دقیقا دو روز پیش در 29 تیر 1403، بهروزرسانی معیوب نرمافزار امنیتی CrowdStrike، موسوم به “فالکون”، باعث اختلال گسترده در سیستمهای ویندوزی سراسر جهان شد. این رویداد که به عنوان “اختلال CrowdStrike” شناخته میشود، خدمات مختلفی از جمله خطوط هوایی، بانکها، بیمارستانها و حتی برخی از ادارات دولتی را تحت تأثیر قرار داد و خسارات مالی و نارضایتی گستردهای را به دنبال داشت.
علت مشکل چه بود؟
نقص در بهروزرسانی فالکون، درایورهای هسته ویندوز را به طور نادرست پیکربندی میکرد و در نتیجه، سیستمها در هنگام بوت شدن با مشکل مواجه میشدند. این مشکل به طور خاص پردازندههای AMD را تحت تأثیر قرار میداد، اما گزارشهایی از مشکل در سیستمهای دارای پردازنده اینتل نیز وجود داشت.
اختلال CrowdStrike بسیار گسترده بود و میلیونها کاربر در سراسر جهان را تحت تأثیر قرار داد. طبق برخی برآوردها، حدود 8.5 میلیون کامپیوتر ویندوزی از این مشکل متاثر شدند که در طول تاریخ بیسابقه بوده است.
خدمات تحت تأثیر اختلال
- خطوط هوایی: بسیاری از پروازها در سراسر جهان به تأخیر افتاد یا لغو شد.
- بانکها: برخی از بانکها در پردازش معاملات با مشکل روبرو شدند.
- بیمارستانها: جراحیها در برخی بیمارستانها لغو شد و پزشکان امکان دسترسی به سیستمهای خود را نداشتند.
- خردهفروشی: برخی از فروشگاههای زنجیرهای با مشکل در صندوقها مواجه شدند.
- خدمات دولتی: خطوط تماس اضطراری در برخی مناطق از دسترس خارج شد.
واکنشها و اقدامات CrowdStrike
اختلال CrowdStrike واکنشهای گستردهای را در پی داشت. کاربران در شبکههای اجتماعی از مشکلاتی که با آن مواجه شده بودند، شکایت میکردند. کارشناسان امنیتی، CrowdStrike را به دلیل عدم انجام تستهای کافی و عدم ارائه بهروزرسانی سریع برای رفع مشکل مورد انتقاد قرار دادند.
CrowdStrike پس از اطلاع از مشکل، بهروزرسانی معیوب را حذف و راهحلی برای حل مشکل ارائه کرد. با این حال، حل مشکل برای برخی از سازمانها “روزها تا هفتهها” طول خواهد کشید.
اختلال CrowdStrike خسارات مالی زیادی را به سازمانهای مختلف وارد کرد و همچنین باعث نارضایتی گسترده مردم شد. این حادثه نشان داد که اتکای بیش از حد به یک نرمافزار امنیتی میتواند چه خطرات بزرگی به همراه داشته باشد.
جورج کورتز، مدیرعامل CrowdStrike، با انتشار بیانیهای در شبکه اجتماعی ایکس از کاربران عذرخواهی کرد. او در این بیانیه تأکید کرد که:
- CrowdStrike به طور فعال در حال همکاری با مشتریان تحت تاثیر این مشکل است.
- هاستهای مک و لینوکس با این مشکل مواجه نشدهاند.
- این مشکل یک حادثه امنیتی یا حمله سایبری نبوده است.
- CrowdStrike مشکل را شناسایی کرده و راهحلی برای رفع آن ارائه داده است.
- بهروزرسانیهای کامل در وبسایت CrowdStrike ارائه خواهد شد.
- سازمانها باید از طریق کانالهای رسمی با CrowdStrike در ارتباط باشند.
- تیم CrowdStrike تمام تلاش خود را برای تضمین امنیت و ثبات مشتریان به کار میگیرد.
در حالی که CrowdStrike مقصر اصلی این مشکل نرمافزاری است، مدیر اجرایی شرکت امنیت سایبری Sevco در مصاحبهای با نیویورک تایمز اظهار داشت که انعطافپذیری سیستمعامل مایکروسافت نیز به همان اندازه در این اتفاق مقصر بوده است. او گفت:
باگها به دلیل پیچیدگی و ماهیت فناوری کسبوکارها اجتنابناپذیر هستند و اقدامات اصلاحی مایکروسافت برای کاهش خطرات این باگها کافی نبوده است.
لوکاس اولجنیک، محقق مستقل امنیت سایبری، به The Verge گفت که حل مشکل ممکن است “روزها تا هفتهها” طول بکشد، زیرا مدیران IT باید به صورت فیزیکی به سیستمها دسترسی پیدا کنند. او همچنین گفت:
ممکن است برخی از سیستمها در شرایط خاص غیرقابل بازیابی باشند. با این حال، اکثر آنها به احتمال زیاد بازیابی خواهند شد.
اما راهحلهای موقت چیست؟
قبل از انتشار بیانیه عذرخواهی CrowdStrike، کارشناسان IT در شبکههای اجتماعی راهحلهایی برای رفع مشکل ارائه دادند. اگر با این مشکل مواجه شدهاید کافیست که سیستم عامل را در حالت سیف مود اجرا کنید و یا فایل با نام “C-00000291*.sys” را از مسیر C:\Windows\System32\drivers\CrowdStrike حذف کنید.
درسهایی که باید از این اختلال آموخت
تستهای دقیق و جامع نرمافزار امنیتی قبل از انتشار برای جلوگیری از بروز مشکلات جدی ضروری است. در صورت بروز مشکل، شرکتهای امنیتی باید بهروزرسانیهای سریع و قابل اعتمادی را برای رفع مشکل ارائه دهند. سازمانها نیز باید برنامههای پشتیبان مناسبی برای بازیابی سیستمها در صورت بروز مشکلات فنی داشته باشند.
اختلال CrowdStrike، یادآوری تلخی از خطرات اتکای بیش از حد به یک نرمافزار امنیتی بود. این حادثه نشان داد که حتی شرکتهای امنیتی معتبر نیز میتوانند مرتکب اشتباهات شوند و این اشتباهات میتوانند پیامدهای جدی به دنبال داشته باشند. سازمانها باید با دقت و وسواس از نرمافزارهای امنیتی استفاده کنند و برنامههای پشتیبان مناسبی برای مقابله با آن داشته باشند.