جمعه گذشته شرکت CrowdStrike با انتشار اشتباه یک بهروزرسانی معیوب بلایی بر سر جهان فناوری آورد که از نظر برخی کارشناسان این حوزه به فلجکنندگی حملات باجافزاری بود و از سویی نیز هشداری بود برای وابستگی سازمانها و افراد بسیاری در جهان به تعداد معدودی از شرکتهای فناوری.
به گزارش افتانا، برندان دلانی، یکی از پزشکان سرویس بهداشت ملی بریتانیا (NHS)، روز جمعه گذشته وقتی که وارد کلینیک خود در لندن شد، انتظار یک روز پرمشغله همیشگی را داشت. اما به محض ورود، متوجه شد که یکی از مهمترین ابزارهای آنلاین دفترش با مشکل روبرو شده و از کار افتاده است؛ سیستمی که پزشکان سراسر انگلستان برای مشاهده پروندههای بیماران از آن استفاده میکردند.
دو ماه از یک حمله سایبری ویرانگری که بیمارستانها و کلینیکهای جنوب شرقی لندن را هدف قرار داده بود، میگذشت. کارشناسان امنیت سایبری، نقاط ضعف سیستمهای فناوری اطلاعاتی NHS را که چندی پیش توسط یک گروه هکری هدف گرفته شده بود، شناسایی کرده و امنیت آن را ارتقا داده بودند. همین موضوع باعث میشد تا دلانی، استاد دانشگاه امپریال کالج لندن و همکارانش کمکم احساس امنیت خود را باز یافته و مشغول انجام دادن امور روزمره کاری خود شوند. اما این بار، مشکل از سمت یک گروه باجافزاری ایجاد نشده بود. این دردسر را شرکت CrowdStrike Holdings Inc ساخته بود؛ شرکتی که برای محافظت از مردم در برابر هکرها تأسیس شده است. در واقع این شرکت که یکی از بزرگترین سازندگان نرمافزارهای امنیت سایبری محسوب میشود، یک بهروزرسانی معیوب را منتشر کرده و باعث شد تا در سیستم جهانی فناوری اطلاعات، یک فروپاشی بزرگ روی دهد که فرودگاهها، بانکها، بورسها و کسبوکارهای سراسر جهان را فلج کند. باورکردنی نیست که یک فایل کوچک به حجم یک تصویر صفحه وب، مسئول بزرگترین خرابی سیستمهای آیتی جهان بشود. این فایل که “C-00000291*.sys” نام دارد، در یک نسخه بهروزرسانی مختص محصول Falcon sensor CrowdStrike پنهان شده و باعث بروز خطا در سیستمعامل ویندوز مایکروسافت شد و کل کامپیوترها را از کار انداخت.
این حادثه، شکنندگی سیستم آیتی جهانی را بهطور بیسابقهای آشکار کرد و همچنین خطرات وابستگی بسیاری از سازمانها و افراد را به تعداد کمی از شرکتهای فناوری را برجسته کرد. اگر یکی از این شرکتهای امنیتی دچار خرابی یا حمله شود، اثرات آن میتواند بخشهای وسیعی از اقتصاد جهانی را با دردسر مواجه کند.
سیستمعامل ویندوز مایکروسافت در بازار رایانههای شخصی سهم بزرگی را در اختیار دارد و CrowdStrike نیز به فروشنده اصلی برای هزاران شرکت و سازمانی تبدیل شده که به دنبال محافظت از مهمترین سیستمهای خود در برابر حملات سایبری هستند. بعد از مایکروسافت، CrowdStrike دومین سازنده بزرگ نرمافزارهای حفاظت مدرن از نقاط انتهایی (endpoint) است و طبق تحقیق شرکت IDC، ۱۸ درصد از بازار ۱۲.۶ میلیارد دلاری را در اختیار دارد. دفتر اصلی شرکت CrowdStrike در شهر آستین مستقر است و نزدیک به ۲۹هزار مشتری سازمان در سراسر جهان دارد. به دلیل وجود طیف وسیع مشتریان این شرکت، میلیونها کامپیوتر تحت تأثیر این خرابی قرار گرفتهاند و تعمیر آنها ممکن است هفتهها یا بیشتر طول بکشد.
سعید عابد، پزشک سابق NHS و متخصص امنیت سایبری و بهداشت عمومی، درباره این حادثه گفت:«وضعیت پیچیدهای است. Crowdstrike با مایکروسافت همکاری دارد و کل NHS به مایکروسافت متکی است. این خرابی، مانند دومینو، خرابیهای بیشتر و وسیعتر به بار آورده است.»
روز جمعه، قطعیها از آسیا و استرالیا به اروپا و آمریکا گسترش پیدا کردند و جورج کرتز، بنیانگذار و مدیرعامل CrowdStrike، خیلی سریع بابت بروز این خطا عذرخواهی کرد. او گفت:« این یک حادثه امنیتی یا حمله سایبری نیست. مشکل شناسایی شده، ایزوله شده و یک فایل فیکس یا تعمیر برای رفع آن طراحی شده است.»
کرتز اعلام نکرد که چگونه این نقص، در یک فایل بهروزرسانی بروز پیدا کرده اما برخی از منتقدان قدیمی این صنعت ، نظریهای دارند. آنها معتقدند که CrowdStrike و دیگر شرکتهای امنیت سایبری، اصول ابتدایی و ساده امنیت را فدای سود بیشتر و جلب رضایت سهامداران کردهاند. فدریکو چاروسکی، بنیانگذار و مدیرعامل شرکت خدمات امنیتی Quorum Cyber، مستقر در ادینبورگ معتقد است:«وقت آن است که فعالان این صنعت، قدمهای حساب شدهتر و بالغانهتری بردارند. یک برنامهنویس در جایی تغییری کوچک ایجاد کرده و هیچ تحلیلی نسبت به تأثیر آن تغییر انجام نشده است. این حادثه نشان میدهد که ما در اعتماد کامل به فناوریهایی که برای اجرای همه چیز به کار میبریم، دچار توهم هستیم.»
آنچه در روز جمعه اتفاق افتاد بهطور باورنکردنی نادر است، اما کرتز که اکنون مدیرعامل CrowdStrikeاست، قبلاً نیز چنین شرایطی را تجربه کرده بود؛ سال ۲۰۱۰، زمانی که مدیر ارشد فناوری در شرکت پیشگام نرمافزار ضدویروس McAfee بود. در آوریل آن سال، McAfee یک فایل بهروزرسانی منتشر کرد که در آن به اشتباه، برچسب «آلوده» روی یک فایل معتبر ویندوز قرار گرفت و در پی انتشار آن، کامپیوترها در بیمارستانها، مدارس و آژانسهای دولتی سراسر جهان فلج شدند. به گفته دیو دیوالت، که در آن زمان مدیرعامل McAfee بود، بهروزرسانی معیوب فقط ۱۶ دقیقه بعد از انتشار حذف شد، اما طی این زمان کامپیوترهای بیش از ۱۶۰۰ مشتری در سرتاسر جهان تحت تاثیر قرار گرفته بود. دیوالت در مصاحبهای گفت:«ما در آن روز حدود ۴۰ درصد از سرمایه بازار خود را از دست دادیم. همان روز شرکت نزدیک به ۴،۰۰۰ کارمند خود را با هواپیما راهی کرد تا به مشتریان متضرر کمک کنند.»
McAfee در نهایت از این بحران جان سالم به در برد، اما به روایت کارکنان آن زمان، این حادثه بسیار دردناک و دردسرساز بود. چهار ماه بعد از این ماجرا، اینتل اعلام کرد که این شرکت را میخرد.
حالا ناظران صنعت سایبری میپرسند آیا CrowdStrike از اشتباه خود درس خواهد گرفت یا نه. برخی از افراد میگویند که این شرکت قبلا نیز دردسرساز بوده است. CrowdStrike سالها از نقاط ضعف مایکروسافت به عنوان ابزاری برای تبلیغ محصولات خود استفاده کرده و مایکروسافت را به دلیل حملات نفوذی هکرها مورد انتقاد قرار میداد. درست بعد از اینکه دولت آمریکا گزارشی منتشر کرد و مایکروسافت را مسئول «رشتهای از شکستهای امنیتی» اعلام کرد، کرتز از این وضعیت بحرانی استفاده کرده و در یک تماس با سرمایهگذاران اعلام کرد که پیشامدهای مایکروسافت باعث شده از مشتریان بالقوه، درخواستهای فراوانی دریافت شود.
به گفته چاروسکی CrowdStrike تا جایی که میتوانست سعی کرد مایکروسافت را تخریب کند و از این آب گلآلود ماهی بگیرد. اما حالا هیچکس از کنار این شرکت، که اکنون بخشی از زیرساخت ملی حیاتی جهان است، بیتفاوت نمیگذرد. وقتی یک شرکت از حالت استارتاپ به زیرساخت ملی حیاتی ارتقا پیدا میکند، باید به شکلی متفاوت رفتار کند و من مطمئن نیستم که CrowdStrike این ضرورت را تشخیص داده باشد.
برخی از متخصصان این حوزه، بهروزرسانی معیوب CrowdStrike را به عنوان «بدافزار سال» معرفی کردهاند زیرا تخریب وسیعی به بار آورده است. این خطای کوچک، با حمله هکرها مقایسه میشود و همسطح آنها ضرر به بار آروده است. زمان بازیابی برای سازمانهای تحت تأثیر قرار گرفته، ممکن است هفتهها یا بیشتر طول بکشد، تقریباً مشابه زمانی که یک سازمان بزرگ برای بازسازی شبکه خود پس از یک حمله باجافزاری نیاز دارد.
بزرگترین چالش در برگرداندن کامپیوترها به حالت آنلاین این است که اصلاحیه یا فایل فیکس CrowdStrike باید بهصورت دستی، کامپیوتر به کامپیوتر، توسط فردی حرفهای انجام شود؛ فرایندی که بهشدت زمانبر بوده و به ویژه در عصر کنونی کار از راه دور، سختتر و چالشبرانگیزتر نیز میشود.
مایکل هنری، بنیانگذار و رئیس شرکت خدمات امنیت سایبری Accelerynt Inc مستقر در پلانو تگزاس، میگوید یکی از مشتریان این شرکت، یک خردهفروش بزرگ آمریکایی، مجبور شده به دلیل این حادثه کل کارکنان آیتی Accelerynt Inc را به کار بگیرد تا حدود ۶،۰۰۰ کامپیوتر تحت تأثیر خود را بهروزرسانی کند. Accelerynt Inc انتظار داشت بازگرداندن سیستمهای حیاتی، طی یک هفته ممکن شود اما حالا مشخص شده بازگرداندن کامل تمام سیستمها به حالت آنلاین، احتمالا سه هفته زمان میبرد. مایکل هنری در این مورد گفت: CrowdStrike بیشتر از تمام عاملان باجافزاری، تجارت جهانی را مختل کرده است. این نشان می دهد که در انتخاب این نرمافزار که برای حفاظت از خودمان انتخاب کردهایم، چه اندازه ریسک کردهایم. اگر فقط یک نفر در چنین شرکتی اشتباه کند، میتواند باعث نابودی یک کسبوکار بزرگ شود.
کرتز در بیانیهای که اواخر روز جمعه منتشر شد، گفت: به شما تعهد میدهم که همزمان با حل این مشکل، شفافیت کامل در مورد چگونگی وقوع این حادثه ارائه خواهد شد. ما روی عرضه یک بهروزرسانی فنی برای رفع این مشکل تمرکز داریم و اطلاعات تحلیلی بابت دلیل بروز این حادثه، قطعا با دیگران به اشتراک گذاشته خواهد شد.
کارشناسان امنیت سایبری و حقوقی تقریباً مطمئن هستند که CrowdStrike با شکایتها، هزینههای مالی و دیگر مجازاتها روبهرو خواهد شد. اما این حادثه بدون شک بحث تازهای پیرامون تمرکز قدرت در دست تعداد کمی از شرکتهای امنیت سایبری ایجاد خواهد کرد.
بر اساس استانداردهای سیلیکون ولی، صنعت امنیت سایبری نسبتاً جوان است. صنعتی که در دوره کرمهای رایانهای و ویروسهای دیسک فلاپی به بلوغ رسید و طی دو دهه پیش، تحت سلطه دو شرکت سمانتک و مکآفی بود. امروز، مهاجمان پیشرفتهتر شدهاند و نرمافزارهای ضدویروس سنتی از محبوبیت افتادهاند، به همین دلیل فعالان قدیمی حوزه امنیت سایبری، از صحنه بیرون رانده شدهاند. به جای آنها، محصولاتی پرتقاضا روی کار آمدهاند که میتوانند طیف گستردهای از تهدیدها را بر روی رایانههای شخصی شناسایی کرده و به صورت خودکار نسبت به رفع آنها اقدام کنند.
مشکل این است که این تکنولوژیها عمدتاً تحت کنترل مایکروسافت و CrowdStrike هستند. برخی از کارشناسان، ازجمله جاستین کاپوس، استاد علوم کامپیوتر در دانشگاه نیویورک، بارها درباره موضوع ادغام بخشهای مختلف و تمرکزگرایی در صنعت امنیت هشدار دادهاند و معتقدند که این دو مقوله میتواند منجر به بروز مشکلات بزرگی شود. بحثی که در قسمتهای دیگر دنیای فناوری نیز مطرح شده است. کاپوس معتقد است در فضای فناوری، شرکتهای بزرگ اشتباهات بزرگی میکنند و بسیاری از طرحهای امنیتی مخرب که تا کنون شاهد آنها بودهایم از درون همین شرکتهای بزرگ بیرون آمدهاند.