28 Февраля 2017 17:07 28 Фев 2017 17:07 |

Поделиться

Десятки тысяч «хромбуков» по всему миру перестали работать после обновления ПО

Катастрофическое обновление Chrome OS

Множество хромбуков перестало работать после того, как Google обновила операционную систему Chrome OS до 56 версии. Устройства не смогли выполнить вход в систему. Одновременно с этим многие ПК, на которых установлен браузер Google Chrome, после его обновления до 56 версии потеряли доступ к интернету. Проблема заключается в том, что с последним обновлением Google конфликтует защитное решение компании BlueCoat, которая была приобретена Symantec в августе 2016 г.

Количество пораженных устройств исчисляется «десятками тысяч», сообщает ресурс ZDnet. Издание приводит в качестве примера школы округа Монтгомери, штат Мэриленд, США. Совокупно эти школы используют примерно 120 тыс. хромбуков и в несколько раз большее количество ПК, на которых уставлен Google Chrome. После обновления до 56 версии, более 30% школьных хромбуков не смогли выполнить вход в систему, а часть ПК потеряла доступ к интернету. Отметим, что хромбуки, которые позиционируются как ПК для образовательных целей, очень популярны в школах разных стран.

Технические причины

Средство сетевой защиты BlueCoat предназначено для обеспечения безопасного доступа к интернет-ресурсам. Решение защищает от различных сетевых угроз, в частности, программ-шпионов, фишинговых сайтов, P2P-трафика и нежелательного контента. BlueCoat позволяет ограничить некоторым категориям пользователей – например, детям – доступ к ряду ресурсов, что делает это ПО востребованным в школах.

BlueCoat представляет собой веб-прокси, которая контролирует канал связи по принципу «человек посередине» (MitM). Программа использует технологию ProxySG для проверки шифрования контента по протоколам SSL и транспортного уровня (TLS). При этом BlueCoat не поддерживает последнюю версию протокола TLS 1.3.

Хромбуки, предназначенные для образовательных целей, пользуются популярностью в школах разных стран

TLS 1.3 отличается от TLS 1.2 тем, что блокирует дополнительные виды атак и обеспечивает более быстрое соединение. Скорость выполнения запроса возрастает за счет того, что его маршрут сокращается на один цикл. В результате веб-страница загружается на 20% быстрее, чем в прежних версиях протокола.

TLS 1.3 уже поддерживается такими браузерами как Mozilla Firefox, Google Chrome и Opera. Microsoft и Apple внедряют возможность работы с новым протоколом в Internet Explorer 11, Edge и Safari. Последние обновления продуктов Google расширили поддержку TLS 1.3, в частности, сделали его протоколом по умолчанию, в результате чего и возник конфликт с защитным решением от Symantec.

Google и Mozilla сообщали ранее, что предвидят возникновение проблем при повсеместном внедрении TLS 1.3, поскольку результаты проверок различных вендоров на предмет поддержки TLS пока что неутешительны. Многие продукты для антивирусной и сетевой защиты отменяют или дешифруют TLS-сессию, запущенную клиентом, анализируют содержащийся внутри HTTP-текст, а потом заново устанавливают соединение с заданным сайтом. При этом сертификаты безопасности оцениваются неправильно, что может приводить к сбоям в работе защитных систем.

Некоторые решения для сетевой защиты, в том числе BlueCoat, просто выдают сбой в работе, когда сталкиваются с TLS 1.3. Например, когда Google Chrome пытается установить соединение по этому протоколу, BlueCoat делает так, что соединение зависает.

Кто виноват и что делать

Проблему можно решить, переключив Google Chrome 56 с протокола TLS 1.3 на TLS 1.2. Для этого нужно использовать комбинацию chrome://flags/#ssl-version-max, которая откроет окно выбора протокола, где следует переставить отметку с «По умолчанию» на «TLS 1.2». Однако это можно сделать только вручную, и решение будет работать только до конца текущего пользовательского сеанса. Никакого патча, который смог бы одновременно вернуть в норму тысячи хромбуков и ПК, пока нет.

Google предприняла меры для решения проблемы. Компания сделала так, что Google Chrome получает инструкцию перейти с протокола TLS 1.3 на TLS 1.2, как только выходит в сеть. Чтобы это сделать, веб-прокси нужно настроить так, чтобы она не перехватывала TLS-трафик, пока все устройства не обновятся. Хромбуку для этого достаточно просто выйти в сеть, но другому ПК нужно зайти на сайт Google, вроде Gmail, который требует регистрации, а ее у пользователя может и не быть. Компания сообщает, что все Chrome OS 56 или Chrome 56, которые будут установлены сейчас, уже используют по умолчанию TLS 1.2, поэтому должны работать нормально с любыми защитными решениями. Протокол TLS 1.3 будет вновь установлен по умолчанию даже на в 57-ой версии Google Chrome, которая скоро выйдет, а в 58-ой.

В массовом отказе хромбуков Google винит исключительно BlueCoat, утверждая, что разработчики были поставлены в известность об использовании TLS 1.3 несколько месяцев назад, но не протестировали свой продукт, как предписывала инструкция. Symantec сообщила, что «была извещена о возможных проблемах с TLS 1.3 на некоторых устройствах», и сейчас расследует происшествие.

Валерия Шмырова

Поделиться

Подписаться на новости Короткая ссылка