A globális leállás újra rámutat, mekkora kockázatot rejtenek a világot behálózó IT-rendszerek

Megbénuló repterek, földön ragadó repülőgépek, akadozó vasúti szolgáltatás, leálló tévéadások, elmaradó műtétek, leálló cégek – péntek reggel arra ébredt a világ, hogy egyetlen informatikai hiba miatt egy csapásra felborult a globális mindennapok rendje. Mint később kiderült, a hiba a CrowdStrike nevű kiberbiztonsági cégnél történt, ők küldtek ki az ügyfeleiknek egy elbaltázott frissítést, ami minden Windowst futtató rendszert kék halálba (BSOD) küldött, amire telepítették, majd nem is akart onnan kiereszteni még azután sem, hogy a cég javította a hibát.

Mivel hamar világossá vált, hogy nem kibertámadás történt, a dollármilliókban mérhető kellemetlenségek és a várhatóan elhúzódó helyreállítás ellenére még mindig egész szerencsésen megúsztuk a dolgot ahhoz képest, mint ha szándékos szabotázs történt volna. A történtek azonban így is rávilágítanak arra, hogy a világot mára keresztül-kasul átszövő és egymásra épülő digitális ellátási láncok legalább annyira sebezhetők, mint amennyire kiterjedtek és nélkülözhetetlenek. Az utóbbi években több olyan baleset vagy támadás is történt, amely rávilágított arra, milyen húsba vágó is ez a kockázat.

Hogy tudott egy frissítésből ekkora galiba kerekedni?

Néhány órával a káosz kitörése után a CrowdStrike is megerősítette, amit addigra már nagyjából tudni lehetett, azaz hogy náluk keletkezett a probléma: „A CrowdStrike aktívan együttműködik azokkal az ügyfelekkel, akiket érintett egy hiba, amelyet a Windows-gépek egyetlen tartalmi frissítésében találtak. A Mac- és Linux-gépek nem érintettek. Ez nem biztonsági incidens vagy kibertámadás. A problémát azonosítottuk, elszigeteltük és javítottuk” – írta az X-en George Kurtz vezérigazgató.

A texasi központú CrowdStrike egy 2011-ben alapított kiberbiztonsági cég, amelynek a nevét szélesebb körben akkor ismerhette meg a világ, amikor részt vettek az amerikai Demokrata Pártot ért orosz hekkertámadás kivizsgálásában a 2016-os elnökválasztási kampány idején. A cégnek közel 25 ezer ügyfele van, amelyek jellemzően nagyvállalatok, azaz az érintett rendszerek száma ennek sokszorosa.

„A CrowdStrike az utóbbi években nagyon erős piaci pozíciókat szerzett a végpontvédelem és a hálózatbiztonság területén. Nagyon sok, nagy és fontos helyen a gyártó megoldása üzemel, így nyilván a hiba hatása is sokkal nagyobb. Erre jó példa lehet a Microsoft O365, amely szintén megingott az incidens hatására. A hiba a szerver- és a klienskörnyezeteket is érinti, hiszen a védelmet mindegyik eszközön ugyanaz a gyártó biztosította” – mondta a Telexnek egy neve elhallgatását kérő kiberbiztonsági szakértő.

Az ilyen biztonsági szoftvereknél értelemszerűen elengedhetetlen, hogy mélyen hozzáférjenek a megvédendő rendszerhez, hálózathoz, hogy felfedezhessék az esetleges kártevőket vagy bármilyen nem odaillő tevékenységet, és fel is számolhassák. Ahhoz, hogy ilyen hirtelen ennyire kiterjedt probléma lett ebből az egészből, az is hozzájárult, hogy ez nem az a fajta frissítés volt, amit a felhasználó hetekig-hónapokig halogathat, ha épp olyan kedve van. Itt egy automatikus frissítésről volt szó, ami felhasználói interakció nélkül települt, amint a gyártó kiküldte. Ez nagyon hasznos, a gyakorlatban számos lehetséges támadást meghiúsító módszer, hiszen a sérülékenységek nagy részét azért tudják kihasználni a támadók, mert a rendszerek nem kapják meg idejében a már kiadott frissítéseket. Ha azonban az a ritka eset fordul elő, mint most, hogy maga a frissítés okozza a problémát, akkor a felhasználó nem tud mit tenni.

Nem ez volt az első nagy informatikai felfordulás

Valószínűleg kevesen élik úgy a mindennapjaikat, hogy nagy kiberbiztonsági incidensek emlékein merengenek, úgyhogy amikor beüt egy-egy ilyen nagy leállás, az a legtöbbünket sokként éri. Az első sokkhatás után azonban tanulságos felidézni, milyen hasonló esetek történtek az elmúlt években, és ezekből mit tanulhat a világ. Nézzünk néhány esetet az utóbbi időből, amelyek közül volt, amelyik többé, volt, amelyik kevésbé hasonlított a mostanihoz – és abban mindegyik különbözik, hogy kibertámadásokról van szó –, de közös bennük, hogy a maguk idejében jelentős zavart okoztak, és a globális digitális gazdaságban rejlő kockázatokra is hasonlóképpen rámutatnak.

Ilyen volt például a Mirai botnet. A botnet olyan megfertőzött, és távolról irányítható gépek hálózatát jelenti, amelyet koordinált hadseregként lehet támadásokra vagy akár spamkampányokra felhasználni. 2016-ban a Mirai a fél internetet megbénította egy ilyen túlterheléses támadással, amikor elárasztotta lekérésekkel a Dyn nevű (azóta az Oracle-be olvadt) doménnév-szolgáltatót, és rajta keresztül olyan szolgáltatások váltak elérhetetlenné, mint az Amazon, a Netflix, a Spotify, a Twitter vagy a Reddit.

2017-ben ennél is nagyobb felfordulást okozott két kártevő, a májusban lecsapó WannaCry és a júniusban beütő NotPetya. Ezeket akkoriban zsarolóvírusként emlegettük, de később kiderült, hogy legalábbis a NotPetya inkább csak annak tetette magát. Mindkettő pillanatok alatt terjedt el és tette használhatatlanná számos ország több tucat kisebb és nagyobb vállalatának a rendszereit, de a NotPetya az érdekesebb, mert az volt a kifinomultabb támadás. Akkor is az ellátási láncon keresztül, egy frissítéssel terjedt el a problémát okozó kód, csak akkor ez a támadók tudatos akciója volt: egy ukrán cég által fejlesztett, MeDoc nevű könyvelőprogram frissítési mechanizmusába férkőztek be a feltételezések szerint orosz hekkerek, a katonai hírszerzéshez (GRU) köthető Sandworm csoport.

A NotPetyát zsarolóvírusnak álcáztak, de valójában nem az anyagi haszonszerzés volt a célja, hanem a puszta rombolás: nem titkosította a megfertőzött gépeket, hogy váltságdíj fejében állítsa vissza a tartalmukat (ahogy az egy zsarolóvírustól elvárható lenne), hanem visszaállíthatatlanul megsemmisítette az adatokat. A NotPetya elsősorban ukrajnai célpontokat fertőzött meg, de aztán továbbterjedt, és órák alatt a fél világon végigsöpört, becslések szerint tízmilliárd dolláros kárt okozva a világ gazdaságában. Máig minden idők legnagyobb rombolással járó kibertámadásaként tartják számon.

2020 decemberében rengette meg az Egyesült Államokat az a kibertámadás, amely addigra már legalább kilenc hónapja tartott. A támadók egy SolarWinds nevű texasi IT-szolgáltató Orion nevű szoftverének frissítéseibe épültek be, így jutottak el a cég akár 18 ezer ügyfeléhez, köztük a fél amerikai kormányzathoz, illetve Amerikában és világszerte telekommunikációs, technológiai és energetikai és más cégek egész sorához, akár Magyarországon is működő cégekhez is. Az akcióra azután derült fény, hogy a FireEye nevű kiberbiztonsági cég felfedezte, hogy őt is megtámadták, majd a támadást visszafejtve eljutott a SolarWindshez. Feltételezések szerint az orosz hírszerzéshez köthető, Cozy Bear vagy APT 29 nevű állami hekkercsoport hajthatta végre a támadást, amelyet minden idők egyik legsúlyosabbjának tartanak.

Idén tavasszal is történt már egy hasonló eset, amikor egy főleg Linuxon használt fájltömörítő szoftvercsomagba bekerült egy hátsó ajtó, azaz olyan kód, amellyel egy hekker titokban hozzáférést tud szerezni a megfertőzött rendszerhez, akár át is venni felette az irányítást. Ez a szoftver szinte minden Linux-disztribúción (az operációs rendszer különféle változatain) elérhető, így ha a megbuherált változata bekerült volna a stabil rendszerekbe, annak beláthatatlan következményei lehettek volna, nemcsak Linuxon, hanem Windowson is Macen is. Végül csak a szerencsén múlt, hogy ez nem így történt, mert a Microsoft egy programozója véletlenül rábukkant a kártékony kódra egy rendszer tesztelése során, így még az elterjedése előtt sikerült kiiktatni. A hosszan felépített akció mögött is az orosz hírszerzést sejtik.

Hosszú lánc, nagy kockázat

A most történtek elég sok kellemetlenséget okoztak ahhoz, hogy alanyi jogon is emlékezetesek maradjanak, de az esetnek önmagán túlmutató tanulsága is van.

„A CrowdStrike-incidens kapcsán érdemes abba belegondolni, hogy egyetlen IT-szolgáltató és -termék problémája hogyan hat ki az egész világ technológiai infrastruktúrájára. Ez a globális ellátási lánc egyik techjellegű problémája: egyetlen termék, megoldás műszaki hibája érinti a majdnem teljes technológiai ökoszisztémát, beleértve az olyan óriásszolgáltatókat is, mint a Microsoft – mondta a Telexnek nyilatkozó kiberbiztonsági szakértő.

– Azt gondolom, hogy valóban globális IT-krízisről lehet beszélni, amely egyben azt is jól megmutatja, hogy mennyire szorosan ráépült a világunk az IT-technológiákra és azok elvárt, üzemszerű működésére. Ha nincs IT, (szinte) semmi sincs. Ez egy olyan kitettség, amelyet mindenki, egyén, család, szervezet és nemzet visel – csak ebbe nem szoktunk belegondolni.

Érintett az egészségügy, a bankvilág, közlekedés, energiatermelés, kormányzat – szerencsére itthon ennek közvetlen hatását nem érezzük, mert a CrowdStrike hazai penetrációja alacsony. Közvetetten azonban azok is megérzik ezt az incidenst, akik nem is használják a gyártó megoldását” – tette hozzá.

Magát a céget is megviselhetik a történtek: becslések szerint egyik napról a másikra akár 16 milliárd dollárt is eshet a piaci értéke. Ez a történet azonban elsősorban nem is róluk szól. „A CrowdStrike-ot lehet most sárral dobálni, de minek? Ez minden végpontvédelmi gyártóval megtörténhetett volna, mint ahogy hasonlók – csak nem ennyire frekventáltan és nehezen elháríthatóan – meg is történtek. Érdemes a Google-ba beleírni akármelyik gyártó neve után a BSOD szót, látható, hogy hasonló hibák máshol is előfordultak már” – mondta a kiberbiztonsági szakértő.

Már a SolarWinds-ügy idején is írtunk arról, hogy azért is különösen veszélyes, amikor egy-egy – akkor megfertőzött, most a CrowdStrike esetében félresikerült – frissítés okoz problémát, mert félő, hogy sokan a szoftverfrissítésekre veszélyforrásként fognak tekinteni – kicsit ahhoz hasonlóan, mint amikor az egyébként társadalmi szinten rendkívül hasznos vakcinák egy-egy mellékhatásának bejelentésekor megnő az oltásellenesek száma. „Ez valóban egy kockázat, és biztos lesznek ilyenek is, vagy olyanok, akik csak lassabban frissítenek, már az is veszélyes. De pont ezért mondja minden szakértő, hogy senki ne vonja le ezt a következtetést a történtekből, mert ez egy rossz következtetés” – mondta akkor Nemes Dániel, a biztonsági megoldásokat értékesítő Biztributor elnöke.

A SolarWinds meghekkelésével a szoftveres ellátási láncot érte támadás. Az ilyen jellegű támadásokat nehezebb észrevétlenül kivitelezni, cserébe nem egyesével kell belépési pontot találni minden célpont hálózatára, hanem egy sokak által használt szoftvert megfertőzve lehet bejutni mindegyikükhöz. Egy korábban az NSA-nél dolgozó biztonsági szakértő szerint a SolarWinds azért is volt vonzó célpont, mert a szoftvere a jellegéből adódóan magas szintű jogosultságokat kap, így a támadók egyetlen belépési ponton nagyon mélyre tudnak hatolni az áldozatok hálózati infrastruktúrájában. A CrowdStrike-ot szerencsére nem hekkelték meg, de az, hogy egy kósza hibás frissítés mekkora károkat tudott okozni, jól érzékelteti, milyen nagy az ilyen kiterjedt – és sok más szempontból nagyon hasznos – hozzáférés kockázata.

A globális gazdaság és információáramlás a kölcsönös bizalomra épül, ez azonban kiszolgáltatottsággal is jár. Az ilyen típusú támadások, illetve balesetek nemcsak a kiterjedt hatásuk miatt különösen veszélyesek, hanem azért is, mert alapjaiban rengetik meg ezt a bizalmat a teljes ellátási láncban.

Sok meló lesz még vele

George Kurtz, a CrowdStrike vezérigazgatója a történtek után elnézést kért az általuk okozott felfordulásért. Arra a kérdésre, hogy mikor állhat helyre a világ rendje, azt mondta, ez még időbe fog telni: „Néhány rendszer esetében ez eltarthat egy ideig, és nem fog automatikusan helyreállni. De a küldetésünk biztosítani, hogy minden ügyfél teljes mértékben helyreálljon.”

Az általunk megkérdezett szakértő is úgy látja, hogy hosszadalmas folyamat lesz a helyreállítás. „Az is probléma, hogy bár van ideiglenes megoldás a hiba elhárítására, a helyreállítás (jelenleg) manuális minden egyes érintett eszköz esetében, abból pedig nagyon-nagyon sok van. Sok helyen (és ez jó) van Bitlocker védelem a munkaállomásokon a lemeztitkosítás miatt, itt is előbb a szerverekbe kell életet lehelni, hogy a központi kulcstárolókból vissza lehessen állítani a titkosítási kulcsokat. Az üzemeltetők és a rendszergazdák kapacitása véges, a helyreállítás emiatt véleményem szerint jó ideig el fog húzódni – mondta.

– Akinek van jól kidolgozott helyreállítási vagy katasztrófaterve, annak a túlélési módszertana fel van készülve a hasonló helyzetekre, például tudja, hogy mely szolgáltatásokat és rendszereket kell a lehető leghamarabb feléleszteni. Akiknek nincs, vagy nem gyakorolták az ilyen helyzetekre történő reagálásokat, azok most élesben találhatják ki, hogy mit is kellene a mostani helyzetben csinálniuk, kinek kell csinálnia, mikor és hogyan – tette hozzá a szakértő. – Ez nyilván nem segíti majd a helyreállást, de talán most ennek az eseménynek a kapcsán a szervezetek elgondolkodnak azon, hogy miért sulykolják a szakértők évek óta, hogy erőforrást és pénzt kell fektetni a felkészülésbe, az üzletmenet-folytonossági és katasztrófakezelési tervekbe és gyakorlatokba.”