首頁 > 科技要聞 > 科技> 正文

微軟藍(lán)屏事故背后:一個(gè)小文件是如何讓全球計(jì)算機(jī)癱瘓的?

鳳凰科技 整合編輯:太平洋科技 發(fā)布于:2024-07-23 23:28

周五,當(dāng)英國國民保健署(NHS)的醫(yī)生、倫敦帝國理工學(xué)院教授布倫丹·德萊尼(Brendan Delaney)出現(xiàn)在他的倫敦診所時(shí),他原以為這一天會忙得不可開交。

兩個(gè)月前,倫敦東南部的醫(yī)院和診所遭受了毀滅性的網(wǎng)絡(luò)攻擊,F(xiàn)在,像德萊尼這樣的醫(yī)生終于開始感到工作恢復(fù)正常了。他們可以再次發(fā)送緊急血液檢測。網(wǎng)絡(luò)安全專家在修復(fù)和更換之前被黑客犯罪團(tuán)伙關(guān)閉的信息技術(shù)系統(tǒng)方面,并取得了進(jìn)展。

然而,就在他到達(dá)診所時(shí),他看到前臺正在匆忙地收集紙質(zhì)記事本,查詢業(yè)務(wù)連續(xù)性計(jì)劃。原來,英格蘭醫(yī)生用來查看病人病歷的一個(gè)系統(tǒng)突然失靈了。

這一次,問題不是源自勒索軟件團(tuán)伙,而是出在一家為了保護(hù)人們免受黑客攻擊的公司,它就是全球最大網(wǎng)絡(luò)安全軟件制造商之一的CrowdStrike Holdings CrowdStrike推送了一個(gè)有缺陷的更新,引發(fā)了全球IT系統(tǒng)崩潰,導(dǎo)致全球機(jī)場、銀行、證券交易所和企業(yè)陷入癱瘓。

小文件大破壞

令人難以置信的是,一個(gè)很小的文件(專家稱只夠容納一個(gè)網(wǎng)頁圖像)居然導(dǎo)致了世界上最大的IT中斷事故。這個(gè)名為“C-00000291*.sys”的文件隱藏在CrowdStrike的Falcon sensor安全產(chǎn)品更新中。該問題文件在微軟公司的Windows操作系統(tǒng)中引發(fā)了一個(gè)錯(cuò)誤,導(dǎo)致計(jì)算機(jī)無法正常工作,并觸發(fā)了可怕的“藍(lán)屏死機(jī)”。

這一事件以前所未有的規(guī)模暴露了全球IT系統(tǒng)的脆弱性,并凸顯出如此多的組織和個(gè)人依賴于少數(shù)幾家科技公司存在的危險(xiǎn)性。如果其中一家公司出現(xiàn)故障或遭到黑客攻擊,其后果可能波及全球經(jīng)濟(jì)的大片領(lǐng)域。微軟憑借其Windows操作系統(tǒng)主導(dǎo)了個(gè)人電腦業(yè)務(wù),而CrowdStrike已成為數(shù)千家公司和組織的首選供應(yīng)商,后者希望保護(hù)其最重要系統(tǒng)免受網(wǎng)絡(luò)攻擊。

圖|罪魁禍?zhǔn)證rowdStrike

知名研究公司IDC的數(shù)據(jù)顯示,CrowdStrike是僅次于微軟的第二大“現(xiàn)代終端保護(hù)”軟件開發(fā)商,在規(guī)模為126億美元的市場中占有18%的份額。這家總部位于美國得州奧斯汀的公司向全球2.9萬家機(jī)構(gòu)銷售其產(chǎn)品,所以此次宕機(jī)可能會影響數(shù)百萬臺電腦。這些電腦可能需要數(shù)周或更長時(shí)間才能重新恢復(fù)正常,因?yàn)樗鼈儽仨毷止ば迯?fù)。

“這真是一團(tuán)糟,”前NHS醫(yī)生、網(wǎng)絡(luò)安全和公共衛(wèi)生專家賽義夫·阿比德(Saif Abed)表示,“Crowdstrike影響到了微軟,而整個(gè)NHS都依賴于微軟,制造了一個(gè)潛在故障連續(xù)爆發(fā)的多米諾骨牌效應(yīng)!

如何發(fā)生的?

上周五,隨著宕機(jī)事故從亞洲和澳大利亞蔓延到歐洲和美國,CrowdStrike聯(lián)合創(chuàng)始人兼CEO喬治·庫爾茨(George Kurtz)為這一錯(cuò)誤道歉。“這不是安全事件或網(wǎng)絡(luò)攻擊,”他說,“這個(gè)問題已經(jīng)被發(fā)現(xiàn)、隔離,并且已經(jīng)部署了修復(fù)程序。”

庫爾茨沒有具體說明這個(gè)漏洞是如何出現(xiàn)在軟件更新中的。但是,一些長期批評網(wǎng)絡(luò)安全行業(yè)的人士已經(jīng)有了一套可以說得通的理論。他們說,CrowdStrike和其他網(wǎng)絡(luò)安全公司在追求更大利潤和試圖安撫股東的同時(shí),犧牲了基本、枯燥的安全原則。

“現(xiàn)在是行業(yè)成長,放慢腳步的時(shí)候了,”總部位于愛丁堡的安全服務(wù)公司Quorum Cyber的創(chuàng)始人兼CEO費(fèi)德里科·查羅斯基(Federico Charosky)表示,“有些開發(fā)商在某個(gè)地方做出了改變,卻沒有分析這種改變會產(chǎn)生什么影響。為了追求速度,他們顯然缺乏質(zhì)量保證和測試,走了捷徑。這表明,我們對運(yùn)行一切事物所必不可少的技術(shù)的完全信任是錯(cuò)誤的。”

重蹈覆轍

周五發(fā)生的一切非常罕見,但CrowdStrike CEO庫爾茨卻不陌生。2010年,他還是殺毒軟件先驅(qū)McAfee的首席技術(shù)官。那年4月,McAfee發(fā)布了一個(gè)更新,錯(cuò)誤地將一個(gè)合法的Windows文件標(biāo)記為感染文件,癱瘓了世界各地醫(yī)院、學(xué)校和政府機(jī)構(gòu)的計(jì)算機(jī)。

圖|CrowdStrike CEO庫爾茨

McAfee時(shí)任CEO戴夫·德沃爾特(Dave DeWalt)稱,該公司在16分鐘后就撤銷了這個(gè)有缺陷的更新,但那時(shí),它已經(jīng)安裝在1600多家客戶的電腦上。德沃爾特現(xiàn)在經(jīng)營著一家專注于網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)投資公司。他在接受采訪時(shí)說:“我們在那天損失了大約40%的市值。”德沃爾特還說,公司派出了近4000名員工乘飛機(jī)幫助受影響的客戶從事故中恢復(fù)過來。

McAfee最終走出了危機(jī),但當(dāng)時(shí)的員工稱這起事故是一種極大的創(chuàng)傷和恥辱。四個(gè)月后,英特爾宣布收購McAfee。

網(wǎng)絡(luò)行業(yè)觀察人士想知道,CrowdStrike是否會從自己的錯(cuò)誤中吸取教訓(xùn)。有人已經(jīng)表示,該公司是在自找麻煩。多年來,CrowdStrike一直在抨擊微軟允許黑客侵入其系統(tǒng),庫爾茨利用這些漏洞作為自己產(chǎn)品的賣點(diǎn)。

就在美國政府發(fā)布報(bào)告,指責(zé)微軟存在“一連串的安全故障”后不久,庫爾茨突然出擊,在財(cái)報(bào)電話會議上向投資者引用了他的調(diào)查結(jié)果,表示微軟的問題引發(fā)了潛在客戶的“大量要求”!拔④洶踩蛻羧后w中的安全和IT團(tuán)隊(duì)中存在著廣泛的信任危機(jī)!彼(dāng)時(shí)表示。

“CrowdStrike試圖盡可能地抨擊微軟,并從中獲利,”查羅斯基表示,“但是當(dāng)你的公司在全球基礎(chǔ)設(shè)施中占據(jù)如此重要的地位時(shí),沒有人能逃脫干系。這就是因果報(bào)應(yīng)。當(dāng)一家公司從創(chuàng)業(yè)公司成長為重要的國家基礎(chǔ)設(shè)施企業(yè)時(shí),它需要采取不同的行動,我不知道CrowdStrike是否經(jīng)歷了這種轉(zhuǎn)變!

“年度惡意軟件”

鑒于CrowdStrike造成的破壞程度,一些網(wǎng)絡(luò)評論人士已經(jīng)將這個(gè)存在缺陷的更新描述為“年度惡意軟件”。這種將其與黑客攻擊進(jìn)行的玩笑式比較在某種程度上是有現(xiàn)實(shí)依據(jù)的。網(wǎng)絡(luò)安全專家說,受影響組織的恢復(fù)可能需要數(shù)周或更長時(shí)間,大致相當(dāng)于大型組織在遭受勒索軟件攻擊后重建網(wǎng)絡(luò)所需的時(shí)間。

讓這些電腦恢復(fù)正常的最大挑戰(zhàn)是,CrowdStrike的修復(fù)程序需要由具有管理權(quán)限的人手動修復(fù),一臺電腦接一臺電腦,這是一個(gè)非常耗時(shí)的過程,在遠(yuǎn)程工作的時(shí)代尤其困難。

圖|星巴克電腦藍(lán)屏

得州普萊諾網(wǎng)絡(luò)安全服務(wù)公司Accelerynt的聯(lián)合創(chuàng)始人兼董事長邁克爾·亨利(Michael Henry)稱,美國一家大型零售商的客戶不得不召集其所有IT員工,讓他們晝夜不停地手動更新約6000臺受影響的電腦。他說,該公司預(yù)計(jì)要花費(fèi)整個(gè)周末時(shí)間來恢復(fù)關(guān)鍵系統(tǒng),所有系統(tǒng)完全恢復(fù)上線狀態(tài)需要三周時(shí)間。

“這太瘋狂了。他們正在分類,首先關(guān)注關(guān)鍵系統(tǒng),”亨利說,“這是一項(xiàng)零售業(yè)務(wù),所以他們要確保門店能夠恢復(fù)運(yùn)營!

亨利有一個(gè)疑問,這也是很多人在宕機(jī)事故發(fā)生后都在問的問題:這是怎么發(fā)生的?

“CrowdStrike對全球商業(yè)造成的破壞,比所有勒索軟件攻擊的總和還要大,”他說,“這證明了,我們在保護(hù)自己而部署的軟件上承擔(dān)了多大的風(fēng)險(xiǎn):如果這些人出錯(cuò),他們可能會毀掉你的業(yè)務(wù)。”

訴訟

庫爾茨在周五晚些時(shí)候發(fā)表的一份聲明中說:“隨著這一事件的解決,我承諾將對事件發(fā)生的過程以及我們?yōu)榉乐勾祟愂录俅伟l(fā)生所采取的措施提供充分的透明度。我們正在進(jìn)行技術(shù)更新和根本原因分析,并會公布于眾!

網(wǎng)絡(luò)安全和法律專家表示,CrowdStrike幾乎肯定會受到起訴、付出經(jīng)濟(jì)成本和其他處罰。這一事件也肯定會引發(fā)一場新的討論,即權(quán)力和風(fēng)險(xiǎn)日益集中在少數(shù)幾家網(wǎng)絡(luò)安全公司手中存在的問題。

按照硅谷的標(biāo)準(zhǔn),網(wǎng)絡(luò)安全行業(yè)相對年輕,它是在蠕蟲和軟盤病毒的時(shí)代成長起來的。20年前,它由賽門鐵克和McAfee兩家公司主導(dǎo),這兩家公司的殺毒產(chǎn)品采用了一種現(xiàn)在看來有些古怪的策略,即編寫“簽名”以阻止已知的惡意軟件菌株。

圖|微軟

如今,攻擊者已經(jīng)變得更加先進(jìn),傳統(tǒng)的殺毒軟件已經(jīng)失寵,導(dǎo)致那些傳統(tǒng)安全廠商退出舞臺。取而代之的產(chǎn)品能夠檢測PC上一系列威脅并自動修復(fù)這些威脅。

問題在于,這些技術(shù)在很大程度上由微軟和CrowdStrike控制。紐約大學(xué)計(jì)算機(jī)科學(xué)教授賈斯汀·卡波斯(Justin Cappos)表示,他一直在警告,安全行業(yè)的整合以及隨之而來的集中決策可能會導(dǎo)致大問題,這種爭論在其他科技領(lǐng)域也曾發(fā)生過。

“大公司在科技領(lǐng)域會犯大錯(cuò)誤,”他在接受采訪時(shí)說,“我們看到過的很多非常糟糕的安全設(shè)計(jì)都出自大公司之手!

本文來源:鳳凰科技

網(wǎng)友評論

聚超值•精選

推薦 手機(jī) 筆記本 影像 硬件 家居 商用 企業(yè) 出行 未來
    • 二維碼 回到頂部