هرآنچه باید از اختلال CrowdStrike در ویندوز بدانید؛ مشکلی که جهان را درگیر کرد

صبح روز جمعه 29 تیر، برخی از بزرگ‌ترین خطوط هوایی، شبکه‌های تلویزیونی، بانک‌ها و سایر سرویس‌های ضروری سراسر جهان، هنگام روشن‌کردن رایانه‌های ویندوزی خود با صفحه مرگ آبی (BSoD) مواجه شدند. عامل اصلی این مشکل، آپدیت نرم‌افزار امنیتی شرکت کراوداسترایک (CrowdStrike) بود. در این مطلب بیشتر با این شرکت آشنا می‌شویم و تمام اتفاقات مربوط به اختلال CrowdStrike در ویندوز را مرور می‌کنیم.

مختصری درباره شرکت امنیتی کراوداسترایک

شرکت حوزه امنیت سایبری CrowdStrike از سال 2011 شروع به کار کرده است و از آن زمان تاکنون به شرکت‌های بزرگی در زمینه کشف آسیب‌های امنیتی و جلوگیری از نقض امنیتی کمک کرده است. به‌عنوان مثال، این شرکت مستقر در تگزاس در سال‌های 2016 و 2015 به کمیته ملی دموکرات‌ها در برابر حملات سایبری روسیه کمک کرده بود.

تا عصر پنجشنبه و یک روز قبل از اختلال گسترده جهانی، ارزش کراوداسترایک به 83 میلیارد دلار رسیده بود. طبق توضیحات وب‌سایت CrowdStrike، این شرکت حدود 29 هزار مشتری دارد که بیش از 500 مورد آن‌ها در فهرست Fortune 1000 قرار دارند.

اختلال روز جمعه و ارتباط آن با CrowdStrike

«نیک فرانس»، مدیر ارشد فناوری شرکت امنیتی IT Sectigo به CNBC می‌گوید:

«بسیاری از شرکت‌ها از نرم‌افزار CrowdStrike استفاده می‌کنند و آن را روی تمام دستگاه‌های سازمانی خود نصب می‌کنند. بنابراین وقتی یک به‌روزرسانی که ممکن است معیوب باشد منتشر شود، این مشکل در راه‌اندازی سیستم‌ها اختلال ایجاد می‌کنند و باعث می‌شود کاربران نتوانند از آن استفاده کنند.»

همین اتفاق نیز رخ داد و آپدیت نرم‌افزاری CrowdStrike برای محصول Falcon باعث شد تا روز جمعه، بسیاری از مردم جهان هنگام روشن‌کردن رایانه‌های خود با خطای معروف «صفحه آبی مرگ» روبه‌رو شوند که در توضیح آن نوشته‌شده: «به نظر می‌رسد ویندوز به درستی بارگیری نشده است.»

Falcon یک پلتفرم امنیتی است که توسط کراوداسترایک توسعه داده شده و شرکت‌ها از آن برای جلوگیری از نفوذ سایبری بهره می‌برند. نرم‌افزار فالکون با سایر بخش‌های رایانه و نرم‌افزارهایی مانند محصولات ویندوزی مایکروسافت در سطوح زیربنایی (کرنل) در تعامل است. به‌همین دلیل بروز ایراد در این نرم‌افزار، سیستم‌های ویندوزی را در چرخه بوت انداخت و مانع از دسترسی به آن‌ها شد.

بنابراین می‌توان گفت نرم‌افزاری که در وهله اول برای محافظت از سیستم‌های کامپیوتری در برابر خرابی‌ها و اختلال‌ها طراحی شده بود، در نهایت منجر به قطعی آن‌ها شد.

این اختلال گسترده همچنین باعث شد تا قیمت سهام کراوداسترایک با سقوط بزرگی مواجه شود و در معاملات پیش از بازار روز جمعه تا 20 درصد کاهش پیدا کند. البته با بازشدن معاملات، CrowdStrike تا حدی توانست این ضرر را جبران کند.

بیانیه و عذرخواهی کراوداسترایک

تمام این اتفاقات باعث شد تا «جورج کورتز»، مدیرعامل CrowdStrike با انتشار یک بیانیه در شبکه اجتماعی ایکس از کاربران عذرخواهی کند.

او در این پست نوشت:

«CrowdStrike به‌طور فعال درحال همکاری با مشتریانی است که تحت تأثیر مشکل به‌روزرسانی هاست‌های ویندوزی قرار گرفته‌اند. هاست‌های مک و لینوکس با مشکلی مواجه نشده‌اند. همچنین این یک حادثه امنیتی یا حمله سایبری نبوده است.

مشکل شناسایی‌ شده و راه‌حلی برای برطرف‌کردن آن به‌کار گرفته شده است. ما به ارائه به‌روزرسانی کاملی در وب‌سایت خود ادامه خواهیم داد. همچنین به سازمان‌ها توصیه می‌کنیم که از طریق کانال‌های رسمی با نمایندگان CrowdStrike در ارتباط باشند. تیم ما به‌طور کامل تلاش دارد تا امنیت و ثبات مشتریان CrowdStrike را تضمین کند.»

درحالی‌که CrowdStrike مقصر اصلی این مشکل نرم‌افزاری است، مدیر اجرایی شرکت امنیت سایبری Sevco در مصاحبه خود با نیویورک تایمز می‌گوید انعطاف‌پذیری سیستم‌عامل مایکروسافت نیز به‌همان اندازه مقصر است.

او می‌گوید:

«باگ‌ها همیشه به‌خاطر پیچیدگی و فناوری کسب‌وکارها اتفاق می‌افتند و اجتناب‌ناپذیر هستند. اما این مورد به‌دلیل برخی اقدامات اصلاحی به یک حادثه فاجعه‌بار تبدیل شد. انعطاف‌پذیری سیستم‌عامل برای کاهش خطرات آن کافی نبوده است.»

هرچند CrowdStrike راه‌حلی را به‌ کار گرفته است، اما «لوکاس اولجنیک»، محقق مستقل امنیت سایبری، مشاور، و نویسنده کتاب «فلسفه امنیت سایبری»، به The Verge می‌گوید حل مشکل ممکن است «روزها تا هفته‌ها» طول بکشد، زیرا مدیران IT مجبور هستند به‌صورت فیزیکی به سیستم‌ها دسترسی پیدا کنند. او همچنین می‌گوید:

«برخی سیستم‌ها در شرایط خاص ممکن است غیرقابل بازیابی باشند، اما من فرض می‌کنم که اکثر آن‌ها بازیابی خواهند شد.»

البته پیش از اینکه مدیرعامل کراوداسترایک بیانیه‌ای درباره این مشکل منتشر کند، کارشناسان IT راه‌حل برطرف‌کردن آن را در شبکه‌های اجتماعی اعلام کردند. در این روش ابتدا باید سیستم‌عامل را از طریق Safe Mode اجرا و سپس از مسیر C:\Windows\System32\drivers\CrowdStrike فایلی با عنوانِ «C-00000291*.sys» را حذف کرد.

سرویس‌ها و شرکت‌هایی که تحت تأثیر قرار گرفتند

اختلال روز جمعه بسیار گسترده بود و اکثر سرویس‌های جهان از خطوط هوایی گرفته تا بانک‌ها و بیمارستان‌ها در بسیاری از کشورها را تحت تأثیر خود قرار داد.

اولین‌بار شرکت‌ها و خطوط هواپیمایی استرالیایی این مشکل را گزارش کردند و مسافران فرودگاه سیدنی به‌دلیل اختلال تابلوهای پرواز ساعت‌ها در صف‌های طولانی منتظر ماندند. پس از آن فرودگاه‌های بریتانیا، آلمان و تایوان نیز پروازهای خود را تأخیر زدند یا لغو کردند. حتی در فرودگاهی در هند، کارت‌های پرواز به‌صورت دست‌نویس به مسافران ارائه می‌شد!

اداره هوانوردی فدرال نیز پروازهای دلتا، یونایتد و امریکن ایرلاینز را لغو کرد. Ryanair که از بزرگ‌ترین خطوط هوایی اروپاست، نیز به مشکل آی‌تی سرویس‌های «شخص ثالث» اشاره کرده که روی پروازهایش تأثیر گذاشته است.

برخی از ایالت‌های آمریکا نیز با قطعی خطوط تماس اضطراری 911 مواجه شدند، هرچند اکثر این مشکلات خیلی زود برطرف شد. شبکه خبری اسکای نیوز از شرکت‌هایی بود که نتوانست به‌دلیل این مشکل بولتن خبری صبحگاهی خودش را پخش کند و پیغامی را برای عذرخواهی به بینندگان نشان داده است.

CBBC که شبکه مخصوص بی‌بی‌سی برای کودکان و نوجوانان است نیز از اوایل صبح جمعه قطع شده بود.

در آلمان چند بیمارستان مجبور شدند تا جراحی‌ها را لغو کنند و در بریتانیا، بسیاری از پزشکان خدمات بهداشت ملی نتوانستند از سیستم‌های خود استفاده کنند. شرکت Kaiser Permanente که به 12.6 میلیون مشترک خود سیستم پزشکی ارائه می‌کند نیز اعلام کرد که تمام سیستم‌های بیمارستانی آن تحت تأثیر این مشکل قرار گرفته‌اند.

اختلال CrowdStrike بسیار گسترده‌تر بود و حتی برخی بانک‌ها از جمله JPMorgan Chase در پردازش معاملات خود با مشکل مواجه شده بودند. TD Bank که دهمین بانک بزرگ ایالات متحده است نیز مشکل مشتریان خود مبنی بر عدم دسترسی به حساب‌های آنلاین را گزارش کرد.

ظاهرا تأثیر این مشکل برای سازمان‌ها متفاوت بوده است. به‌عنوان مثال، در اوکراین Sense Bank و اپراتور موبایل Vodafone فقط به وقوع مشکلات جزئی اشاره کردند. در فرودگاه بین‌المللی دبی نیز ظاهراً مشکل فقط با تعویض دو سیستم برطرف شده است.

خواروبارفروش‌های زنجیره‌ای بزرگ ایالات متحده نیز عمدتاً تحت تأثیر مشکل قرار نگرفته‌اند و اکثر آن‌ها فعالیت معمولی خود را داشته‌اند. اما بزرگ‌ترین شرکت‌های لجستیکی جهان، مانند FedEX، اختلالاتی را گزارش کرده‌اند که باعث تأخیر در تحویل کالاهای برخی مناطق شده است.

بلومبرگ هم در گزارشی خبر داد که مک‌دونالد ژاپن روز جمعه حدود یک‌سوم از فروشگاه‌های خود را به‌دلیل مشکل مربوط به صندوق‌ها تعطیل کرده است.

واکنش‌ها به اختلال CrowdStrike در ویندوز

حادثه عظیمی مانند اختلال کراوداسترایک طبیعتاً با بازخورد بسیار گسترده‌ای از سوی کاربران شبکه‌های اجتماعی روبه‌رو بوده است. افراد شناخته‌شده‌ای مانند ایلان ماسک نیز به این موضوع واکنش نشان دادند.

ماسک در چندین پست متفاوت به اختلال CrowdStrike اشاره کرده است. او در یکی از پست‌های خود نوشت: «ما به‌تازگی Crowdstrike را از تمام سیستم‌های خود حذف کرده‌ایم.» او در پست دیگری با ارسال یک ایموجی خنده (نسبت به تصویر زیر) به عدم قطعی اپلیکیشن ایکس در برابر تمام سرویس‌هایی که با مشکل مواجه شده‌اند، اشاره کرد.

ماسک در اولین ساعات این اختلال‌ها نیز زیر یکی از پست‌های CrowdStrike که به عضویت در سازمانی با نام Bright Network (شبکه روشن) برای ترویج تنوع و برابری در محیط کاری اشاره دارد، نوشت:

«در حال حاضر چندان روشن نیست، مگه نه؟»

پاسخ ماسک در ایکس

مالک ایکس در واکنش به گزارش فایننشال تایمز از این حادثه نیز مدعی شد که این اتفاق بزرگ‌ترین شکست فناوری اطلاعات در تاریخ بوده است.

«ساتیا نادلا»، مدیرعامل مایکروسافت نیز در شبکه اجتماعی ایکس نوشت:

«روز گذشته، CrowdStrike به‌روز‌رسانی را منتشر کرد که روی سیستم‌های فناوری اطلاعات سراسر جهان تأثیر گذاشت. ما از این موضوع آگاه هستیم و از نزدیک با CrowdStrike همکاری می‌کنیم تا پشتیبانی فنی خود را به مشتریان ارائه کنیم و مشکل سیستم‌های آن‌ها را برطرف کنیم.»

نکته قابل‌توجه، پاسخ ایلان ماسک به پست نادلا است که می‌گوید اختلال تأثیر شدیدی روی زنجیره تأمین خودروها داشته است.

کاربران شبکه‌های اجتماعی نیز پست‌های طنزآمیزی درباره این اختلالات منتشر کرده‌اند. برخی با ارسال تصاویری (مانند تصویر بالا) از محیط کاری خود و لپ‌تاپ‌هایی که صفحه آبی روی آن‌‎ها دیده می‌شود، از جمعه به‌عنوان «روز صفحه آبی مرگ» یاد کرده‌اند.