Αναλυτές ασφαλείας και πληροφορικής που αναζητούν τη βασική αιτία της τεράστιας διακοπής λειτουργίας λένε ότι φαίνεται να σχετίζεται με μια ενημέρωση προγράμματος που ονομάζεται «οδηγός πυρήνα» στο λογισμικό Falcon της CrowdStrike. Οι οδηγοί πυρήνα είναι προγράμματα λογισμικού που επιτρέπουν στις εφαρμογές να αλληλεπιδρούν με τα Windows στο βαθύτερο επίπεδό τους, τον πυρήνα του λειτουργικού συστήματος.Αυτό το εξαιρετικά ευαίσθητο επίπεδο πρόσβασης είναι απαραίτητο για το λογισμικό ασφαλείας, ώστε να μπορεί να εκτελείται πριν από οποιοδήποτε κακόβουλο λογισμικό που είναι εγκατεστημένο στο σύστημα και να έχει πρόσβαση σε οποιοδήποτε μέρος του συστήματος όπου οι χάκερ μπορεί να επιδιώξουν να τοποθετήσουν τον κώδικά τους. Καθώς το κακόβουλο λογισμικό εξελίσσεται αυτό ολοένα και περισσότερες και αντίστοιχης εξέλιξης ενημερώσεις λογισμικού ασφαλείας.
«Αυτή η βαθύτερη πρόσβαση με τους οδηγούς πυρήνα εισάγει επίσης μια πολύ μεγαλύτερη πιθανότητα το λογισμικό ασφαλείας – και οι ενημερώσεις σε αυτό το λογισμικό – να καταστρέψουν ολόκληρα συστήματα» λέει ο στο περιοδικό Wired ο Μάθιου Σουίτς επικεφαλής μηχανικής ανίχνευσης στην εταιρεία ασφαλείας Magnet Forensics. Συγκρίνει την εκτέλεση λογισμικού ανίχνευσης κακόβουλου κώδικα σε επίπεδο πυρήνα ενός λειτουργικού συστήματος με «χειρουργική επέμβαση ανοιχτής καρδιάς».
«Είναι παράξενο το γεγονός ότι μια ενημέρωση προγράμματος οδηγού πυρήνα θα μπορούσε να προκαλέσει ένα παγκόσμιο μπλακ άουτ» υποστηρίζει Κόστιν Ράιου ο οποίος εργάστηκε στην εταιρεία λογισμικού ασφαλείας Kaspersky για 23 χρόνια και ηγήθηκε της ομάδας πληροφοριών για απειλές πριν φύγει από την εταιρεία το 2023. Κατά τη θητεία του στην Kaspersky ο Ράιου λέει ότι οι ενημερώσεις προγραμμάτων με οδηγούς για το λογισμικό των Windows εξετάζονταν προσεκτικά και δοκιμάζονταν για εβδομάδες προτού δοθούν στη κυκλοφορία.
Γενικευμένη παράβλεψη;
Οι ειδικοί λένε ότι η Microsoft πρέπει να ελέγχει τον κώδικα των οδηγών και να υπογράφει με κρυπτογράφηση ότι όλα είναι σωστά υποδηλώνοντας ότι απέτυχε και ο μηχανισμός ελέγχου της Microsoft. «Είναι εκπληκτικό το γεγονός ότι με την εξαιρετική προσοχή που δίνεται στις ενημερώσεις των οδηγών συνέβη αυτό που συνέβη. Ένας απλός οδηγός μπορεί όπως αποδείχτηκε εδώ να καταρρίψει τα πάντα» αναφέρει ο Ράιου.
Eκπρόσωπος της Microsoft είπε στο WIRED ότι «η ενημέρωση CrowdStrike ήταν υπεύθυνη για το παγκόσμιο μπλακ άουτ. Η Microsoft δεν έχει εποπτεία στις ενημερώσεις που κάνει η CrowdStrike στα συστήματά της» χωρίς όμως ο γίγαντας λογισμικού να αναφέρει αν η Microsoft πραγματοποιεί ελέγχους στους οδηγούς πυρήνα και υπογράφει την σωστή λειτουργία τους.Ο Ράιου προσθέτει ότι ακόμα κι έτσι, η CrowdStrike δεν είναι η μόνη εταιρεία ασφαλείας που προκάλεσε προβλήματα στα Windows με μια ενημέρωση οδηγού. «Οι ενημερώσεις στο Kaspersky, ακόμη και το ενσωματωμένο λογισμικό προστασίας από ιούς των Windows, το Windows Defender έχουν προκαλέσει παρόμοια προβλήματα και εμφάνιση της μπλε οθόνης που δηλώνει κατάρρευση του συστήματος. Κάθε λογισμικό ασφαλείας είχε προκαλέσει ζημιά παρόμοια με αυτή της CrowdStrike. Αυτό δεν είναι τίποτα καινούργιο αυτό που άλλαξε είναι η έκταση του προβλήματος» εξηγεί ο Ραιού.
Οι αρχές κυβερνοασφάλειας σε όλο τον κόσμο έχουν εκδώσει προειδοποιήσεις σχετικά με τη διακοπή αλλά έσπευσαν ομοίως να αποκλείσουν οποιαδήποτε κακόβουλη δραστηριότητα από χάκερ. «Το NCSC εκτιμά ότι αυτές δεν έχουν προκληθεί από κακόβουλες επιθέσεις στον κυβερνοχώρο», δήλωσε η Φελίστι Όσβαλντ διευθύνουσα σύμβουλος του Εθνικού Κέντρου Κυβερνοασφάλειας της Βρετανίας. Στο ίδιο συμπέρασμα κατέληξαν και αξιωματούχοι στην Αυστραλία.
.jpeg)
