Синий экран смерти" (BSoD, blue screen of death) – критическая ошибка на компьютерах с Windows, которая останавливает все операции и отображает сообщение об ошибке на синем экране (или черном).

Эта проблема обычно является серьезной и указывает на значительные системные сбои, которые требуют немедленного внимания.

По данным Microsoft, от глобального сбоя из-за обновления Falcon Sensor пострадали 8,5 миллиона устройств с Windows – это менее одного процента всех устройств с установленной операционной системой от Microsoft.

Хотя обновления программного обеспечения могут иногда вызывать сбои, настолько масштабные случаи, как с CrowdStrike, происходят нечасто. По нашим оценкам, обновление CrowdStrike задело 8,5 миллиона устройств с Windows, или менее одного процента всех компьютеров с Windows,
– говорится в блоге Microsoft от 20 июля.

В корпорации утверждают, что несмотря на малую долю устройств, которые пострадали, серьезные экономические и социальные последствия демонстрируют, что CrowdStrike используют организации, предоставляющие крайне важные услуги. После сбоя в CrowdStrike помогли Microsoft создать решение, которое позволит быстрее преодолеть последствия.

Читайте также Масштабный сбой в работе Windows нарушил работу банков, аэропортов и экстренных служб мира


Синий экран смерти / Alpha / Flickr

Во время самого сбоя Microsoft советовала пользователям перезагрузить Windows до 15 раз.

В США уже третий день с начала сбоя отменено более 1000 авиарейсов, сообщает CNN. Тысячи пассажиров застряли в аэропортах. По данным сервиса FlightAware.com, в воскресенье, 21 июля, было отменено более 1200 рейсов в США, более 5000 рейсов задерживались. Более 600 из отмененных рейсов – авиакомпании Delta Airlines.

По информации аналитической компании Cirium, авиакомпании отменили 1848 рейсов преимущественно в США, также пострадали Австралия, Индия и Канада.

Программа от компании отличается от предыдущих, более ограниченных типов программного обеспечения безопасности. Традиционное антивирусное ПО было полезным на старте компьютерной эры благодаря своей способности искать признаки известных вирусов, но теперь атаки стали более изощренными. Продукты CrowdStrike постоянно сканируют устройства на наличие любых признаков подозрительной активности и автоматизируют реагирование. Для этого программы должны иметь доступ для проверки ядра операционной системы на наличие дефектов безопасности. Этот доступ дает им возможность разрушить те самые системы, которые они пытаются защитить. Поэтому пользователи и увидели "синий экран смерти" во время сбоя.

Хотя специалисты по кибербезопасности говорят, что технология CrowdStrike является надежным средством защиты от программ-вымогателей, ее стоимость – которая в некоторых случаях может превышать 50 долларов за устройство – не является приемлемой для многих компаний, чтобы установить на все машины. Это означает, что компьютеры, на которых установлено ПО, являются одними из важнейших для защиты, и если они выйдут из строя, ключевые сервисы могут упасть вместе с ними.

Сбой имел последствия и в других отраслях:

  • была нарушена работа Лондонской фондовой биржи;
  • не работали тысячи банкоматов, в частности крупнейшего американского холдинга JPMorgan Chase;
  • Marsh, крупнейшая в мире страховая брокерская компания, заявила, что десятки ее клиентов готовятся подать претензии по поводу сбоя;
  • врачи Национальной службы здравоохранения Великобритании не смогли получить доступ к снимкам, анализов крови и истории пациентов;
  • пострадали служба 911 и служба экстренной помощи Нью-Йорка – операторы видели входящие звонки, но не могли на них ответить;
  • автопроизводитель Renault был вынужден остановить производство на своих заводах;
  • гендиректор Tesla Илон Маск заявил о прекращении использования программы CrowdStrike. По его словам, сбой привел к нарушениям в цепи поставок.

Пострадали также федеральные агентства США, в частности ФБР и Минюст. Сбой задел часть служебных устройств, сообщает Bloomberg.

"Эффект домино" сбоя ощущался и в других органах власти США – в Госдепе, Минфине и тому подобное. Пентагон оказался одним из немногих ведомств, которые не испытали проблем от сбоя CrowdStrike. Законодатели, посетившие Национальный съезд Республиканской партии в Милуоки, оказались среди тысяч путешественников, которые застряли в аэропортах из-за сбоя.

По оценкам аналитической компании Gartner, доля доходов CrowdStrike на глобальном рынке корпоративной безопасности конечных точек, которая предусматривает сканирование ПК, телефонов и других устройств на предмет кибератак, более чем вдвое превышает долю его трех ближайших конкурентов: Trellix, Trend Micro и Sophos.

К теме Это не кибератака: генеральный директор CrowdStrike прокомментировал сбои по всему миру


Джордж Куртц, гендиректор CrowdStrike / Wikipedia

Во время последнего отчета CrowdStrike о прибыли в июне гендиректор Джордж Куртц заявил, что после серии громких киберинцидентов, которые повлияли на техногигантов, произошел "широкий кризис доверия среди команд безопасности и ІТ-команд в клиентской базе безопасности Microsoft".

В день сбоя Куртц извинился перед клиентами CrowdStrike и подчеркнул, что инцидент не был кибератакой, настаивая на том, что клиенты CrowdStrike остаются полностью защищенными.

Эксперты считают, что на устранение глобального сбоя могут уйти недели, пишет Financial Times.

Это первый случай, когда широко развернутый агент безопасности, предназначенный для защиты машин, фактически вызывает их поломку,
– приводит издание слова Нила Макдональда, аналитика ІТ-консалтинговой компании Gartner.

Единственным "спасением" для пользователей Windows, пострадавших от "синего экрана смерти", является перезагрузка компьютера и ручное удаление неудачного обновления файла CrowdStrike, что требует непосредственного доступа к каждому устройству.

По словам экспертов, это означает, что для компаний с тысячами устройств Windows или дефицитом ІТ-работников для администрирования изменений могут потребоваться дни или недели.