Jak se bránit před IT výpadky aneb Ponaučení z kauzy CrowdStrike

Globální výpadek IT systémů způsobený aktualizací od společnosti CrowdStrike zasáhl přes 8 milionů zařízení s operačním systémem Microsoft. Ochromil banky, letecké společnosti, nemocnice i úřady. Jak minimalizovat dopady podobného incidentu na vaši organizaci?

CrowdStrike Microsoft výpadek

Proč nastal globální IT výpadek?

Aktuální problémy s globálním výpadkem IT systémů ukázal, jak je dnešní svět zranitelný. To platí zejména v případě, je-li nějaká technologie rozšířená a k dispozici není pořádný „plán B“ pro případ jejího selhání.

Chybná aktualizace bezpečnostního software od společnosti CrowdStrike zasáhla cloudové služby i systémy provozované „on-premise“ (v místě). Podle dostupných informací byl přitom na vině nenápadný soubor, který stačilo v postiženém zařízení, například počítači, smazat a systém opět naběhl. Konkrétně šlo o soubor, jehož název končil na „.sys“. Zde si dovolím upozornit, že v tomto případě jde o data s konfigurací, ačkoliv přípona souboru svádí k tomu myslet si, že by mohlo jít o jádro tzv. „ovladače“.

Článek se přesto zabývá právě ovladači. Proč? Jejich hluboká integrace v systému totiž může snadno vést k podobným problémům. U běžných programů takto fatální důsledky nehrozí.

Update (22.07.2024, 9:45): Globální IT výpadek je zneužíván kriminálními skupinami v rámci phishingových a podobných aktivit. Ty nabízejí podvodné nástroje k opravě chyby a obnově činnosti. Ke stahování opravných programů využívejte jen důvěryhodné stránky!

Co je to ovladač?

Řada komponent pro své fungování potřebuje ten správný ovladač. Softwarový nástroj, který systému umožní pracovat s hardwarovým zařízením počítače či serveru nebo ovlivňovat jeho funkce. Ovladač umožňuje velmi vysokou úroveň přístupu k hardware a pokročilou kontrolu nad chováním operačního systému. Ovladač tak může provést i věci, které běžný program dělat nemůže. Není-li tento součástí Windows (často je), musíme ho doinstalovat. Všichni tak ovladače běžně používáme.

Vedle „.sys“ souboru jsou důležité i soubory s příponou „.inf“ pro instalaci předmětného ovladače a „.cat“ s informacemi o elektronickém podpisu ovladače. Ano, ovladače jsou elektronicky podepsány. Například Microsoft běžně nepovolí instalaci a spuštění ovladače bez „toho správného“ elektronického podpisu. Instalační program může samozřejmě nainstalovat i další typy souborů, vyjmenovaná trojice je technickým minimem nutným pro korektní instalaci a spuštění ovladače.

S využitím „.sys“ souborů je možné psát i tzv. „filtry“, které přímo ovlivňují přístup k funkcím operačního systému, síťový provoz a souborové systémy nevyjímaje. Tento typ ovladačů tak často využívají i antiviry a firewally, potřebují-li například zakázat nějakému programu komunikovat po internetu nebo přistupovat k infikovanému souboru.

Princip softwarového ovladače lze samozřejmě využít i k nekalým účelům. Jsou součástí celé řady rootkitů, což je program, který sám sebe v systému skrývá a také ovlivňuje jeho funkce. S ovladači se ale setkáme i v případě řady her, ve kterých mají softwarové ovladače za úkol bránit pirátskému šíření hry. Nutno podotknout, že některé protipirátské ochrany se principem svého fungování od rootkitů nemusí lišit.

Chyby a jejich důsledky

Chyby při práci se softwarovými ovladači mohou katastrofální vliv na stabilitu zařízení a operačního systému. A to právě díky vysoké úrovni přístupu a možnosti přímo komunikovat s hardware. Následky jsou přímo úměrné rozšířenosti programu, jehož součástí ovladač je. U široce rozšířeného operačního systému, jako je Microsoft, jsou dopady skutečně celosvětové.

I relativní drobnost při práci s ovladači může zapříčinit pád systému. Zasažený systém pak nemusí být možné znovu spustit bez manuálního zásahu, jak jsme to viděli v případě aktuální kauzy. Nemusí jít nutně o chybu ovladače, havárii může vyvolat i nepovedená aktualizace konfigurace či nesprávné použití nástroje, jehož je ovladač součástí. Někdy se mohou ovladače dostat i do konfliktu mezi sebou, což je hlavní důvod, proč se důrazně nedoporučuje mít v systému aktivních například více antivirů či firewallů.

Jak již bylo řečeno, Microsoft velmi hlídá, jakým ovladačům povolí běžet v režimu jádra. Klíčovou roli zde hraje elektronický podpis. Ale i ten může být paradoxně zdrojem problémů, které mohou být obzvláště významné, je-li disk zašifrován. Jsou známé případy, kdy byl ovladač chránící hru proti pirátskému šíření kategorizován jako nezbytný pro běh systému. Když se po letech od vydání hry vyskytl problém s ověřením platnosti jeho elektronického podpisu, ovladač se nezavedl a systém nenastartoval.

Věc lze běžně řešit tak, že při startu počítače dočasně vypnete ověřování platnosti elektronického podpisu u zaváděných ovladačů, případně můžeme spustit systém v nouzovém režimu atd. Nainstalované ovladače jsou pak zavedeny. Je-li ale aktivní nástroj pro šifrování disků, typicky Bitlocker, tak může detekovat změnu v parametrech spouštění systému a zobrazit dotaz na vložení tzv. obnovovacího klíče šifrovacího nástroje. Nemáte-li tento klíč k dispozici, stojíte před problémem v podobě nefunkčního počítače s nedostupnými daty. Data z takto postižených počítačů jsem pomáhal zachraňovat, vím tak dobře, o čem mluvím.

Základní doporučená opatření

Níže je uvedeno několik opatření, jejichž implementace může v řadě případů pomoci zejména středním a menším firmám a jednotlivcům.

Mějte plán B

Připravte se na situaci, že počítač nenaběhne. Dokážete pracovat alespoň v omezeném režimu? Víte, které systémy jsou kritické a bez kterých lze alespoň krátkou dobu fungovat? V případě podobných problémů může vhodná příprava ušetřit hodně stresu. Ideální je mít po ruce záložní počítač, který není po stránce softwarového vybavení stejný, jako ty běžně využívané. Ideálně by tak neměl mít např. stejný antivir. 

Zálohujte obnovovací klíč nástroje Bitlocker

Stiskněte tlačítko „Start“, napište „Bitlocker“, vyberte „Spravovat nástroj Bitlocker“ a s pomocí průvodce klíč zazálohujte). Klíč lze vypsat i na příkazovém řádku pomocí příkazu „manage-bde -protectors -get C:“ (příklad pro disk C, příkazový řádek musí běžet s právy administrátora, obnovovací klíč vidíme pod položkou „Password“).

Zálohujte data

Ideální záloha je inkrementální a do jiné lokality. Inkrementální zálohování funguje tak, že uděláte první úplnou zálohu a následně zálohujete jen změněné soubory. Tento přístup umožňuje „vracet se v čase“, budete mít k dispozici více verzí souborů a poradíte si i se situací, kdy např. ransomware soubory zašifruje a tato znepřístupněná data se propíšou i do záloh. Pokud jsou zálohy prováděny dostatečně často, bude možné obnovit verze souborů z doby před incidentem.

Samozřejmě netvrdím, že úplná záloha má být jen jedna. Zálohu je třeba pravidelně obnovovat, aby počet inkrementálních záloh zbytečně nenarostl. Je doporučeno, aby zálohované počítače nemohly přímo ukládat data na zálohovací server a aby tento neměl právo zápisu na zálohovaných počítačích. Ideální je zálohování do jiné lokality a více než jedna záloha. Nahráváte-li zálohy na cloud, data šifrujte, nejlépe vlastním klíčem.

Nespoléhejte jen na cloud

Cloudové služby s oblibou přirovnávám k bezpečnostní schránce v bance. Provozovatel může být důvěryhodný a poskytovat vysokou úroveň služeb, všechna potenciální rizika přesto nejsou, a z podstaty věci ani nemohou být, eliminována. I prémiový cloud je ohrožen sofistikovanými kriminálními aktivitami nebo nečekanými událostmi, jako jsou kybernetické útoky a interní chyby nebo zranitelnosti. Nezapomínejte rovněž, že cloud nemáte pod absolutní kontrolou. Jsou situace, za kterých může banka bezpečnostní schránku legitimně otevřít či znepřístupnit. To samé platí i pro data „na obláčku“. Mimoto právě cloudové služby byly v souvislosti s tímto výpadkem zmiňovány také.

Vyberte osvědčený bezpečnostní software

Dobře vybírejte dodavatele bezpečnostního software a nespoléhejte jen na jedno řešení.

 Problémy se nevyhýbají nikomu, neměly by se ale opakovat často. Stane-li se firmě průšvih, většinou se snaží dalším podobným problémům v maximální míře předcházet a minimálně nějakou dobu na úroveň produktů maximálně dbá. Podle mě není důvodu dodavatele nástroje či komponenty, která selhala, ihned zatracovat. Jde-li ale o opakovaný problém, případně není-li firma ochotná se k potížím postavit čelem, je na místě zvážit výměnu.

Doporučuji rovněž nespoléhat se jen na jedno řešení. Budou-li všechny počítače po stránce bezpečnostního software stejné, v případě výskytu dalšího podobného problému budete mít mimo provoz celou firmu či úřad. Nezapomínejte, že v rozmanitosti je krása, což platí zejména pro klíčové systémy.

Co si odnést z CrowdStrike/Microsoft výpadku?

Tento článek měl za úkol přiblížit problematiku softwarových ovladačů a připomenout, že špatně napsaný antivir může v počítači napáchat více škody než užitku. A ani využívání cloudových služeb není v tomto směru úplně bez rizik. Osobně však věřím, že současná kauza bude mít ve svém důsledku na kvalitu softwarových produktů pozitivní vliv, a my tak o podobných výpadcích zase dlouho neuslyšíme. Snad nejsem přehnaný optimista...

Loading...