CrowdStrike назвала причину сбоя; мелкий шрифт может защитить ее от исков

Компания CrowdStrike раскрыла причину своего масштабного сбоя, а также предпринятые шаги для предотвращения подобных ситуаций в будущем.

Компании грозит шквал судебных исков из-за финансовых потерь клиентов, оцениваемых в 5 миллиардов долларов, однако мелкий шрифт в контракте может ее защитить…

Краткое напоминание о сбое

Серьезная ошибка, допущенная компанией CrowdStrike в области кибербезопасности в прошлом месяце, вызвала масштабный глобальный сбой ИТ-систем. От него пострадали авиакомпании, банки, медицинские службы и другие организации, включая некоторые центры экстренной помощи 911.

Авиакомпании были вынуждены отменить рейсы, вещатели прекратили трансляции, розничные торговцы не могли принимать платежи, больницы не могли записывать пациентов на прием, и многое другое.

• Компания выпустила ошибочное обновление
• Поскольку CrowdStrike имеет доступ к ядру Windows, это привело к сбою систем
• Машины не могли быть перезагружены без ручного применения обновления
• Масштаб катастрофы был обусловлен тем, что большинство крупных корпораций используют CrowdStrike

Причина сбоя CrowdStrike

До вчерашнего дня оставалось неизвестным, в чем именно заключалась ошибка обновления и как оно было выпущено по всему миру, минуя этап тестирования. Теперь CrowdStrike объяснила оба аспекта.

Вкратце, компания хотела упростить выпуск новых обновлений для обнаружения угроз на клиентские ПК. Для этого она использовала новый подход, позволяющий динамически конфигурировать обнаружение угроз. Защищенные ПК отслеживали обновления на основе шаблона, состоящего из 21 элемента данных.

Сбой произошел, когда CrowdStrike выпустила экземпляр шаблона, содержащий только *20* элементов данных, на один меньше, чем ожидалось.

Таким образом, попытка доступа к 21-му значению привела к выходу за пределы допустимого диапазона памяти за конец массива входных данных и вызвала сбой системы.

Это подводит нас ко второму вопросу: как это не было выявлено при тестировании? Коротко говоря, потому что тестирование не проводилось на реальных данных.

Выбор данных в файле канала осуществлялся вручную и включал критерий сопоставления с использованием регулярных выражений в 21-м поле для всех экземпляров шаблона, что означало, что выполнение этих тестов во время разработки и выпуска сборки не выявляло скрытого выхода за пределы допустимого диапазона в интерпретаторе контента при предоставлении 20, а не 21 входных данных.

CrowdStrike заявляет, что внесла изменения, чтобы обеспечить соответствие экземпляров шаблонам, и добавила проверку границ во время выполнения, чтобы даже при несоответствии не происходило сбоев. Наконец, в будущем компания будет осуществлять поэтапное развертывание, чтобы любые проблемы, которые все же возникнут, затрагивали лишь ограниченное число ПК.

Мелкий шрифт может защитить ее от исков

CrowdStrike также сталкивается с множеством судебных исков от крупных корпораций, малого бизнеса и даже собственных акционеров. Издание Wired сообщает:

29 июля Delta уведомила CrowdStrike и Microsoft о своем намерении подать иск из-за 500 миллионов долларов, которые, по ее утверждениям, были потеряны в результате сбоя. Юридическая фирма Labaton Keller Sucharow подала коллективный иск от имени акционеров CrowdStrike, утверждая, что их ввели в заблуждение относительно практик тестирования программного обеспечения компании. Другая юридическая фирма, Gibbs Law Group, объявила, что рассматривает возможность подачи коллективного иска от имени малого бизнеса, пострадавшего от сбоя.

Однако условия и положения CrowdStrike налагают строгие ограничения на ответственность, и, по словам Джонатана Карди, профессора права, специализирующегося на делах о гражданской ответственности, опровергнуть это может быть сложно.

Те, кто надеется возместить финансовые потери, должны будут найти креативные способы сформулировать свои иски против CrowdStrike, которая в значительной степени защищена положениями, типичными для контрактов на программное обеспечение, ограничивающими ее ответственность, говорит Карди. Хотя может показаться очевидным, что CrowdStrike должна нести ответственность за свою ошибку, компания, вероятно, будет «довольно хорошо защищена» мелким шрифтом, добавляет он.

• Последствия сбоя CrowdStrike: Microsoft утверждает, что не может юридически реализовать такие же меры защиты, как Apple
• CrowdStrike стала лучшей рекламной кампанией для Mac… и обошлась Apple бесплатно
• Microsoft начинает кампанию по обеспечению безопасности Windows по аналогии с Mac после сбоя CrowdStrike
• Генеральный директор Delta назвал Microsoft «вероятно, самой хрупкой платформой», восхваляя Apple

Фото: Иван Вранич на Unsplash