В прошлую пятницу крупный сбой в работе CrowdStrike затронул компьютеры под управлением Microsoft Windows, вызвав проблемы по всему миру, затронувшие авиакомпании, розничные торговцы, банки, больницы, железнодорожные сети и многие другие. Компьютеры зависали в непрерывных циклах восстановления, что делало их непригодными для использования.

Сбой был вызван обновлением антивирусного программного обеспечения CrowdStrike Falcon, которое автоматически устанавливалось на ПК с Windows 10, но машины Mac и Linux не пострадали, хотя они получили одно и то же программное обеспечение. Отчет The Wall Street Journal углубляется в то, что произошло, и включает некоторую важную информацию от Microsoft о том, почему обновление не удалило компьютеры Mac.

На компьютерах с ОС Windows программное обеспечение безопасности Falcon от CrowdStrike представляет собой модуль ядра, который предоставляет программному обеспечению полный доступ к ПК. Ядро управляет памятью, процессами, файлами и устройствами и, по сути, является сердцем операционной системы. Большая часть программного обеспечения на ПК обычно ограничена пользовательским режимом, где плохой код не может причинить вреда, но программное обеспечение с доступом в режиме ядра может вызвать катастрофические сбои машины, как это произошло на прошлой неделе.

Программное обеспечение Falcon не смогло нанести аналогичный ущерб компьютерам Mac, поскольку Apple не предоставляет производителям программного обеспечения доступ к ядру. В macOS Catalina, вышедшей в 2019 году, Apple отказалась от расширений ядра и перешла на системные расширения, которые работают в пользовательском пространстве, а не на уровне ядра. Это изменение сделало компьютеры Mac более стабильными и безопасными, добавив защиту от нестабильных обновлений программного обеспечения, подобных тому, которое выпустила CrowdStrike. На Mac не может возникнуть подобная ошибка из-за изменений, внесенных Apple.

В заявлении для The Wall Street Journal Microsoft обвинила Европейскую комиссию в неспособности предложить ту же защиту, что и Mac. Microsoft заявила, что не может изолировать свою операционную систему из-за «договоренности» с Европейской комиссией. Еще в 2009 году Microsoft согласилась с правилами совместимости, которые предоставляют сторонним приложениям безопасности тот же уровень доступа к Windows, что и Microsoft. Microsoft согласилась предоставить доступ к ядру, чтобы решить многочисленные давние проблемы с законодательством о конкуренции в Европе.

Apple не была вынуждена вносить изменения в работу компьютеров Mac, но Европейская комиссия нацелилась на закрытость iOS, и Apple предупредила, что уже реализованные обновления могут привести к угрозам безопасности в будущем. Закон Европейского Союза о цифровых рынках подтолкнул Apple разрешить разработчикам предлагать приложения через сторонние торговые площадки и веб-сайты. Apple прямо заявляет, что DMA ставит под угрозу ее способность «обнаруживать, предотвращать и принимать меры против вредоносных приложений».

Крупный сбой CrowdStrike, затронувший ПК с Windows, подчеркивает некоторые непредвиденные последствия и компромиссы, присущие законодательству, которое ослабляет безопасность во имя открытого доступа. Простое обновление программного обеспечения CrowdStrike повлияло на глобальную инфраструктуру, остановив путешествия, торговлю и здравоохранение.

Похоже, у Microsoft нет способа остановить повторение, поскольку она не может отключить доступ к ядру. Компания заявляет, что серьезные инциденты «происходят нечасто» и что пострадало менее одного процента всех компьютеров с Windows. CrowdStrike заявляет, что «глубоко сожалеет о неудобствах и сбоях» и что в будущем она поделится шагами, которые она предпринимает для предотвращения подобной ситуации.