Testprocedures worden aangescherpt
CrowdStrike heeft de precieze oorzaak opgespoord van de computerstoring die afgelopen vrijdag overal ter wereld luchthavens, banken, ziekenhuizen en vervoersbedrijven platlegde. De leverancier van cybersecurity-software wijt grootschalige uitval van zakelijke Windows-computers aan een fout in de kwaliteitscontrole.
Een ‘bug’ in de tool (Content Validator) waarmee het bedrijf systeem-updates checkt op vergissingen, zorgde ervoor dat een kritieke fout in de software bleef zitten. Een van de twee ‘template instances’ slaagde ten onrechte voor de validatie. De update werd daarop ongehinderd doorgestuurd naar de computers van (eind)gebruikers met alle kwalijke gevolgen van dien.
Het ging om een zogenoemde ‘content configuratie-update’ voor de Windows-sensor die telemetrie moet verzamelen over mogelijke nieuwe bedreigingen en aanvalstechnieken van hackers. Deze updates vormen een routineklus. Ze zijn een vast onderdeel van de dynamische beschermingsmechanismen van CrowdStrike’s Falcon-platform.
Systeemcrash
De problematische Rapid Response Content-configuratie-update resulteerde in een Windows-systeemcrash. Deze snelle respons-inhoud is ontworpen om heel snel te reageren op veranderingen in het dreigingslandschap, aldus de verklaring die CrowdStrike woensdag uitbracht.
CrowdStrike geeft geen inzicht in de precieze aard van die inhoudsgegevens, noch waarom deze problematisch waren. Een ‘template instance’ is een reeks instructies die de software begeleidt bij het zoeken naar bedreigingen en hoe deze moet reageren. Volgens het cybersecuritybedrijf is inmiddels een ‘nieuwe controle’ aan zijn kwaliteitscontrole-proces toegevoegd om te voorkomen dat het probleem zich opnieuw kan voordoen.
Stapsgewijze aanpak
CrowdStrike reageerde ook op critici die zich afvragen of niet veel meer testprocedures nodig zijn voordat dit soort software massaal wordt uitgerold. Een stapsgewijze aanpak zou de schaal verkleinen van de problemen zoals die afgelopen vrijdag plaatsvonden, zo stellen veel experts. Dat zou zeker bij kritieke software moeten gebeuren die hele ecosystemen kan platleggen. Ook gingen stemmen op om dergelijke updates eerst in quarantaine uit te voeren.
De Amerikaanse leverancier is nu van plan om meer tests uit te voeren op het type update dat de crashes veroorzaakte voordat de nieuwe versie naar de klant gaat. Ook wil CrowdStrike voortaan updates geleidelijk uitrollen naar grotere groepen gebruikers. Als het bij zo’n ‘canary-implementatie‘ misgaat, blijft de ramp beperkt.
Miljardenstrop
Begin deze week zei CrowdStrike dat de bug wereldwijd 8,5 miljoen computers heeft getroffen. Veel van deze apparatuur maakte deel uit van grote bedrijfssystemen waardoor aanzienlijke schade is geleden. De financiële schade is groot. Volgens de Amerikaanse verzekeraar Parametrix hebben de vijfhonderd grootste Amerikaanse ondernemingen (exclusief Microsoft) een strop van 5,4 miljard dollar geleden. Hoogstwaarschijnlijk zullen er schadeclaims worden ingediend maar daar is op dit moment nog niets over bekend.
