קראודסטרייק עשתה סטרייק בכל העולם – פגעה בעשרות מיליונים

נ"א, מנהל סניף בנק במרכז הארץ, לא הגיע אמש (ש') למפגש משפחתי: "מה זה קראודסטרייק (CrowdStrike)?" שאל את זוגתו ק'. "מכיר סטרייק מבאולינג, כשהשחקן הפיל את כל 10 הפינים – בזריקה אחת. מכיר 'סטרייק' סדרת מתח. לא מכיר קראודסטרייק ולא מבין למה אני צריך לבלות הערב במשרד!".

נ"א לא היה לבד: כמוהו, עשרות מיליונים בילו את סוף השבוע בניסיון להתמודד עם הבאג ששיגע את העולם, ולבודד את עדכון התוכנה הפגום.

כך הפכה פעולה שגרתית – עדכון גרסה מכוון – לשיבוש משמעותי גלובלי: משתמשים ברחבי העולם דיווחו שהמחשבים שלהם קורסים ומציגים מסך כחול (BSOD), בעקבות התקנת העדכון. מומחים כינו את האירוע "השבתת ה-IT הגדולה ביותר בכל הזמנים".

crowdstrike mood board 🫧𓇼𓏲*ੈ✩‧₊˚🎐 pic.twitter.com/XaZTSZWvjE

— Kylie Robison (@kyliebytes) July 19, 2024

מ'באג 2000' ל'באג 2024'

לקראת המילניום עלו חששות כבדים שהאלף החדש יביא לחישוב פעולות אריתמטיות באופן שגוי, מה שנקרא "באג 2000". החשש: מערכות המידע לא יתפקדו, תהיה פגיעה במהלך החיים התקין, יהיו תקלות במערכות פיננסיות, מים, חשמל ותקשורת. תרחישים גרועים יותר היו שטילים גרעיניים יחלו לעוף ולהתפוצץ עקב קריסת מערכות המחשב.

בחלוף 24 וחצי שנים, זה קרה: ביום ו' האחרון אלפי טיסות בוטלו, נוסעים רבים נתקעו בשדות תעופה, חולים התמודדו עם שיבושים בשירותי הבריאות, מרכולים לא יכלו לחייב לקוחות, וכספומטים נתקעו.

ככלל, עוד ועוד שיבושים והשפעות אירעו – מעדכון התוכנה הפגום של קראודסטרייק.

ג'ון האמונד, חוקר אבטחה ראשי ב-Huntress, אמר: "אם אי פעם אירוע סייבר היה משבש בהיקף נרחב שכזה, וגם גלובלי – הרי שזה המקרה. אף שלא מדובר במתקפת סייבר, לא מוגזם לומר, שזו טלטלה גלובלית". מנכ"לי ספקיות אבטחה פרסמו במדיה החברתית כי "היום (ו') הוא יום קרב, מלחמה".

עדכון התוכנה גרם לתקלת מחשוב בארץ ובעולם ופגע בבתי חולים וארגוני בריאות, מערכות IT בנקאיות ואלו של רשתות קמעונאיות, מוקד 103 של חברת החשמל, שירותי הדואר. בנק ישראל הודיע כי התקלה השפיעה חלקית על המערכת הבנקאית ובנמל אשדוד לא ניתן שירות למשאיות ולאוניות. בכמה ממדינות בארה"ב מוקד החירום 911 חדל לתפקד, וטיסות רבות קורקעו.

פלקון (Falcon), היא פלטפורמת קראודסטרייק להגנה מערכתית על רשתות ארגוניות, נקודות קצה, מערכות וירטואליות ומכשירי IT. העדכון הפגום שהחברה הוציאה גרם לעשרות מיליוני שרתי חלונות (Windows) ותחנות העבודה שנחשפו לו – לקרוס.

אחת הסיבות לתקלת הענק היא שארגונים עדכנו את המערכות שלהם בסביבות ה"ייצור", ולא בסביבה מבודדת. עדכון התוכנה יצר בעיות במערכת ההפעלה של חלונות, שהובילו לקריסות פתאומיות של מערכות ומחשבים רבים. משתמשים נתקלו בקשיים בהפעלה מחדש של המחשבים שלהם, וחלקם נכנסו ל"לולאת אתחול", בה המחשב קורס מיד עם הפעלתו. לפי קראודסטרייק, ההשבתה של מיליוני מערכות חלונות נבעה מ"שגיאה לוגית", שהופעלה על ידי עדכון תצורת החיישנים ב-פלקון.

גם אם זו תקלה רגעית, לא יודעים כמה זמן היא תימשך וזה פוגע באמינות של קראודסטרייק ועלול להעביר לקוחות קיימים ועתידיים למתחרה המובילה – וזה מה שהשוק מספר לנו. pic.twitter.com/ZjnARjZgjj

— goidelg (@goidelg) July 19, 2024

מי הרוויח ומי הפסיד – חוץ מהלקוחות?

בעקבות האירועים, מניית קראודסטרייק צנחה, וג'ורג' קורץ, המנכ"ל, הפסיד 500 מיליון דולר תוך דקות. קורץ, בעברו מנהל הטכנולוגיה הראשי של מק'אפי (McAfee), ייסד את החברה שבראשה הוא עומד, מחזיק ב-5% ממניותיה, ובכיסיו נותרו כעת "רק" 3.1 מיליארד דולר.

לאחר אירוע שכזה, המתחרים של המפשלת מתחילים לפנטז על מעבר לקוחותיה אליהם. אלא שכמו בכל הגירה של מערכת, או הטמעת מערכת חדשה, מדובר בפעולה ארוכה, מורכבת ומסובכת. בבורסת השמות צצו המרוויחות: פאלו אלטו (Palo Alto Networks) – לה יש פלטפורמת הגנת סייבר מוכללת הדומה לזו של קראודסטרייק – וסנטינל וואן (SentinelOne) הישראלית. מרוויחים נוספים הם, כמובן, האקרים בכל רחבי העולם, שניסו וימשיכו לנסות לתקוף חברות שהתקינו את העדכון הפגום, או שיציעו "תיקון לעדכון", עם נוזקות נסתרות.

As CrowdStrike continues to work with customers and partners to resolve this incident, our team has written a technical overview of today’s events. We will continue to update our findings as the investigation progresses. https://t.co/xIDlV7yKVh

— George Kurtz (@George_Kurtz) July 20, 2024

קורץ כתב ב-X: "אנו עובדים באופן פעיל עם לקוחות שהושפעו מפגם שנמצא בעדכון יחיד עבור חלונות. מערכות מבוססות מק ולינוקס אינן מושפעות. זה אינו אירוע אבטחה או מתקפת סייבר. הבעיה זוהתה, בוּדדה ונפרס תיקון".

אחד האנליסטים ציין כי אף שברור שהאחריות מוטלת על ענקית הגנת הסייבר, הרי היא לא לבד: בניגוד לרוב ספקיות ה-IT המנפיקות עדכוני תוכנה, כחברת סייבר, היא מספקת תוכנה להגנת מכשירים מפני האקרים. ואלה, מה לעשות, משנים את טקטיקות התקיפה שלהם באופן עקבי ומתמשך. המשמעות: התוכנה של קראודסטרייק נדרשת להתעדכן כל הזמן, כדי לעמוד בקצב של התוקפים. כשאחד מעדכוני התוכנה יוצא פגום, הדבר מוביל לכאוס, בשל הפופולריות של מערכות חלונות שהושפעו מהעדכון הפגום.

קראודסטרייק אמרה כי "עדכונים שכאלה הם חלק רגיל מפעולת החיישן (שבפלטפורמת ההגנה) ומתרחשים כמה פעמים ביום, בתגובה לטקטיקות, טכניקות ונהלים חדשים של ההאקרים. זה לא תהליך חדש".

טענות: ספקית תוכנה אחת "שולטת" ביותר מדי תשתיות מחשוב בעולם

אגב פופולריות: היה מי שטרח להפנות אצבע מאשימה לענקיות הטק, כמיעוט הגורם לתלות מוחלטת של יותר מדי ארגונים בהן. מונופול שכזה יביא לעוד קריאות לפירוק הענקיות, וליותר ביזור ותחרות, כדי למנוע מצב בו ספקית תוכנה אחת "שולטת" ביותר מדי תשתיות מחשוב בעולם.

מנכ"ל של חברת אבטחה, שלא מתחרה בקראודסטרייק, אמר בתגובה כי "לפתרונות כמו של קראודסטרייק, יש יתרונות: פלטפורמה אחת, שחוסכת לצוותי האבטחה בארגונים – שהם ממילא עמוסים ורזים – את ההתעסקות עם טכנולוגיות שונות, מערכות רבות ומגוונות. העניין הוא שמה שמתאים למפעל בטון, לא מתאים לבנק ולבית חולים. פתרון גנרי לא עונה לצרכים הייחודיים של כל ארגון. המערך הפיזי שלו שונה, ובהתאם – מערכות ה-IT, מבנה הרשתות והארכיטקטורה – שונים גם כן. יצא מצב של 'תפסת מרובה – לא תפסת", כי מחיר הפתרון הגנרי הוא בחוסר התאמה פרטני לצרכי הלקוח".

EXCLUSIVE: CrowdStrike founder and CEO @George_Kurtz speaks on TODAY about the major computer outages worldwide that started earlier today: “We’re deeply sorry for the impact that we’ve caused to customers, to travelers, to anyone affected by this.” pic.twitter.com/fWz6KhgrcZ

— TODAY (@TODAYshow) July 19, 2024

בראיון ל-TODAY Show קורץ לא ניסה להאשים אחרים בהשבתות – בניגוד למנכ"לים ומנהיגים אחרים, אבל, ציין, ובצדק, שקשה לעמוד בקצב של ההאקרים: "תוכנה זה עולם מאוד מורכב ובעל אינטראקציות רבות. להיות תמיד לפני היריב זו בהחלט משימה גדולה ומורכבת".

אחד האנליסטים "השיב" לקורץ וכתב: "זו בדיוק המשימה שלך, ג'ורג'…".

החדשות הטובות, כתבו עורכי הגרדיאן אמש, הן שמדובר בתקלה ולא מתקפת סייבר, דוגמת הפריצה הרוסית לסולארווינדס (SolarWinds). זו פגעה ב-2020 במשרדי ממשל ובסוכנויות פדרליות בארה"ב, במיקרוסופט, פייר איי (FireEye), אינטל (Intel), סיסקו (Cisco) ודלויט (Deloitte).

החדשות הרעות: יכול להיות הרבה יותר גרוע. אם שגיאה, אחת, של חברת טכנולוגיה, אחת – יכולה לגרום לשיבוש עולמי כזה, דמיינו מה וכמה יריב נחוש ומסוכן עלול לעשות כדי לפגוע בחוסן הסייבר העולמי.