7月20日消息,據國外媒體報道,曆史上,隻有少數幾次出現過一段代碼瞬間癱瘓全球計算機係統的事件。然而,過去12小時撼動全球互聯網和IT基礎設施的持續性數字災難,似乎不是由黑客發布惡意代碼引發的,而是由旨在阻止網絡攻擊的安全軟件更新所致。那麽一次有缺陷的內核驅動程序更究竟是如何導致全球計算機陷入重啟死亡螺旋的,又是如何導致航空旅行、醫院、銀行等癱瘓的?
周五,兩起重大互聯網基礎設施故障接踵而至,導致從機場、交通係統到銀行、醫院、酒店及媒體機構等多個領域網絡服務全麵中斷。先是周四晚間微軟Azure雲平台遭遇大範圍服務中斷,緊接著周五早晨,網絡安全巨頭CrowdStrike發布的一則帶缺陷軟件更新,將大量Windows設備拖入了無休止的重啟循環,二者共同編織了一場網絡風暴。
微軟雖已聲明這兩起事件間無直接聯係,但造成這兩起災難之一的原因已經很清楚了:CrowdStrike安全軟件Falcon更新中的錯誤代碼是導致這場災難的核心因素之一。
01 安全軟件定期自動更新惹禍
Falcon本質上是一個殺毒平台,可以在筆記本電腦、服務器和路由器等“端點”上深度訪問係統,以檢測惡意軟件和可能代表威脅的可疑活動。然而,由於CrowdStrike不斷向係統中添加檢測功能,以抵禦新的和不斷出現的新威脅,因此Falcon需要獲得定期自動更新的許可。然而,這種安排的不利之處在於,這一旨在加強安全和穩定的機製最終可能會破壞安全與穩定。
網絡安全公司WithSecure首席研究官米科·海普寧(Mikko Hyppönen)說:“此宕機事件規模空前,全球工作站如此大範圍的中斷實屬曆史罕見。”他回顧稱,十年前,網絡蠕蟲與木馬肆虐,大範圍中斷尚屬常態;而今,全球性的服務中斷則更多聚焦於係統的“服務器端”,歸咎於如亞馬遜AWS等雲服務提供商的問題、互聯網鏈路中斷、身份驗證故障或DNS服務異常等。
CrowdStrike首席執行官喬治·庫爾茨(George Kurtz)周五承認,此次危機源自該公司為Windows平台發布的軟件代碼中存在的“缺陷”,而Mac與Linux係統沒有受到影響。他在官方聲明中指出:“問題已被迅速識別、隔離,且修複措施已部署完畢。”他補充說,這一係列問題非網絡攻擊所致。麵對媒體,庫爾茨誠摯道歉,並坦言係統全麵恢複可能需要一定時間。
安全與IT領域的分析師正深入探究此次大規模宕機的根源,他們普遍認為其與CrowdStrike Falcon軟件的“內核驅動程序”更新有關。內核驅動程序是連接應用程序與Windows操作係統核心(即內核)的橋梁,賦予了安全軟件在係統最底層運行的特權,這對於在惡意軟件入侵前進行攔截至關重要。隨著惡意軟件技術的不斷進化,安全軟件也必須持續升級其連接性和控製範圍以應對挑戰。
然而,Magnet Forensics的檢測工程主管馬修·蘇徹(Matthieu Suiche)警示,這種深度訪問權限同樣伴隨著高風險,即安全軟件或其更新可能意外導致整個係統崩潰。他將在操作係統內核級別運行惡意代碼檢測軟件比作“開胸手術”。
在網絡安全領域擁有23年經驗的資深專家康斯丁·拉伊烏(Costin Raiu),曾在卡巴斯基領導威脅情報團隊,他對此次事件表示震驚。他指出,在卡巴斯基,Windows軟件的驅動程序更新會經曆極其嚴格的審查和多輪測試,持續數周之久,以確保其穩定性與安全性。因此,一個內核驅動程序的更新能引發如此廣泛且嚴重的全球計算機崩潰,確實出乎意料。
更為重要的是,業內呼籲微軟加強對相關代碼的審查,並實施加密簽名機製,這一舉動隱含了微軟可能同樣未能察覺CrowdStrike Falcon驅動程序中的致命漏洞。拉伊烏說:“盡管我們對驅動程序更新保持高度警覺,但此類事件仍時有發生,令人感到驚訝。一個小小的漏洞足以引發連鎖反應,摧毀一切,這正是當前局麵的真實寫照。”
微軟一位發言人承認:“CrowdStrike的更新確實導致了全球範圍內眾多IT係統的癱瘓,但微軟並未直接監督CrowdStrike在其平台上的更新流程。”然而,該發言人並未明確回應微軟是否對涉及的內核驅動程序更新進行了獨立審查。
拉伊烏進一步指出,CrowdStrike並非個例,安全領域的眾多公司,包括卡巴斯基乃至微軟自家的Windows Defender,在過去幾年中都曾通過驅動程序更新不慎觸發了Windows係統的藍屏死機問題。他解釋稱:“幾乎每一個安全解決方案在其發展曆程中都會遭遇這樣的挑戰時刻。這並非新鮮事,隻是影響範圍和後果有所不同罷了。”
02 諸多因素引發連鎖反應
全球網絡安全機構迅速響應,紛紛發布針對此次大規模宕機事件的緊急警報。但在CrowdStrike首席執行官正式表態之前,業界專家已基本達成共識:此次全球性的宕機事件非網絡攻擊所為。然而,其規模之廣仍屬罕見,主要歸因於CrowdStrike Falcon軟件的廣泛應用及其對Windows係統的高度控製權。
英國國家網絡安全中心首席執行官費利西蒂·奧斯瓦爾德(Felicity Oswald)說:“經國家網絡安全中心的評估,這些事件與惡意網絡攻擊無關。”澳大利亞官方亦持相同立場。
約克大學安全自治研究所的約翰·麥克德米德(John McDermid)教授指出:“CrowdStrike的安全軟件普及率極高,廣泛部署於眾多特定類型的機器上,因此,一旦安全軟件出現故障,便有可能同時影響大量計算機的正常運行。”
墨爾本大學計算機與信息係統學院的托比·默裏(Toby Murray)教授則強調:“Falcon軟件擁有極高的權限,能夠深度影響所安裝計算機的行為,這也是其影響力如此巨大的原因之一。”
澳大利亞珀斯默多克大學IT學院院長戴夫·帕裏教授(Dave Parry)指出:“由於CrowdStrike的廣泛影響力,這一事件已演化為全球性現象。眾多企業及組織依賴其檢測和防禦威脅,因此,此次問題波及範圍極廣,影響深遠。這並非網絡攻擊,而是兩款軟件間的意外交互所致。”
亞特蘭大網絡安全公司Errata Security的首席執行官羅伯特·格雷厄姆(Robert Graham)強調:“CrowdStrike等網絡安全軟件因需深入操作係統核心以抵禦攻擊,一旦出錯,其引發的宕機規模往往更為龐大,甚至可能觸發連鎖崩潰。這或許是我們所見證過的最為嚴重的IT故障之一。”
此次災難性事件不僅凸顯了互聯網的脆弱性,也揭示了其深度互聯帶來的潛在風險。眾多安全專家表示,他們早已預見並努力預防類似CrowdStrike事件的發生,試圖防止防禦軟件本身因被惡意利用或人為失誤而引發的連鎖故障。牛津大學教授、前英國國家網絡安全中心負責人夏蘭·馬丁(Ciaran Martin)指出:“這一事件深刻揭示了全球數字生態及核心互聯網基礎設施的脆弱性!”
03 網絡安全領域過度依賴少數公司?
CrowdStrike成立於2011年,為數以萬計的客戶提供抵禦網絡攻擊的軟件,其中包括財富500強中的300家公司。市場研究公司Gartner的數據顯示,按收入計算,CrowdStrike占安全軟件市場份額的15%,這意味著它的軟件被廣泛應用於各種係統。
然而,一次常規的軟件更新竟能引發如此規模的破壞,仍令資深安全專家拉伊烏感到不解。他推測,Falcon軟件的更新可能觸發了網絡基礎設施中其他組件的連鎖反應,導致災難性後果倍增。拉伊烏指出:“CrowdStrike雖規模龐大,但其影響力遠不止於此。從機場到關鍵基礎設施,再到醫療機構,不可能每個角落都依賴CrowdStrike。我傾向於認為,這是多重因素交織的結果,一個級聯效應,一連串的連鎖崩潰。”
倫敦大學學院計算機科學係的助理教授瑪麗·瓦塞克(Marie Vasek)也強調全球技術係統對少數幾家科技公司軟件的過度依賴,特別是微軟與CrowdStrike。她說:“問題的核心在於,微軟作為行業標準軟件,幾乎無處不在。而CrowdStrike的漏洞一旦暴露,便迅速蔓延至各個係統,揭示了全球技術生態的脆弱性。”
瓦塞克指出,隨著技術網絡的日益龐大、複雜與緊密相連,一行簡單的軟件代碼錯誤便可能觸發整個計算機網絡的崩潰。她與其他信息技術專家共同強調,鑒於CrowdStrike的數字防護被視為不可或缺,其技術在眾多計算機係統中享有優先使用權。因此,一旦CrowdStrike軟件出現問題,其訪問特權將加劇係統癱瘓的風險。
瓦塞克呼籲微軟與CrowdStrike雙方深入審查其程序流程,以避免此類廣泛的技術故障重演。她說,CrowdStrike應審慎規劃軟件更新策略,確保安全無誤地部署至數百萬計算機網絡。同時,微軟也需加大力度,保障其他公司軟件更新不會對Windows係統的穩定性造成負麵影響,並探索更有效的機製來驗證軟件兼容性與穩定性。
海普寧暗示,CrowdStrike可能發布了與測試版本不符的軟件,或是在更新過程中發生了文件混淆,亦或是多種因素共同作用的結果。他強調,此類軟件必須經過嚴格的測試流程,這是他們以及CrowdStrike需要共同遵循的原則。他指出,安全軟件的更新頻率極高,因此必須格外小心,確保每次發布的內容都準確無誤,這無疑是一項極具挑戰性的任務。
盡管宕機事件的影響尚未完全消散,且部分問題的解決仍在進行中,但問題的特性決定了受影響的個別機器可能必須依賴手動重啟,而非自動化流程。CrowdStrike首席執行官庫爾茨在采訪中稱:“部分係統可能需要較長時間方能自動複原。”
CrowdStrike最初提出的“臨時解決方案”建議Windows用戶以安全模式啟動係統,刪除特定文件後再行重啟。然而,海普寧指出:“截至目前,我們觀察到的修複方法意味著每台機器都需要人工檢查,鑒於全球範圍內數百萬台設備受到影響,這一過程可能需要數日之久。”
隨著係統管理員們爭分奪秒地控製事態發展,如何防範未來類似危機的更深層次問題——即存在性挑戰——愈發凸顯。網絡安全谘詢機構Hunter Strategy的研發副總裁傑克·威廉姆斯(Jake Williams)強調:“此次事件或促使人們重新審視並調整現有運營模式。CrowdStrike的案例,無論好壞,都鮮明地揭示了未經IT部門審核便推送更新的不可持續性。”
04 Crowdstrike前員工自願背鍋?
海普寧“猜測”,此次問題可能源於更新過程中的“人為失誤”。他半開玩笑地表示:“CrowdStrike的一位工程師今天可能過得不太順利。”
此前,一位名為文森特·弗萊布斯提爾(Vincent Flibustier)的CrowdStrike前員工跳出來,在社交媒體上發帖宣稱對微軟宕機事件負責。他寫道:“在CrowdStrike的第一天,我推送了一項更新,隨後下午稍作休息。”此言一出,立即引發了廣泛關注。
緊接著,他又發布了一條推文,宣稱對自己被解雇“極度不公”。他還附上了一段視頻,試圖解釋整個事件的來龍去脈,並透露:“我正等待著解雇通知的到來。”
在後續的一條推文中,弗萊布斯提爾甚至@了特斯拉首席執行官埃隆·馬斯克(Elon Musk),詢問對方是否有合適的職位空缺。
然而,弗萊布斯提爾的這一說法並未得到所有人的認同。有網友指出,另一名X用戶@nixcraft也分享了類似的經曆,聲稱自己在CrowdStrike工作的第一天就“開始推送核心代碼”。
麵對這一情況,弗萊布斯提爾調整了他的X上簡介,現在寫道:“CrowdStrike前員工,因不公正原因遭解雇,僅因優化目的修改了一行代碼。現尋求係統管理員職位。”