יותר מ-48 שעות מאז תקלת המחשב הגדולה ביותר בהיסטוריה ועדיין קיימים לא מעט סימני שאלה: איך התרחש האירוע שפגע ושיבש את פעילותם של בתי חולים, בנקים ונמלי תעופה, מה הפך אותו לגדול כל כך ומתי התקלה תתוקן במלואה? N12 עושה סדר בשאלות הכי בוערות.
מי החברה האחראית לתקלה?
חברת קראודסטרייק (Crowdstrike) היא אמנת לא שם מוכר כמו מיקרוסופט או אפל, אבל היא אחת מחברות הסייבר הגדולות בעולם. החברה האמריקנית מעסיקה 8,000 עובדים ומספקת שירותים ל-300 מתוך 500 החברות הנמצאות ברשימת Fortune500 כחברות המובילות בארה"ב. גם בעולם, קראודסטרייק ידועה בשירותים שהיא מספקת כהגנה עבור התקפות סייבר. מייסד ומנכ"ל החברה ג׳ורג׳ קורץ נחשב לאחד ממובילי תחום אבטחת סייבר עוד מימיו כמנהל הטכנולוגיות של חברת האנטי וירוס מקפי. הוא גם ידוע בעמק הסיליקון כמליונר אקסצנטרי שבבעלותו מספר מכוניות מרוץ.
מה גרם לתקלה?
לפי קראודסטארייק, טעות בעדכון תוכנה שהופץ עבור אחד ממוצריה מחשבים מבוססי ווינדוז היא שגרמה לתקלת המחשבים העולמית. הבעיה נראית קשורה לפלטפורמת הענן של החברה המכונה "פאלקון" (Falcon), שקראודסטרייק אומרת ש"חוסם התקפות על המערכות שלכם תוך כדי שהוא לוכד ומקליט פעילות בזמן אמת כדי לזהות איומים במהירות".
על בסיס הידוע בשלב זה, מומחי סייבר סבורים שהבעיה בעדכון של קראודסטרייק קשורה לטעות במנהל ההתקנים של ליבת המערכת (Kernel). הליבה היא למעשה רכיב התוכנה המרכזי של מערכת ההפעלה של המחשב. כלומר, קראודסטרייק שלחה בבת אחת עדכון לכל המחשבים שלה - והעדכון הזה כלל טעות בליבת המערכת שגרמה לקריסה מוחלטת של המחשב. זו הסיבה לכך שמערכות רבות בעולם הראו בבת אחת את מה שמכונה "מסך המוות הכחול של ווינדוס", שמדווח כי המחשב קרס ודורש אתחול.
איך טופלה התקלה?
גופים גדולים שמנהלים מערכות מחשב מורכבות מקימים ומתחזקים מערכות של שרתי מחשבים ששומרים את המידע שלהן אצלן. מדובר במערכות שרתים הכוללות מאות ולעתים אלפי מחשבים. לאחר שהמערכות הללו קרסו, צוותי ה-IT של החברות שנפגעו נדרשו להגיע פיזית לכל מחשב כזה, לאתחל אותו תחת מה שמכונה "מצב בטוח" ולמחוק את קובץ העדכון ששלחה קראודסטרייק. בגלל הכמות האדירה של המכשירים שנפגעו והצורך באתחול פיזי של כל אחד מהם מדובר במשימה שדרשה הרבה ידיים עובדות, והרבה זמן.
מתי המצב יחזור לקדמותו?
רוב מערכות המחשב הגדולות כבר טיפלו בתקלה הודות לצוותי ה-IT שלהם, שעבדו מסביב לשעון בסוף השבוע. ובכל זאת, לפי מומחים, טיפול מוחלט בתקלה עשוי לקחת גם שבועות. בענף התעופה אף מזהירים כי העיכובים ודחיית הטיסות שגרמה התקלה עשויות ליצור "אפקט דומינו" שיימשך לכל הפחות מספר ימים.
כמה מחשבים באמת נפגעו?
לפי מיקרוסופט, כ-8.5 מיליון מכשירים - שהם פחות מ-1% מכלל משתמשי ווינדוז בעולם - הושפעו מהתקלה, לפי פוסט בלוג שפרסם סגן נשיא החברה דיוויד ווסטון. עם זאת, לפי ווסטון, "בעוד שיעור המכשירים המושפעים היה קטן, ההשפעות הכלכליות והחברתיות הרחבות משקפות את השימוש בקראודסטרייק על ידי ארגונים המפעילים שירותים קריטיים רבים". ווסטון לא ציין מה שיעור מחשבי הווינדוז שנפגעו מבין אלו שמותקנת עליהם התוכנה של קראודסטרייק.
איך הגיבו ההאקרים לתקלה?
לדברי גיל מסינג, ראש המטה של חברת אבטחת הסייבר צ'ק פוינט, קבוצות תקיפה בכל העולם, כולל כאלו מאיראן, מנסות לנצל את המצב כדי להפיל ארגונים בפח. הם "מתחזים לקראודסטרייק, פונים לכאורה בשם החברה באותם האמצעים ועם אותם המסרים של החברה, ומצרפים קבצים שנועדו כביכול לפתור את הבעיה", הוא אומר.
"אלא שהקבצים הללו הם קבצים זדוניים שמכילים נוזקות, כולל כאלה שמאפשרות השתלטות מרחוק על המחשבים. יש להניח שזה לא יגמר בדיוג הקלאסי של האימיילים אלא יתפתח להודעות טקסט, שיחות טלפון, כל דרך שיש להם כדי להגיע לקורבן ולנסות לדמות שיחה אמיתית של פתרון הבעיה. אם אתם לא לקוחות של קראודסטרייק - האירוע לא נוגע אליכם וצריך להתעלם מהפניות. אם אתם כן לקוחות שלה - יש לקחת את המידע על טיפול בבעיה ישירות מהפלטפורמות של החברה באתר ובמוקד התמיכה, ולא דרך מיילים אקראיים".
איך מגיבים בעולם לתקלה?
מנכ"ל קראודסטרייק קורץ הוא נכון לשעה זו הגורם היחיד מהחברה שהגיב לפרשה, וגם זאת שעות רבות לאחר שהתגלתה התקלה. ההתנצלות הרפה שפרסם ב-X (לשעבר טוויטר) גררה גל זעם נוסף כלפי החברה. קראודסטרייק נדרשה ליותר מ-24 שעות כדי לפרסם הודעה רשמית, שגם בה היא נמנעה מלקחת אחריות מלאה לתקלה.
As CrowdStrike continues to work with customers and partners to resolve this incident, our team has written a technical overview of today’s events. We will continue to update our findings as the investigation progresses. https://t.co/xIDlV7yKVh
מה הלקח מהפרשה הזו?
התקלה החמורה בתוכנה של קראודסטרייק והשיתוק שהסבה למערכות שמשתמשות בה חשפו חור חמור בפרוטוקולים שבהן משתמשות חברות גלובליות, גם כאלו שנחשבות למובילות בתחומן. מומחי אבטחה רבים טוענים כי צריך לעשות חשיבה מחדש על האופן שבו דוחפים עדכונים לשרתים ארגוניים גדולים, ובכלל לחשוב מחדש על התשתית שעליה בנויות מערכות גדולות כמו אלה שקרסו במהלך הסופ"ש. כך שגם כשהתקלה תתוקן לחלוטין, ההדים שלה על עולם מערכות המחשב ימשיכו עוד תקופה ארוכה.