Mener det er mulig å unngå reprise av Crowdstrike-feilen

En løsning fra Linux kan bidra til å redde Windows-maskiner fra BSOD, mener fire dataingeniører. De mener eBPF vil bety sikrere drift av datasystemer.

Feil som denne kunne vært unngått, dersom sikkerhetssystemet ikke hadde operert på kernel-nivå, mener fire dataingeniører. De peker på en annen løsning som kan hindre repriser av Crowdstrikefeilen. 📸: Anna Moneymaker / Getty Images / AFP / NTB
Feil som denne kunne vært unngått, dersom sikkerhetssystemet ikke hadde operert på kernel-nivå, mener fire dataingeniører. De peker på en annen løsning som kan hindre repriser av Crowdstrikefeilen. 📸: Anna Moneymaker / Getty Images / AFP / NTB Vis mer

– No More Blue Fridays, lover blant andre dataingeniøren Brendan Gregg hos Intel.

«Blue Fridays» spiller i denne sammenheng på alle de blå skjermene som lyste opp sist fredag. «Blue Screen of Death» (BSoD) ble det visuelle utslaget da 8,5 millioner Windows-maskiner ble utsatt for en feil i en sikkerhetsløsning fra Crowdstrike.

Gregg har sammen med tre andre skrevet en bloggpost om hvordan problemet sist fredag kan unngås i framtiden. De tre andre er Daniel Borkmann, Joe Stringer (begge fra Isovalent) og KP Singh fra Google.

– Datamaskiner vil ikke krasje som følge av dårlige softwareoppdateringer i framtiden. Heller ikke når oppdateringene berører koden på kernel-nivå. I framtiden vil slike oppdateringer kunne skje med eBPF-kode, skriver de fire.

Omfattende sikkerhetssjekk

– Om du bruker Linux, er sjansen stor for at du allerede har eBPF tilgjengelig i systemene allerede, enten du vet det eller ei. Der ble det inkludert på kernel-nivå for flere år siden.

Tanken er at løsninger som kjører på eBPF ikke skal kunne krasje hele systemer. Årsaken er at programmene og applikasjonene i praksis kjører i sandbox-modus. En verifier vil i tillegg sjekke om koden er trygg, og stanse programmer som feiler en slik test.

Det er en omfattende sjekk, hvor Linux-versjonen består av nærmere 22.000 linjer med kode. Både bransjen og akademia har bidratt til denne.

– Sikkerheten dette bidrar med er en av de viktigste fordelene med eBPF, skriver de fire.

Snart også for Windows

I posten trekker de fram at flere med små sikkerhetsselskaper har bygd opp løsninger med utgangspunkt i eBPF. I tillegg har Cisco og Cloudflare tatt det i bruk, samtidig som både Google og Meta baserer seg på dette for å avsløre problemer, og løse dem.

Det pågår også et arbeid med å utvikle eBPF-støtte for Windows. Dermed nærmer det seg også en mulighet for at sikkerhetssystemer også skal kunne kjøre på en måte som gjør at det blir umulig for dem å krasje en Windows kernel.

De understreker også at løsningen også har sine svakheter, men at det å løse feil i koden til eBPF løser feilen for alle som bruker den, og at det raskere vil kunne forbedre sikkerheten til alle.

Artem Dinaburg hos Trail of Bits er en av dem som har påpekt svakhetene i eBPF når det kommer til sikkerhet, blant annet i fjor høst. Samtidig er det løsninger for mange av utfordringene mener han, noe som har også forklarer i samme innlegg.

Underkommunisert risiko

Etter problemene mener flere eksperter innen datasikkerhet at risikoen for systemfeil er underkommunisert.

– Dette viser hvor sårbare vi er for enkle feil, sa Gøran Brevik til VG. Han mener sannsynligheten for at slike hendelser kan skje, er økende.

– Dette vil skje igjen, sa Per Øyvind Thorsheim til NRK. Thorsheim er sikkerhetskonsulent for det nordiske IT-selskapet Tietoevry,

Også Nasjonal sikkerhetsmyndighet (NSM) har påpekt at fredagens hendelse viser hvor viktig det er at virksomheter har gode beredskapsplaner.

– Samtidig viser den hvordan virksomheter er sårbare for feil og svakheter i leverandørkjeder, sa seksjonsleder Geir Andrew Trotter i Nasjonalt cybersikkerhetssenter i NSM i en kommentar tidligere fredag.