19 июля 2024 года. 04:09 утра.
В это время большая часть мира ещё спала.
Но именно в эту минуту одна строка кода запустила цепную реакцию, которая на 78 минут остановила современную цивилизацию.
Это не была хакерская атака. Не был взлом. Не был саботаж.
Это было обновление безопасности.
Союзник в тени
CrowdStrike — американская компания из Техаса, одна из самых влиятельных в мире кибербезопасности.
Их продукт Falcon Sensor защищает компьютеры банков, больниц, аэропортов, правительственных агентств. Более 60% компаний из Fortune 500 доверяли ему свои системы. 19 июля автоматические системы CrowdStrike выпустили обновление под названием Channel File 291.
Обычный «контентный файл». Не программа, а набор правил, по которым система распознаёт угрозы. Ничто не предвещало катастрофы.
Первая волна: когда мир ещё не понял, что происходит
Пока в Техасе была ночь, в Австралии и Новой Зеландии — середина рабочего дня. Именно там первые компьютеры получили обновление.
Через несколько минут экраны начали синеть.
BSOD — “синий экран смерти” появлялся снова и снова. Компьютеры уходили в бесконечную перезагрузку. Без предупреждений. Без возможности войти в систему.
К 04:30 по мировому времени:
- банки Японии теряли доступ к операциям
- крупнейшие аэропорты переходили на ручное управление
- финансовые и медицинские системы переставали отвечать
Волна ошибок двигалась с востока на запад, следуя за часовыми поясами.
Европа просыпается в хаосе
В 06:00 утра по Лондону Европа проснулась в цифровом кошмаре.
Национальная система здравоохранения Великобритании не могла получить доступ к медицинским записям. Были отменены тысячи операций и приёмов.
Онкологические клиники приостанавливали химиотерапию.
Аэропорты Хитроу, Гэтвик, Шарль-де-Голль, Схипхол, Берлин-Бранденбург — один за другим выходили из строя. Очереди растягивались на километры. Пассажиры спали на полу.
К этому моменту было отменено более 5 000 рейсов.
Америка просыпается: пик катастрофы
Когда США открыли глаза, мир уже был парализован. На Таймс-сквер гигантские экраны показывали… синий экран ошибки. Нью-Йоркская фондовая биржа открылась с задержкой. Торговые платформы E*Trade и Charles Schwab не работали. Но самое страшное произошло в другом месте.
В 14 штатах США службы 911 были недоступны.
Люди звонили в экстренные службы и не получали ответа.
Что пошло не так на самом деле
Лишь спустя 78 минут после начала сбоя CrowdStrike отозвала обновление.
Но было поздно. Проблема оказалась в несовпадении данных:
обновление содержало 21 поле, а код Falcon Sensor ожидал 20. Когда система пыталась прочитать лишнее поле, происходило переполнение буфера памяти. А поскольку Falcon Sensor работал на уровне ядра Windows, ошибка сразу рушила всю операционную систему.
Компьютеры застревали в boot loop:
загрузка → запуск Falcon → BSOD → перезагрузка → снова BSOD.
Удалённо это исправить было невозможно. Только вручную. Физически. На каждом компьютере.
Цена одной строки кода
По первым оценкам:
- $6 млрд — глобальный экономический ущерб
- $500 млн — потери Delta Airlines за одну неделю
- акции CrowdStrike упали на 11% за день
Но за цифрами стояли реальные люди:
- пациенты без лечения
- пассажиры без рейсов
- службы экстренной помощи без связи
Это был редкий момент, когда защитная система стала угрозой.
Урок хрупкости
После инцидента начались расследования, парламентские слушания и судебные иски. Delta Airlines подала иск против CrowdStrike на $500 миллионов. Microsoft публично обвинила авиакомпанию в устаревшей IT-инфраструктуре. CrowdStrike внедрила canary-тестирование, обновления теперь сначала получают только небольшие группы клиентов. Microsoft начала пересматривать архитектуру доступа к ядру Windows.
Но главный вывод остался с нами. Если одна компания может остановить мир, значит, мир слишком сильно ей доверился.
Простыми словами
- Falcon Sensor — программа-охранник, которая постоянно следит за компьютером
- Channel File — файл с правилами, как распознавать угрозы
- Синий экран смерти (BSOD) — критическая ошибка Windows, после которой система падает
- Переполнение буфера — когда программа читает больше данных, чем ей разрешено
- Ядро системы — самый глубокий уровень Windows; ошибка там ломает всё
- Boot loop — бесконечная перезагрузка без возможности войти в систему
Факты для тех, кто глубже в теме
- Falcon Sensor работает в kernel mode, с максимальными правами
- Ошибка была вызвана mismatch IPC-шаблона: 21 поле против 20
- Обновление распространялось автоматически и глобально, без поэтапного rollout
- Откат обновления не помогал из-за раннего запуска драйвера
- Инструкция по исправлению требовала Safe Mode + ручное удаление файла C-00000291.sys