讓全球電腦藍屏兩次,這個男人完成了史詩級成就
相信大家在前兩天應該都刷到過「微軟藍屏」事件了吧。
隨著國外媒體同行們的不斷深挖,關於這起事件的猛料是越來越多了,所以這個時間點跟大家來盤一盤這件事剛剛好。
事情的起因是這樣的,有家叫做CrowdStrike的網絡安全公司,他們檢測到了新的網絡攻擊技術後,就對軟件進行了例行的更新推送。
結果……這一更新直接把所有用了他們家產品的設備干癱瘓了。
機場、銀行、金融、交通運輸、零售、醫療……各行各業無一倖免。
在德國柏林勃蘭登堡機場,乘客們因為設備故障進不去安檢口。
倫敦車站的售票機藍屏,導致人們買不到車票。
紐約時代廣場的標誌性廣告牌,也喜迎「藍屏時代」。
向來心直口快的馬斯克當然也是在X上激情開噴,還發了一張「火燒CrowdStrike機房」的AI圖片,因為CrowdStrike這回捅的簍子影響到了特斯拉的生產線。
「整活害得是你啊,老馬!」
總之,這起藍屏事件幾乎影響了所有行業,就連美國的專家都說「看到這種連鎖反應,我人都傻了。」
而CrowdStrike捅出的簍子之所以這麼大,主要也是因為他們的產品是真賣得不錯。
按照市場調研機構IDC的數據,CrowdStrike是終端保護軟件行業中僅次於微軟的存在,在126億美元的市場中佔到了18%的份額,全球的客戶就有2.9萬家,所以這回影響到的設備是數百萬台。
CrowdStrike,人稱美版360企業版(狗頭)。
而且讓人哭笑不得的一點是,他們這回犯的錯誤還有點抽像。
從CrowdStrike自己披露的細節,以及安全專家們的分析來看,問題的源頭在於一個很小的文件,這個名稱為「C-00000291*.sys」是CrowdStrike Falcon平台的一個配置文件,也被稱為「通道文件」(Channel File)。
而這個特定的291通道文件就是負責控制Falcon對Windows上的「命名管道」(Named Pipe)執行動作進行評估。
嗯……這麼說可能有點難以理解,咱們簡單點來說。
打個比方,Falcon就是一個保安系統,它會監視Windows系統里程序的各種活動,而程序之間會通過一個叫做「命名管道」的東西來傳遞信息。
那麼該怎麼去判斷和處理這些「命名管道」里的活動呢?這個時候就要用到這個291文件,它的作用就像是一個規則手冊,Falcon保安系統拿著這本冊子就可以判斷:哪些的活動是正常的可以放行;哪些活動是可疑的需要檢查;哪些活動是有害的需要製止。
如下:進程A到B之間的通信就是通過管道來完成▼
但是CrowdStrike在更新中往291文件裡面塞入了一條完全不合理的規則,就好像你邀請別人來家裡,但卻開了鄰居的門,然後說進去吧,鄰居:???
所以,在執行291這個錯誤規則時,Falcon觸碰到了Windows系統中它本不該接觸的部分,引發了非法的內存訪問,最終導致整個系統崩潰藍屏。
想要解決這個藍屏問題,還沒辦法用咱們的祖傳絕活「重啟」,而是要手動刪除這個有問題的配置文件「C-00000291*.sys」,以防止系統在啟動時再次加載並解析該文件。
但關鍵是很多用戶連進入系統界面都成問題,這就很難繃……
除了莫名其妙地往更新里塞入了錯誤文件外,這回CrowdStrike還暴露出了很多其他問題。
比如就有安全大佬指出,每一次的規則更新都應該堅持灰度分發、監測和回滾等策略,而這回CrowdStrike的更新完全就是自動推送的,用戶們壓根來不及反應,事情發生後也沒有回滾機制,只能靠用戶自己手動解決。
還有個問題是:殺毒軟件居然有這麼底層的權限?
針對這點,之前微軟順勢跳起來「抽水」歐盟說:「當年就是它讓我向安全軟件開放底層權限的。」
這波啊~我只能說微軟真是個純純的樂子人了,既然事情跟自己沒關係,之前還老是被歐盟罰款,這回就狠狠地暗諷了一波歐盟。
所以,現在安全軟件公司只要稍不留神在系統底層搞點花活兒,就容易把整個系統整崩潰,那Windows可不就只能藍屏伺候了。
還有個有趣的事,之前就有人整出類似的大事情,而且好巧不巧,這兩起事件的始作俑者都是同一個人,前殺毒軟件McAfee CEO、現CrowdStrike CEO——佐治·庫爾茨(George Kurtz)。
佐治前後兩次出手,全世界的數百萬台電腦都抖一抖,這種堪稱史詩級的操作,應該也是後無來者了。
到這裏,關於這起藍屏事件的前因後果就跟大家聊得差不多了。
這件事對於咱們來說影響比較小,屬於事不關己高高掛起,畢竟CrowdStrike之前就對中國大陸禁售了,咱們也「享受」不到他們的服務。
但從另外一個角度來說,這起事件的經驗教訓還是值得國內產業好好複盤學習的。
因為CrowdStrike事件暴露出來的是,系統安全也是數字基建的重要部分,會波及到各行各業的正常運轉,咱們想要走向數字強國,系統安全這塊還是得搞好。
資料來源:
CrowdStrike導致大規模系統崩潰事件的技術分析——安全內參
What caused the huge global IT outage?——FINANCIAL TIMES
CrowdStrike導致全球性IT基礎設施中斷事件分析報告——奇安信
