Комбинация от фактори е довела до срив на сензора за откриване и предотвратяване на крайни точки (EDR) на CrowdStrike Falcon, което е довело до глобален срив, засегнал 8,5 милиона системи с Windows през юли, съобщи компанията миналата седмица в анализ на първопричините за инцидента. По същото време главният изпълнителен директор и основател на CrowdStrike Джордж Курц и президентът Майкъл Сентанас бяха на Black Hat в Лас Вегас с публична mea culpa.

CrowdStrike документира в своя анализ на първопричината, че несъответствие между входните данни, валидирани от Content Validator, и тези, предоставени на Content Interpreter, е довело до проблем с обхвата извън границите в Content Interpreter. Тестовете по време на разработката и пускането в експлоатация не разкриват проблема.

„Сензорите, които са получили новата версия на Channel File 291, съдържаща проблемното съдържание, са били изложени на латентен проблем с четене извън границите в интерпретатора на съдържание. При следващото IPC известие от операционната система новите IPC Template Instances бяха оценени, като беше посочено сравнение с 21-вата входна стойност. Интерпретаторът на съдържание очакваше само 20 стойности“, заявиха от CrowdStrike. „Поради това опитът за достъп до 21-вата стойност доведе до четене на памет извън границите след края на масива с входни данни и доведе до срив на системата.“

Въпреки че CrowdStrike твърди, че този точен сценарий няма да се повтори, компанията прави промени в своя процес и смекчаващи стъпки, за да „осигури по-нататъшно повишаване на устойчивостта“, заявиха от компанията. CrowdStrike също така е ангажирала двама доставчици на софтуерна сигурност, които да извършат обширен преглед на кода на сензора Falcon за сигурност и осигуряване на качеството, а в момента се извършва независим преглед на цялостния процес на качество от разработването до внедряването.

Признаване на грешките

На срещата на върха на иноваторите и инвеститорите по време на конференцията Black Hat USA в Лас Вегас генералният партньор на Rain Capital Ченси Уанг започна панела, който модерираше, с въпрос към Курц от CrowdStrike: „Какво се случи?“ Курц се извини на залата – действие, което изглежда беше добре прието от публиката – и отбеляза, че компанията е публикувала резултатите от анализа на първопричините.

Компанията отново призна за провалите си няколко дни по-късно, когато Сентанас беше на разположение в събота на хакерската конвенция DEF CON, за да приеме наградата Pwnie 2024 за най-епичен провал. Наградата Pwnie се присъжда за най-изявените постижения, както и за най-големите провали в областта на киберсигурността през изминалата година. Категорията „Най-епичен провал“ е за „грандиозен провал – такъв, който проваля цялата индустрия за информационна сигурност“, според описанието на наградите Pwnie.

Мащабният глобален срив направи CrowdStrike автоматичен победител, заявиха от Pwnie Awards миналия месец. Глобалното въздействие на прекъсването беше подчертано от факта, че CrowdStrike беше наградена с двуетажен трофей вместо традиционните малки трофеи с форма на пони, които се присъждат на победителите в други категории. Сентанас заяви, че трофеят ще бъде изложен в централата на компанията в Остин, Тексас, за да служи като напомняне на служителите, че „такива неща не могат да се случват“.

„Определено не е награда, с чието получаване да се гордеем“, каза Сентанас в речта си при приемането на наградата. „Мисля, че екипът беше изненадан, когато веднага казах, че ще дойда да я получа. Ужасно се объркахме в това отношение. Казвали сме го няколко различни пъти. Супер важно е да го притежаваш, когато правиш нещата добре. Супер важно е да си го признаеш, когато сбъркаш ужасно много, а в този случай сбъркахме.“