Seorang eksekutif senior CrowdStrike telah meminta maaf di hadapan komite pemerintah Amerika Serikat atas pemadaman listrik pada tanggal 19 Juli yang mengakibatkan sistem TI di seluruh dunia mogok dan menampilkan layar biru kematian yang ditakuti setelah perusahaan tersebut meluncurkan pembaruan yang salah secara langsung.
Insiden yang terjadi di Inggris pada dini hari itu bermula ketika CrowdStrike mengeluarkan pembaruan untuk platform deteksi ancaman Falcon, tetapi karena adanya bug pada alat validasi konten otomatisnya, templat yang memuat data konten yang “bermasalah” tersebut telah disetujui untuk digunakan.
Hal ini pada gilirannya menyebabkan kondisi memori yang tidak terikat yang menyebabkan komputer Windows yang menerima pembaruan memasuki siklus boot. Ini berarti perangkat yang terpengaruh memulai ulang tanpa peringatan selama proses startup sehingga tidak dapat menyelesaikan siklus boot secara lengkap.
Kekacauan yang dihasilkan melumpuhkan 8,5 juta komputer untuk waktu yang singkat dan memengaruhi organisasi di seluruh dunia, dengan dampak yang sangat terasa di sektor transportasi dan penerbangan.
Dalam sambutan pembukaan di hadapan Komite Keamanan Dalam Negeri DPR di Washington DC, Adam Meyers, wakil presiden senior CrowdStrike untuk operasi kontra-musuh, mengatakan bahwa organisasi tersebut mengecewakan pelanggannya saat mengeluarkan pembaruan yang salah.
“Atas nama semua orang di CrowdStrike, saya ingin meminta maaf. Kami sangat menyesal atas kejadian ini dan bertekad untuk mencegahnya terjadi lagi,” kata Meyers.
“Kami menghargai upaya luar biasa sepanjang waktu dari para pelanggan dan mitra kami yang, bekerja bersama tim kami, segera bergerak untuk memulihkan sistem dan membuat banyak sistem kembali online dalam hitungan jam. Saya dapat meyakinkan Anda bahwa kami terus menangani hal ini dengan rasa urgensi yang tinggi.”
Ia melanjutkan: “Secara lebih luas, saya ingin menggarisbawahi bahwa ini bukanlah serangan siber dari pelaku ancaman asing. Insiden tersebut disebabkan oleh pembaruan konten respons cepat CrowdStrike. Kami telah mengambil langkah-langkah untuk membantu memastikan bahwa masalah ini tidak dapat terulang, dan dengan senang hati kami laporkan bahwa, per 29 Juli, sekitar 99% sensor Windows telah kembali online.
“Sejak kejadian ini, kami telah berupaya untuk bersikap transparan dan berkomitmen untuk belajar dari apa yang terjadi,” kata Meyers. “Kami telah melakukan peninjauan menyeluruh terhadap sistem kami dan mulai menerapkan rencana untuk memperkuat prosedur pembaruan konten kami sehingga kami bangkit dari pengalaman ini sebagai perusahaan yang lebih kuat. Saya dapat meyakinkan Anda bahwa kami akan mengambil pelajaran dari insiden ini dan menggunakannya untuk menginformasikan pekerjaan kami saat kami meningkatkan diri untuk masa mendatang.”
Andrew Garbarino, anggota dan ketua Subkomite Keamanan Siber dan Perlindungan Infrastruktur, mengatakan: “Skala besar kesalahan ini mengkhawatirkan. Jika pembaruan rutin dapat menyebabkan gangguan tingkat ini, bayangkan saja apa yang dapat dilakukan oleh aktor negara bangsa yang terampil dan bertekad.
“Kita tidak boleh melupakan bagaimana insiden ini memengaruhi lingkungan ancaman yang lebih luas,” katanya. “Tidak diragukan lagi, musuh kita telah menilai respons, pemulihan, dan tingkat ketahanan kita yang sebenarnya.
“Namun, musuh kita bukan hanya negara-negara dengan kemampuan siber yang canggih – mereka termasuk berbagai aktor siber jahat yang sering kali memanfaatkan ketidakpastian dan kebingungan yang muncul[s] selama pemadaman TI skala besar,” kata Garbarino.
“CISA [the US Cybersecurity and Infrastructure Security Agency] mengeluarkan pernyataan publik yang menyatakan bahwa mereka telah mengamati pelaku kejahatan siber memanfaatkan insiden ini untuk melakukan phishing dan aktivitas jahat lainnya. Jelas bahwa pemadaman ini menciptakan lingkungan yang menguntungkan dan siap dieksploitasi oleh pelaku kejahatan siber.”
Gangguan yang disebabkan
Ketua komite Mark Green menyoroti gangguan pada penerbangan, layanan darurat, dan prosedur medis, tidak hanya di AS tetapi di seluruh dunia. “Gangguan TI global yang memengaruhi setiap sektor ekonomi adalah bencana yang kita harapkan akan terlihat dalam sebuah film,” katanya. “Itu adalah sesuatu yang kita harapkan akan dilakukan dengan hati-hati oleh aktor negara-bangsa yang jahat dan canggih.
“Lebih parahnya lagi, gangguan TI terbesar dalam sejarah terjadi karena kesalahan,” kata Green. “Dalam kasus ini, validator konten CrowdStrike yang digunakan untuk sensor Falcon tidak menemukan bug dalam berkas saluran. Tampaknya juga pembaruan tersebut mungkin tidak diuji dengan tepat sebelum dikirim ke bagian paling sensitif dari sistem operasi komputer. Kesalahan memang bisa terjadi, tetapi kita tidak boleh membiarkan kesalahan sebesar ini terjadi lagi.”
Selama kesaksiannya, Meyers juga memaparkan rincian mengenai hakikat pasti masalah tersebut, dan menjabarkan langkah-langkah yang telah diambil CrowdStrike untuk memastikan hal tersebut tidak akan terjadi lagi, meskipun ia hanya mengungkapkan sedikit informasi yang belum dipublikasikan.
Dia menghadapi pertanyaan selama hampir satu setengah jam dari politisi AS, termasuk interogasi tentang dukungan apa yang diberikan CrowdStrike kepada operator infrastruktur nasional penting (CNI) yang terkena dampak pemadaman, dan pengamatannya sendiri tentang eksploitasi waktu henti oleh penjahat dunia maya.
Akses kernel
Yang penting, Meyers membela perlunya CrowdStrike untuk memiliki akses ke kernel Microsoft, bagian inti dari sistem operasi Microsoft Windows, yang mengelola berbagai sumber daya dan proses pada sistem dan sering kali menjadi tuan rumah aplikasi keamanan cyber penting, termasuk deteksi titik akhir Falcon dan sensor respons.
Setelah insiden tersebut, beberapa orang mengklaim bahwa mengizinkan akses semacam itu oleh Microsoft adalah tindakan yang berbahaya, dan praktik yang lebih baik adalah menerapkan pembaruan semacam itu langsung kepada pengguna.
“CrowdStrike adalah salah satu dari banyak vendor yang menggunakan arsitektur kernel Windows – yang merupakan arsitektur kernel terbuka, sebuah keputusan yang dibuat oleh Microsoft untuk memungkinkan sistem operasi mendukung berbagai jenis perangkat keras dan sistem yang berbeda,” kata Meyers.
“Kernel bertanggung jawab atas area-area utama tempat Anda dapat memastikan kinerja, tempat Anda dapat memiliki visibilitas terhadap segala sesuatu yang terjadi pada sistem operasi tersebut, tempat Anda dapat menyediakan penegakan – dengan kata lain, pencegahan ancaman – dan untuk memastikan anti-perusakan, yang merupakan perhatian utama dari perspektif keamanan siber,” katanya. “Anti-perusakan sangat memprihatinkan karena ketika pelaku ancaman memperoleh akses ke suatu sistem, mereka akan berusaha menonaktifkan alat keamanan, dan untuk mengidentifikasi bahwa hal itu sedang terjadi, visibilitas kernel diperlukan.
“Driver kernel merupakan komponen kunci dari setiap produk keamanan yang dapat saya pikirkan,” tambah Meyers. “Apakah mereka melakukan sebagian besar pekerjaan mereka di kernel atau tidak, tergantung pada vendornya, tetapi mencoba mengamankan sistem operasi tanpa akses ke kernel akan sangat sulit.”
