В прошлую пятницу крупный сбой CrowdStrike затронул ПК с операционной системой Microsoft Windows, вызвав проблемы по всему миру, повлиявшие на авиакомпании, розничных продавцов, банки, больницы, железнодорожные сети и многое другое. Компьютеры зависали в циклах восстановления, делая их непригодными для использования.

Сбой был вызван обновлением антивирусного программного обеспечения CrowdStrike Falcon, которое автоматически установилось на ПК с Windows 10, но компьютеры Mac и Linux не пострадали, хотя и получили то же программное обеспечение. В отчете издания The Wall Street Journal подробно описывается произошедшее и содержится важная информация от Microsoft о том, почему обновления не затронули Mac.

На компьютерах Windows программное обеспечение безопасности CrowdStrike Falcon является модулем ядра, что дает программе полный доступ к ПК. Ядро управляет памятью, процессами, файлами и устройствами, и это, по сути, сердце операционной системы. Большая часть программного обеспечения на ПК обычно ограничена пользовательским режимом, где вредоносный код не может причинить вред, но программное обеспечение с доступом к режиму ядра может вызвать катастрофические сбои всей машины, как это произошло на прошлой неделе.

Программное обеспечение Falcon не смогло нанести подобного ущерба Mac, поскольку Apple не предоставляет разработчикам программного обеспечения доступ к ядру. В macOS Catalina, выпущенной в 2019 году, Apple прекратила поддержку расширений ядра и перешла на системные расширения, которые работают в пользовательском пространстве, а не на уровне ядра. Это изменение сделало Mac более стабильными и безопасными, обеспечив защиту от нестабильных обновлений программного обеспечения, подобных тому, которое выпустила CrowdStrike. Из-за этого изменения, внесенного Apple, на Mac не может произойти подобный сбой.

В заявлении для The Wall Street Journal Microsoft обвинила Еврокомиссию в невозможности предоставить такую же защиту, как у Mac. Microsoft заявила, что не может изолировать свою операционную систему из-за «договоренности» с Еврокомиссией. Еще в 2009 году Microsoft согласилась с правилами интероперабельности, которые предоставляют сторонним приложениям безопасности такой же уровень доступа к Windows, какой имеет сама Microsoft. Microsoft согласилась предоставить доступ к ядру, чтобы урегулировать многочисленные давние проблемы антимонопольного законодательства в Европе.

Apple не была вынуждена вносить изменения в работу Mac, но Еврокомиссия нацелилась на закрытость iOS, и Apple предупреждает, что обновления которые уже были реализованы, могут привести к рискам безопасности в будущем. Закон Европейского Союза о цифровых рынках (Digital Markets Act) побудил Apple разрешить разработчикам предлагать приложения через сторонние магазины и веб-сайты. Apple прямо заявляет, что DMA ставит под угрозу ее способность «обнаруживать, предотвращать и принимать меры против вредоносных приложений».

Крупный сбой CrowdStrike, затронувший ПК с Windows, подчеркивает некоторые непреднамеренные последствия и компромиссы, присущие законодательству, которое ослабляет безопасность во имя открытого доступа. Простое обновление программного обеспечения CrowdStrike повлияло на глобальную инфраструктуру, остановив транспорт, торговлю и здравоохранение.

Microsoft, похоже, не имеет способа предотвратить повторение сбоя, поскольку не может ограничить доступ к ядру. Компания заявляет, что серьезные инциденты «редки» и что было затронуто менее одного процента всех машин с Windows. CrowdStrike заявляет, что «глубоко сожалеет о неудобствах и нарушениях», и что в будущем компания поделится шагами, которые она предпринимает для предотвращения подобных ситуаций.