صبح روز جمعه 29 تیر، برخی از بزرگترین خطوط هوایی، شبکههای تلویزیونی، بانکها و سایر سرویسهای ضروری سراسر جهان، هنگام روشنکردن رایانههای ویندوزی خود با صفحه مرگ آبی (BSoD) مواجه شدند. عامل اصلی این مشکل، آپدیت نرمافزار امنیتی شرکت کراوداسترایک (CrowdStrike) بود. در این مطلب بیشتر با این شرکت آشنا میشویم و تمام اتفاقات مربوط به اختلال CrowdStrike در ویندوز را مرور میکنیم.
شرکت حوزه امنیت سایبری CrowdStrike از سال 2011 شروع به کار کرده است و از آن زمان تاکنون به شرکتهای بزرگی در زمینه کشف آسیبهای امنیتی و جلوگیری از نقض امنیتی کمک کرده است. بهعنوان مثال، این شرکت مستقر در تگزاس در سالهای 2016 و 2015 به کمیته ملی دموکراتها در برابر حملات سایبری روسیه کمک کرده بود.
تا عصر پنجشنبه و یک روز قبل از اختلال گسترده جهانی، ارزش کراوداسترایک به 83 میلیارد دلار رسیده بود. طبق توضیحات وبسایت CrowdStrike، این شرکت حدود 29 هزار مشتری دارد که بیش از 500 مورد آنها در فهرست Fortune 1000 قرار دارند.
«نیک فرانس»، مدیر ارشد فناوری شرکت امنیتی IT Sectigo به CNBC میگوید:
«بسیاری از شرکتها از نرمافزار CrowdStrike استفاده میکنند و آن را روی تمام دستگاههای سازمانی خود نصب میکنند. بنابراین وقتی یک بهروزرسانی که ممکن است معیوب باشد منتشر شود، این مشکل در راهاندازی سیستمها اختلال ایجاد میکنند و باعث میشود کاربران نتوانند از آن استفاده کنند.»
همین اتفاق نیز رخ داد و آپدیت نرمافزاری CrowdStrike برای محصول Falcon باعث شد تا روز جمعه، بسیاری از مردم جهان هنگام روشنکردن رایانههای خود با خطای معروف «صفحه آبی مرگ» روبهرو شوند که در توضیح آن نوشتهشده: «به نظر میرسد ویندوز به درستی بارگیری نشده است.»
Falcon یک پلتفرم امنیتی است که توسط کراوداسترایک توسعه داده شده و شرکتها از آن برای جلوگیری از نفوذ سایبری بهره میبرند. نرمافزار فالکون با سایر بخشهای رایانه و نرمافزارهایی مانند محصولات ویندوزی مایکروسافت در سطوح زیربنایی (کرنل) در تعامل است. بههمین دلیل بروز ایراد در این نرمافزار، سیستمهای ویندوزی را در چرخه بوت انداخت و مانع از دسترسی به آنها شد.
بنابراین میتوان گفت نرمافزاری که در وهله اول برای محافظت از سیستمهای کامپیوتری در برابر خرابیها و اختلالها طراحی شده بود، در نهایت منجر به قطعی آنها شد.
این اختلال گسترده همچنین باعث شد تا قیمت سهام کراوداسترایک با سقوط بزرگی مواجه شود و در معاملات پیش از بازار روز جمعه تا 20 درصد کاهش پیدا کند. البته با بازشدن معاملات، CrowdStrike تا حدی توانست این ضرر را جبران کند.
تمام این اتفاقات باعث شد تا «جورج کورتز»، مدیرعامل CrowdStrike با انتشار یک بیانیه در شبکه اجتماعی ایکس از کاربران عذرخواهی کند.
او در این پست نوشت:
«CrowdStrike بهطور فعال درحال همکاری با مشتریانی است که تحت تأثیر مشکل بهروزرسانی هاستهای ویندوزی قرار گرفتهاند. هاستهای مک و لینوکس با مشکلی مواجه نشدهاند. همچنین این یک حادثه امنیتی یا حمله سایبری نبوده است.
مشکل شناسایی شده و راهحلی برای برطرفکردن آن بهکار گرفته شده است. ما به ارائه بهروزرسانی کاملی در وبسایت خود ادامه خواهیم داد. همچنین به سازمانها توصیه میکنیم که از طریق کانالهای رسمی با نمایندگان CrowdStrike در ارتباط باشند. تیم ما بهطور کامل تلاش دارد تا امنیت و ثبات مشتریان CrowdStrike را تضمین کند.»
درحالیکه CrowdStrike مقصر اصلی این مشکل نرمافزاری است، مدیر اجرایی شرکت امنیت سایبری Sevco در مصاحبه خود با نیویورک تایمز میگوید انعطافپذیری سیستمعامل مایکروسافت نیز بههمان اندازه مقصر است.
او میگوید:
«باگها همیشه بهخاطر پیچیدگی و فناوری کسبوکارها اتفاق میافتند و اجتنابناپذیر هستند. اما این مورد بهدلیل برخی اقدامات اصلاحی به یک حادثه فاجعهبار تبدیل شد. انعطافپذیری سیستمعامل برای کاهش خطرات آن کافی نبوده است.»
هرچند CrowdStrike راهحلی را به کار گرفته است، اما «لوکاس اولجنیک»، محقق مستقل امنیت سایبری، مشاور، و نویسنده کتاب «فلسفه امنیت سایبری»، به The Verge میگوید حل مشکل ممکن است «روزها تا هفتهها» طول بکشد، زیرا مدیران IT مجبور هستند بهصورت فیزیکی به سیستمها دسترسی پیدا کنند. او همچنین میگوید:
«برخی سیستمها در شرایط خاص ممکن است غیرقابل بازیابی باشند، اما من فرض میکنم که اکثر آنها بازیابی خواهند شد.»
البته پیش از اینکه مدیرعامل کراوداسترایک بیانیهای درباره این مشکل منتشر کند، کارشناسان IT راهحل برطرفکردن آن را در شبکههای اجتماعی اعلام کردند. در این روش ابتدا باید سیستمعامل را از طریق Safe Mode اجرا و سپس از مسیر C:\Windows\System32\drivers\CrowdStrike فایلی با عنوانِ «C-00000291*.sys» را حذف کرد.
اختلال روز جمعه بسیار گسترده بود و اکثر سرویسهای جهان از خطوط هوایی گرفته تا بانکها و بیمارستانها در بسیاری از کشورها را تحت تأثیر خود قرار داد.
اولینبار شرکتها و خطوط هواپیمایی استرالیایی این مشکل را گزارش کردند و مسافران فرودگاه سیدنی بهدلیل اختلال تابلوهای پرواز ساعتها در صفهای طولانی منتظر ماندند. پس از آن فرودگاههای بریتانیا، آلمان و تایوان نیز پروازهای خود را تأخیر زدند یا لغو کردند. حتی در فرودگاهی در هند، کارتهای پرواز بهصورت دستنویس به مسافران ارائه میشد!
اداره هوانوردی فدرال نیز پروازهای دلتا، یونایتد و امریکن ایرلاینز را لغو کرد. Ryanair که از بزرگترین خطوط هوایی اروپاست، نیز به مشکل آیتی سرویسهای «شخص ثالث» اشاره کرده که روی پروازهایش تأثیر گذاشته است.
برخی از ایالتهای آمریکا نیز با قطعی خطوط تماس اضطراری 911 مواجه شدند، هرچند اکثر این مشکلات خیلی زود برطرف شد. شبکه خبری اسکای نیوز از شرکتهایی بود که نتوانست بهدلیل این مشکل بولتن خبری صبحگاهی خودش را پخش کند و پیغامی را برای عذرخواهی به بینندگان نشان داده است.
CBBC که شبکه مخصوص بیبیسی برای کودکان و نوجوانان است نیز از اوایل صبح جمعه قطع شده بود.
در آلمان چند بیمارستان مجبور شدند تا جراحیها را لغو کنند و در بریتانیا، بسیاری از پزشکان خدمات بهداشت ملی نتوانستند از سیستمهای خود استفاده کنند. شرکت Kaiser Permanente که به 12.6 میلیون مشترک خود سیستم پزشکی ارائه میکند نیز اعلام کرد که تمام سیستمهای بیمارستانی آن تحت تأثیر این مشکل قرار گرفتهاند.
اختلال CrowdStrike بسیار گستردهتر بود و حتی برخی بانکها از جمله JPMorgan Chase در پردازش معاملات خود با مشکل مواجه شده بودند. TD Bank که دهمین بانک بزرگ ایالات متحده است نیز مشکل مشتریان خود مبنی بر عدم دسترسی به حسابهای آنلاین را گزارش کرد.
ظاهرا تأثیر این مشکل برای سازمانها متفاوت بوده است. بهعنوان مثال، در اوکراین Sense Bank و اپراتور موبایل Vodafone فقط به وقوع مشکلات جزئی اشاره کردند. در فرودگاه بینالمللی دبی نیز ظاهراً مشکل فقط با تعویض دو سیستم برطرف شده است.
خواروبارفروشهای زنجیرهای بزرگ ایالات متحده نیز عمدتاً تحت تأثیر مشکل قرار نگرفتهاند و اکثر آنها فعالیت معمولی خود را داشتهاند. اما بزرگترین شرکتهای لجستیکی جهان، مانند FedEX، اختلالاتی را گزارش کردهاند که باعث تأخیر در تحویل کالاهای برخی مناطق شده است.
بلومبرگ هم در گزارشی خبر داد که مکدونالد ژاپن روز جمعه حدود یکسوم از فروشگاههای خود را بهدلیل مشکل مربوط به صندوقها تعطیل کرده است.
حادثه عظیمی مانند اختلال کراوداسترایک طبیعتاً با بازخورد بسیار گستردهای از سوی کاربران شبکههای اجتماعی روبهرو بوده است. افراد شناختهشدهای مانند ایلان ماسک نیز به این موضوع واکنش نشان دادند.
ماسک در چندین پست متفاوت به اختلال CrowdStrike اشاره کرده است. او در یکی از پستهای خود نوشت: «ما بهتازگی Crowdstrike را از تمام سیستمهای خود حذف کردهایم.» او در پست دیگری با ارسال یک ایموجی خنده (نسبت به تصویر زیر) به عدم قطعی اپلیکیشن ایکس در برابر تمام سرویسهایی که با مشکل مواجه شدهاند، اشاره کرد.
ماسک در اولین ساعات این اختلالها نیز زیر یکی از پستهای CrowdStrike که به عضویت در سازمانی با نام Bright Network (شبکه روشن) برای ترویج تنوع و برابری در محیط کاری اشاره دارد، نوشت:
«در حال حاضر چندان روشن نیست، مگه نه؟»
پاسخ ماسک در ایکس
مالک ایکس در واکنش به گزارش فایننشال تایمز از این حادثه نیز مدعی شد که این اتفاق بزرگترین شکست فناوری اطلاعات در تاریخ بوده است.
«ساتیا نادلا»، مدیرعامل مایکروسافت نیز در شبکه اجتماعی ایکس نوشت:
«روز گذشته، CrowdStrike بهروزرسانی را منتشر کرد که روی سیستمهای فناوری اطلاعات سراسر جهان تأثیر گذاشت. ما از این موضوع آگاه هستیم و از نزدیک با CrowdStrike همکاری میکنیم تا پشتیبانی فنی خود را به مشتریان ارائه کنیم و مشکل سیستمهای آنها را برطرف کنیم.»
نکته قابلتوجه، پاسخ ایلان ماسک به پست نادلا است که میگوید اختلال تأثیر شدیدی روی زنجیره تأمین خودروها داشته است.
کاربران شبکههای اجتماعی نیز پستهای طنزآمیزی درباره این اختلالات منتشر کردهاند. برخی با ارسال تصاویری (مانند تصویر بالا) از محیط کاری خود و لپتاپهایی که صفحه آبی روی آنها دیده میشود، از جمعه بهعنوان «روز صفحه آبی مرگ» یاد کردهاند.