微软蓝屏事故:一个小文件如何让全球计算机瘫痪的

今日头条
Toutiao
最新回复:2024年7月20日 5点38分 PT
  返回列表
76991 阅读
18 评论
凤凰科技

纽约时代广场的数字广告牌因宕机事故蓝屏

核心提示:

1.一个只够容纳一个网页图像的文件居然引发了世界上最大的IT中断事故。

2.CrowdStrike在追求速度、更大利润的同时,牺牲了基本的安全原则。

3.麻烦的是,CrowdStrike的修复程序需要手动修复,耗时耗力。

4.这次事故不禁让人反省,少数公司控制网络安全行业存在的风险。

周五,当英国国民保健署(NHS)的医生、伦敦帝国理工学院教授布伦丹·德莱尼(Brendan Delaney)出现在他的伦敦诊所时,他原以为这一天会忙得不可开交。

两个月前,伦敦东南部的医院和诊所遭受了毁灭性的网络攻击。现在,像德莱尼这样的医生终于开始感到工作恢复正常了。他们可以再次发送紧急血液检测。网络安全专家在修复和更换之前被黑客犯罪团伙关闭的信息技术系统方面,并取得了进展。

然而,就在他到达诊所时,他看到前台正在匆忙地收集纸质记事本,查询业务连续性计划。原来,英格兰医生用来查看病人病历的一个系统突然失灵了。

这一次,问题不是源自勒索软件团伙,而是出在一家为了保护人们免受黑客攻击的公司,它就是全球最大网络安全软件制造商之一的CrowdStrike Holdings CrowdStrike推送了一个有缺陷的更新,引发了全球IT系统崩溃,导致全球机场、银行、证券交易所和企业陷入瘫痪。

小文件大破坏

令人难以置信的是,一个很小的文件(专家称只够容纳一个网页图像)居然导致了世界上最大的IT中断事故。这个名为“C-00000291*.sys”的文件隐藏在CrowdStrike的Falcon sensor安全产品更新中。该问题文件在微软公司的Windows操作系统中引发了一个错误,导致计算机无法正常工作,并触发了可怕的“蓝屏死机”。

这一事件以前所未有的规模暴露了全球IT系统的脆弱性,并凸显出如此多的组织和个人依赖于少数几家科技公司存在的危险性。如果其中一家公司出现故障或遭到黑客攻击,其后果可能波及全球经济的大片领域。微软凭借其Windows操作系统主导了个人电脑业务,而CrowdStrike已成为数千家公司和组织的首选供应商,后者希望保护其最重要系统免受网络攻击。

罪魁祸首CrowdStrike

知名研究公司IDC的数据显示,CrowdStrike是仅次于微软的第二大“现代终端保护”软件开发商,在规模为126亿美元的市场中占有18%的份额。这家总部位于美国得州奥斯汀的公司向全球2.9万家机构销售其产品,所以此次宕机可能会影响数百万台电脑。这些电脑可能需要数周或更长时间才能重新恢复正常,因为它们必须手工修复。

“这真是一团糟,”前NHS医生、网络安全和公共卫生专家赛义夫·阿比德(Saif Abed)表示,“Crowdstrike影响到了微软,而整个NHS都依赖于微软,制造了一个潜在故障连续爆发的多米诺骨牌效应。”

如何发生的?

上周五,随着宕机事故从亚洲和澳大利亚蔓延到欧洲和美国,CrowdStrike联合创始人兼CEO乔治·库尔茨(George Kurtz)为这一错误道歉。“这不是安全事件或网络攻击,”他说,“这个问题已经被发现、隔离,并且已经部署了修复程序。”

库尔茨没有具体说明这个漏洞是如何出现在软件更新中的。但是,一些长期批评网络安全行业的人士已经有了一套可以说得通的理论。他们说,CrowdStrike和其他网络安全公司在追求更大利润和试图安抚股东的同时,牺牲了基本、枯燥的安全原则。

“现在是行业成长,放慢脚步的时候了,”总部位于爱丁堡的安全服务公司Quorum Cyber的创始人兼CEO费德里科·查罗斯基(Federico Charosky)表示,“有些开发商在某个地方做出了改变,却没有分析这种改变会产生什么影响。为了追求速度,他们显然缺乏质量保证和测试,走了捷径。这表明,我们对运行一切事物所必不可少的技术的完全信任是错误的。”

重蹈覆辙

周五发生的一切非常罕见,但CrowdStrike CEO库尔茨却不陌生。2010年,他还是杀毒软件先驱McAfee的首席技术官。那年4月,McAfee发布了一个更新,错误地将一个合法的Windows文件标记为感染文件,瘫痪了世界各地医院、学校和政府机构的计算机。

CrowdStrike CEO库尔茨

McAfee时任CEO戴夫·德沃尔特(Dave DeWalt)称,该公司在16分钟后就撤销了这个有缺陷的更新,但那时,它已经安装在1600多家客户的电脑上。德沃尔特现在经营着一家专注于网络安全的风险投资公司。他在接受采访时说:“我们在那天损失了大约40%的市值。”德沃尔特还说,公司派出了近4000名员工乘飞机帮助受影响的客户从事故中恢复过来。

McAfee最终走出了危机,但当时的员工称这起事故是一种极大的创伤和耻辱。四个月后,英特尔宣布收购McAfee。

网络行业观察人士想知道,CrowdStrike是否会从自己的错误中吸取教训。有人已经表示,该公司是在自找麻烦。多年来,CrowdStrike一直在抨击微软允许黑客侵入其系统,库尔茨利用这些漏洞作为自己产品的卖点。

就在美国政府发布报告,指责微软存在“一连串的安全故障”后不久,库尔茨突然出击,在财报电话会议上向投资者引用了他的调查结果,表示微软的问题引发了潜在客户的“大量要求”。“微软安全客户群体中的安全和IT团队中存在着广泛的信任危机。”他当时表示。

“CrowdStrike试图尽可能地抨击微软,并从中获利,”查罗斯基表示,“但是当你的公司在全球基础设施中占据如此重要的地位时,没有人能逃脱干系。这就是因果报应。当一家公司从创业公司成长为重要的国家基础设施企业时,它需要采取不同的行动,我不知道CrowdStrike是否经历了这种转变。”

“年度恶意软件”

鉴于CrowdStrike造成的破坏程度,一些网络评论人士已经将这个存在缺陷的更新描述为“年度恶意软件”。这种将其与黑客攻击进行的玩笑式比较在某种程度上是有现实依据的。网络安全专家说,受影响组织的恢复可能需要数周或更长时间,大致相当于大型组织在遭受勒索软件攻击后重建网络所需的时间。

让这些电脑恢复正常的最大挑战是,CrowdStrike的修复程序需要由具有管理权限的人手动修复,一台电脑接一台电脑,这是一个非常耗时的过程,在远程工作的时代尤其困难。

星巴克电脑蓝屏

得州普莱诺网络安全服务公司Accelerynt的联合创始人兼董事长迈克尔·亨利(Michael Henry)称,美国一家大型零售商的客户不得不召集其所有IT员工,让他们昼夜不停地手动更新约6000台受影响的电脑。他说,该公司预计要花费整个周末时间来恢复关键系统,所有系统完全恢复上线状态需要三周时间。

“这太疯狂了。他们正在分类,首先关注关键系统,”亨利说,“这是一项零售业务,所以他们要确保门店能够恢复运营。”

亨利有一个疑问,这也是很多人在宕机事故发生后都在问的问题:这是怎么发生的?

“CrowdStrike对全球商业造成的破坏,比所有勒索软件攻击的总和还要大,”他说,“这证明了,我们在保护自己而部署的软件上承担了多大的风险:如果这些人出错,他们可能会毁掉你的业务。”

诉讼

库尔茨在周五晚些时候发表的一份声明中说:“随着这一事件的解决,我承诺将对事件发生的过程以及我们为防止此类事件再次发生所采取的措施提供充分的透明度。我们正在进行技术更新和根本原因分析,并会公布于众。”

网络安全和法律专家表示,CrowdStrike几乎肯定会受到起诉、付出经济成本和其他处罚。这一事件也肯定会引发一场新的讨论,即权力和风险日益集中在少数几家网络安全公司手中存在的问题。

按照硅谷的标准,网络安全行业相对年轻,它是在蠕虫和软盘病毒的时代成长起来的。20年前,它由赛门铁克和McAfee两家公司主导,这两家公司的杀毒产品采用了一种现在看来有些古怪的策略,即编写“签名”以阻止已知的恶意软件菌株。

微软

如今,攻击者已经变得更加先进,传统的杀毒软件已经失宠,导致那些传统安全厂商退出舞台。取而代之的产品能够检测PC上一系列威胁并自动修复这些威胁。

问题在于,这些技术在很大程度上由微软和CrowdStrike控制。纽约大学计算机科学教授贾斯汀·卡波斯(Justin Cappos)表示,他一直在警告,安全行业的整合以及随之而来的集中决策可能会导致大问题,这种争论在其他科技领域也曾发生过。

“大公司在科技领域会犯大错误,”他在接受采访时说,“我们看到过的很多非常糟糕的安全设计都出自大公司之手。”

飞翔的鱼头
1 楼
神马乱七八糟的
o
octane
2 楼
crowdstrike完了,不是仅仅因为蓝屏事件,而是因为它的产品经理和工程经理都是阿三 当然这事当中,微软也是无法推脱,谁让你死机后重启都无法恢复?谁让你的系统在遇到第三方软件错误就死机?
啊哦
3 楼
跟我们公司安全部门一个德行,一群外行天天催着在公司内部网的机器上装各种垃圾安全软件,影响的性能远远大于各种没影的病毒
t
tintin9999
4 楼
TikTok要是也这样来一下,估计世界大战都会打起来了。
p
pilla
5 楼
傻叉公司,有事没事就要发系统更新,迫使很多应用必须跟着更新。
俺样
6 楼
微软出的软件多了去了……
大条度你
7 楼
又是中国红客干的
龙起卷
8 楼
抓几个阿三高管出来顶罪……
f
fck1234
9 楼
微软现在越来越烂, 不知道是不是因为阿三当道?
无此笔名
10 楼
努力啊,阿三,波音快歇菜了,现在整垮微软谷歌。。。就靠你们了!!
今日雨果
11 楼
。 。 《Philosophie intrinsèque des principes de conception originaux dans le noyau | Intrinsic Philosophy of Original Design Principles in the Kernel》 . Because of the intrinsic philosophy of original design principles in the kernel of ❗️Linux/Unix vs the kernel of MS-Windows are fundamentally different, it’s never a wise idea to deploy global tier、enterprise tier infrastructure upon MS-Windows related; MS-Windows related infrastructures better stay at devision/department tier. Never forget what Linus Torvalds has been contributing to this vast world ubiquitously, universally. . For more details, see 🌴🌳🌲 https://HugoAujourdhui.org/blogs/hugoaujourdhui/hugo-creaders-archive-index ☞ 🌲 ★【Unix & Linux】 Why {Unix, Linux} operating system does not age? ☞ 🌿 ☞ 🍃 🍃 🍃 . . Victor Universel Labo - VUL - 飞鸥实验室 V1.000.2024-07-19, 1989-06-04. Nice, Côte d'Azur、Paris, France . . Image: UNIX plate 。 。来自6parkbbs.com留园手机网页版
今日雨果
12 楼
. 华为,等等,不过是在拾取Linux/Unix 的恩惠而已,毫无它自己的创造 。 From this brilliant essay written in 2004: https://www.usenix.org/legacy/event/usenix04/tech/sigs/geer.txt : . "A computing monoculture is a danger, a security danger, a national security danger. It is a danger on principle. It is a danger in practice. It is avoidable and mitigable, but it is neither cheap nor easy to do so if you have to begin from where we are now. [...] We have remembered history and considered other brushes with monoculture -- all of them coming at the hand of man -- and in so remembering history we have the opportunity to not repeat it. We have met the enemy, and he is us." . “See 1 promontory, 1 mountain, 1 sea, 1 river, & see all.” - Socrates, Ancient Athenian philosopher, 470-399 BC.
今日雨果
13 楼
. 呵呵,几个五毛,胡诌什么这次宕机同操作系统无关。 。 看看,有关么? , Étapes de contournement : 1 Démarrez Windows en mode sans échec ou dans l'environnement de récupération Windows 2 Accédez au répertoire C:\Windows\System32\drivers\CrowdStrike 3 Recherchez le fichier correspondant à « C-00000291*.sys » et supprimez-le. 4 Démarrez l'hôte normalement. 。 。
媚眼瞟瞟
14 楼
能够很快恢复正常, 说明他们的人还是很能干滴
媚眼瞟瞟
15 楼
这个小文件不会是个间谍文件吧?
o
oldoldcandy
16 楼
哈..哈..是否可以理解為微軟監控了全世界....
钻一
17 楼
怎么两次大宕机都是这个Curtz?
a
anywho
18 楼
想到不久前有個撒謊欺騙偷竊⋯⋯蛆噴:歡迎印度阿三來霉國讀理科、 中國留學生讀沙士比亞⋯⋯ 看看阿三的波音𠍇作、 還有這垃圾殺向自己禍害地球的殺毒軟件、 阿三不愧為宇宙第一☝️