كيف أدى أحد التحديثات السيئة لـ CrowdStrike إلى تعطل أجهزة الكمبيوتر في العالم
ويقول ماتيو سويش، رئيس قسم هندسة الكشف في شركة Magnet Forensics الأمنية، إن هذا الوصول الأعمق يقدم أيضًا احتمالًا أكبر بكثير بأن تؤدي برامج الأمان – وتحديثات تلك البرامج – إلى تعطل النظام بأكمله. وهو يقارن تشغيل برامج الكشف عن التعليمات البرمجية الضارة على مستوى النواة في نظام التشغيل بـ “جراحة القلب المفتوح”.
ومع ذلك، فمن المفاجئ أن تحديث برنامج تشغيل kernel سيكون قادرًا على التسبب في مثل هذا الانهيار الهائل للكمبيوتر العالمي، كما يقول كوستين رايو، الذي عمل في شركة برمجيات الأمن الروسية كاسبيرسكي لمدة 23 عامًا وقاد فريق استخبارات التهديدات قبل أن يغادر الشركة آخر مرة. سنة. ويقول إنه خلال السنوات التي قضاها في كاسبيرسكي، تم فحص تحديثات برامج التشغيل الخاصة ببرامج Windows عن كثب واختبارها لأسابيع قبل أن يتم استبعادها.
والأهم من ذلك، أنها تتطلب أن تقوم Microsoft أيضًا بفحص الكود وتوقيعه بشكل مشفر، مما يشير إلى أن Microsoft أيضًا ربما فاتتها أي خطأ في برنامج تشغيل CrowdStrike’s Falcon الذي أدى إلى هذا الانقطاع. يقول رايو: “من المدهش أنه مع الاهتمام الشديد بتحديثات برامج التشغيل، ظل هذا يحدث”. “سائق واحد بسيط يمكنه إسقاط كل شيء. وهو ما رأيناه هنا
لم تقم Microsoft بإرجاع طلبات للتعليق حول الإشراف على التحديث. ومع ذلك، يقول متحدث باسم Microsoft: “كان تحديث CrowdStrike مسؤولاً عن إسقاط عدد من أنظمة تكنولوجيا المعلومات على مستوى العالم”.
ويضيف Raiu أنه على الرغم من ذلك، فإن CrowdStrike ليست شركة الأمان الوحيدة التي تتسبب في تعطل نظام التشغيل Windows من خلال تحديث برنامج التشغيل. ويشير إلى أن التحديثات التي تم إجراؤها على Kaspersky وحتى برنامج مكافحة الفيروسات المدمج في Windows Windows Defender تسببت في حدوث أعطال مماثلة لشاشة الموت الزرقاء في السنوات الماضية. يقول رايو: “كان لكل حل أمني على هذا الكوكب لحظات CrowdStrike الخاصة به”. “هذا ليس شيئًا جديدًا سوى حجم الحدث”.
وأصدرت سلطات الأمن السيبراني في جميع أنحاء العالم تنبيهات بشأن الخلل، لكنها سارعت بالمثل إلى استبعاد أي نشاط شائن من قبل المتسللين. وقالت فيليسيتي أوزوالد، الرئيس التنفيذي للمركز الوطني للأمن السيبراني في المملكة المتحدة: “يقدر المركز الوطني للأمن السيبراني أن هذه الهجمات لم تكن ناجمة عن هجمات إلكترونية ضارة”. وقد توصل المسؤولون في أستراليا إلى نفس النتيجة.
ومع ذلك، كان التأثير كاسحًا ودراماتيكيًا. في جميع أنحاء العالم، تصاعدت حالات انقطاع الخدمة مع تسابق الشركات والهيئات العامة وفرق تكنولوجيا المعلومات لإصلاح الأجهزة المعطوبة، وهو ما يتضمن أخذ الأجهزة يدويًا من خلال سلسلة من الخطوات التصحيحية، بما في ذلك إعادة التشغيل. وفي المملكة المتحدة وإسرائيل وألمانيا، شهدت خدمات الرعاية الصحية والمستشفيات تعطل الأنظمة التي تستخدمها للتواصل مع المرضى، وألغت بعض المواعيد. وبحسب ما ورد واجهت خدمات الطوارئ في الولايات المتحدة التي تستخدم الرقم 911 مشكلات في خطوطها أيضًا. في الساعات الأولى من انقطاع الخدمة، أوقفت بعض محطات التلفزيون، بما في ذلك سكاي نيوز في المملكة المتحدة، بث الأخبار الحية.
كان السفر الجوي العالمي أحد أكثر القطاعات تأثراً حتى الآن. تشكلت طوابير ضخمة في المطارات حول العالم، حيث يستخدم مطار واحد في الهند بطاقات الصعود المكتوبة بخط اليد. وفي الولايات المتحدة، أوقفت شركات الطيران دلتا، ويونايتد، وأمريكان إيرلاينز كافة الرحلات الجوية بشكل مؤقت على الأقل، مع رسم بياني مثير يظهر انخفاض حركة الطيران فوق الولايات المتحدة.
ويعكس الوضع الكارثي هشاشة وترابط الإنترنت العميق. أخبر العديد من ممارسي الأمن مجلة WIRED أنهم توقعوا أو حتى عملوا مع العملاء لمحاولة الحماية من سيناريو تسبب فيه برنامج الدفاع نفسه في حالات فشل متتالية نتيجة للاستغلال الضار أو الخطأ البشري، كما هو الحال مع CloudStrike. يقول سياران مارتن، الأستاذ في جامعة أكسفورد والرئيس السابق للمركز الوطني للأمن السيبراني في المملكة المتحدة: “هذا مثال قوي بشكل لا يصدق على نقاط ضعفنا الرقمية العالمية وهشاشة البنية التحتية الأساسية للإنترنت”.