Waarom chaos in CrowdStrike-stijl een blijvertje is | Technologie

by

“Waar ging CrowdStrike fout” is in ieder geval een beetje overdreven.

We kunnen achteruit werken. Als u tegelijkertijd updates naar elke afzonderlijke computer in uw netwerk pusht, betekent dit dat tegen de tijd dat u een probleem ontdekt, het te laat is om de gevolgen te beperken. Het alternatief – een gefaseerde uitrol – zou ervoor zorgen dat de update in kleine batches naar gebruikers wordt gepusht, wat doorgaans in de loop van de tijd wordt versneld. Als je begint met het updaten van 50 systemen tegelijk en dan onmiddellijk alle contact met elk van hen verliest, zul je het hopelijk opmerken voordat je de volgende 50 miljoen gaat updaten.

Als u geen gefaseerde implementatie gaat uitvoeren, moet u deze testen voordat u de update naar gebruikers pusht. Normaal gesproken is de reikwijdte van pre-release-testen een controversieel gebied: er zijn talloze mogelijke configuraties van hardware, software en gebruikersvereisten, en elk testregime moet de configuraties beperken die er toe doen – en hopelijk valt er niets door de mazen van het net. Gelukkig is het vrij eenvoudig om te zeggen dat de update onvoldoende is getest als een update 100% van de computers waarop hij is geïnstalleerd crasht en deze onbruikbaar maakt totdat een harde oplossing handmatig wordt toegepast.

Als u de update niet gefaseerd uitrolt en test voordat deze wordt verzonden, moet u ervoor zorgen dat deze het is niet gebroken.

Hij was gebroken

Vluchten op Orlando Airport in Florida behoorden tot de vele geannuleerde of vertraagde vluchten tijdens de CrowdStrike-crisis. Foto: Miguel J Rodríguez Carrillo/Getty Images


Ter verdediging van CrowdStrike kun je zien waarom een ​​deel hiervan gebeurde zoals het gebeurde. Het bedrijf biedt een dienst aan die ‘eindpuntbescherming’ heet, maar als je al een paar jaar in het Windows-ecosysteem werkt, is het misschien het gemakkelijkst om het als een antivirusprogramma te beschouwen. Het is gericht op de zakelijke markt, niet op consumenten. Naast bescherming tegen veelvoorkomende malware probeert het ook te voorkomen dat individuele computers die door bedrijven worden gebruikt, bolwerken in het bedrijfsnetwerk worden.

Dit omvat niet alleen computers die worden gebruikt door grote bedrijven die elk van hun werknemers een toetsenbord en muis moeten kunnen bieden, maar ook iedereen met een enorme vloot goedkope en flexibele machines. Als u vrijdag van huis bent gegaan, ziet u wat dat betekent: reclamedisplays, toonbankautomaten en zelfbedieningskiosken worden allemaal getroffen.

De vergelijking is belangrijk omdat snelheid van essentieel belang is in de ruimte waarin CrowdStrike speelt. Het worstcasescenario – in ieder geval tot vorige week – is een ransomware-worm zoals WannaCry of NotPetya: een stukje malware dat niet alleen kritieke schade aan getroffen machines veroorzaakt, maar zich ook automatisch binnen en over bedrijfsnetwerken kan verspreiden. En dat is hoe de frontlinie van de verdediging snel opereert. In plaats van te wachten op een wekelijks of zelfs maandelijks releaseschema voor software-updates, verspreidt het bedrijf dagelijks bestanden om de nieuwste bedreigingen voor de systemen die het beschermt te dekken.

In de marge zou zelfs een geleidelijke uitrol echte schade kunnen aanrichten: WannaCry plantte computers in een groot deel van de NHS in de uren dat deze zich ongecontroleerd mochten verspreiden, voordat hij per ongeluk werd tegengehouden door de Britse veiligheidsonderzoeker Marcus Hutchins terwijl hij probeerde uit te vinden wat de oorzaak was van het virus. teken. In dat scenario zou een geleidelijke invoering levens kunnen kosten. Het uitstellen van testen kan meer kosten met zich meebrengen.

In plaats daarvan zouden updates dit soort problemen niet moeten veroorzaken. In plaats van op elke machine nieuwe code uit te voeren, lijken het meer op woordenboekupdates: ze vertellen de reeds geïnstalleerde CrowdStrike-software op welke nieuwe bedreigingen ze moeten letten en hoe ze deze kunnen herkennen.

Je kunt het tenslotte zien als dit artikel. Je leest deze woorden vrijwel zeker via een of andere applicatie, of het nu een webbrowser, e-mailclient of de Guardian-app is. (Als je hebt geregeld dat iemand dit afdrukt en het bij je ochtendkoffie bezorgt, gefeliciteerd.) Ik heb geen stapsgewijze introductie of een volledige test van het artikel gedaan, omdat het niets zou moeten doen .

Helaas heeft de vrijdag uitgebrachte update iets gedaan. De technische details op hoog niveau blijven onduidelijk, en totdat CrowdStrike zich verwaardigt een volledig overzicht vrij te geven van wat het heeft gedaan, zitten we vast aan wat ons is verteld. De update, die het systeem moest leren een specifiek type cyberaanval te herkennen dat al in het wild voorkomt, veroorzaakte in plaats daarvan “een logische fout die resulteerde in een crash van het besturingssysteem.”

Ik behandel dit soort zaken nu al meer dan tien jaar en ik vermoed dat de “logische denkfout” een van twee dingen zal blijken te zijn. Of iets in een van de meest complexe systemen die de mensheid in haar geschiedenis heeft opgebouwd, zal in een nauwelijks begrijpelijke staat van mislukking verkeren, en een bijna onvoorstelbare combinatie van pech zal tot iets catastrofaals leiden; of iemand heeft iets vreselijk stoms gedaan.

Soms zijn er geen lessen

Zelfbedieningskiosken voor consumenten, zoals die van South Western Railway in Groot-Brittannië, worden ook getroffen. Foto: Anadolu/Getty Images

Er zijn de afgelopen dagen veel opnames gemaakt:

sla de nieuwsbriefpromotie over

  • Dit is de onvermijdelijke schade van de machtsconcentratie in slechts enkele bedrijven in de technologiesector.

  • Dit is een onvermijdelijk nadeel omdat de EU Microsoft verbiedt de macht van antivirusbedrijven te beperken om het basisniveau van Windows te herschrijven.

  • Dit is het onvermijdelijke nadeel van cyberbeveiligingsregelgeving die zich meer bezighoudt met het afvinken van vakjes dan met daadwerkelijke veiligheid.

  • Dit was helemaal geen beveiligingsprobleem, aangezien niemand was gehackt. Het was gewoon een vergissing.

Geen van hen is thuisgekomen. CrowdStrike heeft, ondanks al zijn ontwrichting, geen enorme machtsconcentratie; het is een van de grotere bedrijven in zijn sector, maar het is slechts op ongeveer 1% van alle computers geïnstalleerd. En hoewel Microsoft heeft geprobeerd de grenzen te verleggen dat storingen alleen maar kunnen optreden als gevolg van regelgeving, voelt het alternatief – waarbij externe beveiligingsbedrijven niet op Windows kunnen werken – vooral aan als een wereld waarin de eerste grote storing daadwerkelijk 100% van de pc’s treft, omdat Microsoft is opgezet als de enige verdedigingslinie.

Regelgeving op het gebied van cyberbeveiliging beloont bedrijven voor het installeren van CrowdStrike, waardoor een complex certificeringsproces in een eenvoudig vinkje wordt omgezet, maar dat is waarschijnlijk ook een goede zaak. “Koop het ding om veilig te zijn” is de enige redelijke eis van de overgrote meerderheid van de bedrijven, en CrowdStrike deed zijn werk, op één ongelukkig moment na.

Maar helaas of niet, het was absoluut een veiligheidsprobleem. Er zijn drie doelen in de gouden driehoek van informatiebeveiliging: vertrouwelijkheid (of geheimen geheim zijn), integriteit (of gegevens juist zijn) en beschikbaarheid (kun je je systemen gebruiken). CrowdStrike slaagde er niet in de beschikbaarheid te behouden, wat betekende dat het de veiligheid van de informatie van zijn klanten niet kon beschermen.

Uiteindelijk is de enige les die ik wil trekken dat dit soort dingen vaker zullen gebeuren. We hebben met succes zoveel tekortkomingen in de samenleving aangepakt dat de tekortkomingen die ons blijven beïnvloeden steeds verrassender, ernstiger en onvoorbereid zullen zijn. Net zoals chauffeurs te veel vertrouwen krijgen in de cruisecontrol en er niet in slagen de controle over te nemen in de fractie van een seconde vóór een ongeval, zijn we erin geslaagd catastrofale IT-storingen zo zeldzaam te maken dat het herstellen ervan een marathontaak wordt.

Hoera?

Vouw TechScape uit

Sociale media leveren automatisch verontrustende inhoud aan jonge mannen, grotendeels zonder toezicht. Illustratie: Nash Weerasekera/The Guardian

  • ‘River of volslagen onzin’: Josh Taylor van Guardian Australia hielp bij de release Facebook- en Instagram-algoritmen om rekeningen leeg te maken. Ze dienden seksisme en vrouwenhaat.

  • Is ‘s werelds grootste zoekmachine kapot? Tom Faber vraagt ​​of Googlen verliest het voordeel.

  • Is dit het einde De Craig Wright-saga? Het plaatsen van een volledige rechterlijke uitspraak op je Twitter waarin het laatste decennium van je carrière wordt verklaard, voelt definitief.

  • Ouders hebben nog meer zorgen over AI, omdat de technologie de inspanningen om de achterstand in te halen overtreft kinderroofdieren.

  • I Roblox staat weer in de schijnwerpers vanwege zijn eigen mislukkingen op het gebied van seksueel misbruik van kinderen, verergerd door het privacybeleid van het bedrijf, zeggen critici.