微軟藍(lán)屏事故背后：一個(gè)小文件是如何讓全球計(jì)算機(jī)癱瘓的

核心提示：

1.一個(gè)只夠容納一個(gè)網(wǎng)頁(yè)圖像的文件居然引發(fā)了世界上最大的 IT 中斷事故。

2.CrowdStrike 在追求速度、更大利潤(rùn)的同時(shí)，犧牲了基本的安全原則。

3.麻煩的是，CrowdStrike 的修復(fù)程序需要手動(dòng)修復(fù)，耗時(shí)耗力。

4.這次事故不禁讓人反省，少數(shù)公司控制網(wǎng)絡(luò)安全行業(yè)存在的風(fēng)險(xiǎn)。

周五，當(dāng)英國(guó)國(guó)民保健署 (NHS) 的醫(yī)生、倫敦帝國(guó)理工學(xué)院教授布倫丹?德萊尼 (Brendan Delaney) 出現(xiàn)在他的倫敦診所時(shí)，他原以為這一天會(huì)忙得不可開(kāi)交。

兩個(gè)月前，倫敦東南部的醫(yī)院和診所遭受了毀滅性的網(wǎng)絡(luò)攻擊?，F(xiàn)在，像德萊尼這樣的醫(yī)生終于開(kāi)始感到工作恢復(fù)正常了。他們可以再次發(fā)送緊急血液檢測(cè)。網(wǎng)絡(luò)安全專(zhuān)家在修復(fù)和更換之前被黑客犯罪團(tuán)伙關(guān)閉的信息技術(shù)系統(tǒng)方面，并取得了進(jìn)展。

然而，就在他到達(dá)診所時(shí)，他看到前臺(tái)正在匆忙地收集紙質(zhì)記事本，查詢(xún)業(yè)務(wù)連續(xù)性計(jì)劃。原來(lái)，英格蘭醫(yī)生用來(lái)查看病人病歷的一個(gè)系統(tǒng)突然失靈了。

這一次，問(wèn)題不是源自勒索軟件團(tuán)伙，而是出在一家為了保護(hù)人們免受黑客攻擊的公司，它就是全球最大網(wǎng)絡(luò)安全軟件制造商之一的 CrowdStrike Holdings CrowdStrike 推送了一個(gè)有缺陷的更新，引發(fā)了全球 IT 系統(tǒng)崩潰，導(dǎo)致全球機(jī)場(chǎng)、銀行、證券交易所和企業(yè)陷入癱瘓。

小文件大破壞

令人難以置信的是，一個(gè)很小的文件 (專(zhuān)家稱(chēng)只夠容納一個(gè)網(wǎng)頁(yè)圖像) 居然導(dǎo)致了世界上最大的 IT 中斷事故。這個(gè)名為“C-00000291*.sys”的文件隱藏在 CrowdStrike 的 Falcon sensor 安全產(chǎn)品更新中。該問(wèn)題文件在微軟公司的 Windows 操作系統(tǒng)中引發(fā)了一個(gè)錯(cuò)誤，導(dǎo)致計(jì)算機(jī)無(wú)法正常工作，并觸發(fā)了可怕的“藍(lán)屏死機(jī)”。

這一事件以前所未有的規(guī)模暴露了全球 IT 系統(tǒng)的脆弱性，并凸顯出如此多的組織和個(gè)人依賴(lài)于少數(shù)幾家科技公司存在的危險(xiǎn)性。如果其中一家公司出現(xiàn)故障或遭到黑客攻擊，其后果可能波及全球經(jīng)濟(jì)的大片領(lǐng)域。微軟憑借其 Windows 操作系統(tǒng)主導(dǎo)了個(gè)人電腦業(yè)務(wù)，而 CrowdStrike 已成為數(shù)千家公司和組織的首選供應(yīng)商，后者希望保護(hù)其最重要系統(tǒng)免受網(wǎng)絡(luò)攻擊。

知名研究公司 IDC 的數(shù)據(jù)顯示，CrowdStrike 是僅次于微軟的第二大“現(xiàn)代終端保護(hù)”軟件開(kāi)發(fā)商，在規(guī)模為 126 億美元的市場(chǎng)中占有 18% 的份額。這家總部位于美國(guó)得州奧斯汀的公司向全球 2.9 萬(wàn)家機(jī)構(gòu)銷(xiāo)售其產(chǎn)品，所以此次宕機(jī)可能會(huì)影響數(shù)百萬(wàn)臺(tái)電腦。這些電腦可能需要數(shù)周或更長(zhǎng)時(shí)間才能重新恢復(fù)正常，因?yàn)樗鼈儽仨毷止ば迯?fù)。

“這真是一團(tuán)糟，”前 NHS 醫(yī)生、網(wǎng)絡(luò)安全和公共衛(wèi)生專(zhuān)家賽義夫?阿比德 (Saif Abed) 表示，“Crowdstrike 影響到了微軟，而整個(gè) NHS 都依賴(lài)于微軟，制造了一個(gè)潛在故障連續(xù)爆發(fā)的多米諾骨牌效應(yīng)。”

如何發(fā)生的？

上周五，隨著宕機(jī)事故從亞洲和澳大利亞蔓延到歐洲和美國(guó)，CrowdStrike 聯(lián)合創(chuàng)始人兼 CEO 喬治?庫(kù)爾茨 (George Kurtz) 為這一錯(cuò)誤道歉。“這不是安全事件或網(wǎng)絡(luò)攻擊，”他說(shuō)，“這個(gè)問(wèn)題已經(jīng)被發(fā)現(xiàn)、隔離，并且已經(jīng)部署了修復(fù)程序?！?/strong>

庫(kù)爾茨沒(méi)有具體說(shuō)明這個(gè)漏洞是如何出現(xiàn)在軟件更新中的。但是，一些長(zhǎng)期批評(píng)網(wǎng)絡(luò)安全行業(yè)的人士已經(jīng)有了一套可以說(shuō)得通的理論。他們說(shuō)，CrowdStrike 和其他網(wǎng)絡(luò)安全公司在追求更大利潤(rùn)和試圖安撫股東的同時(shí)，犧牲了基本、枯燥的安全原則。

“現(xiàn)在是行業(yè)成長(zhǎng)，放慢腳步的時(shí)候了，”總部位于愛(ài)丁堡的安全服務(wù)公司 Quorum Cyber 的創(chuàng)始人兼 CEO 費(fèi)德里科?查羅斯基 (Federico Charosky) 表示，“有些開(kāi)發(fā)商在某個(gè)地方做出了改變，卻沒(méi)有分析這種改變會(huì)產(chǎn)生什么影響。為了追求速度，他們顯然缺乏質(zhì)量保證和測(cè)試，走了捷徑。這表明，我們對(duì)運(yùn)行一切事物所必不可少的技術(shù)的完全信任是錯(cuò)誤的?！?/p>

重蹈覆轍

周五發(fā)生的一切非常罕見(jiàn)，但 CrowdStrike CEO 庫(kù)爾茨卻不陌生。2010 年，他還是殺毒軟件先驅(qū) McAfee 的首席技術(shù)官。那年 4 月，McAfee 發(fā)布了一個(gè)更新，錯(cuò)誤地將一個(gè)合法的 Windows 文件標(biāo)記為感染文件，癱瘓了世界各地醫(yī)院、學(xué)校和政府機(jī)構(gòu)的計(jì)算機(jī)。

McAfee 時(shí)任 CEO 戴夫?德沃爾特 (Dave DeWalt) 稱(chēng)，該公司在 16 分鐘后就撤銷(xiāo)了這個(gè)有缺陷的更新，但那時(shí)，它已經(jīng)安裝在 1600 多家客戶(hù)的電腦上。德沃爾特現(xiàn)在經(jīng)營(yíng)著一家專(zhuān)注于網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)投資公司。他在接受采訪時(shí)說(shuō)：“我們?cè)谀翘鞊p失了大約 40% 的市值。”德沃爾特還說(shuō)，公司派出了近 4000 名員工乘飛機(jī)幫助受影響的客戶(hù)從事故中恢復(fù)過(guò)來(lái)。

McAfee 最終走出了危機(jī)，但當(dāng)時(shí)的員工稱(chēng)這起事故是一種極大的創(chuàng)傷和恥辱。四個(gè)月后，英特爾宣布收購(gòu) McAfee。

網(wǎng)絡(luò)行業(yè)觀察人士想知道，CrowdStrike 是否會(huì)從自己的錯(cuò)誤中吸取教訓(xùn)。有人已經(jīng)表示，該公司是在自找麻煩。多年來(lái)，CrowdStrike 一直在抨擊微軟允許黑客侵入其系統(tǒng)，庫(kù)爾茨利用這些漏洞作為自己產(chǎn)品的賣(mài)點(diǎn)。

就在美國(guó)政府發(fā)布報(bào)告，指責(zé)微軟存在“一連串的安全故障”后不久，庫(kù)爾茨突然出擊，在財(cái)報(bào)電話(huà)會(huì)議上向投資者引用了他的調(diào)查結(jié)果，表示微軟的問(wèn)題引發(fā)了潛在客戶(hù)的“大量要求”?！拔④洶踩蛻?hù)群體中的安全和 IT 團(tuán)隊(duì)中存在著廣泛的信任危機(jī)?！彼?dāng)時(shí)表示。

“CrowdStrike 試圖盡可能地抨擊微軟，并從中獲利，”查羅斯基表示，“但是當(dāng)你的公司在全球基礎(chǔ)設(shè)施中占據(jù)如此重要的地位時(shí)，沒(méi)有人能逃脫干系。這就是因果報(bào)應(yīng)。當(dāng)一家公司從創(chuàng)業(yè)公司成長(zhǎng)為重要的國(guó)家基礎(chǔ)設(shè)施企業(yè)時(shí)，它需要采取不同的行動(dòng)，我不知道 CrowdStrike 是否經(jīng)歷了這種轉(zhuǎn)變?！?/p>

“年度惡意軟件”

鑒于 CrowdStrike 造成的破壞程度，一些網(wǎng)絡(luò)評(píng)論人士已經(jīng)將這個(gè)存在缺陷的更新描述為“年度惡意軟件”。這種將其與黑客攻擊進(jìn)行的玩笑式比較在某種程度上是有現(xiàn)實(shí)依據(jù)的。網(wǎng)絡(luò)安全專(zhuān)家說(shuō)，受影響組織的恢復(fù)可能需要數(shù)周或更長(zhǎng)時(shí)間，大致相當(dāng)于大型組織在遭受勒索軟件攻擊后重建網(wǎng)絡(luò)所需的時(shí)間。

讓這些電腦恢復(fù)正常的最大挑戰(zhàn)是，CrowdStrike 的修復(fù)程序需要由具有管理權(quán)限的人手動(dòng)修復(fù)，一臺(tái)電腦接一臺(tái)電腦，這是一個(gè)非常耗時(shí)的過(guò)程，在遠(yuǎn)程工作的時(shí)代尤其困難。

得州普萊諾網(wǎng)絡(luò)安全服務(wù)公司 Accelerynt 的聯(lián)合創(chuàng)始人兼董事長(zhǎng)邁克爾?亨利 (Michael Henry) 稱(chēng)，美國(guó)一家大型零售商的客戶(hù)不得不召集其所有 IT 員工，讓他們晝夜不停地手動(dòng)更新約 6000 臺(tái)受影響的電腦。他說(shuō)，該公司預(yù)計(jì)要花費(fèi)整個(gè)周末時(shí)間來(lái)恢復(fù)關(guān)鍵系統(tǒng)，所有系統(tǒng)完全恢復(fù)上線狀態(tài)需要三周時(shí)間。

“這太瘋狂了。他們正在分類(lèi)，首先關(guān)注關(guān)鍵系統(tǒng)，”亨利說(shuō)，“這是一項(xiàng)零售業(yè)務(wù)，所以他們要確保門(mén)店能夠恢復(fù)運(yùn)營(yíng)。”

亨利有一個(gè)疑問(wèn)，這也是很多人在宕機(jī)事故發(fā)生后都在問(wèn)的問(wèn)題：這是怎么發(fā)生的？

“CrowdStrike 對(duì)全球商業(yè)造成的破壞，比所有勒索軟件攻擊的總和還要大，”他說(shuō)，“這證明了，我們?cè)诒Ｗo(hù)自己而部署的軟件上承擔(dān)了多大的風(fēng)險(xiǎn)：如果這些人出錯(cuò)，他們可能會(huì)毀掉你的業(yè)務(wù)。”

訴訟

庫(kù)爾茨在周五晚些時(shí)候發(fā)表的一份聲明中說(shuō)：“隨著這一事件的解決，我承諾將對(duì)事件發(fā)生的過(guò)程以及我們?yōu)榉乐勾祟?lèi)事件再次發(fā)生所采取的措施提供充分的透明度。我們正在進(jìn)行技術(shù)更新和根本原因分析，并會(huì)公布于眾?！?/p>

網(wǎng)絡(luò)安全和法律專(zhuān)家表示，CrowdStrike 幾乎肯定會(huì)受到起訴、付出經(jīng)濟(jì)成本和其他處罰。這一事件也肯定會(huì)引發(fā)一場(chǎng)新的討論，即權(quán)力和風(fēng)險(xiǎn)日益集中在少數(shù)幾家網(wǎng)絡(luò)安全公司手中存在的問(wèn)題。

按照硅谷的標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全行業(yè)相對(duì)年輕，它是在蠕蟲(chóng)和軟盤(pán)病毒的時(shí)代成長(zhǎng)起來(lái)的。20 年前，它由賽門(mén)鐵克和 McAfee 兩家公司主導(dǎo)，這兩家公司的殺毒產(chǎn)品采用了一種現(xiàn)在看來(lái)有些古怪的策略，即編寫(xiě)“簽名”以阻止已知的惡意軟件菌株。

如今，攻擊者已經(jīng)變得更加先進(jìn)，傳統(tǒng)的殺毒軟件已經(jīng)失寵，導(dǎo)致那些傳統(tǒng)安全廠商退出舞臺(tái)。取而代之的產(chǎn)品能夠檢測(cè) PC 上一系列威脅并自動(dòng)修復(fù)這些威脅。

問(wèn)題在于，這些技術(shù)在很大程度上由微軟和 CrowdStrike 控制。紐約大學(xué)計(jì)算機(jī)科學(xué)教授賈斯汀?卡波斯 (Justin Cappos) 表示，他一直在警告，安全行業(yè)的整合以及隨之而來(lái)的集中決策可能會(huì)導(dǎo)致大問(wèn)題，這種爭(zhēng)論在其他科技領(lǐng)域也曾發(fā)生過(guò)。

“大公司在科技領(lǐng)域會(huì)犯大錯(cuò)誤，”他在接受采訪時(shí)說(shuō)，“我們看到過(guò)的很多非常糟糕的安全設(shè)計(jì)都出自大公司之手。”

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。