CrowdStrike heeft een uitstekende reputatie als het gaat over computerbeveiliging. Maar vrijdag ontstond er een deuk in dat imago: door een onbegrijpelijke fout bij het cyberbeveiligingsbedrijf kwamen overal ter wereld systemen plat te liggen. Hoe kon dit gebeuren?
Het begint vrijdag vroeg in Australië en daarna spreidt het probleem zich als een olievlek over de wereld uit: Windows-computers die zichzelf blijven herstarten en het beruchte ‘Blue Screen of Death’ laten zien. Dat blauwe scherm, dat vroeger veel vaker voorkwam, wil één ding zeggen: er is iets mis met het besturingssysteem.
De logische gedachte in zo’n geval is om de computer opnieuw op te starten, maar ook dat biedt vrijdag geen soelaas: systemen blijven crashen. Het gaat niet alleen om véél computers, maar ook om belangrijke machines. Zoals de professionele systemen bij banken, ziekenhuizen, mediabedrijven of vliegvelden, zijn de gevolgen ingrijpend: ook in Europa zeggen ziekenhuizen operaties af en moeten luchtvaartmaatschappijen hun vluchten annuleren.
Over de auteurs
Huib Modderkolk is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten. Hij schreef het boek Dit wil je écht niet weten - over de onvoorstelbare wereld achter je scherm.
Laurens Verhagen is wetenschapsredacteur van de Volkskrant. Hij schrijft over technologie en de impact van kunstmatige intelligentie op de maatschappij.
Als de eerste stofwolken zijn opgetrokken, blijkt de bron van alle ellende een groot Amerikaans techbedrijf genaamd CrowdStrike. Dit concern opereert op de achtergrond en is dus bij het publiek niet zo bekend. Bij grote bedrijven echter des te meer. Zij gebruiken de software van CrowdStrike om hun systemen en servers te beveiligen tegen malware en geavanceerde hackaanvallen.
Waar CrowdStrike ontworpen is om computers te beveiligen, zorgde het bedrijf er vrijdag juist voor dat ze plat gingen. Het komt allemaal door een foutieve update in de vorm van een driver die diep in het Windows-systeem wordt gezet, in de zogeheten kernel.
Uit veiligheidsoverwegingen ‘pusht’ CrowdStrike zijn update in een zeer korte tijdspanne, zodat deze in één keer op zoveel mogelijk computers terechtkomt. Die zijn dan zo snel mogelijk up-to-date en kunnen zich zo verweren tegen nieuwste slimmigheden waarmee kwaadwillende cyberaanvallen uitvoeren. Met deze driver is wat mis, maar als dat wordt ontdekt, is het al te laat.
Géén cyberaanval of veiligheidsincident, haast topman George Kurtz niet lang daarna te melden. Om er aan toe te voegen: ‘Het probleem is geïdentificeerd, geïsoleerd en er is een oplossing geïmplementeerd.’ De boosdoener blijkt een miniem stukje software met de naam Falcon Sensor.
Twitter bericht wordt geladen...
Wie vrijdagochtend zijn computer nog niet heeft aangezet en dat pas doet nadat CrowdStrike zijn fout heeft hersteld, heeft geluk. Maar systemen die al wél zijn aangezwengeld met de verkeerde software, hebben een probleem.
Die moeten namelijk handmatig, één voor één, in veilige modus worden opgestart, waarna de foutieve update kan worden verwijderd. Dat is arbeidsintensief, met als gevolg dat het lang duurt voordat bedrijven hun werk weer kunnen hervatten.
Expert kijken ondertussen met verbijstering naar de wereldwijde computeruitval en de gevolgen die deze heeft. Rickey Gevers snapt wát er is gebeurd, maar niet hóe het kan zijn gebeurd. ‘Ik heb CrowdStrike heel hoog zitten, ze zijn de absolute top op het gebied van beveiliging. Echt alle knappe koppen werken daar’, zegt de beveiligingsexpert.
Twitter bericht wordt geladen...
Dat diezelfde knappe koppen een wereldwijde chaos veroorzaakten, stelt ook Gevers voor een raadsel. ‘Dit is heel zeldzaam. Het is echt een mysterie hoe dit heeft kunnen gebeuren.’ Normaal gesproken wordt een dergelijke update pas na uitgebreide testprocedures doorgevoerd. En als het toch nog misgaat, moeten de ingebouwde beveiligingssystemen de update tegenhouden. Dat is allemaal niet gebeurd, met als resultaat de beruchte blauwe schermen.
De kracht van CrowdStrike bleek in dit geval ook zijn zwakte, zegt Gevers. CrowdStrike werkt volgens hem zo goed omdat het bedrijf zeer diep in het besturingssysteem informatie verzamelt en ingrepen doet. Het nadeel, blijkt nu, is dat áls er iets fout gaat het gehele systeem omvalt en niet slechts één onderdeeltje.
Voor techexpert Bert Hubert, eerder werkzaam als softwareontwikkelaar en technisch adviseur bij de Kiesraad, laten de problemen treffend zien wat de moderne kwetsbaarheden zijn. ‘We zetten als bedrijven en overheden allemaal dezelfde software op onze computers. Door één vergissing zijn we die computers vervolgens massaal kwijt.’
Daarmee wil Hubert niet zeggen dat het Amerikaanse CrowdStrike een slecht product levert. Wel dat de omgang met dit soort software en de implementatie ervan bij bedrijven, radicaal is veranderd de laatste jaren.
‘Updates van fabrikanten’, legt Hubert uit, ‘werden voorheen eerst getest door de IT-afdeling. Daarna werden ze pas vrijgegeven.’ Daar zijn de meeste organisatie mee gestopt. Want terwijl de it-afdeling de nieuwste en meest veilige software testte, was de rest van het bedrijf minder veilig. Hubert: ‘Daaruit ontstond het idee: waarom doen we de update dan niet in één keer?’
Bovendien zijn organisaties zich, vaak als gevolg van bezuinigingen, afhankelijker gaan maken van één product. ‘Ze hebben enkel een plan A.’ In theorie hoeft dat geen probleem op te leveren. Totdat plan A faalt. Hubert: ‘Dat luchtvaartmaatschappijen relatief snel konden herstellen is omdat ze gewend zijn om een papieren terugvaloptie te hebben. Veel andere organisaties hebben dat niet meer.’
Hij benoemt daarom twee lessen van deze crisis. ‘Het niet-controleren van updates vooraf, daar moeten we nog maar eens goed over nadenken.’ En ten tweede: ‘Vraag jezelf als bedrijf af: als de computer het niet doet, welke fysieke processen doen het dan ook niet meer?’
Inmiddels is het herstelwerk begonnen. Dit brengt ook weer risico’s met zich mee, stelt Gevers, omdat er veel handwerk bij komt kijken. De kans op fouten neemt hiermee toe, bijvoorbeeld omdat systeembeheerders het verkeerde bestand verwijderen of besluiten een oude backup terug te zetten waarbij er gegevens verloren gaan.
Bij CrowdStrike, waarvan de koers op de beurs scherp daalde, zal ongetwijfeld een zoektocht naar de schuldigen starten en zullen de procedures worden aangescherpt. Het bedrijf zal vooral het vertrouwen van zijn afnemers moeten zien te herstellen. Want één ding willen ze zeker niet nog eens meemaken: het blauwe scherm des doods.
Geselecteerd door de redactie
Source: Volkskrant