Potop CrowdStrike dan pozneje

Po izpadu več tisoč računalniških sistemov po celem svetu, ki jih je včeraj povzročila napačna posodobitev varnostnega paketa CrowdStrike Falcon za Windows, se danes situacija počasi normalizira. Včeraj so stala nekatera letališče, trgovine, tovarne in druga ključna infrastruktura, dokler niso posodobitve ročno odstranili. Ker so bili sistemi ujeti v neskončne zanke ponovnih zagonov, je to trajalo. Izpad sistemov po celem svetu so ponekod označili kot največji izpad v zgodovini.

CrowdStrike se je posul s pepelom in pojasnil, da so vzrok za težave odkrili in odpravili. Prizadeti so bili zgolj računalniki z Windows, ne pa tudi Mac ali Linux. Napačno posodobitev so umaknili ob 7.27 po slovenskem poletnem času, zato so bili prizadeti le računalniki, ki so se v internet povezali in posodobitev naložili pred tem. To pa je bila predvsem vzhodna polobla, ki je dan začela prva - Avstralija, Azija in Evropa.

Problematična je datoteka C-00000291*.sys s časovnim žigom 04:09 UTC, medtem ko je z žigom 05:27 UTC že obnovljena starejša, neproblematična verzija. Podali so obsežna navodila za rešitev zagate. Na posameznih delovnih postajah se datoteka pobriše v Varnem načinu ali Okolje za obnovitev (WRE). Zelo podobno se rešujejo težave tudi v sistemih v oblaku, kjer je treba pridobiti dostop do okvarjene datoteke in jo izbrisati. Alternativna rešitev pa je obnovitev na katerokoli shranjeno verzijo sistema pred 04:09 UTC (6.09 po slovenskem času). Poldrugo uro se je torej nameščala pokvarjena nadgradnja.

V starih časih bi lahko v najslabšem primeru disk preprosto odvijačili in prenesli v delujoč sistem. S šifriranimi nosilci podatkov pa je to teže, ker je ključ za šifriranje shranjen v moduli TPM na prizadeti napravi. Za dostop do podatkov drugod je treba imeti bodisi kopijo ključa bodisi ga obnoviti iz TPM. Kdor tega ne more, ima podatke zaklenjene.

Medtem je, pričakovano, na borzi delnica CrowdStrikea doživela potop. Trgovanje so začeli 17 odstotkov nižje, med dnevom pa se je padec stabiliziral pri 11 odstotkih. Delnica je bila v indeks S&P500 uvrščena minuli mesec.