Компания раскрыла причину беспорядков в CrowdStrike, а также шаги, которые она предприняла, чтобы гарантировать, что подобное не повторится.
Компания сталкивается с потоком судебных исков из-за финансовых потерь, понесенных ее клиентами, на сумму около 5 млрд долларов, но мелкий шрифт в ее контракте может защитить ее…
Краткий обзор сбоя
Серьезная ошибка компании CrowdStrike, занимающейся кибербезопасностью, в прошлом месяце привела к глобальному сбою в работе ИТ-систем, затронувшему авиакомпании, банки, службы здравоохранения и другие организации, включая несколько служб экстренной помощи 911.
Авиакомпании были вынуждены прекратить полеты, вещатели были отстранены от вещания, розничные торговцы не могли принимать платежи, больницы не могли записывать пациентов на прием и многое другое.
- Компания выпустила ошибочное обновление
- Поскольку CrowdStrike имеет доступ к ядру Windows, это привело к сбою машин
- Машины нельзя было перезагрузить без ручного обновления.
- Масштаб катастрофы был обусловлен тем, что большинство крупных корпораций используют CrowdStrike
Причина CrowdStrike
До вчерашнего дня не было известно, какова точная природа неисправного обновления и как оно было выпущено по всему миру, не обнаружив при тестировании проблемы. Теперь CrowdStrike объяснила и то, и другое.
Вкратце, компания хотела упростить выпуск новых обновлений угроз на клиентские ПК. Для этого она использовала новый подход, который позволял динамически настраивать обнаружение угроз. Защищенные ПК следили за обновлениями на основе шаблона, включающего 21 фрагмент данных.
Сбой произошел, когда CrowdStrike выдал экземпляр шаблона, содержащий только 20 фрагментов данных, на один меньше, чем ожидалось.
Таким образом, попытка доступа к 21-му значению привела к чтению памяти за пределами входного массива данных и к сбою системы.
Это подводит нас ко второму вопросу: как это не было обнаружено при тестировании? Короче говоря, потому что тестирование не проводилось с реальными данными.
Выборка данных в файле канала производилась вручную и включала критерий соответствия подстановочных знаков регулярных выражений в 21-м поле для всех экземпляров шаблонов, что означало, что выполнение этих тестов во время разработки и сборки выпуска не выявило скрытого чтения за пределами границ в интерпретаторе контента при предоставлении 20, а не 21 входных данных.
CrowdStrike заявляет, что внесла изменения, чтобы гарантировать соответствие экземпляров шаблонам, и добавила ограничения времени выполнения, чтобы гарантировать, что даже если есть несоответствие, это не приведет к сбою. Наконец, в будущем она будет проводить поэтапное развертывание, поэтому любая проблема, которая все же возникнет, затронет только ограниченное количество ПК.
Мелкий шрифт может защитить от судебных исков
CrowdStrike также сталкивается с рядом судебных исков со стороны крупных корпораций, малого бизнеса и даже собственных акционеров. Проводной отчеты:
29 июля Delta сообщила CrowdStrike и Microsoft о своем намерении подать в суд на сумму в 500 миллионов долларов, которые она, по ее утверждениям, потеряла в результате сбоя. Юридическая фирма Labaton Keller Sucharow подала коллективный иск от имени акционеров CrowdStrike, утверждая, что они были введены в заблуждение относительно методов тестирования программного обеспечения компании. Другая юридическая фирма, Gibbs Law Group, объявила, что рассматривает возможность подачи коллективного иска от имени малого бизнеса, пострадавшего от сбоя.
Однако положения и условия CrowdStrike налагают строгие ограничения на ответственность, и Джонатан Карди, профессор права, специализирующийся на делах о гражданской ответственности, говорит, что обойти это ограничение может оказаться непросто.
Тем, кто надеется возместить финансовые потери, придется искать креативные способы формулировать свои иски против CrowdStrike, которая в значительной степени изолирована типичными для контрактов на программное обеспечение положениями, ограничивающими ее ответственность, говорит Карди. Хотя может показаться очевидным, что CrowdStrike окажется на крючке за свою ошибку, компания, скорее всего, будет «довольно хорошо защищена» мелким шрифтом, добавляет он.
Фото Ивана Вранича на Unsplash