19 июля 2024 г.

В ночь с 18 на 19 июля (по московскому времени — уже довольно поздним утром) американские, а за ними и европейские, ближневосточные, расположенные в Юго-Восточной Азии и других регионах мира серверы и ПК под управлением Windows, включая виртуальные машины в облаке Azure, вдруг принялись едва ли не разом демонстрировать «синий экран смерти» — знакомый уже поколениям айтишников крик операционной системы о помощи; свидетельство критической ошибки, сопровождаемой остановом работы.

Почти апокалиптические картины переставших принимать и отправлять рейсы аэропортов, замерших поездов, отключившихся медицинских приборов, банкоматов и кассовых терминалов наводнили Интернет буквально со всех концов света — за исключением разве что России, КНР, Ирака, Северной Кореи и ряда других стран, куда продукция Microsoft либо официально не поставляется, либо где она осознано заменена локализованными ОС — по крайней мере на ПК и серверах, обслуживающих критически важные инфраструктурные и правительственные объекты.

«Надо понимать, что любые обновления ОС или ПО несут в себе изменения, которые могут вызвать сбой в работе всей системы. Такие ситуации происходят достаточно регулярно, если даже просто посмотреть на обновления популярных операционных систем (не говоря уже о программном обеспечении). Конечно, обновления важны и их надо устанавливать. Но устанавливать их сразу же после выхода и без тестирования на рабочие станции пользователей — далеко не самая хорошая идея.

По лучшим практикам, необходимо подождать 1-2 недели после выхода обновлений. За это время как раз выявляются все недостатки и возможные проблемы. Плюс, перед развёртыванием необходимо протестировать обновление на системах, которые по железу и ПО максимально похожи на рабочие станции пользователей и сервера.

Конечно, бывают ситуации, когда обновление закрывает какую-то проблему в безопасности, которая активно эксплуатируется. В таком случае время ожидания после выпуска обновления можно сокращать, но тщательнее проводить тестирование перед распространением на рабочие компьютеры», — отметил руководитель направления инфраструктурного пентеста Angara Security Роман Просветов.

Достаточно быстро выяснилось, что виновницей «торжества» стала американская ИБ-компания CrowdStrike; точнее — разработанное ею приложение Falcon Sensor для блокировки кибератак, а ещё точнее — очередное обновление для этого ПО, с очевидностью не слишком удачно написанное и/или протестированное перед выпуском в большой мир. Чтобы исправить ситуацию, достаточно было либо откатить последнее из обновлений безопасности, либо же вручную, загрузив ОС в Safe Mode/Windows Recovery Environment, отыскать в каталоге C:\Windows\System32\drivers\CrowdStrike directory файл с именем «C-00000291*.sys», удалить его и перезагрузиться нормальным образом. Интересно, кстати, что именно компания CrowdStrike в 2016-м заявила, когда к ней обратились представители Демократической партии США, что это российские спецслужбы якобы стоят за взломом почтовых ящиков и обнародованием информации, скомпрометировавшей соратников тогдашнего кандидата в президенты США Хиллари Клинтон.

На сей раз CrowdStrike оперативно заявила, что «активно работает с клиентами, пострадавшими от дефекта, обнаруженного в одном обновлении контента для хостов Windows», и что наблюдаемая проблема совершенно точно не является кибератакой. В течение часа после первых сообщений о происшествии акции компании, являющейся по сути опорной платформой облачной системы кибербезопасности для условно западных (посторенных в основном на продуктах Microsoft ИТ-инфраструктур) и контролирующей почти 24% глобального рынка в данном сегменте, потеряли 10%, что соответствует снижению её биржевой стоимости примерно на 16 млрд долл. США. Отметим, что средствами контроля и упреждающего предотвращения угроз безопасности CrowdStrike пользуются около 10% компаний, входящих в мировой топ-500 по капитализации.

«Мы сожалеем о случившихся глобальных сбоях из-за неполадок в Windows. Авиарейсы отменены, банки не работают, связь нарушена, — многие сталкиваются с трудностями. Это настоящее испытание, — пишет команда РОСА. — В нашей стране, благодаря курсу на импортозамещение, пострадало меньше компаний, однако мы не можем оставаться в стороне. РОСА готова помочь с миграцией на операционные системы семейства РОСА. ...Мы поддерживаем всех, кто пострадал: компании и обычных людей, застрявших в аэропортах, не имеющих возможности снять деньги или связаться с близкими. Мы понимаем ваше беспокойство и готовы помочь с восстановлением ИТ инфраструктуры».

...«Эксплуатация информационной системы, особенно относящейся к сегменту критической информационной инфраструктуры, требует повышенного внимания со стороны её владельца. Публичная облачная инфраструктура, несмотря на свою доступность и простоту, к сожалению, подвержена неконтролируемым сбоям. А игнорирование регламентов, обязывающих выполнять действия по определенным процедурам, а также проводить всесторонние проверки и применять только безопасные решения, приводит к возникновению технологических катастроф. Очевидным выходом из ситуации является переход к частной облачной инфраструктуре, которая хотя и требует большего администрирования, но находится под полным контролем организации», — заявил Пётр Фурсов, директор дирекции технологических сервисов МойОфис.

Российское Минцифры практически сразу же заявило, что сложившаяся ситуация в очередной раз показывает значимость импортозамещения иностранного ПО; в первую очередь — на объектах критической информационной инфраструктуры. Глобальный сбой не затронул, в частности, отечественные аэропорты, перешедшие на полностью импортозамещённые системы регистрации пассажиров и обеспечения производственной деятельности. Информационные системы РЖД, «Росатома» и прочих критически важных структур также не испытали на себе последствий пресловутого сбоя. Словом, действительно отличная (для тех, кто наблюдал за ней со стороны) иллюстрация тезиса о важности развития локализованных информационных систем.

«Доминирование Microsoft на мировом рынке ОС и офисного ПО в реальности служит для обеспечения технической зависимости и несет риски инфобезопасности для других стран. И сегодняшняя ситуация является ярким примером того, насколько важно выстраивать технологический суверенитет в каждой стране. Так, уход Microsoft с нашего рынка позволил российским вендорам встать на ноги и конкурировать с Microsoft на дружественных рынках. Поэтому сейчас российские системы меньше всего подвержены сбою, а критическая инфраструктура и вовсе не пострадала. Для тех же, кто еще не импортозаместил западные решения, сегодняшний пример десятка компаний и стран мира должен стать последним весомым аргументом, чтобы использовать отечественные доверенные системы», — отмечает Валентин Макаров, президент РУССОФТ.

Член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин считает, что ситуация со сбоями как раз покажет, кто из компаний в нашей стране все еще пытается найти лазейки и не переходить на российские решения: «Для них, я думаю, это станет уроком — импортозамещение определенно работает исключительно на пользу тем, кто идет с ним в ногу».


Источник: Максим Белоус, IT Channel News