صبح جمعه، ۱۹ جولای (۲۹ تیر)، یک بهروزرسانی ظاهراً عادی از سمت شرکت آنتیویروس آمریکایی CrowdStrike بخش بزرگی از دنیا را به هرجومرج انداخت.
تعداد زیادی از بزرگترین خطوط هوایی، پخشکنندگان برنامههای تلویزیونی، بانکها، بیمارستانها، شرکتهای بیمه، سوپرمارکتها و بسیاری از کسبوکارها و خدمات حیاتی دیگر در سراسر جهان دچار قطعی گسترده شدند و انبوهی از دستگاههای ویندوزی دنیا در کام صفحهی آبی مرگ فرو رفتند.
از حادثهی روز جمعه بهعنوان بزرگترین اختلال IT تاریخ یاد میشود؛ چراکه بهسختی میتوان حادثهی مشابهای را به خاطر آورد که تا این اندازه شرکتها و سرویسهای سراسر جهان را دچار مشکل کرده باشد. ابعاد این قطعی بهحدی گسترده بود که رسانههای خبری در عرض یک ساعت پس از شروع خبررسانی، مجبور به توقف بهروزرسانی فهرست شرکتهای آسیبدیده شدند، چون هر لحظه نام چندین شرکت به فهرست اضافه میشد و ردیابی تمام آنها تقریباً غیرممکن بود.
پای مایکروسافت اشتباهی بهعنوان مقصر به ماجرا باز شد
بهاحتمال زیاد نام شرکت CrowdStrike را تا پیش از این حادثه نشنیده باشید؛ اما کاری که این شرکت با نرمافزار ویروسیاب Falcon خود انجام داد، تأثیر فوقالعاده ناخوشایندی بر میلیونها کامپیوتر ویندوزی گذاشت.
از آنجا که این قطعی فقط دستگاههای ویندوزی را درگیر کرد و کاربران اپل و لینوکس جان سالم بهدر بردند، پای مایکروسافت اشتباهی بهعنوان مقصر به ماجرا باز شد و نزدیک بود پایان ناراحتکنندهای در انتظار ارزش سهامش باشد؛ اما ردموندیها با واکنش سریع، تأکید کردند که مشکل از سمت آنها نیست تا ارزش سهام مایکروسافت تنها یک درصد افت کند؛ درحالیکه شرکت CrowdStrike، مقصر اصلی که تا پیش از این حادثه، حدود ۸۳ میلیارد دلار ارزش داشت، با سقوط ۱۱ میلیارد دلار ارزش بازار روبهرو شد.
شرکت CrowdStrike اعلام کرد که مشکل اکنون «شناسایی، ایزوله و رفع شده است» و هنوز گزارشی مبنیبر خرابکاری عامدانه یا سرقت اطلاعات منتشر نشده؛ بااینحال برگشت تمام سرویسها و کسبوکارهای مختلشده به حالت عادی پروسهای زمانبر خواهد بود که شاید هفتهها طول بکشد.
ماجرای قطعی گستردهی سرویسهای ویندوزی دقیقاً چه بود؟
قطعی سراسری ۱۹ جولای که دسترسی کاربران به خدمات حیاتی بسیاری از سازمانها و کسبوکارها از جمله خطوط هوایی، بانکها و سوپرمارکتها را مختل کرد، به آپدیت معیوب پلتفرم اصلی شرکت CrowdStrike بهنام «فالکون» مربوط میشود. فالکون پلتفرمی مبتنیبر سرورهای ابری است که چندین ابزار و قابلیت امنیتی ازجمله آنتیویروس، حفاظت از نقاط پایانی و نظارت لحظهای را در قالب یک هاب واحد برای جلوگیری از دسترسی غیرمجاز به سیستمهای سازمانی سراسر جهان ارائه میدهد.
جورج کورتز، مدیرعامل CrowdStrike، روز جمعه گفت که این اختلال در اثر نقصی در یکی از بهروزرسانیهای محتوایی برای میزبانهای ویندوزی پیش آمده است و ربطی به حملات سایبری ندارد؛ همچنین دستگاههای مک و لینوکس تحتتأثیر این اختلال قرار نگرفتند، چراکه بهروزرسانی معیوب فقط برای دستگاههای ویندوزی ارائه شده بود.
بهنظر میرسد این بهروزرسانی، درایور معیوبی را در سطح کرنل ویندوز نصب کرده است که باعث شده سیستمهای آلوده در یک بوتلوپ گیر کنند. برخی سیستمها با پیغام خطای ریکاوری «ظاهراً ویندوز بهدرستی بارگذاری نشده است» و تعداد زیادی با صفحهی آبی مرگ روبهرو شدند.
بیشتر بخوانید
کوین بومونت، پژوهشگر امنیت سایبری در پستی در شبکهی اجتماعی X نوشت که پس از بررسی نسخهای از بهروزرسانی معیوب CrowdStrike، به این نتیجه رسیده که فایل بهدرستی فرمت نشده است و باعث میشود ویندوز هر بار کرش کند. او در پست دیگری نوشت که راهحل خودکاری برای رفع این مشکل وجود ندارد و دستگاههای درگیر لازم است بهطور دستی ریبوت شوند. برادی نیسبت، مدیر ناظر CrowdStrike نیز در X نوشت که فایل معیوب C-00000291*.sys باید در حالت Safe Mode ویندوز، از سیستم حذف شود.
به زبان ساده، نرمافزاری که قرار بود از بروز خرابی و اختلال در سیستمهای کامپیوتری دنیا جلوگیری کند، خودش آنها را از کار انداخت. البته وقتشناسی هم مهم است؛ قانون نانوشتهای بین مهندسان کامپیوتر وجود دارد که میگوید «هیچوقت بهروزرسانیها را روز جمعه انجام ندهید.» به این دلیل که اگر مشکلی پیش بیاید و رفع آن زمانبر باشد، افرادی که آخر هفته سر کار باشند و بتوانند مشکل را رفع کنند، بسیار کمترند.
کراداسترایک نهایتاً دربارهی جزئیات فنی آپدیت روز جمعه اینطور توضیح داد: فایلهای پیکربندی بهعنوان فایلهای کانال (Channel Files) شناخته میشوند و جزء مکانیزمهای محافظت رفتاری بهشمار میروند که حسگر Falcon از آنها استفاده میکند. بهروزرسانیهای فایلهای کانال، بخشی عادی از عملکرد حسگر هستند و هر روز چند بار ازطریق CrowdStrike منتشر میشوند. این فرایند جدیدی نیست و از زمان شروع Falcon اجرا شده است.
آپدیتی که CrowdStrike برای پیکربندی حسگر Falcon برای سیستمهای ویندوزی منتشر کرد، اگرچه فرایند جدیدی نبود، اما این بار باعث ایجاد خطایی منطقی و نمایش صفحهی آبی مرگ در سیستمهای تحتتأثیر شد. در ضمن، این بهروزرسانی بدون توجه به هرگونه تنظیماتی که برای جلوگیری از آپدیت خودکار پیشبینی شده باشد، منتشر شد.
اختلال روز جمعه نشان داد که چقدر دنیا به دستگاههایی وابسته است که از راه دور توسط شرکتهای بزرگ فناوری مدیریت میشوند و چطور در مواجهه با مشکلات مربوط به این دستگاهها، دنیا کاملاً ناتوان است.
چه سازمانها و سرویسهایی دچار اختلال شدند؟
بانکهای هنگکنگ، بیمارستانهای بریتانیا، خطوط هواپیمایی آمریکا؛ اورژانس آلاسکا، خبرگزاریهای استرالیا، پلتفرمهای متا، فروشگاههای زنجیرهای و استارباکس و کارخانهی تسلا؛ ابعاد این اختلال چندساعته بهقدری گسترده است که آلن وودوارد، استاد امنیت سایبری دانشگاه ساری انگلیس به بلومبرگ گفت: «این اتفاق بیسابقه است. تأثیر اقتصادی آن بسیار زیاد خواهد بود.»
بهطور کلی، اختلال CrowdStrike بخش بزرگی از سازمانها و سرویسهای سراسر دنیا ازجمله بیمارستانها، آژانسهای دولتی، خطوطهای هوایی، بانکها، شرکتهای خودروسازی، رسانهها و شرکتهای بزرگی چون متا و FedEx را درگیر کرد.
اولین گزارشها از بانکها و شبکههای تلویزیونی در استرالیا منتشر شد. با شروع روز کاری در اروپا، دستگاههای بیشتری با مشکل صفحهی آبی مرگ روبهرو شدند. اسکای نیوز، شبکهی خبری بریتانیا، قادر به پخش برنامههای خود نبود. Ryanair، یکی از بزرگترین خطوط هوایی اروپا اعلام کرد که با مشکل فنی مواجه شده که بر پروازهای این شرکت تأثیر گذاشته است.
ادارهی فدرال هوانوردی آمریکا (FAA) اعلام کرد که به دلیل یک «مشکل ارتباطی» تمام پروازهای شرکتهای هواپیمایی دلتا، یونایتد و امریکن ایرلاینز متوقف شدهاند. فرودگاه برلین نیز به دلیل «مشکلات فنی» موقتاً تمامی پروازها را به حالت تعلیق درآورد.
وزارت امور خارجهی امارات اعلام کرد که قطعی گستردهی سرویسها، برخی از سیستمهای الکترونیکی این وزارتخانه را با مشکل مواجه کرده است. در استرالیا، رسانهها و خردهفروشیها و بانکها و شرکتهای هواپیمایی و حتی اپراتورها تحتتأثیر قرار گرفتهاند.
طبق گزارشها، روز جمعه و شنبه بیش از ۵۰۰۰ پرواز فقط در آمریکا لغو شد بیش از ۲۱ هزار پرواز با تأخیر روبهرو شدند. در همین حین ایلان ماسک با انتشار پستی در ایکس، حادثهی قطعی گستردهی سیستمها را «بزرگترین شکست فناوری اطلاعات در تاریخ» قلمداد کرد و گفت تسلا نرمافزار Crowdstrike را از تمام سیستمهای خود حذف کرده، چراکه این قطعی «زنجیرهی تأمین خودرو را متشنج کرده است.»
حال مایکروسافت میگوید بهروزرسانی معیوب CrowdStrike، بیش از ۸٫۵ میلیون دستگاه ویندوزی را تحتتأثیر قرار داده که کمتر از یک درصد از تمام دستگاههای ویندوزی است؛ اما همین تعداد برای ایجاد اختلال گسترده در عملکرد هزاران کسبوکار مانند خردهفروشان، بانکها، فرودگاهها و بسیاری از سیستمهایی که به آن وابسته هستند، کافی بود.
کراداسترایک چه شرکتی است؟
کراداسترایک ارائهدهندهی خدمات امنیت سایبری است که ۱۳ سال پیش در آستین تگزاس تأسیس شد و اکنون نزدیک به ۸۵۰۰ کارمند و ۲۴ هزار مشتری سازمانی دارد. شرکتی که در مرکز بزرگترین اختلال IT جهان ایستاده، برای کاربران عادی شناختهشده نیست، اما طی یک سال گذشته به عزیزدردانهی والاستریت تبدیل شده است.
در سال ۲۰۲۴، ارزش سهام این شرکت با افزایش ۹۶ درصدی، یکی از بهترین عملکردها را در شاخص فناوریمحور نزدک و شاخص عامتر S&P 500 به نمایش گذاشت. کراداسترایک تا پایان شب پنجشنبه، ۸۴ میلیارد دلار ارزشگذاری شده بود.
آنچه سرمایهگذاران را به وجد آورد، تأکید کراداسترایک به ارائهی ابزاری همهجانبه برای حفاظت «نقطه پایانی» (Endpoint) و استفاده از هوش مصنوعی در بسیاری از خدمات این شرکت بود. محافظت نقطهی پایانی ابتدا چیزی بهجز یک نرمافزار آنتیویروس ساده نبود، اما در دههی گذشته به مجموعهی گستردهای از خدمات امنیتی شامل شناسایی تهدیدات، جلوگیری از نشت داده و مدیریت شبکه برای حفاظت از دستگاههای فیزیکی متصل به اینترنت مانند کامپیوتر، گوشی هوشمند، تبلت و سرور تبدیل شده است.
چندین عامل باعث محبوبیت چشمگیر CrowdStrike شد؛ اول سهم حدوداً ۲۴ درصدی این شرکت در بخش امنیت سایبری بود. دوم، مهاجرت گستردهی دادهها و سرویسهای IT به فضای ابری بود که تقاضا برای خدمات امنیت سایبری را بهطرز چشمگیری افزایش داد و شاید مهمترین عامل، قوانین جدید کمیسیون بورس آمریکا در پایان سال ۲۰۲۳ بود که شرکتها را ملزم به افشای روشهای مدیریت ریسک امنیت سایبری میکرد؛ این قوانین تقاضای شرکتها آمریکایی را برای استفاده از خدمات امنیت سایبری افزایش داد.
CrowdStrike با افشای هک کاخ سفید و وزارت امورخارجه به مرکز توجه رسانهها تبدیل شد. بااینحال، کراداسترایک زمانی به مرکز توجه رسانهها تبدیل شد که در ژوئن ۲۰۱۶، از تلاشهای دو گروه هکر روسی بهنامهای Cozy Bear و Fancy Bear برای هک کاخ سفید و وزارت امورخارجه پرده برداشت. این شرکت همچنین فاش کرد که هکرهایی که برای مداخله در نتایج انتخابات ریاستجمهوری آن سال به کمیتهی ملی دموکراتها نفوذ کرده بودند، ایمیلهای اعضای این کمیته و کمپین انتخاباتی هیلاری کلینتون را دزدیده و به ویکیلیکس تحویل داده بودند.
اختلال گستردهی IT روز جمعه ارزش سهام کراداسترایک را با ۲۰ درصد افت مواجه کرد، اما بهنظر میرسد حامیان بزرگ آن همچنان امید خود را به خدمات امنیتی این شرکت حفظ کردهاند. بااینحال، حادثهی امنیتی روز جمعه عواقب سهمگینی در بلندمدت بههمراه خواهد داشت؛ چراکه برخی از تحلیلگران صنعت فناوری، کنترل چنین نرمافزارهای حیاتی و عملیاتیای در دست تعداد انگشتشماری از شرکتها را بهطور جدی به چالش کشیدهاند.
سرانجام ماجرای اختلال CrowdStrike به کجا رسید؟
اگرچه CrowdStrike بهروزرسانی مشکلساز را برطرف کرده است، سیستمهای بسیاری بهویژه در بانکها، خطوط هوایی، سوپرمارکتها و شبکههای تلویزیونی کماکان بهدلیل از کار افتادن کامپیوترها، با اختلالاتی دستوپنجه نرم میکنند.
برخی از این راهکارها در اغلب موارد نیازمند دسترسی فیزیکی به دستگاه هستند و مواردی مانند رمزنگاری دیسک یا حتی نداشتن دسترسی ادمین در ویندوز، روند کار را پیچیدهتر کردهاند. کراداسترایک مشغول کار روی راهحلی است که بتواند بهطور خودکار تمام سیستمهای آسیبدیده را به حالت عادی برگرداند.
بااینحال، راهکار ابتدایی مایکروسافت برای حل مشکل، ساده و کلاسیک بود؛ «ما از مشتریان خود شنیدهایم که چندینبار ریاستارت کردن (حتی تا ۱۵ بار) گام مؤثری برای مشکلیابی در این مرحله است.» اگر راهاندازی مجدد ۱۵بارهی سیستم جواب نداد، مایکروسافت روش دیگری را که بسیاری از ادمینهای IT از آن استفاده کردهاند، پیشنهاد میدهد: پاک کردن درایور معیوب CrowdStrike. بااینحال، حیرتانگیز است که یکی از هولناکترین اختلالات IT جهان فقط با خاموش و روشن کردن سیستم رفع شود؛ این راهحل آدم را یاد سریال کمدی IT Crowd و جملهی معروف کارشناس آیتی آن میاندازد: «?Have you tried turning it off and on again»
اختلال روز جمعه تلنگری بود برای یادآوری وابستگی شدید خدمات اساسی به سیستمهای کامپیوتری و محصولات فناوری اطلاعات، بهویژه وقتی این وابستگی به یک شرکت خاص محدود میشود. بسیار محتمل است که این حادثه پیامدهای سنگینی برای شرکتهای تکنولوژی در بلندمدت داشته باشد. رگولاتورهای آمریکا از منتقدان سرسخت قدرتگرفتن بیحدومرز شرکتهای بزرگ فناوری هستند و بعید نیست پای Crowdstrike و بهدنبال آن، مایکروسافت پس از ختمبهخیر شدن جنجال تصاحب اکتیویژن بلیزارد، دوباره به پروندههای ضدانحصار باز شود.