Fenomen „Plavih ekrana“, i da li je moguća „sajber apokalipsa“?

Fenomen „Plavih ekrana smrti“ (BSOD) nešto je najgore što može da snađe svakog korisnika Windows operativnih sistema. Kada se pojavi, to obično znači da je sistem naišao na kritičnu i nepovratnu grešku, često prouzrokovanu problemima sa hardverom, drajverima, ili softverom. Prepoznatljiv je po karakterističnom plavom ekranu, po kom i nosi ime, na kojem se ispisuju tehničke informacije o grešci. Ukoliko dođe do ovog problema, jedino rešenje su molitva i ponovno pokretanje računara, uz spremnost na gubitak podataka. 

Skorašnji takav slučaj, koji se odrazio na globalnom planu, dogodio se u junu 2024. godine, kada je veliki broj Windows uređaja širom sveta bio pogođen greškom prouzrokovanom neuspešnim ažuriranjem softvera kompanije CrowdStrike. Greška se odrazila na milione uređaja, koji su satima prikazivali zloglasni plavi ekran. 

 Više od 100 zemalja prijavilo je probleme u sektorima kao što su avio-prevoz, bankarstvo, institucije, zdravstvo i mediji, što je vrlo brzo kandidovalo ovaj događaj za sajber incident godine. Hiljade letova je otkazano, transakcije su zaustavljene, a medijske kuće su privremeno ostale bez pristupa ključnim alatima za rad. 

Tehnički gledano, do incidenta je došlo zbog problema u ažuriranju CrowdStrike Falcon platforme. Falcon je objedinjena platforma za sajber bezbednost koja koristi veštačku inteligenciju i mašinsko učenje kako bi identifikovala, pratila i sprečavala sajber pretnje. Međutim, u junskom ažuriranju, došlo je do pogrešnog konfigurisanja senzora za nadzor, što je izazvalo da Windows sistemi prestanu sa radom. Zanimljivo je da sistemi bazirani na macOS, Unix/Linux i drugim operativnim sistemima nisu bili pogođeni ovim problemom, jer se ažuriranje odnosilo isključivo na Windows. 

CrowdStrike je brzo reagovao, ali je šteta već bila učinjena. Što je još važnije, incident je ukazao na ključnu ulogu testiranja softverskih ažuriranja, pogotovo u okruženjima koja mogu da se odraze na kritičnu infrastrukturu. Srećom, incident je prošao bez ljudskih žrtava, iako su sistemi u zdravstvenom sektoru bili među pogođenima, što je dovelo do otkazivanje hirurških zahvata, preusmeravanja ambulantnih kola i drugih prekida u pružanju nege pacijentima. 

Da li situacije poput plavih ekrana mogu da se predvide? 

"Plavi ekrani smrti" koji su tokom juna preplavili brojne kompanije i institucije širom sveta onesposobili su hiljade sistema i doveli do privremene paralize operacija mnogih organizacija, što se dalje odrazilo na gubitke u produktivnosti, oštre padove vrednosti deonica, kao i finansijsku štetu od 5.4 milijardi dolara i to samo za Fortune 500 kompanije. Stvarna procena koja sabira sve pogođene strane ostaje i dalje nepoznata. 

Iako je ovakav obim štete obično rezervisan za sajber napade, ovaj incident je nastao ljudskom nepažnjom i bez ikakvih zlih namera. Zato je ovo dobar primer kako povremeno pretnju spolja može da zaseni pretnja koja dolazi iznutra. 

 Možemo izvući dve ključne lekcije iz toga. Prvo, ažuriranja sistema nose sa sobom visok rizik, čak i kada dolaze od renomiranih kompanija poput CrowdStrike-a. Lako je biti general posle bitke, međutim, postoji opšte slaganje u stručnoj zajednici da je kȏd trebalo da bude bolje ispitan i testiran u sigurnom okruženju pre nego što se pusti u upotrebu. Incident podvlači koliko je važno imati robusne protokole za testiranje i validaciju softverskih ažuriranja, kako bi se sprečile situacije u kojima jedan neispravan fajl može izazvati globalnu krizu. 

Drugo, živimo u svetu podeljene odgovornosti. Da je ovo bio sajber napad, klasifikovali bismo ga kao napad na lanac snabdevanja – vrstu napada koja se sve češće viđa u sajber prostoru, gde napadači ciljaju na treću stranu, poput softverskog partnera, da bi kompromitovali širu mrežu organizacija. U ovom slučaju, softverski partner Microsoft-a je bio CrowdStrike, a posledice su bile globalne. 

Iako je kombinacija različitih faktora dovela do incidenta, verujem da je, uz pažljivije planiranje i testiranje, on mogao biti izbegnut. Međutim, zauzvrat smo dobili moćan primer kako jedna mala greška može izazvati lančanu reakciju sa dalekosežnim posledicama. Higijena kȏda, pravovremeno testiranje i adekvatno upravljanje ažuriranjima postaju ključni elementi u održavanju sigurnosti sistema. 

Kako hakeri koriste situaciju 

S druge strane, hakeri su brzo reagovali na haos koji je nastao. Iskoristili su socijalni inženjering, predstavljajući se kao CrowdStrike tehnička podrška, kako bi došli u posed mnogih osetljivih informacija korisnika. 

Situacija koja je nastala u jeku globalnog pada Windows sistema podseća na prve dane pandemije COVID-19, kada su sajber kriminalci iskoristili masovnu paniku i tranziciju kompanija na rad od kuće, predstavljajući se kao IT podrška ili čak medicinski radnici. U slučaju “Plavih ekrana”, još jednom je potvrđena teza da su zlonamerni hakeri izuzetno prilagodljivi i uvek spremni da iskoriste svaku nevolju kako bi ostvarili svoje ciljeve. 

Da li AI može da predvidi takve situacije  

Ako zađemo još dublje u tehnički aspekt incidenta, videćemo da je nastao usled logičke greške. Naime, jedan od drajvera koji su bili deo paketa ažuriranja bio je napisan tako da sintaksički funkcioniše, ali u logičkom smislu proizvodi rezultate koji ultimativno vode do pada Windows sistema. Ukratko ću objasniti razliku između logičkih i sintaksičkih grešaka u kodiranju. Sintaksičke greške nastaju kada kȏd ne poštuje pravila sintakse, sprečavajući njegovo izvršenje. Dakle, kada dođe do sintaksičke greške, kȏd jednostavno ne radi i svako standardno testiranje bi se zapazilo. 

Međutim, logičke greške se javljaju kada program ne daje očekivane rezultate zbog grešaka u logici ili algoritmu. Kȏd u ovom slučaju tehnički funkcioniše, ali, kao što je rečeno, ne daje potrebne rezultate. Upravo tako je ova greška uspela da se provuče kroz test fazu, i upravo zato je bilo potrebno izvršiti detaljnija testiranja u kojima bi značajnu ulogu imala veštačka inteligencija. 

Delatnost o kojoj konkretno pričamo u ovom slučaju je QA, odnosno Quality Assurance ili provera kvaliteta. Veštačka inteligencija je već dokazala da ima sposobonost da unapredi performanse u raznim industrijama, pogotovo u IT industriji. 

AI QA sistemi mogu potencijalno identifikovati ovakve greške pre implementacije, analizirajući velike količine kȏda i test scenarija mnogo brže od ljudi. U budućnosti, AI testiranje bi moglo značajno unaprediti kvalitet kȏda, smanjujući rizik od logičkih grešaka. Iako AI nije nepogrešiv i podložan je sopstvenim logičkim greškama, njegova sposobnost automatskog prepoznavanja problema može značajno pomoći u sprečavanju incidenata poput ovih. 

Važno je napomenuti da je CrowdStrike Falcon platforma dizajnirana tako da funkcioniše na veoma niskom nivou, tačnije na nivou jezgra (kernel) operativnog sistema. Kada aplikacija radi na tako niskom nivou i dođe do greške, ceo operativni sistem može da se zamrzne, što se upravo i dogodilo. Kada pričamo o testiranjima na kernel nivou, to podrazumeva veoma detaljan i iscrpan proces u kom potencijal AI tehnologija zaista može doći do izražaja u budućnosti, pogotovo kada uzmemo u obzir kratke rokove i druge faktore, pre svega ljudske prirode, koji omogućavaju da se ovakve greške provuku. 

Da li je moguća „sajber-apokalipsa“

Kad god se desi neki sajber incident ili napad koji zaslužuje svetsku pažnju, mediji uvek nađu za shodno da pokrenu narativ o takozvanim “sajber apokalipsama” – pričama koje invociraju mogućnost jedinstvenog i totalnog kraha interneta i svega digitalnog. Ovakvi scenariji nisu mogući, bar ne onako kako su zamišljeni. Internet je decentralizovan sistem, koji je dizajniran da izdrži parcijalne prekide. Slično kao što voda pronalazi put nizbrdo, tako i podaci na internetu pronalaze alternativne rute kada su određeni delovi mreže nefunkcionalni. Iako prekidi jesu mogući na određenim nivoima, potpuno zaustavljanje celokupne internet infrastrukture na globalnom nivou je gotovo nemoguće. 

Ipak, ako pričamo hipotetički, postoje scenariji koji bi mogli izazvati značajne prekide u radu interneta na regionalnim i lokalnim nivoima. Razlozi za ove prekide mogu uključivati sajber napade, fizičko oštećenje ključne infrastrukture ili prirodne katastrofe, kao što su zemljotresi ili oluje. 

Jedan od glavnih faktora koji može uzrokovati prekide interneta su sajber napadi usmereni na ključne segmente globalne internet mreže, kao što su DNS serveri ili telekomunikacione kompanije. Napadi na kritičnu infrastrukturu, poput elektrana ili industrijskih sistema, takođe mogu izazvati regionalne prekide u snabdevanju internetom. 

Pored sajber napada, fizičko uništavanje podmorskih kablova, koji nose ogromne količine internet saobraćaja između kontinenata, moglo bi dovesti do prekida komunikacije u velikim regionima sveta. Takve situacije obično zahtevaju velike popravke, koje mogu potrajati danima ili nedeljama. 

Dugotrajan prekid interneta imao bi katastrofalne posledice po globalnu ekonomiju. Digitalizovane industrije, finansijski sistemi i e-trgovina bi se suočili sa značajnim gubicima. Na primer, prekid interneta bi onemogućio pristup elektronskim zdravstvenim zapisima (EHR), alatima za dijagnostiku i upravljanje pacijentima, što bi izazvalo velike poremećaje u zdravstvenoj zaštiti. 

Kompanije bi morale da se vrate na zastarele metode rada, kao što su papirni zapisi i telefonske linije, što bi značajno usporilo poslovne procese. Banke i finansijske institucije bi bile paralisane, jer su mnoge transakcije u potpunosti zavisne od internet komunikacija. U dugoročnom scenariju, civilizacija bi se suočila s poremećajem društvenih i tehnoloških sistema, povratkom na manuelne metode rada i padom produktivnosti. 

Ukratko, dok je globalni prekid interneta malo verovatan, regionalni prekidi mogu imati ozbiljne posledice po poslovanje, a možemo reći i po civilizaciju, međutim, otpornost interneta omogućava da se većina tih prekida brzo prevaziđe. 

Preventivni uticaj pojedinaca i kompanija 

Slučaj “Plavih ekrana” došao je kao neprijatno iznenađenje i kao podsetnik da se greške dešavaju, da mogu uvek da se dese, i da će, po svemu sudeći, nastaviti da se dešavaju. Odmah nakon incidenta, CrowdStrike je izdao saopštenje i uputstvo za uklanjanje greške i ponovno pokretanje sistema, što je u značajnoj meri ublažilo posledice. Kada je prevencija u pitanju ponovo se vraćamo trećim stranama (third party), odnosno poverenju i odgovornosti među partnerima. 

U ovom slučaju, CrowdStrike nije ispoštovao svoj deo dogovora – testiranje nije bilo dovoljno temeljno da pronađe grešku pre nego što je ažuriranje pušteno u promet. U budućnosti, garancije da se ovakvi propusti neće desiti moraju biti dodatno osnažene kako bi se uzdrmano poverenje povratilo. Ako igrači kao što su Crowdstrike i Microsoft mogu da dožive ovakav fijasko, zamislite koliko je samo potencijalnih rizika među manjim kompanijama. 

Dakle, da bi se budući incidenti ovog tipa i obima izbegli, neophodna je stroža kontrola, novi protokoli, kao i unapređivanje starih, naprednije testiranje, i širi spektar saradnje među partnerskim organizacijama. Da li je ovo ostvarivo? Svakako da jeste, ali isto tako predstavlja naporan poduhvat. 

Zato naš Seif tim redovno radi mapiranje, proveru i monitoring svih trećih strana sa kojima naši klijenti sarađuju i služi kao bezbednosni mehanizam kojim se sprečavaju curenja podataka koja potiču od kompromitovanih trećih strana. Zamislite scenario u kom je vaš cloud provajder kompromitovan i napadači dolaze u posed kredencijala koji vode direktno u vaše repozitorije. Ne možete reći da je odgovornost na vama, jer je inicijalni napad potekao od kompanije koja vam pruža određenu uslugu. Međutim, kada je šteta napravljena pitanje odgovornosti postaje sekundarno. 

To je ono što mi pokušavamo da predvidimo i sprečimo ojačavajući sisteme za detektovanje i rano reagovanje na propuste u kompletnom ekosistemu jedne kompanije, kako na internom, tako i na eksternom nivou, t.j. nivou trećih strana.