دنیا در کام صفحه آبی مرگ؛ چطور یک بهروزرسانی ساده جهان را به آشوب کشید
دنیا در کام صفحه آبی مرگ؛ چطور یک بهروزرسانی ساده جهان را به آشوب کشید
صبح جمعه، ۱۹ جولای (۲۹ تیر)، یک بهروزرسانی ظاهراً عادی از سمت شرکت آنتیویروس آمریکایی CrowdStrike بخش بزرگی از دنیا را به هرجومرج انداخت. تعداد زیادی از بزرگترین خطوط هوایی، پخشکنندگان برنامههای تلویزیونی، بانکها، بیمارستانها، شرکتهای بیمه، سوپرمارکتها و بسیاری از کسبوکارها و خدمات حیاتی دیگر در سراسر جهان دچار قطعی گسترده شدند و انبوهی از دستگاههای ویندوزی دنیا در کام صفحهی آبی مرگ فرو رفتند.
از حادثهی روز جمعه بهعنوان بزرگترین اختلال IT تاریخ یاد میشود؛ چراکه بهسختی میتوان حادثهی مشابهای را به خاطر آورد که تا این اندازه شرکتها و سرویسهای سراسر جهان را دچار مشکل کرده باشد. ابعاد این قطعی بهحدی گسترده بود که رسانههای خبری در عرض یک ساعت پس از شروع خبررسانی، مجبور به توقف بهروزرسانی فهرست شرکتهای آسیبدیده شدند، چون هر لحظه نام چندین شرکت به فهرست اضافه میشد و ردیابی تمام آنها تقریباً غیرممکن بود.
پای مایکروسافت اشتباهی بهعنوان مقصر به ماجرا باز شد
بهاحتمال زیاد نام شرکت CrowdStrike را تا پیش از این حادثه نشنیده باشید؛ اما کاری که این شرکت با نرمافزار ویروسیاب Falcon خود انجام داد، تأثیر فوقالعاده ناخوشایندی بر میلیونها کامپیوتر ویندوزی گذاشت.
از آنجا که این قطعی فقط دستگاههای ویندوزی را درگیر کرد و کاربران اپل و لینوکس جان سالم بهدر بردند، پای مایکروسافت اشتباهی بهعنوان مقصر به ماجرا باز شد و نزدیک بود پایان ناراحتکنندهای در انتظار ارزش سهامش باشد؛ اما ردموندیها با واکنش سریع، تأکید کردند که مشکل از سمت آنها نیست تا ارزش سهام مایکروسافت تنها یک درصد افت کند؛ درحالیکه شرکت CrowdStrike، مقصر اصلی که تا پیش از این حادثه، حدود ۸۳ میلیارد دلار ارزش داشت، با سقوط ۱۱ میلیارد دلار ارزش بازار روبهرو شد.
شرکت CrowdStrike اعلام کرد که مشکل اکنون «شناسایی، ایزوله و رفع شده است» و هنوز گزارشی مبنیبر خرابکاری عامدانه یا سرقت اطلاعات منتشر نشده؛ بااینحال برگشت تمام سرویسها و کسبوکارهای مختلشده به حالت عادی پروسهای زمانبر خواهد بود که شاید هفتهها طول بکشد.
ماجرای قطعی گستردهی سرویسهای ویندوزی دقیقاً چه بود؟
قطعی سراسری ۱۹ جولای که دسترسی کاربران به خدمات حیاتی بسیاری از سازمانها و کسبوکارها از جمله خطوط هوایی، بانکها و سوپرمارکتها را مختل کرد، به آپدیت معیوب پلتفرم اصلی شرکت CrowdStrike بهنام «فالکون» مربوط میشود. فالکون پلتفرمی مبتنیبر سرورهای ابری است که چندین ابزار و قابلیت امنیتی ازجمله آنتیویروس، حفاظت از نقاط پایانی و نظارت لحظهای را در قالب یک هاب واحد برای جلوگیری از دسترسی غیرمجاز به سیستمهای سازمانی سراسر جهان ارائه میدهد.
جورج کورتز، مدیرعامل CrowdStrike، روز جمعه گفت که این اختلال در اثر نقصی در یکی از بهروزرسانیهای محتوایی برای میزبانهای ویندوزی پیش آمده است و ربطی به حملات سایبری ندارد؛ همچنین دستگاههای مک و لینوکس تحتتأثیر این اختلال قرار نگرفتند، چراکه بهروزرسانی معیوب فقط برای دستگاههای ویندوزی ارائه شده بود.
توصیه مهندسان کامپیوتر: «هیچوقت بهروزرسانیها را روز جمعه انجام ندهید»
بهنظر میرسد این بهروزرسانی، درایور معیوبی را در سطح کرنل ویندوز نصب کرده است که باعث شده سیستمهای آلوده در یک بوتلوپ گیر کنند. برخی سیستمها با پیغام خطای ریکاوری «ظاهراً ویندوز بهدرستی بارگذاری نشده است» و تعداد زیادی با صفحهی آبی مرگ روبهرو شدند.
کوین بومونت، پژوهشگر امنیت سایبری در پستی در شبکهی اجتماعی X نوشت که پس از بررسی نسخهای از بهروزرسانی معیوب CrowdStrike، به این نتیجه رسیده که فایل بهدرستی فرمت نشده است و باعث میشود ویندوز هر بار کرش کند. او در پست دیگری نوشت که راهحل خودکاری برای رفع این مشکل وجود ندارد و دستگاههای درگیر لازم است بهطور دستی ریبوت شوند. برادی نیسبت، مدیر ناظر CrowdStrike نیز در X نوشت که فایل معیوب C-00000291*.sys باید در حالت Safe Mode ویندوز، از سیستم حذف شود.
به زبان ساده، نرمافزاری که قرار بود از بروز خرابی و اختلال در سیستمهای کامپیوتری دنیا جلوگیری کند، خودش آنها را از کار انداخت. البته وقتشناسی هم مهم است؛ قانون نانوشتهای بین مهندسان کامپیوتر وجود دارد که میگوید «هیچوقت بهروزرسانیها را روز جمعه انجام ندهید.» به این دلیل که اگر مشکلی پیش بیاید و رفع آن زمانبر باشد، افرادی که آخر هفته سر کار باشند و بتوانند مشکل را رفع کنند، بسیار کمترند.
کراداسترایک نهایتاً دربارهی جزئیات فنی آپدیت روز جمعه اینطور توضیح داد:
فایلهای پیکربندی بهعنوان فایلهای کانال (Channel Files) شناخته میشوند و جزء مکانیزمهای محافظت رفتاری بهشمار میروند که حسگر Falcon از آنها استفاده میکند. بهروزرسانیهای فایلهای کانال، بخشی عادی از عملکرد حسگر هستند و هر روز چند بار ازطریق CrowdStrike منتشر میشوند. این فرایند جدیدی نیست و از زمان شروع Falcon اجرا شده است.
آپدیتی که CrowdStrike برای پیکربندی حسگر Falcon برای سیستمهای ویندوزی منتشر کرد، اگرچه فرایند جدیدی نبود، اما این بار باعث ایجاد خطایی منطقی و نمایش صفحهی آبی مرگ در سیستمهای تحتتأثیر شد. در ضمن، این بهروزرسانی بدون توجه به هرگونه تنظیماتی که برای جلوگیری از آپدیت خودکار پیشبینی شده باشد، منتشر شد.
اختلال روز جمعه نشان داد که چقدر دنیا به دستگاههایی وابسته است که از راه دور توسط شرکتهای بزرگ فناوری مدیریت میشوند و چطور در مواجهه با مشکلات مربوط به این دستگاهها، دنیا کاملاً ناتوان است.
ابعاد هولناک فاجعه؛ چه سازمانها و سرویسهایی دچار اختلال شدند؟
بانکهای هنگکنگ، بیمارستانهای بریتانیا، خطوط هواپیمایی آمریکا؛ اورژانس آلاسکا، خبرگزاریهای استرالیا، پلتفرمهای متا، فروشگاههای زنجیرهای و استارباکس و کارخانهی تسلا؛ ابعاد این اختلال چندساعته بهقدری گسترده است که آلن وودوارد، استاد امنیت سایبری دانشگاه ساری انگلیس به بلومبرگ گفت: «این اتفاق بیسابقه است. تأثیر اقتصادی آن بسیار زیاد خواهد بود.»
بهطور کلی، اختلال CrowdStrike بخش بزرگی از سازمانها و سرویسهای سراسر دنیا ازجمله بیمارستانها، آژانسهای دولتی، خطوطهای هوایی، بانکها، شرکتهای خودروسازی، رسانهها و شرکتهای بزرگی چون متا و FedEx را درگیر کرد.
منبع : زومیت