’n Massiewe IT-onderbreking het rekenaarstelsels wêreldwyd tot stilstand gedwing.
Regoor die wêreld dui verslae aan dat rekenaars by banke, media-organisasies, hospitale, vervoerdienste, winkelpunte, lughawens en meer almal geraak is. In Suid-Afrika is die grootste bank vir klante, Capitec, getref.
Vandag se onderbreking is ongekend in sy omvang en erns. Die tegniese term vir wat met die geaffekteerde rekenaars gebeur het, is dat hulle “gemessel” is. Hierdie woord verwys na daardie rekenaars wat so nutteloos gemaak word deur hierdie onderbreking dat dit – ten minste vir nou – net sowel bakstene kan wees.
Die wydverspreide onderbreking is gekoppel aan ‘n stuk sagteware genaamd CrowdStrike Falcon. Wat is dit, en hoekom het dit so wydverspreide ontwrigting veroorsaak?
CrowdStrike is ‘n Amerikaanse kubersekuriteitsmaatskappy met ‘n groot wêreldaandeel in die tegnologiemark. Falcon is een van sy sagtewareprodukte wat organisasies op hul rekenaars installeer om hulle veilig te hou teen kuberaanvalle en wanware.
Falcon is wat bekend staan as “eindpunt-opsporing en -reaksie” (EDR) sagteware. Sy taak is om te monitor wat gebeur op die rekenaars waarop dit geïnstalleer is, op soek na tekens van ongeoorloofde aktiwiteit (soos wanware). Wanneer dit iets verdag bespeur, help dit om die bedreiging af te sluit.
Dit beteken Falcon is wat ons bevoorregte sagteware noem. Om tekens van ‘n aanval op te spoor, moet Falcon rekenaars in baie detail monitor, so dit het toegang tot baie van die interne stelsels. Dit sluit in watter kommunikasie rekenaars oor die internet stuur, asook watter programme loop, watter lêers oopgemaak word, en nog baie meer.
In hierdie sin is Falcon ‘n bietjie soos tradisionele antivirusprogrammatuur, maar op steroïede.
Meer as dit moet dit egter ook bedreigings kan stuit. Byvoorbeeld, as dit bespeur dat ‘n rekenaar wat hy monitor, met ‘n potensiële hacker kommunikeer, moet Falcon daardie kommunikasie kan afskakel. Dit beteken Falcon is stewig geïntegreer met die kernsagteware van die rekenaars waarop dit loop – Microsoft Windows.
Hierdie voorreg en noue integrasie maak Falcon kragtig. Maar dit beteken ook dat wanneer Falcon wanfunksioneer, dit ernstige probleme kan veroorsaak. Vandag se onderbreking is ‘n ergste scenario.
Wat ons tans weet, is dat ‘n opdatering aan Falcon veroorsaak het dat dit wanfunksioneer het op ‘n manier wat veroorsaak het dat Windows 10-rekenaars ineenstort en dan nie herlaai het nie, wat gelei het tot die gevreesde “blou skerm van die dood” (BSOD).
Dit is die liefdevolle term wat gebruik word om te verwys na die skerm wat vertoon word wanneer Windows-rekenaars ineenstort en herlaai moet word – net in hierdie geval beteken die Falcon-probleem dat die rekenaars nie kan herlaai sonder om weer die BSOD teë te kom nie.
CrowdStrike is die markleier in EDR-oplossings. Dit beteken dat sy produkte – soos Falcon – algemeen is en waarskynlik die keuse van die klomp is vir organisasies wat bewus is van hul kuberveiligheid.
Soos vandag se onderbreking getoon het, sluit dit lughawens, hospitale, mediamaatskappye, universiteite, groot supermarkte en vele meer in. Die volle omvang van die impak moet nog bepaal word, maar dit is beslis wêreldwyd.
Terwyl CrowdStrike se produkte wyd ontplooi word in groot organisasies wat hulself teen kuberaanvalle moet beskerm, word dit baie minder algemeen op tuisrekenaars gebruik.
Dit is omdat CrowdStrike se produkte aangepas is vir groot organisasies waarin CrowdStrike se gereedskap hulle help om hul netwerke te monitor vir tekens van aanval, en aan hulle die inligting te verskaf wat hulle nodig het om betyds op indringers te reageer.
Vir tuisgebruikers is ingeboude antivirussagteware of sekuriteitsprodukte wat deur maatskappye soos Norton en McAfee aangebied word, baie gewilder.
Op hierdie stadium het CrowdStrike handleidinginstruksies verskaf vir hoe mense die probleem op individuele geaffekteerde rekenaars kan oplos.
Ten tyde van die skryf hiervan blyk dit egter nog nie ‘n outomatiese oplossing vir die probleem te wees nie. IT-spanne by sommige organisasies sal dalk hierdie probleem vinnig kan oplos deur bloot die geaffekteerde rekenaars uit te vee en hulle van rugsteune of soortgelyke terug te stel.
Sommige IT-spanne kan dalk ook die geaffekteerde Falcon-weergawe op hul organisasie se rekenaars “terugrol” (terugkeer na ‘n vroeër weergawe). Dit is ook moontlik dat sommige IT-spanne die probleem een vir een handmatig op hul organisasie se rekenaars sal moet regmaak.
Ons moet verwag dat dit in baie organisasies ‘n rukkie kan neem voordat die probleem heeltemal opgelos kan word.
Wat ironies aan hierdie voorval is, is dat sekuriteitspersoneel organisasies al jare lank aanmoedig om gevorderde sekuriteitstegnologie soos EDR te ontplooi. Tog het dieselfde tegnologie nou gelei tot ‘n groot onderbreking waarvan ons in jare nie gesien het nie.
Vir maatskappye soos CrowdStrike wat hoogs bevoorregte sekuriteitsagteware verkoop, is dit ‘n tydige herinnering om ongelooflik versigtig te wees wanneer outomatiese opdaterings vir hul produkte ontplooi word.
(Deur Toby Murray, medeprofessor in kuberveiligheid, Skool vir Rekenaar- en Inligtingstelsels, die Universiteit van Melbourne)