Пятница, 19 июля 2024 года
Начало рабочего дня в Австралии. Системные администраторы приходят на работу, включают мониторы — и видят синий экран смерти. Не на одном компьютере. Не на десяти. На всех.
Волна катится на запад вместе с часовыми поясами. Азия. Европа. Америка. Аэропорты останавливают рейсы. Банки не могут обработать транзакции. Логистические центры переходят на бумажные накладные. Телеканалы прерывают эфир.
8,5 миллиона устройств с Windows — в глубоком нокауте. Один и тот же файл. Одно обновление. Одна компания: CrowdStrike.
Этот инцидент стал крупнейшим IT-сбоем в истории человечества.
CrowdStrike Falcon: щит, ставший мечом
CrowdStrike — одна из крупнейших компаний в сфере кибербезопасности. Их продукт Falcon — антивирусный агент нового поколения, установленный на миллионах корпоративных компьютеров по всему миру. Банки, авиакомпании, больницы, государственные структуры.
Falcon работает на уровне ядра операционной системы — самом глубоком и привилегированном уровне. Это необходимо для перехвата угроз: чтобы ловить вирусы, нужно видеть всё.
Но код, работающий на уровне ядра, имеет абсолютную власть. Если он падает — падает вся система. Без возможности восстановления. Только ручная перезагрузка в безопасном режиме.
Файл-убийца: Channel File 291
В 04:09 UTC 19 июля CrowdStrike выпустила очередное обновление конфигурации для Falcon. Это не было обновление кода — просто файл определений, описывающий новые шаблоны для обнаружения угроз. Такие обновления выходят десятки раз в день.
Файл назывался «Channel File 291» (C-00000291*.sys). Он должен был добавить новые правила обнаружения для вредоносного использования Named Pipes в Windows — одного из механизмов межпроцессной коммуникации.
Проблема: файл содержал логическую ошибку в одном из 21 шаблона. Когда Falcon попытался интерпретировать этот шаблон, он обратился к несуществующему адресу в памяти.
Чтение невалидного адреса. На уровне ядра. Результат — BSOD. Мгновенно. Безоговорочно.
Каскад: от одного файла до глобального сбоя
Обновление распространилось автоматически. Без предупреждения. Без поэтапного раскатывания. Без canary-тестирования — практики, когда обновление сначала выкатывается на маленькую группу машин.
Нет. Файл был отправлен всем клиентам одновременно.
Компьютер получил обновление → Falcon загрузил новый файл → система обратилась к невалидной памяти → синий экран → перезагрузка → Falcon снова загрузил тот же файл → синий экран → бесконечный цикл.
Единственный способ починить — вручную: загрузить компьютер в безопасном режиме, перейти в директорию C:\Windows\System32\drivers\CrowdStrike, найти файл C-00000291*.sys и удалить его.
На каждой машине. Вручную. Один за другим. Для 8,5 миллиона устройств.
Масштаб финансового ущерба
Цифры инцидента вошли в учебники:
- Авиация: более 5 000 рейсов отменено по всему миру. Delta Air Lines потеряла $550 миллионов.
- Финансы: банки, платёжные системы, терминалы — массовые сбои.
- Ритейл: сети супермаркетов, ресторанов, заправок не могли принимать оплату.
Общий экономический ущерб оценивается от $5,4 до $15 миллиардов. Microsoft заявила, что пострадало менее 1% всех Windows-устройств — но эти менее 1% включали критическую инфраструктуру половины планеты.
Почему не было защиты
Расследование выявило цепочку системных провалов:
- Файл не прошёл полноценное тестирование. CrowdStrike тестировала обновления конфигурации менее строго, чем обновления кода.
- Не было поэтапного раскатывания. Все клиенты получили обновление одновременно — практика, которую любой DevOps-инженер назвал бы безумием.
- Автоматический откат не сработал. Когда система падала до загрузки Falcon, механизм отката был бесполезен.
- Уровень ядра не прощает ошибок. Программа на уровне пользователя упала бы тихо. Код на уровне ядра (kernel-space) утянул за собой всю систему.
CrowdStrike впоследствии внедрила поэтапное развёртывание, улучшенное тестирование и возможность отката конфигурационных файлов. После того, как 8,5 миллиона компьютеров легли.
Ответственность и последствия
CEO CrowdStrike Джордж Куртц принёс публичные извинения. Акции компании упали на 32% — потеря рыночной капитализации составила порядка $25 миллиардов.
Delta Air Lines подала иск на $500 миллионов. Десятки других компаний начали юридические процедуры.
Конгресс США вызвал Куртца на слушания. Вопрос звучал прямо: «Как компания по кибербезопасности стала причиной крупнейшего IT-сбоя в истории?»
Один файл, один мир
CrowdStrike 2024 — это история о концентрации риска. Когда один продукт защищает критическую инфраструктуру половины планеты — он же может её уничтожить.
Один файл конфигурации. Один невалидный адрес в памяти. 8,5 миллиона зависших экранов. Миллиарды долларов убытков.
Мы построили мир, где один деплой может остановить планету. И 19 июля 2024 года он это доказал.
Синий экран — не просто ошибка. Это напоминание: наша цивилизация работает на коде, который обновляется автоматически — и иногда обновляется не в ту сторону.
Вас затронул сбой CrowdStrike? Как ваша компания пережила тот день? Или, может, вы — тот самый админ, который вручную чинил сотни машин? Расскажите о своих фатальных сбоях в комментариях!
👉 Подписывайтесь на Сбой Системы — здесь технологии ломаются красиво.
#crowdstrike #windows #синий_экран #кибербезопасность #it #технологии #системный_администратор #сбой_системы #информационная_безопасность #программирование
