«Чтобы ликвидировать последствия сбоя на физических устройствах, а это миллионы хостов по всему миру, к ним надо идти ногами и писать волшебные команды. Простой перезагрузки будет недостаточно, и вендор тоже ничего не сможет сделать, чтобы их воскресить», — анализируют эксперты итоги многочасового сбоя Windows, который затронул миллионы компьютеров, приземлил самолеты, остановил гражданскую инфраструктуру во многих странах мира — от больниц в Израиле до «Макдоналдса» в Японии. В России радуются санкциям, Татарстан подчеркивает, что вовремя занялся переводом госслужащих на Astra Linux, а акции Microsoft падают. Подробности — в материале «БИЗНЕС Online».
Сбой вызван некорректным обновлением ПО сервиса кибербезопасности CrowdStrike. После него ПК и серверы на Windows запускают бесконечный цикл загрузки или показывают синий экран
Что произошло?
Масштабный сбой в системах Microsoft сегодня остановил жизнь во многих организациях мира. На тысячах компьютерах авиакомпаний, аэропортов, железнодорожных структур, операторов связи и банков, супермаркетов, телекомпаний и прочих организаций появился «синий экран смерти». О проблемах сообщили в США, Великобритании, Индии, Новой Зеландии, Австралии, пишет The Guardian. Телеканал CNN передает, что сбой в работе облачной платформы для хранения данных Microsoft Azure стал причиной отмены как минимум 130 и задержки более 200 рейсов американских авиакомпаний. В Израиле были затронуты госучреждения — трудности испытывают в больницах, банках, на почте. Комитет Олимпийских игр в Париже также сообщил, что его системы подкосил масштабный сбой.
Что же произошло? Сбой вызван некорректным обновлением ПО сервиса кибербезопасности CrowdStrike, пишет The Verge. После него ПК и серверы на Windows запускают бесконечный цикл загрузки или показывают синий экран. Сотни IT-администраторов по всему миру жалуются в Reddit. Обходными путями они пытаются включить загрузку ПК в безопасном режиме, перейти в каталог CrowdStrike и удалить системный файл. Но это будет проблематично на некоторых облачных серверах или для ноутбуков Windows, которые используются удаленно. «„Счастливой пятницы“, — говорит один из пользователей Reddit. Похоже, что это будет долгий день для IT-администраторов по всему миру», — замечает издание.
«Билл Гейтс, а не Путин поставил сегодня мир на колени. Полеты отменены, больницы не работают, поезда остановлены, весь мир в это вовлечен благодаря Windows»
Зато миллиардер Илон Маск не упустил возможности позлорадствовать, опубликовав картинку, где человек в образе X спокойно курит в сторонке, пока другие, олицетворяющие Microsoft, в суматохе бегают по площадке. Он сообщил, что соцсеть работает без сбоев. Российская группа Astra выпустила целую подборку мемов на эту тему, сопроводив их ироничной подписью: «Нет, мы все понимаем, пятница — и не хочется совсем работать. Но не до такой же степени)))».
В CrowdStrike сообщили, что проблему выявили, изолировали и выпустили исправление. Генеральный директор компании Джордж Курц выступил с таким заявлением: «CrowdStrike активно работает с клиентами, пострадавшими от дефекта, обнаруженного в одном из обновлений контента для хостов Windows. Хосты Mac и Linux не затронуты», — сообщил он. Курц подтвердил, что дефект обнаружили в обновлении ПО для Windows. Он также добавил, что случившееся не инцидент безопасности или кибератака.
Microsoft обвиняет третью сторону, но добавляет, что работает над тем, чтобы как можно скорее восстановить обслуживание тех, кто все еще испытывает перебои. «Наши сервисы по-прежнему отмечают постепенную стабилизацию ситуации, в то время как мы продолжаем принимать меры по устранению неполадок», — говорится в сообщении компании. В корпорации пояснили, что проблема может коснуться каждого пользователя приложений и служб Microsoft 365.
Акции CrowdStrike ожидаемо рухнули — на 16,5% до $287,3, по данным торгов на премаркете NASDAQ в 12:09 мск. На торгах 19 июля компания CrowdStrike в моменте потеряла $13,77 млрд рыночной стоимости. Акции Microsoft подешевели на 3,15% по данным биржи NASDAQ.
Американские СМИ сообщают, что нынешний сбой может считаться крупнейшим со времен атаки вирусом-вымогателем WannaCry в 2017 году. Тогда пострадали 300 тыс. компьютеров в 150 странах мира, ущерб оценивали на сумму до миллиарда долларов.
«Билл Гейтс, а не Путин поставил сегодня мир на колени. Полеты отменены, больницы не работают, поезда остановлены, весь мир в это вовлечен благодаря Windows», — подхватили российские СМИ твит итальянского блогера Андреа Ломбарди.
Единственные, кого сбой может коснуться, — это российские туристы. С утра не работала одна из мировых систем бронирования авиабилетов Amadeus, на базе которой многие компании делают регистрацию в аэропорту и предоставляют определенные сервисы
России помогли санкции
В РФ CrowdStrike не работает, а Windows официально не обновляется, поэтому и сбоев не было. Роскомнадзор на всякий случай объявил, что не получал от российских компаний информации о проблемах, связанных со сбоем после обновления CrowdStrike.
«Российским компаниям, в том числе банкам, удалось избежать массовых сбоев в связи с тем, что многие, опасаясь блокирования работы Windows на территории России, закрыли доступ к облачным сервисам Microsoft. Для всех, кого затронула проблема, есть обходной путь: загрузка в Safe Mode и удаление некоторых файлов, — пояснили „БИЗНЕС Online“ в компании AB Digital. — Но ситуация отлично демонстрирует, что, если Microsoft решит заблокировать работу Windows в России, будет более масштабный коллапс».
Как подтвердил «БИЗНЕС Online» первый замминистра цифрового развития РТ Илья Начвин, глобальный сбой Windows Татарстан никак не затронул. «В республике все большие коммерческие предприятия озабочены переходом на отечественное программное обеспечение и некоторые из них уже начали это делать. А что касается сектора госуправления, мы сегодня переводим 150 тысяч работников бюджетной сферы на Astra Linux — это полностью российский продукт, полностью импортозамещенное программное обеспечение. Данная работа позволяет нам не сталкиваться в РТ с такими ошибками, которые мы сегодня видим практически по всему миру», — рассказал он.
Международный аэропорт «Казань» тоже подтвердил, что работает в штатном режиме, рейсы выполняются по расписанию. Об этом «БИЗНЕС Online» сообщили в пресс-службе воздушной гавани. Впрочем, ТАСС пишет, что глобальный сбой Microsoft не затронул большинство стран СНГ, задержки наблюдаются только в Армении и Молдавии.
Похоже, единственные, кого сбой может коснуться, — это российские туристы. Как рассказал «БИЗНЕС Online» директор по продажам «Салават City Center» Рустем Тарзиманов, с утра не работала одна из мировых систем бронирования авиабилетов Amadeus, на базе которой многие компании делают регистрацию в аэропорту и предоставляют определенные сервисы, например по провозу сверхнормативного багажа. А вот Sabre, американский аналог Amadeus, как ни странно, функционирует, удивлен наш собеседник. Также на поиск и продажу билетов не работает сайт «Турецких авиалиний». Но из туристов Тарзиманова пока за рубежом из-за сбоя никто не застрял. «Пока обратной связи по нашим клиентам, которые находятся за границей, мы не получали. Либо нам повезло и пока никто не попал в этот самый сложный период, либо пока до нас информация не дошла», — отметил директор по продажам «Салават City Center».
Акции CrowdStrike ожидаемо рухнули — на 16,5% до $287,3, по данным торгов на премаркете NASDAQ в 12:09 мск. На торгах 19 июля компания CrowdStrike в моменте потеряла $13,77 млрд рыночной стоимости
«Сбой в компонентах ПО может сказаться на работоспособности и самого компьютера»
Эксперты, опрошенные «БИЗНЕС Online», сходятся в том, что ликвидация сбоя потребует массы усилий.
Алексей Лукацкий — бизнес-консультант по информационной безопасности Positive Technologies:
— Подобные сбои были. В 2010 году случилась схожая история с обновлением антивируса McAfee. Дальше были аналогичные истории с самой компанией Microsoft, когда ее обновление приводило к «синему экрану смерти» и также приходилось откатывать компьютеры назад. Поэтому я не могу сказать, что сегодняшний кейс единичный, но он все равно при этом достаточно масштабный, исходя из того, что десятки миллионов компьютеров по всему миру столкнулись с данной проблемой. Решение CrowdStrike — это не просто антивирус, он достаточно плотно интегрируется с операционной системой Windows для того, чтобы обнаруживать современные атаки. Потому сбой в компонентах данного программного обеспечения может сказаться на работоспособности и самого компьютера, так как интеграция происходит на уровне ядра операционной системы.
Сбой компания CrowdStrike признала, а вот относительно того, почему ее обновление допустило сбой, сейчас будет проходить расследование. Дальше станет понятно, это программист что-то сделал не так или злоумышленники смогли залезть в процесс разработки, как было в кейсе SolarWinds несколько лет назад. Там как раз в систему управления сетью влезли хакеры на этапе разработки и внесли соответствующий вредоносный функционал.
Сроки восстановления зависят от того, были ли в организации внедрены процессы централизованного обновления программного обеспечения. Если да, то на отладку уйдет несколько часов. Если нет, то в крупных компаниях восстановление может потребовать несколько дней и более.
Никита Кислицин — руководитель департамента сетевой безопасности компании F.A.C.C.T.:
— Предыдущие глобальные сбои, например эпидемия шифровальщиков, были вызваны действиями злоумышленников, которые использовали уязвимости, а здесь мы видим просто технические ошибки компании CrowdStrike, которая производит решения для обеспечения безопасности работы компьютеров. Представляете? Вы обещаете клиентам: «Поставьте нашу программу, у вас все будет безопасно, вас не взломают хакеры». А потом в результате ваших собственных действий, ошибок на стадии тестирования в релиз попадает версия со сбоем, которая, возможно, приводит к даже более тяжелым последствиям, чем хакерские атаки.
Технические сбои у CrowdStrike мы видим второй раз подряд. В конце июня у них тоже была массовая проблема, но менее явная: этот антивирус после обновления стал потреблять очень много ресурсов. Такое тоже вызвало негатив, но хотя бы компьютеры не ломались, а сегодня массово поломаны процессы, крупные сервисы просто перестали работать. Самолеты не вылетели вовремя, кто-то не может заплатить картами, кто-то не может зарегистрироваться в больнице и так далее.
А восстановление, судя по всему, будет сводиться к ручным действиям. То есть им нужно каждый затронутый сервер перезагружать вручную. Если это виртуальные машины, можно все удаленно отладить. А если это физические устройства, которых очень много, миллионы хостов по всему миру, к ним надо буквально к каждому идти ногами, нажимать на кнопку, писать волшебные команды, чтобы все заработало. Простой перезагрузки будет недостаточно, вендор тоже ничего не сможет сделать, чтобы их воскресить.
Но я думаю, что через неделю уже все уляжется. CrowdStrike, конечно, предстоит какую-то порку пройти публичную. Уволят кого-нибудь там, покаятся — и все будет нормально. Зато у нас прекрасная ситуация в этом плане, потому что, слава богу, данный вендор в России никогда особо не работал.
Валерий Иванов — главный редактор портала CyberMedia:
Конкретно в России данная компания не действует, потому нас это особо не затронуло — все работает в штатном режиме. Технически проблема достаточно тривиальна — некачественные или непродуманные обновления продуктов случаются сплошь и рядом. Вряд ли сбой будет иметь далеко идущие последствия. Уровень цифровизации непрерывно растет, вместе с ним увеличиваются и риски — в том числе столкнуться с неоптимизированным обновлением.
Наверняка на следующей неделе экономисты посчитают суммарный ущерб от сбоя, выяснится, что это сотни миллионов долларов. По факту ничего страшного не произошло, это внештатная, но рабочая ситуация.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 22
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.