چه چیز باعث بحران CrowdStrike و از کارافتادن میلیون‌ها دستگاه ویندوزی شد؟ تاریخ پاسخ می‌دهد

حادثه روز جمعه شاید از لحاظ ابعاد و تبعات بی‌نظیر باشد اما موارد مشابهی در طول تاریخ فناوری رخ داده است که شاید بررسی آنها دلایل این مساله را بهتر مشخص کند. خبرنگار ZDNet در مطلبی به بررسی پیشینه تاریخی این مساله پرداخته که در آن به حادثه مشابهی برای شرکت امنیت سایبری McAfee اشاره می‌شود و در این تاریخچه نام مدیر ارشد فناوری McAfee در زمان وقوع این حادثه جالب توجه است: جورج کرتز، بنیان‌گذار و مدیرعامل CrowdStrike.

بزورسانی معیوب McAfee و از کار افتادن تعداد زیادی از کامپیوتر‌های ویندوز XP

کاربری در شبکه اجتماعی ردیت به حادثه یکسانی در بیش از یک دهه پیش از شرکت McAfee، ارائه دهنده آنتی‌ویروس و خدمات امنیت سایبری، اشاره می‌کند که سال‌ها پیش سیستم‌های مجهز به ویندوز اکس‌پی را با مشکل مشابهی مواجه کرد.

چهارده سال پیش در سال ۲۰۱۰، شرکت McAfee در سال ۶ صبح تعاریف آنتی‌ویروس‌های خود برای مشتریان شرکت را بروزرسانی کرد اما این بروزرسانی یک نقص کوچک اما مهم داشت. این «نقص کوچک» باعث شد تا سیستم‌های کاربران شرکتی عملا تا زمان اصلاح دستی مشکل قابل استفاده نباشند.

شرکت در آن زمان فایل تعریف ویروس خود برای ویندوز‌های اکس‌پی را به اشتباه بروزرسانی کرد و همین مساله باعث شد تا آنتی‌ویروس یکی از فایل‌های اساسی ویندوز Svchost.exe را به اشتباه به عنوان ویروس شناسایی کرده و پاک کند. درنتیجه همین موضوع سیستم‌ها «گرفتار یک لوپ راه‌آندازی مجدد شدند و تمام دسترسی شبکه خود را [از دست دادند.]»

در آن حادثه نیز رفع مشکل تنها به صورت دستی امکان‌پذیر بود. این حادثه همچنین در دوران بسیار مهمی برای McAfee و در زمانی رخ داد که اینتل قرار بود این شرکت را به قیمت ۷.۶۸ میلیارد دلار خریداری کند. دو روز پس از بیانیه اینتل از تمایل به خرید شرکت در ۱۹ آوریل ۲۰۱۰، در تاریخ ۲۱ آوریل این حادثه رقم خورد. تبعات آن حادثه نیز بسیاری از شرکت‌های بزرگ حاضر در لیست Fortune 500 را گرفتار کرد و حتی سازمان‌های دولتی، نظامی و دانشگاه‌های جهان با بحران مواجه شدند.

جالب‌ اینکه، جورج کرتز، بنیان‌گذار و مدیرعامل CrowdStrike که حالا باید برای شهادت به مجلس آمریکا برود، در سال ۲۰۱۰ و در زمان وقوع این حادثه مدیر ارشد فناوری شرکت McAfee بود.

اشتباه دیگری از CrowdStrike

اما بحران روز جمعه اولین اشتباه شرکت CrowdStrike نبود. کمتر از یک ماه قبل از این حادثه این شرکت با انتشار یک بروزرسانی برای سنسور Falcon (فالکون نام ابزار امنیتی این شرکت است) باعث نقص در قابلیت اکسن حافظه شد. شرکت در متن توصیه خود به مشتریان نوشت که این حادثه ممکن است باعث شود تا «سنسور Falcon در ویندوز ۱۰۰ درصد از ظرفیت یک هسته CPU را استفاده کند.» پس از این اتفاق شرکت بروزرسانی معیوب را اصلاح کرد و دستگاه مشتریان با راه‌اندازی مجدد به حالت عادی بازگشت.

آیا اشتباهی متوجه مایکروسافت می‌شود؟

با اینکه مایکروسافت خود را در حادثه اخیر بی‌تقصیر می‌داند و در واقع یک بزورسانی اشتباه از شرکت شخص ثالث را دلیل اصلی می‌داند، اما این مساله تا حدی به معماری سیستم‌عامل باز می‌گردد. توسعه‌دهندگان اپلیکشین‌های سطح سیستمی در ویندوز، که نرم‌افزار‌های امنیتی را شامل می‌شوند، قابلیت‌های خود را با استفاده از افزونه‌ها و درایور‌های کرنل یا هسته اصلی (Kernel) اعمال می‌کنند. یک کد اشتباه در فضای هسته اصلی می‌تواند باعث بحران‌های غیرقابل جبران و بازیابی شود، اما اگر کد در فضای کاربری فعالیت کند، چنین اتفاقی رخ نمی‌دهد.

شرایط تا سال ۲۰۲۰ برای سیستم‌عامل مک نیز به همین منوال بود اما پس از عرضه MacOS 11، اپپل معماری سیستم‌عامل خود را به گونه‌ای تغییر داد که استفاده از افزونه‌های هسته‌ اصلی یا کرنل را به شدت دشوار کرد. در عوض از توسعه‌دهندگان خواسته شد تا افزون‌های سیستمی خود را برای اجرا در فضای کاربری بنویسند. شرکت CrowdStrike در سیستم‌عامل مک از Endpoint Security Framework استفاده می‌کند و می‌گوید با استفاده از این طراحی «Falcon از طریق فضای کاربر هم به همان سطح از دید، تشخیص و محافظت دست پیدا می‌کند.»

درنتیجه می‌توان استدلال کرد که اگر مایکروسافت‌ هم رویکرد اپل را دنبال می‌کرد، شاید چنین حادثه‌ای رقم نمی‌خورد.

سخنگوی مایکروسافت اما به وال‌استریت ژورنال گفته است که به دلیل نگرانی‌های ضد انحصار نمی‌تواند همانند اپل عمل کند. طبق گزارش وال‌استریت ژورنال: «مایکروسافت در سال ۲۰۰۹ موافقت کرد تا سطح دسترسی مشابه مایکروسافت به ویندوز را در اختیار سازندگان نرم‌افزار امنیتی بگذارد.»

توسعه‌دهندگان نرم‌افزارهای امنیتی با وجود اینکه به APIهای مایکروسافت دیفندر دسترسی دارند، اما با اشاره به اینکه نرم‌افزار آنها عملکرد بهتری نسبت به پیشنهاد مایکروسافت دارد از دسترسی‌های موجود به هسته ویندوز استفاده می‌کنند.