جهان روی صفحه آبی مرگ است. چگونه یک به روز رسانی ساده جهان را به آشوب انداخت

در صبح روز جمعه، 19 جولای، یک به‌روزرسانی ظاهراً معمولی از شرکت ضد ویروس آمریکایی CrowdStrike، بخش بزرگی از جهان را در جنون فرو برد. بسیاری از بزرگ‌ترین خطوط هوایی، پخش‌کننده‌های تلویزیونی، بانک‌ها، بیمارستان‌ها، شرکت‌های بیمه، سوپرمارکت‌ها و بسیاری دیگر از مشاغل و خدمات حیاتی در سراسر جهان دچار قطعی‌های گسترده شدند و دستگاه‌های ویندوزی بی‌شماری در سراسر جهان در صفحه آبی مرگ فرو رفتند.

از حادثه روز جمعه به عنوان بزرگترین اختلال فناوری اطلاعات در تاریخ یاد می شود، زیرا به سختی می توان حادثه مشابهی را به خاطر آورد که شرکت ها و خدمات در سراسر جهان را تا این حد تحت تأثیر قرار داده باشد. وسعت این قطعی به قدری گسترده بود که خبرگزاری ها مجبور شدند در مدت یک ساعت پس از شروع پوشش، به روز رسانی لیست شرکت های آسیب دیده را متوقف کنند، زیرا هر لحظه چندین شرکت به لیست اضافه می شدند و ردیابی همه آنها تقریبا غیرممکن بود.

از آنجایی که قطعی فقط بر دستگاه های ویندوز تأثیر گذاشت و کاربران اپل و لینوکس زنده ماندند، مایکروسافت به اشتباه مقصر این حادثه شناخته شد و پایان غم انگیزی در انتظار ارزش سهام آن بود. اما ردموندی ها با واکنشی سریع تاکید کردند که مشکل از جانب آنها نیست تا ارزش سهام مایکروسافت تنها یک درصد کاهش یابد. در حالی که CrowdStrike، مقصر اصلی که قبل از این حادثه حدود 83 میلیارد دلار ارزش داشت، با کاهش 11 میلیارد دلاری ارزش بازار مواجه شد.

CrowdStrike اظهار داشت که این مشکل اکنون “شناسایی، جداسازی و رفع شده است” و هنوز هیچ گزارشی مبنی بر دستکاری مخرب یا سرقت داده ها گزارش نشده است. با این حال، بازگرداندن تمام خدمات و مشاغل مختل شده به حالت عادی فرآیندی زمان‌بر خواهد بود که ممکن است هفته‌ها طول بکشد.

قطعی سراسری 19 جولای که دسترسی کاربران به خدمات حیاتی در بسیاری از سازمان‌ها و کسب‌وکارها، از جمله خطوط هوایی، بانک‌ها و سوپرمارکت‌ها را مختل کرد، به‌روزرسانی ناقص پلتفرم اصلی CrowdStrike، Falcon، نسبت داده شد. Falcon یک پلتفرم مبتنی بر سرور ابری است که ابزارها و قابلیت های امنیتی متعددی از جمله آنتی ویروس، حفاظت نقطه پایانی و نظارت بر زمان واقعی را در یک هاب برای جلوگیری از دسترسی غیرمجاز به سیستم های سازمانی در سراسر جهان ارائه می دهد.

جورج کورتزمدیر عامل CrowdStrike، روز جمعه گفت که این اختلال به دلیل نقص در به‌روزرسانی محتوای میزبان‌های ویندوز ایجاد شده است و به حملات سایبری مربوط نمی‌شود. همچنین، دستگاه‌های مک و لینوکس تحت تأثیر قرار نگرفتند، زیرا به‌روزرسانی معیوب فقط برای دستگاه‌های ویندوز در دسترس بود.

کوین بومونتاین محقق امنیت سایبری در پستی در شبکه اجتماعی X نوشت که پس از بررسی یک نسخه از آپدیت ناقص CrowdStrike به این نتیجه رسید که فایل به درستی فرمت نشده است و هر بار باعث از کار افتادن ویندوز می شود. او در پست دیگری نوشت که این مشکل رفع خودکاری ندارد و دستگاه های آسیب دیده باید به صورت دستی راه اندازی مجدد شوند. برادی نیستناظر CrowdStrike همچنین در X نوشت که فایل معیوب C-00000291*.sys باید در حالت ایمن ویندوز از سیستم حذف شود.

به عبارت ساده نرم افزاری که قرار بود از بروز خرابی و اختلال در سیستم های کامپیوتری دنیا جلوگیری کند، خودش آنها را از کار انداخت. البته وقت شناسی نیز مهم است; یک قانون نانوشته در میان مهندسان کامپیوتر وجود دارد که می گوید: «هرگز در روز جمعه به روز رسانی انجام ندهید». زیرا اگر مشکلی پیش بیاید و رفع آن زمان بر باشد، افرادی که در آخر هفته سر کار هستند و می توانند مشکل را برطرف کنند، بسیار کم هستند.

کراداستریک در نهایت جزئیات فنی آپدیت روز جمعه را به شرح زیر توضیح داد:

فایل های پیکربندی به عنوان فایل های کانال شناخته می شوند و بخشی از مکانیسم های حفاظت رفتاری هستند که سنسور فالکون از آنها استفاده می کند. به روز رسانی فایل های کانال بخشی عادی از عملکرد حسگر است و هر روز چندین بار توسط CrowdStrike منتشر می شود. این فرآیند جدید نیست و از ابتدای فالکون اجرا شده است.

به‌روزرسانی که CrowdStrike برای پیکربندی سنسور فالکون برای سیستم‌های ویندوز منتشر کرد، اگرچه فرآیند جدیدی نیست، اما این بار باعث خطای منطقی و صفحه آبی مرگ در سیستم‌های آسیب‌دیده شد. همچنین این به‌روزرسانی بدون توجه به تنظیماتی که برای جلوگیری از به‌روزرسانی خودکار تنظیم شده بود، منتشر شد.

اختلال روز جمعه نشان داد که جهان چقدر به دستگاه‌هایی که توسط شرکت‌های بزرگ فناوری از راه دور مدیریت می‌شوند وابسته است و چقدر برای مقابله با مشکلات این دستگاه‌ها ناتوان است.

بانک های هنگ کنگ، بیمارستان های بریتانیا، خطوط هوایی آمریکایی؛ اورژانس آلاسکا، آژانس های خبری استرالیا، پلتفرم های متا، فروشگاه های زنجیره ای و کارخانه استارباکس و تسلا؛ ابعاد این اختلال چند ساعته آنقدر گسترده است که آلن وودواردپروفسور امنیت سایبری در دانشگاه ساری انگلیس به بلومبرگ گفت: «این بی سابقه است. تاثیر اقتصادی آن بسیار زیاد خواهد بود.”

به طور کلی، نقض CrowdStrike تعداد زیادی از سازمان‌ها و خدمات را در سراسر جهان از جمله بیمارستان‌ها، سازمان‌های دولتی، خطوط هوایی، بانک‌ها، شرکت‌های خودروسازی، رسانه‌ها و شرکت‌های بزرگی مانند Meta و FedEx تحت تأثیر قرار داد.