CrowdStrike mengisyaratkan akar penyebab gangguan IT besar-besaran pada hari Jumat

Selama gangguan TI yang meluas yang dimulai hari Jumat karena masalah dengan perangkat lunak keamanan siber CrowdStrike Falcon Sensor, perusahaan tersebut mengakui bahwa “pembaruan konten” merupakan inti dari kegagalan tersebut. Pada hari Sabtu, perusahaan tersebut memberikan beberapa detail tambahan dan menjanjikan informasi lebih lanjut yang akan segera diberikan.

Itu Posting blog hari Sabtu mengungkapkan bahwa “kesalahan logika” dalam berkas yang diperbarui menyebabkan layar biru kematian (BSOD) pada sistem Windows, tetapi rincian tentang bagaimana kesalahan logika ini terjadi masih belum jelas. Perusahaan sedang melakukan analisis akar penyebab, tulis posting blog tersebut. Perusahaan belum memberikan jadwal penerbitan analisis ini.

Kesalahan tersebut mencegah banyak pengguna Windows untuk masuk ke komputer mereka, termasuk di Fifth Third Bank. Di TD Bank, sistem digital terganggu. Synovus Financial harus menerapkan “rencana darurat” untuk meminimalkan gangguan bagi klien. Semua cabang dan kantor bank Canandaigua National Bank, lembaga senilai $5 miliar di Canandaigua, New York, terkena dampaknya.

Secara umum, apa yang terjadi pada bank-bank ini dan banyak perusahaan lain — khususnya maskapai penerbangan — pada hari Jumat adalah bahwa pembaruan CrowdStrike yang bermasalah menyebabkan komputer yang diinstal secara otomatis mengalami crash. Crowdstrike kemudian mengirimkan pembaruan dengan perbaikan, tetapi banyak komputer tidak menerima perbaikan tersebut karena sudah mengalami crash.

Berikut adalah rincian teknis tentang bagaimana kerusakan terjadi, mengapa banyak sistem tidak pulih secara otomatis, informasi apa yang masih belum jelas, dan apa artinya semua ini bagi pelanggan dan sistem TI global:

Apa itu Falcon Sensor?

Falcon Sensor adalah platform keamanan endpoint dari CrowdStrike. Dengan kata lain, ini adalah perangkat lunak untuk berbagai platform — Windows, Mac, Linux, dan perangkat seluler — yang mendeteksi dan mematikan ancaman keamanan siber di komputer tempat perangkat lunak tersebut diinstal.

Berikut ini salah satu contoh cara kerjanya: Jika sebuah bank menerbitkan perangkat Windows kepada seorang karyawannya yang telah terinstal Falcon Sensor, dan karyawan tersebut mencoba memasang aplikasi yang tidak sah, Falcon Sensor akan memberitahukan pihak bank mengenai potensi bahaya keamanan ini.

Salah satu dari banyak ancaman yang Falcon Sensor coba deteksi dan cegah adalah pipa bernama yang berbahaya.

Apa itu pipa?

A pipa adalah bagian memori dalam komputer yang dapat digunakan oleh berbagai perangkat lunak untuk berkomunikasi satu sama lain. Pipa dinamakan demikian karena fungsinya menyerupai pipa di dunia nyata; saat item (atau, dalam kasus komputer, pesan) ditumpuk di dalam pipa, item pertama yang ditempatkan di satu ujung adalah item pertama yang keluar dari ujung lainnya.

Meskipun sebagian besar pipa hanya bertahan selama perangkat lunak yang membuatnya masih ada, beberapa pipa tetap ada bahkan jika perangkat lunak tersebut keluar — baik program tersebut menyelesaikan pekerjaannya atau ditutup. Ini disebut pipa bernama; mereka memiliki nama yang dapat digunakan perangkat lunak untuk menemukannya. Pipa bernama memiliki berbagai macam kegunaan, termasuk mengaktifkan koneksi internet tertentu.

Salah satu penggunaan jalur yang berbahaya terjadi saat malware terhubung ke server penyerang siber yang mengendalikannya. Saat malware membuat koneksi ini, penyerang dapat mengirimkan instruksi kembali ke malware untuk mengekstrak file dari komputer korban, membuka aplikasi, atau melakukan sejumlah tindakan lain untuk mengendalikan komputer. Jika jalur digunakan dalam koneksi internet, semua instruksi mengalir melalui jalur tersebut.

Jenis kendali jarak jauh atas komputer ini dikenal sebagai skema perintah dan kendali (C2). Dalam skema perintah dan kendali, penyerang siber cenderung menggunakan kembali jenis koneksi yang sama — atau, dalam beberapa kasus, nama yang sama untuk jalur bernama — untuk mengambil alih kendali komputer korban yang berbeda.

Bahkan jika nama pipa tersebut tidak jelas-jelas berbahaya (“Evil Pipe” atau “Pipe for Stealing Data”), penyerang mungkin menggunakan nama yang sama dan tampak biasa dalam beberapa serangan. Atau, mereka mungkin memuat pipa tersebut dengan data awal yang sama dalam beberapa serangan. CrowdStrike dan perusahaan keamanan siber lainnya menggunakan apa yang disebut “sinyal” ini untuk mengidentifikasi potensi risiko dan menandai atau secara otomatis memadamkannya.

Karena penyerang siber menggunakan jenis serangan baru, CrowdStrike harus memperbarui aplikasi Falcon Sensor yang terpasang di komputer Windows di seluruh dunia, sehingga Falcon Sensor tahu apa yang harus diwaspadai. Falcon Sensor secara otomatis memasang pembaruan ini secara berkala. Di sinilah kesalahan logika yang fatal terjadi.

Dimana kesalahan logikanya?

Pada komputer Windows yang telah terinstal Falcon Sensor, CrowdStrike menggunakan apa yang disebut “Channel Files” untuk menyimpan informasi tentang sinyal bahwa malware mungkin terinstal atau aktif di komputer. Channel Files ini mencantumkan berbagai tanda bahaya malware, seperti koneksi baru ke alamat IP yang masuk daftar hitam, atau aplikasi yang baru diunduh yang telah digunakan dalam serangan siber lainnya.

Salah satu dari banyak File Saluran yang dikelola CrowdStrike — File Saluran 291 — mencantumkan tanda bahaya bahwa pipa bernama mungkin berbahaya. Pada pukul 12:09 dini hari Jumat, CrowdStrike mengeluarkan pembaruan untuk File Saluran 291. Perusahaan mengeluarkan pembaruan tersebut beberapa kali sehari saat mendeteksi ancaman baru; pembaruan pada File Saluran ini membantu aplikasi Falcon Sensor mendeteksi ancaman baru ini di komputer tempat ancaman tersebut diinstal.

Masalahnya adalah, karena beberapa alasan yang belum diungkapkan CrowdStrike ke publik, File Saluran 291 yang diperbarui menyebabkan kesalahan pada komputer tempat file tersebut diunduh.

Sekitar satu jam kemudian, pada pukul 1:27 dini hari, CrowdStrike mengeluarkan pembaruan lain ke Channel File 291 yang mengembalikan perubahan yang menyebabkan kesalahan tersebut. Masalahnya adalah, dalam waktu satu jam tersebut, komputer Windows di seluruh dunia telah mengunduh file yang cacat tersebut, yang menyebabkannya mogok.

Mengapa komputer tidak pulih secara otomatis setelah pembaruan?

Meskipun CrowdStrike merilis perbaikan pada pukul 1:27 dini hari, komputer Windows yang telah mogok karena pembaruan pukul 12:09 dini hari tidak dapat mengunduh perbaikan tersebut karena, saat mulai melakukan booting, komputer tersebut akan mogok sebelum mengunduh perbaikan.

Setidaknya itulah yang terjadi pada banyak komputer.

Beberapa komputer Windows dapat pulih secara otomatis, tetapi sering kali hanya setelah di-boot ulang secara manual, dan terkadang beberapa kali berturut-turut. CrowdStrike belum memberikan penjelasan mengapa beberapa komputer Windows pulih secara otomatis tetapi beberapa tidak, tetapi ada petunjuk potensial.

CrowdStrike-nya rekomendasi resmi untuk memperbaiki komputer individual (ketimbang komputer berbasis cloud) adalah dengan me-reboot komputer saat terhubung ke jaringan melalui koneksi kabel, bukan Wi-Fi. Hal ini, kata perusahaan, memungkinkan komputer memperoleh konektivitas internet jauh lebih cepat.

Dengan kata lain, kemampuan beberapa mesin untuk memulihkan secara otomatis mungkin pada dasarnya acak, tetapi peluang pemulihan dapat ditingkatkan dengan koneksi internet yang lebih cepat, yang memungkinkan komputer mengunduh pembaruan Channel File lebih cepat daripada Falcon Sensor dapat mencoba membuka versi lama.