«Теплица» разбирает недавний инцидент с CrowdStrike и рассказывает, что могло бы помочь пользователям.
1. Что вообще произошло?
19 июля 2024 года случился масштабный сбой в работе Windows. Компьютеры на этой операционной системе зависали на «синем экране смерти». Исправить работу системы без участия специалиста было невозможно. Поначалу было много путаницы, но причиной сразу назвали обновление антивируса Falcon от компании по кибербезопасности CrowdStrike. MacOS и Linux не пострадали, хотя CrowdStrike работал и на этих системах. Сбой не коснулся и частных компьютеров, потому что CrowdStrike предназначен для защиты компаний от хакерских атак, и не предоставляет услуги индивидуальным пользователям.
2. Как это выглядело с технической стороны?
Falcon — облачная платформа по защите от киберугроз. В облаке анализируются данные с конечных точек (ноутбуки, серверы и тд), и там же появляются указания, как отвечать на угрозы, и обновления. Строго говоря, 19 июля Falcon даже не обновлялся — это было небольшое дополнение в конфигурационном файле. Это файлы с инструкциями для антивируса, как правильно защищать компьютер, и они могут дополняться несколько раз в неделю. В злополучном файле 291 содержалась ошибка о том, как распознавать угрозы, и все устройства с установленным антивирусом автоматически его себе скачали.
Программы, которые защищают компьютер от зловредного ПО, работают на очень глубоком уровне, контролируют системные процессы, и их нельзя просто выключить. Окончательно все усложнял тот факт, что ошибку в большинстве случаев нельзя было исправить ни централизованно, ни удаленно. Нужно было вручную менять настройки на каждом поврежденном устройстве, что довольно сложно для неспециалиста.
3. Какие у этого последствия?
От неудачного обновления Falcon случились серьезные перебои в работе больниц, бирж и банков, логистических компаний и многих других объектов критической инфраструктуры. Пострадали и продукты Microsoft, в т.ч., Azure и OneDrive. CrowdStrike начала устранять основные неполадки уже 19 числа: выпустила исправление для неудачного обновления и опубликовала подробную инструкцию для самостоятельного восстановления системы. Microsoft тоже выпустила инструмент восстановления, который продолжает дополнять и обновлять.
Но затронутые компании потерпели многомиллиардные убытки, а хакеры тут же стали рассылать фишинговые письма, представляясь техподдержкой CrowdStrike. При этом, относительный масштаб катастрофы невелик: повреждены оказались менее 1% устройств на Windows (это, впрочем, 8,5 млн). Это происшествие показало, что очень многие организации в самых разных отраслях не наладили кризисные коммуникации и оказались не готовы к подобным ЧП.
Российских пользователей сбой не затронул: CrowdStrike не работает и не работала на российском рынке. Представительства некоторых международных компаний в РФ пользуются ее услугами, но таких компаний осталось немного. Microsoft предлагала другие решения по обеспечению безопасности для российских организаций, а после своего ухода из России и вовсе прекратила корпоративное обслуживание.
4. Получается, лучше не устанавливать антивирусы?
Если начнут сбоить встроенные антивирусы типа Windows Defender, разобраться с ними будет проще. Но в целом, любые подобные программы сканируют ваш компьютер, имеют доступ ко всем данным и могут блокировать любые файлы, которые посчитают подозрительными, даже если на самом деле это не так. В итоге устройство работает медленнее и не всегда корректно. Даже если вы доверяете разработчику антивируса и думаете, что он никому не передаст ваши данные, возможны сбои в работе самой программы, как с Falcon.
Намного важнее соблюдать правила цифровой безопасности: распознавать фишинг и не открывать ссылки от незнакомых адресатов, придумывать надежные пароли и включать двухфакторную аутентификацию, проверять загружаемые файлы на вредонос через Dangerzone или VirusTotal и обязательно делать резервные копии всего, что для вас важно. Никакая программа не сотворит чудо и не обезопасит ваш компьютер и ваши данные так, как комплексный подход к безопасности.
5. Что я могу сделать заранее?
Восстановлением системы должны заниматься специалисты: иногда может понадобиться переустановка ОС, иногда — откат до предыдущей версии, иногда — специально разработанная программа (патч). Чтобы минимизировать потери от сбоя системы, можно сделать следующее:
— Бэкап. Это самый важный пункт: даже если ваш компьютер переедет асфальтоукладчик, или его изымут блюстители закона, вы сможете восстановить важную информацию через резервные копии. Каждая операционная система предлагает свои хранилища: на Windows — OneDrive, на MacOS — Time Machine, на Android — Google One, на iOS — iCloud. Некоторые приложения (например, мессенджеры), позволяют настраивать создание резервных копий в своем интерфейсе (хотя вообще переписки лучше не просто не хранить, а включить автоудаление чатов).
Сами резервные копии переносятся или на внешний носитель (флешку, SSD-накопитель) или в облако. Предварительно их нужно зашифровать через, например, VeraCrypt для жестких носителей или Mailvelope для облачных. Не стоит хранить копии на том же устройстве, что и исходные материалы, как и устанавливать приложение облака себе на компьютер. Как делать бэкапы и что именно сохранять, мы рассказывали тут.
К счастью, инцидент с CrowdStrike не привел к потере данных на задетых компьютерах. Но если пользователям было важно срочно вернуться к работе, они могли бы взять другие устройства и загрузить на них бэкапы. В некоторых случаях из резервной копии можно восстановить весь диск.
— По возможности, диверсифицировать продукты, которыми вы пользуетесь. Если все ваши устройства работают на одной операционной системе (например, у вас iPhone и MacBook) или на них установлены одинаковые приложения, отказ какого-либо компонента системы может тяжело сказаться на вашей работе и повседневной жизни. Подумайте, какие процессы и функции для вас критически необходимы и как вы сможете получить к ним доступ, если программа или приложение не будут отвечать.
— Обновляться все равно нужно: компьютер с устаревшими обновлениями безопасности уязвим для атак извне. И чем дольше система и программы не обновляются, тем больше уязвимостей находят хакеры. Если разработчики накосячат в обновлении, то смогут быстро это исправить, а серьезные неисправности случаются действительно редко. Но администраторам лучше проверять обновления на тестовых устройствах или устанавливать сначала на рядовых компьютерах, и в последнюю очередь — на критической инфраструктуре.
— Если у вас на Windows включено полнодисковое шифрование BitLocker-ом, обязательно сохраните себе резервную копию ключа. BitLocker — программа для защиты данных от несанкционированного доступа, которая требует ввести пароль, или ключ восстановления, чтобы расшифровать содержимое диска. В случае с CrowdStrike, пользователям нужно было зайти в safe mode и вручную удалить файл конфигурации 291. Но если у них был включен BitLocker, то сначала требовалось ввести ключ восстановления. Если компьютер не загружается, а у вас нет ключей, с содержимым устройства можно попрощаться. Проверить, шифруется ли ваш диск, можно в свойствах Диска С или в поисковой строке меню «Пуск». Если шифруется, в приложении «Управление панелью управления BitLocker» можно создать резервную копию ключа восстановления. Желательно иметь несколько копий и хранить их в разных местах — в облаке, на флешке, на бумаге в надежном месте и тд.