Последствия CrowdStrike показывают, что ИТ-отделы по всему миру изо всех сил пытаются восстановить 8,5 миллионов ПК с Windows, выведенных из строя из-за ошибки. Беспорядок включал в себя тысячи отмененных рейсов, невозможность записи на прием в медицинские центры, отказ платежных терминалов в розничных магазинах и даже недоступность некоторых служб 911.
Компьютеры Mac не пострадали благодаря мерам защиты, принятым Apple, однако Microsoft, как сообщается, заявила, что антимонопольное законодательство не позволяет ей использовать тот же подход…
Microsoft сообщает, что около 8,5 млн ПК пострадали
На выходных компания Microsoft опубликовала сообщение в блоге, в котором признала масштаб проблемы.
В настоящее время мы оцениваем, что обновление CrowdStrike затронуло 8,5 млн устройств Windows, или менее одного процента всех машин Windows. Хотя процент был небольшим, широкие экономические и социальные последствия отражают использование CrowdStrike предприятиями, которые управляют многими критически важными службами.
Некоторые отметили, что этот процент может создать обманчивое впечатление. Наиболее критически важные ПК — это те, на которых, скорее всего, установлен CrowdStrike, именно потому, что любая проблема с этими машинами имела бы драматические последствия. Таким образом, эти 8,5 млн машин оказали непропорционально большое влияние на глобальные ИТ-операции.
CrowdStrike дает частичное объяснение
CrowdStroke опубликовал собственный пост в блоге, в котором предоставил немного больше информации.
19 июля 2024 года в 04:09 UTC в рамках текущих операций CrowdStrike выпустила обновление конфигурации сенсора для систем Windows. Обновления конфигурации сенсора являются постоянной частью защитных механизмов платформы Falcon. Это обновление конфигурации вызвало логическую ошибку, которая привела к сбою системы и синему экрану (BSOD) на затронутых системах.
В сообщении говорится, что такие обновления происходят несколько раз в день, но не объясняется, каким образом ошибка, вызывающая сбой в работе ПК, распространилась по всему миру, не будучи обнаруженной в ходе тестирования.
Защитные меры Apple не повлияли на компьютеры Mac
Не потребовалось много времени, чтобы понять, как одно ошибочное обновление от сторонней компании могло вызвать IT-катастрофу столь беспрецедентного масштаба.
Этим программам необходимо предоставить доступ для проверки самого ядра операционных систем компьютеров на предмет дефектов безопасности. Этот доступ дает им возможность нарушать работу тех самых систем, которые они пытаются защитить.
Mac не пострадали, потому что Apple не позволяет приложениям безопасности иметь такой глубокий доступ к операционной системе. Вместо этого сама macOS выполняет тот тип мониторинга, который выполняет CrowdStrike, а затем позволяет приложениям безопасности видеть результаты.
Корень проблемы в том, что инструменты CrowdStrike работают на очень глубоких уровнях в Windows. На Mac они не могут работать на этих уровнях – больше. Endpoint Security Framework от Apple — это современный набор инструментов API, призванный помочь поставщикам безопасности создавать решения безопасности для Mac. Он был представлен в macOS 10.15 Catalina и предоставляет полный набор инструментов и служб для мониторинга и защиты конечных точек.
Фреймворк позволяет разработчикам отслеживать различные события, связанные с безопасностью, такие как доступ к файловой системе, создание процессов и сетевые соединения. Это позволяет осуществлять мониторинг действий на Mac в режиме реального времени, но делает это таким образом, чтобы защитить конфиденциальность пользователя, а также ограничить, насколько низкий уровень он может работать.
Microsoft утверждает, что не имеет права делать это по закону
The WSJ Microsoft ссылается на заявление о том, что соглашение с ЕС означает, что компании не разрешено блокировать низкоуровневый доступ к Windows.
Представитель Microsoft заявил, что компания не может юридически отгородить свою операционную систему так же, как это делает Apple, из-за договоренности, достигнутой с Европейской комиссией после жалобы. В 2009 году Microsoft согласилась предоставить производителям программного обеспечения безопасности тот же уровень доступа к Windows, который получает Microsoft.
Мнение 9to5Mac
Утверждение Microsoft здесь кажется сомнительным.
Антимонопольное законодательство означает, что оно не может давать своему собственному программному обеспечению безопасности несправедливое преимущество перед сторонними приложениями. Однако, если бы оно использовало тот же подход к фреймворку безопасности конечных точек, что и Apple, и предоставило сторонним приложениям тот же доступ к результатам, что и своим собственным приложениям безопасности, это, по-видимому, полностью соответствовало бы закону.
Коллаж 9to5Mac из изображений Apple и Джеймса Ли на Unsplash
