Twijfels over kwaliteitschecks en testprocedures
Veiligheidsexperts tasten nog in het duister over de dieperliggende oorzaken achter de massale uitval van zakelijke Windows-systemen waarop de Falcon-beveiligingssoftware van Crowdstrike draait. De omstandigheden waaronder dit kon gebeuren, vragen om opheldering van de fabrikant.
Miljoenen computers toonden afgelopen vrijdag een blauw scherm ten teken dat opstarten niet mogelijk was. In de loop van de dag wisten veel organisaties de systemen te herstellen. Ze werden langzaam weer operationeel. Volgens een schatting van Microsoft zijn er wereldwijd 8,5 miljoen apparaten getroffen. Dat is minder dan 1 procent van alle apparaten die op Microsoft Windows draaien. Een klein percentage, maar met grote gevolgen.
Sandbox
Weliswaar is duidelijk waar het fout is gegaan, maar softwareleverancier Crowdstrike heeft nog geen verklaring gegeven voor het feit dat een programmeerfout in een routinematige update onopgemerkt bleef en door de testfase heen glipte. De vraag is of wel de juiste testprocedures zijn gevolgd voordat de uitrol van deze veelgebruikte software plaatsvond. Normaal wordt een nieuw stukje software eerst in afgeschermde omgeving (sandbox) geplaatst om te kijken hoe de code zich gedraagt.
Deze isolatie voorkomt dat de rest van het systeem schade ondervindt of zelfs helemaal uitvalt. De frequentie waarmee softwarebedrijven updates uitbrengen, kan er toe leiden dat testprocedures worden afgeraffeld. Persbureau Reuters citeert op dit punt diverse security-experts.
Crowdstrike meldt in een blog een grondige analyse van de hoofdoorzaak uit te voeren om te bepalen hoe deze programmeerfout in de logica is ontstaan. Het bedrijf uit Texas bekijkt ook of fundamentele verbeteringen of een betere workflow nodig zijn om dit soort fouten in de toekomst tegen te gaan.
Dat het probleem zo snel een enorme omvang kon krijgen, komt door de automatische verspreiding van updates. Als die een fout bevatten, worden meteen alle computers aangetast die op dat moment aanstaan of zich in actieve modus bevinden.
De verkeerde update van het programma Falcon Sensor werd afgelopen vrijdag om 04.09 uur plaatselijke tijd (UTC) verspreid. 78 minuten lang tastte de fout overal ter wereld ingeschakelde computers aan. Volgens sommige experts vielen de hersenen van Windows, de kernel, uit met als gevolg een complete crash. Computers konden niet meer opstarten.
Kanaalbestand
De bijgewerkte configuratiebestanden zijn van het type ‘kanaalbestand’. Dergelijke updates vinden meerdere keren per dag plaats als reactie op nieuwe tactieken, technieken en werkwijzen van aanvallers. Deze bestanden bevatten gegevens ter neutralisering van cyberdreigingen. Dit is beslist geen nieuw proces. Crowdstrike gebruikt al sinds de lancering van Falcon dezelfde architectuur.
Hoewel de kanaalbestanden (in dit geval nummer 291) eindigen met de extensie .sys, zijn ze volgens Crowdstrike geen kernel-stuurprogramma’s. De fout heeft ook geen betrekking op nulbytes in een kanaalbestand, aldus het bedrijf. Ontkend wordt dat een Null-aanwijzer uit de geheugenonveilige taal C++ de boosdoener was.
Hoe het ook zij, Crowdstrike heeft nog heel wat uit te leggen om het vertrouwen te herstellen. Omdat Crowdstrike veel (groot)zakelijke klanten heeft, kon de foutieve configuratie-update leiden tot een van de meest wijdverspreide technische rampen. Niet uitgesloten is dat dergelijke problemen zich in de toekomst herhalen. De storing was overigens niet het gevolg van een cyberaanval.
Noodplan
Minister David van Weel (Justitie en Veiligheid) raadt bedrijven daarom aan om noodplannen te maken wanneer systemen uitvallen. Ze moeten daar mee oefenen, zo schrijft hij in een brief aan de Tweede Kamer over de problemen met de Crowdstrike-beveiligingssoftware.
Door de verwevenheid van processen in het digitale ecosysteem kan iedereen gevolgen ervaren van een cyberincident zoals afgelopen vrijdag toen massaal vluchten moesten worden afgelast en ook banken, winkels en ziekenhuizen werden getroffen.
De snelheid waarmee de problemen werden opgelost, verschilde zeer per bedrijf en per afdeling. Omdat veel getroffen machines niet konden opstarten, moesten support-teams persoonlijk langskomen. De implementatie van de herstel-software die handmatig dient te gebeuren, kost veel arbeid en tijd. Volgens het NCSC in Den Haag is de workaround van Crowdstrike effectief geweest.
Meerdere cybersecurity-organisaties waarschuwden voor een toename in phishing. Cybercriminelen probeerden van de situatie te profiteren door zogenaamd oplossingen aan te reiken.
