紐約時代廣場的數(shù)字廣告牌因宕機事故藍屏

核心提示：

1.一個只夠容納一個網(wǎng)頁圖像的文件居然引發(fā)了世界上最大的IT中斷事故。

2.CrowdStrike在追求速度、更大利潤的同時，犧牲了基本的安全原則。

3.麻煩的是，CrowdStrike的修復程序需要手動修復，耗時耗力。

4.這次事故不禁讓人反省，少數(shù)公司控制網(wǎng)絡安全行業(yè)存在的風險。

作者｜簫雨

編輯｜于雷

周五，當英國國民保健署(NHS)的醫(yī)生、倫敦帝國理工學院教授布倫丹·德萊尼(Brendan Delaney)出現(xiàn)在他的倫敦診所時，他原以為這一天會忙得不可開交。

兩個月前，倫敦東南部的醫(yī)院和診所遭受了毀滅性的網(wǎng)絡攻擊?，F(xiàn)在，像德萊尼這樣的醫(yī)生終于開始感到工作恢復正常了。他們可以再次發(fā)送緊急血液檢測。網(wǎng)絡安全專家在修復和更換之前被黑客犯罪團伙關閉的信息技術系統(tǒng)方面，并取得了進展。

然而，就在他到達診所時，他看到前臺正在匆忙地收集紙質(zhì)記事本，查詢業(yè)務連續(xù)性計劃。原來，英格蘭醫(yī)生用來查看病人病歷的一個系統(tǒng)突然失靈了。

這一次，問題不是源自勒索軟件團伙，而是出在一家為了保護人們免受黑客攻擊的公司，它就是全球最大網(wǎng)絡安全軟件制造商之一的CrowdStrike Holdings CrowdStrike推送了一個有缺陷的更新，引發(fā)了全球IT系統(tǒng)崩潰，導致全球機場、銀行、證券交易所和企業(yè)陷入癱瘓。

小文件大破壞

令人難以置信的是，一個很小的文件(專家稱只夠容納一個網(wǎng)頁圖像)居然導致了世界上最大的IT中斷事故。這個名為“C-00000291*.sys”的文件隱藏在CrowdStrike的Falcon sensor安全產(chǎn)品更新中。該問題文件在微軟公司的Windows操作系統(tǒng)中引發(fā)了一個錯誤，導致計算機無法正常工作，并觸發(fā)了可怕的“藍屏死機”。

這一事件以前所未有的規(guī)模暴露了全球IT系統(tǒng)的脆弱性，并凸顯出如此多的組織和個人依賴于少數(shù)幾家科技公司存在的危險性。如果其中一家公司出現(xiàn)故障或遭到黑客攻擊，其后果可能波及全球經(jīng)濟的大片領域。微軟憑借其Windows操作系統(tǒng)主導了個人電腦業(yè)務，而CrowdStrike已成為數(shù)千家公司和組織的首選供應商，后者希望保護其最重要系統(tǒng)免受網(wǎng)絡攻擊。

罪魁禍首CrowdStrike

知名研究公司IDC的數(shù)據(jù)顯示，CrowdStrike是僅次于微軟的第二大“現(xiàn)代終端保護”軟件開發(fā)商，在規(guī)模為126億美元的市場中占有18%的份額。這家總部位于美國得州奧斯汀的公司向全球2.9萬家機構銷售其產(chǎn)品，所以此次宕機可能會影響數(shù)百萬臺電腦。這些電腦可能需要數(shù)周或更長時間才能重新恢復正常，因為它們必須手工修復。

“這真是一團糟，”前NHS醫(yī)生、網(wǎng)絡安全和公共衛(wèi)生專家賽義夫·阿比德(Saif Abed)表示，“Crowdstrike影響到了微軟，而整個NHS都依賴于微軟，制造了一個潛在故障連續(xù)爆發(fā)的多米諾骨牌效應?！?/p>

如何發(fā)生的？

上周五，隨著宕機事故從亞洲和澳大利亞蔓延到歐洲和美國，CrowdStrike聯(lián)合創(chuàng)始人兼CEO喬治·庫爾茨(George Kurtz)為這一錯誤道歉。“這不是安全事件或網(wǎng)絡攻擊，”他說，“這個問題已經(jīng)被發(fā)現(xiàn)、隔離，并且已經(jīng)部署了修復程序?！?/strong>

庫爾茨沒有具體說明這個漏洞是如何出現(xiàn)在軟件更新中的。但是，一些長期批評網(wǎng)絡安全行業(yè)的人士已經(jīng)有了一套可以說得通的理論。他們說，CrowdStrike和其他網(wǎng)絡安全公司在追求更大利潤和試圖安撫股東的同時，犧牲了基本、枯燥的安全原則。

“現(xiàn)在是行業(yè)成長，放慢腳步的時候了，”總部位于愛丁堡的安全服務公司Quorum Cyber的創(chuàng)始人兼CEO費德里科·查羅斯基(Federico Charosky)表示，“有些開發(fā)商在某個地方做出了改變，卻沒有分析這種改變會產(chǎn)生什么影響。為了追求速度，他們顯然缺乏質(zhì)量保證和測試，走了捷徑。這表明，我們對運行一切事物所必不可少的技術的完全信任是錯誤的?！?/p>

重蹈覆轍

周五發(fā)生的一切非常罕見，但CrowdStrike CEO庫爾茨卻不陌生。2010年，他還是殺毒軟件先驅(qū)McAfee的首席技術官。那年4月，McAfee發(fā)布了一個更新，錯誤地將一個合法的Windows文件標記為感染文件，癱瘓了世界各地醫(yī)院、學校和政府機構的計算機。

CrowdStrike CEO庫爾茨

McAfee時任CEO戴夫·德沃爾特(Dave DeWalt)稱，該公司在16分鐘后就撤銷了這個有缺陷的更新，但那時，它已經(jīng)安裝在1600多家客戶的電腦上。德沃爾特現(xiàn)在經(jīng)營著一家專注于網(wǎng)絡安全的風險投資公司。他在接受采訪時說：“我們在那天損失了大約40%的市值?！钡挛譅柼剡€說，公司派出了近4000名員工乘飛機幫助受影響的客戶從事故中恢復過來。

McAfee最終走出了危機，但當時的員工稱這起事故是一種極大的創(chuàng)傷和恥辱。四個月后，英特爾宣布收購McAfee。

網(wǎng)絡行業(yè)觀察人士想知道，CrowdStrike是否會從自己的錯誤中吸取教訓。有人已經(jīng)表示，該公司是在自找麻煩。多年來，CrowdStrike一直在抨擊微軟允許黑客侵入其系統(tǒng)，庫爾茨利用這些漏洞作為自己產(chǎn)品的賣點。

就在美國政府發(fā)布報告，指責微軟存在“一連串的安全故障”后不久，庫爾茨突然出擊，在財報電話會議上向投資者引用了他的調(diào)查結果，表示微軟的問題引發(fā)了潛在客戶的“大量要求”?！拔④洶踩蛻羧后w中的安全和IT團隊中存在著廣泛的信任危機?！彼敃r表示。

“CrowdStrike試圖盡可能地抨擊微軟，并從中獲利，”查羅斯基表示，“但是當你的公司在全球基礎設施中占據(jù)如此重要的地位時，沒有人能逃脫干系。這就是因果報應。當一家公司從創(chuàng)業(yè)公司成長為重要的國家基礎設施企業(yè)時，它需要采取不同的行動，我不知道CrowdStrike是否經(jīng)歷了這種轉(zhuǎn)變。”

“年度惡意軟件”

鑒于CrowdStrike造成的破壞程度，一些網(wǎng)絡評論人士已經(jīng)將這個存在缺陷的更新描述為“年度惡意軟件”。這種將其與黑客攻擊進行的玩笑式比較在某種程度上是有現(xiàn)實依據(jù)的。網(wǎng)絡安全專家說，受影響組織的恢復可能需要數(shù)周或更長時間，大致相當于大型組織在遭受勒索軟件攻擊后重建網(wǎng)絡所需的時間。

讓這些電腦恢復正常的最大挑戰(zhàn)是，CrowdStrike的修復程序需要由具有管理權限的人手動修復，一臺電腦接一臺電腦，這是一個非常耗時的過程，在遠程工作的時代尤其困難。

星巴克電腦藍屏

得州普萊諾網(wǎng)絡安全服務公司Accelerynt的聯(lián)合創(chuàng)始人兼董事長邁克爾·亨利(Michael Henry)稱，美國一家大型零售商的客戶不得不召集其所有IT員工，讓他們晝夜不停地手動更新約6000臺受影響的電腦。他說，該公司預計要花費整個周末時間來恢復關鍵系統(tǒng)，所有系統(tǒng)完全恢復上線狀態(tài)需要三周時間。

“這太瘋狂了。他們正在分類，首先關注關鍵系統(tǒng)，”亨利說，“這是一項零售業(yè)務，所以他們要確保門店能夠恢復運營?！?/p>

亨利有一個疑問，這也是很多人在宕機事故發(fā)生后都在問的問題：這是怎么發(fā)生的？

“CrowdStrike對全球商業(yè)造成的破壞，比所有勒索軟件攻擊的總和還要大，”他說，“這證明了，我們在保護自己而部署的軟件上承擔了多大的風險：如果這些人出錯，他們可能會毀掉你的業(yè)務。”

訴訟

庫爾茨在周五晚些時候發(fā)表的一份聲明中說：“隨著這一事件的解決，我承諾將對事件發(fā)生的過程以及我們?yōu)榉乐勾祟愂录俅伟l(fā)生所采取的措施提供充分的透明度。我們正在進行技術更新和根本原因分析，并會公布于眾?！?/p>

網(wǎng)絡安全和法律專家表示，CrowdStrike幾乎肯定會受到起訴、付出經(jīng)濟成本和其他處罰。這一事件也肯定會引發(fā)一場新的討論，即權力和風險日益集中在少數(shù)幾家網(wǎng)絡安全公司手中存在的問題。

按照硅谷的標準，網(wǎng)絡安全行業(yè)相對年輕，它是在蠕蟲和軟盤病毒的時代成長起來的。20年前，它由賽門鐵克和McAfee兩家公司主導，這兩家公司的殺毒產(chǎn)品采用了一種現(xiàn)在看來有些古怪的策略，即編寫“簽名”以阻止已知的惡意軟件菌株。

微軟

如今，攻擊者已經(jīng)變得更加先進，傳統(tǒng)的殺毒軟件已經(jīng)失寵，導致那些傳統(tǒng)安全廠商退出舞臺。取而代之的產(chǎn)品能夠檢測PC上一系列威脅并自動修復這些威脅。

問題在于，這些技術在很大程度上由微軟和CrowdStrike控制。紐約大學計算機科學教授賈斯汀·卡波斯(Justin Cappos)表示，他一直在警告，安全行業(yè)的整合以及隨之而來的集中決策可能會導致大問題，這種爭論在其他科技領域也曾發(fā)生過。

“大公司在科技領域會犯大錯誤，”他在接受采訪時說，“我們看到過的很多非常糟糕的安全設計都出自大公司之手。”

更多一手新聞，歡迎下載鳳凰新聞客戶端訂閱鳳凰網(wǎng)科技。想看深度報道，請微信搜索“鳳凰網(wǎng)科技”。