دنیا در کام صفحه آبی مرگ؛‌ چطور یک‌ به‌روزرسانی ساده جهان را به آشوب کشید

صبح جمعه، ۱۹ جولای (۲۹ تیر)، یک به‌روزرسانی ظاهراً عادی از سمت شرکت آنتی‌ویروس آمریکایی CrowdStrike بخش بزرگی از دنیا را به هرج‌ومرج انداخت. تعداد زیادی از بزرگ‌ترین خطوط هوایی، پخش‌کنندگان برنامه‌های تلویزیونی، بانک‌ها، بیمارستان‌ها، شرکت‌های بیمه، سوپرمارکت‌ها و بسیاری از کسب‌وکارها و خدمات حیاتی دیگر در سراسر جهان دچار قطعی گسترده شدند و انبوهی از دستگاه‌های ویندوزی دنیا در کام صفحه‌ی آبی مرگ فرو رفتند.

از حادثه‌ی روز جمعه به‌عنوان بزرگ‌ترین اختلال IT تاریخ یاد می‌شود؛‌ چراکه به‌سختی می‌توان حادثه‌ی مشابه‌ای را به خاطر آورد که تا این‌ اندازه شرکت‌ها و سرویس‌های سراسر جهان را دچار مشکل کرده باشد. ابعاد این قطعی به‌حدی گسترده بود که رسانه‌های خبری در عرض یک ساعت پس از شروع خبررسانی، مجبور به توقف به‌روزرسانی فهرست شرکت‌های آسیب‌دیده شدند، چون هر لحظه نام چندین شرکت به فهرست اضافه می‌شد و ردیابی تمام آن‌ها تقریباً غیرممکن بود.

از آنجا که این قطعی فقط دستگاه‌های ویندوزی را درگیر کرد و کاربران اپل و لینوکس جان سالم به‌در بردند، پای مایکروسافت اشتباهی به‌عنوان مقصر به ماجرا باز شد و نزدیک بود پایان ناراحت‌کننده‌ای در انتظار ارزش سهامش باشد؛ اما ردموندی‌ها با واکنش سریع، تأکید کردند که مشکل از سمت آن‌ها نیست تا ارزش سهام مایکروسافت تنها یک درصد افت کند؛ درحالی‌که شرکت CrowdStrike، مقصر اصلی که تا پیش از این حادثه، حدود ۸۳ میلیارد دلار ارزش داشت، با سقوط ۱۱ میلیارد دلار ارزش بازار روبه‌رو شد.

شرکت CrowdStrike اعلام کرد که مشکل اکنون «شناسایی، ایزوله و رفع شده است» و هنوز گزارشی مبنی‌بر خرابکاری عامدانه یا سرقت اطلاعات منتشر نشده؛ بااین‌حال برگشت تمام سرویس‌ها و کسب‌وکارهای مختل‌شده به حالت عادی پروسه‌ای زمان‌بر خواهد بود که شاید هفته‌ها طول بکشد.

قطعی سراسری ۱۹ جولای که دسترسی کاربران به خدمات حیاتی بسیاری از سازمان‌ها و کسب‌وکارها از جمله خطوط هوایی، بانک‌ها و سوپرمارکت‌ها را مختل کرد، به آپدیت معیوب پلتفرم اصلی شرکت CrowdStrike به‌نام «فالکون» مربوط می‌شود. فالکون پلتفرمی مبتنی‌بر سرورهای ابری است که چندین ابزار و قابلیت امنیتی ازجمله آنتی‌ویروس، حفاظت از نقاط پایانی و نظارت لحظه‌ای را در قالب یک هاب واحد برای جلوگیری از دسترسی غیرمجاز به سیستم‌های سازمانی سراسر جهان ارائه می‌دهد.

جورج کورتز، مدیرعامل CrowdStrike، روز جمعه گفت که این اختلال در اثر نقصی در یکی از به‌روزرسانی‌های محتوایی برای میزبان‌های ویندوزی پیش آمده است و ربطی به حملات سایبری ندارد؛ همچنین دستگاه‌های مک و لینوکس تحت‌تأثیر این اختلال قرار نگرفتند، چراکه به‌روزرسانی معیوب فقط برای دستگاه‌های ویندوزی ارائه شده بود.

کوین بومونت، پژوهشگر امنیت سایبری در پستی در شبکه‌ی اجتماعی X نوشت که پس از بررسی نسخه‌ای از به‌روزرسانی معیوب CrowdStrike، به این نتیجه رسیده که فایل به‌درستی فرمت نشده است و باعث می‌شود ویندوز هر بار کرش کند. او در پست دیگری نوشت که راه‌حل خودکاری برای رفع این مشکل وجود ندارد و دستگاه‌های درگیر لازم است به‌طور دستی ریبوت شوند. برادی نیسبت، مدیر ناظر CrowdStrike نیز در X نوشت که فایل معیوب C-00000291*.sys باید در حالت Safe Mode ویندوز، از سیستم حذف شود.

به زبان ساده، نرم‌افزاری که قرار بود از بروز خرابی‌ و اختلال در سیستم‌های کامپیوتری دنیا جلوگیری کند، خودش آن‌ها را از کار انداخت. البته وقت‌شناسی هم مهم است؛ قانون نانوشته‌ای بین مهندسان کامپیوتر وجود دارد که می‌گوید «هیچ‌وقت به‌روزرسانی‌‌ها را روز جمعه انجام ندهید.» به این دلیل که اگر مشکلی پیش بیاید و رفع آن زمان‌بر باشد، افرادی که آخر هفته سر کار باشند و بتوانند مشکل را رفع کنند، بسیار کمترند.

کراداسترایک نهایتاً درباره‌ی جزئیات فنی آپدیت روز جمعه این‌طور توضیح داد:

فایل‌های پیکربندی به‌عنوان فایل‌های کانال (Channel Files) شناخته می‌شوند و جزء مکانیزم‌های محافظت رفتاری به‌شمار می‌روند که حسگر Falcon از آن‌ها استفاده می‌کند. به‌روزرسانی‌های فایل‌های کانال، بخشی عادی از عملکرد حسگر هستند و هر روز چند بار ازطریق CrowdStrike منتشر می‌شوند. این فرایند جدیدی نیست و از زمان شروع Falcon اجرا شده است.

آپدیتی که CrowdStrike برای پیکربندی حسگر Falcon برای سیستم‌های ویندوزی منتشر کرد، اگرچه فرایند جدیدی نبود، اما این بار باعث ایجاد خطایی منطقی و نمایش صفحه‌ی آبی مرگ در سیستم‌های تحت‌تأثیر شد. در ضمن، این به‌روزرسانی بدون توجه به هرگونه تنظیماتی که برای جلوگیری از آپدیت‌ خودکار پیش‌بینی شده باشد، منتشر شد.

اختلال روز جمعه نشان داد که چقدر دنیا به دستگاه‌هایی وابسته است که از راه دور توسط شرکت‌های بزرگ فناوری مدیریت می‌شوند و چطور در مواجهه با مشکلات مربوط‌ به این دستگاه‌ها، دنیا کاملاً ناتوان است.

بانک‌های هنگ‌کنگ، بیمارستان‌های بریتانیا، خطوط هواپیمایی آمریکا؛ اورژانس آلاسکا، خبرگزاری‌های استرالیا، پلتفرم‌های متا، فروشگاه‌های زنجیره‌ای و استارباکس و کارخانه‌ی تسلا؛ ابعاد این اختلال چندساعته به‌قدری گسترده است که آلن وودوارد، استاد امنیت سایبری دانشگاه ساری انگلیس به بلومبرگ گفت: «این اتفاق بی‌سابقه است. تأثیر اقتصادی آن بسیار زیاد خواهد بود.»

به‌طور کلی، اختلال CrowdStrike بخش بزرگی از سازمان‌ها و سرویس‌های سراسر دنیا ازجمله بیمارستان‌ها، آژانس‌های دولتی، خطوط‌های هوایی، بانک‌ها، شرکت‌های خودروسازی، رسانه‌ها و شرکت‌های بزرگی چون متا و FedEx را درگیر کرد.