به‌روزرسانی معیوبی که به اندازه هکرها دردسرساز شد

جمعه گذشته شرکت CrowdStrike با انتشار اشتباه یک به‌روزرسانی معیوب بلایی بر سر جهان فناوری آورد که از نظر برخی کارشناسان این حوزه به فلج‌کنندگی حملات باج‌افزاری بود و از سویی نیز هشداری بود برای وابستگی سازمان‌ها و افراد بسیاری در جهان به تعداد معدودی از شرکت‌های فناوری.

به گزارش افتانا، برندان دلانی، یکی از پزشکان سرویس بهداشت ملی بریتانیا (NHS)، روز جمعه گذشته وقتی که وارد کلینیک خود در لندن شد، انتظار یک روز پرمشغله همیشگی را داشت. اما به محض ورود، متوجه شد که یکی از مهم‌ترین ابزارهای آنلاین دفترش با مشکل روبرو شده و از کار افتاده است؛ سیستمی که پزشکان سراسر انگلستان برای مشاهده پرونده‌های بیماران از آن استفاده می‌کردند.

دو ماه از یک حمله سایبری ویرانگری که بیمارستان‌ها و کلینیک‌های جنوب شرقی لندن را هدف قرار داده بود، می‌گذشت. کارشناسان امنیت سایبری، نقاط ضعف سیستم‌های فناوری اطلاعاتی NHS را که چندی پیش توسط یک گروه هکری هدف گرفته شده بود، شناسایی کرده و امنیت آن را ارتقا داده بودند. همین موضوع باعث می‌شد تا دلانی، استاد دانشگاه امپریال کالج لندن و همکارانش کم‌کم احساس امنیت خود را باز یافته و مشغول انجام دادن امور روزمره کاری خود شوند. اما این بار، مشکل از سمت یک گروه باج‌افزاری ایجاد نشده بود. این دردسر را شرکت CrowdStrike Holdings Inc ساخته بود؛ شرکتی که برای محافظت از مردم در برابر هکرها تأسیس شده است. در واقع این شرکت که یکی از بزرگ‌ترین سازندگان نرم‌افزارهای امنیت سایبری محسوب می‌شود، یک به‌‌روزرسانی معیوب را منتشر کرده و باعث شد تا در سیستم جهانی فناوری اطلاعات، یک فروپاشی بزرگ روی دهد که فرودگاه‌ها، بانک‌ها، بورس‌ها و کسب‌وکارهای سراسر جهان را فلج کند. باورکردنی نیست که یک فایل کوچک به حجم یک تصویر صفحه وب، مسئول بزرگ‌ترین خرابی سیستم‌های آی‌تی جهان بشود. این فایل که “C-00000291*.sys” نام دارد، در یک نسخه به‌روزرسانی مختص محصول Falcon sensor CrowdStrike پنهان شده و باعث بروز خطا در سیستم‌عامل ویندوز مایکروسافت شد و کل کامپیوترها را از کار انداخت.

این حادثه، شکنندگی سیستم آی‌تی جهانی را به‌طور بی‌سابقه‌ای آشکار کرد و همچنین خطرات وابستگی بسیاری از سازمان‌ها و افراد را به تعداد کمی از شرکت‌های فناوری را برجسته کرد. اگر یکی از این شرکت‌های امنیتی دچار خرابی یا حمله شود، اثرات آن می‌تواند بخش‌های وسیعی از اقتصاد جهانی را با دردسر مواجه کند.

سیستم‌عامل ویندوز مایکروسافت در بازار رایانه‌های شخصی سهم بزرگی را در اختیار دارد و CrowdStrike نیز به فروشنده اصلی برای هزاران شرکت و سازمانی تبدیل شده که به دنبال محافظت از مهم‌ترین سیستم‌های خود در برابر حملات سایبری هستند. بعد از مایکروسافت، CrowdStrike دومین سازنده بزرگ نرم‌افزارهای حفاظت مدرن از نقاط انتهایی (endpoint) است و طبق تحقیق شرکت IDC، ۱۸ درصد از بازار ۱۲.۶ میلیارد دلاری را در اختیار دارد. دفتر اصلی شرکت CrowdStrike در شهر آستین مستقر است و نزدیک به ۲۹هزار مشتری سازمان در سراسر جهان دارد. به دلیل وجود طیف وسیع مشتریان این شرکت، میلیون‌ها کامپیوتر تحت تأثیر این خرابی قرار گرفته‌اند و تعمیر آنها ممکن است هفته‌ها یا بیشتر طول بکشد.

سعید عابد، پزشک سابق NHS و متخصص امنیت سایبری و بهداشت عمومی، درباره این حادثه گفت:«وضعیت پیچیده‌ای است. Crowdstrike با مایکروسافت همکاری دارد و کل NHS به مایکروسافت متکی است. این خرابی، مانند دومینو، خرابی‌های بیشتر و وسیع‌تر به بار آورده است.»

روز جمعه، قطعی‌ها از آسیا و استرالیا به اروپا و آمریکا گسترش پیدا کردند و جورج کرتز، بنیان‌گذار و مدیرعامل CrowdStrike، خیلی سریع بابت بروز این خطا عذرخواهی کرد. او گفت:« این یک حادثه امنیتی یا حمله سایبری نیست. مشکل شناسایی شده، ایزوله شده و یک فایل فیکس یا تعمیر برای رفع آن طراحی شده است.»

کرتز اعلام نکرد که چگونه این نقص، در یک فایل به‌روزرسانی بروز پیدا کرده اما برخی از منتقدان قدیمی این صنعت ، نظریه‌ای دارند. آن‌ها معتقدند که CrowdStrike و دیگر شرکت‌های امنیت سایبری، اصول ابتدایی و ساده امنیت را فدای سود بیشتر و جلب رضایت سهامداران کرده‌اند. فدریکو چاروسکی، بنیان‌گذار و مدیرعامل شرکت خدمات امنیتی Quorum Cyber، مستقر در ادینبورگ معتقد است:«وقت آن است که فعالان این صنعت، قدم‌های حساب شده‌تر و بالغانه‌تری بردارند. یک برنامه‌نویس در جایی تغییری کوچک ایجاد کرده و هیچ تحلیلی نسبت به تأثیر آن تغییر انجام نشده است. این حادثه نشان می‌دهد که ما در اعتماد کامل به فناوری‌هایی که برای اجرای همه چیز به کار می‌بریم، دچار توهم هستیم.»

آنچه در روز جمعه اتفاق افتاد به‌طور باورنکردنی نادر است، اما کرتز که اکنون مدیرعامل CrowdStrikeاست، قبلاً نیز چنین شرایطی را تجربه کرده بود؛ سال ۲۰۱۰، زمانی که مدیر ارشد فناوری در شرکت پیشگام نرم‌افزار ضدویروس McAfee بود. در آوریل آن سال، McAfee یک فایل به‌روزرسانی‌ منتشر کرد که در آن به اشتباه، برچسب «آلوده» روی یک فایل معتبر ویندوز قرار گرفت و در پی انتشار آن، کامپیوترها در بیمارستان‌ها، مدارس و آژانس‌های دولتی سراسر جهان فلج شدند. به گفته دیو دیوالت، که در آن زمان مدیرعامل McAfee بود، به‌روزرسانی معیوب فقط ۱۶ دقیقه بعد از انتشار حذف شد، اما طی این زمان کامپیوترهای بیش از ۱۶۰۰ مشتری در سرتاسر جهان تحت تاثیر قرار گرفته بود. دیوالت در مصاحبه‌ای گفت:«ما در آن روز حدود ۴۰ درصد از سرمایه بازار خود را از دست دادیم. همان روز شرکت نزدیک به ۴،۰۰۰ کارمند خود را با هواپیما راهی کرد تا به مشتریان متضرر کمک کنند.»

McAfee در نهایت از این بحران جان سالم به در برد، اما به روایت کارکنان آن زمان، این حادثه بسیار دردناک و دردسرساز بود. چهار ماه بعد از این ماجرا، اینتل اعلام کرد که این شرکت را می‌خرد.

حالا ناظران صنعت سایبری می‌پرسند آیا CrowdStrike از اشتباه خود درس خواهد گرفت یا نه. برخی از افراد می‌گویند که این شرکت قبلا نیز دردسرساز بوده است. CrowdStrike سال‌ها از نقاط ضعف مایکروسافت به عنوان ابزاری برای تبلیغ محصولات خود استفاده کرده و مایکروسافت را به دلیل حملات نفوذی هکرها مورد انتقاد قرار می‌داد. درست بعد از اینکه دولت آمریکا گزارشی منتشر کرد و مایکروسافت را مسئول «رشته‌ای از شکست‌های امنیتی» اعلام کرد، کرتز از این وضعیت بحرانی استفاده کرده و در یک تماس با سرمایه‌گذاران اعلام کرد که پیشامدهای مایکروسافت باعث شده از مشتریان بالقوه، درخواست‌های فراوانی دریافت شود.

به گفته چاروسکی CrowdStrike تا جایی که می‌توانست سعی کرد مایکروسافت را تخریب کند و از این آب گل‌آلود ماهی بگیرد. اما حالا هیچ‌کس از کنار این شرکت، که اکنون بخشی از زیرساخت ملی حیاتی جهان است، بی‌تفاوت نمی‌گذرد. وقتی یک شرکت از حالت استارتاپ به زیرساخت ملی حیاتی ارتقا پیدا می‌کند، باید به شکلی متفاوت رفتار کند و من مطمئن نیستم که CrowdStrike این ضرورت را تشخیص داده باشد.

برخی از متخصصان این حوزه، به‌روزرسانی معیوب CrowdStrike را به عنوان «بدافزار سال» معرفی کرده‌اند زیرا تخریب وسیعی به بار آورده است. این خطای کوچک، با حمله هکرها مقایسه می‌شود و هم‌سطح آنها ضرر به بار آروده است. زمان بازیابی برای سازمان‌های تحت تأثیر قرار گرفته، ممکن است هفته‌ها یا بیشتر طول بکشد، تقریباً مشابه زمانی که یک سازمان بزرگ برای بازسازی شبکه خود پس از یک حمله باج‌افزاری نیاز دارد.

بزرگ‌ترین چالش در برگرداندن کامپیوترها به حالت آنلاین این است که اصلاحیه یا فایل فیکس CrowdStrike باید به‌صورت دستی، کامپیوتر به کامپیوتر، توسط فردی حرفه‌ای انجام شود؛ فرایندی که به‌شدت زمان‌بر بوده و به ویژه در عصر کنونی کار از راه دور، سخت‌تر و چالش‌برانگیزتر نیز می‌شود.

مایکل هنری، بنیان‌گذار و رئیس شرکت خدمات امنیت سایبری Accelerynt Inc مستقر در پلانو تگزاس، می‌گوید یکی از مشتریان این شرکت، یک خرده‌فروش بزرگ آمریکایی، مجبور شده به دلیل این حادثه کل کارکنان آی‌تی Accelerynt Inc را به کار بگیرد تا حدود ۶،۰۰۰ کامپیوتر تحت تأثیر خود را به‌روز‌رسانی کند. Accelerynt Inc انتظار داشت بازگرداندن سیستم‌های حیاتی، طی یک هفته ممکن شود اما حالا مشخص شده بازگرداندن کامل تمام سیستم‌ها به حالت آنلاین، احتمالا سه هفته زمان می‌برد. مایکل هنری در این مورد گفت: CrowdStrike بیشتر از تمام عاملان باج‌افزاری، تجارت جهانی را مختل کرده است. این نشان‌ می دهد که در انتخاب این نرم‌افزار که برای حفاظت از خودمان انتخاب کرده‌ایم، چه اندازه ریسک کرده‌ایم. اگر فقط یک نفر در چنین شرکتی اشتباه کند، می‌تواند باعث نابودی یک کسب‌وکار بزرگ شود.

کرتز در بیانیه‌ای که اواخر روز جمعه منتشر شد، گفت: به شما تعهد می‌دهم که همزمان با حل این مشکل، شفافیت کامل در مورد چگونگی وقوع این حادثه ارائه خواهد شد. ما روی عرضه یک به‌روزرسانی فنی برای رفع این مشکل تمرکز داریم و اطلاعات تحلیلی بابت دلیل بروز این حادثه، قطعا با دیگران به اشتراک گذاشته خواهد شد.

کارشناسان امنیت سایبری و حقوقی تقریباً مطمئن هستند که CrowdStrike با شکایت‌ها، هزینه‌های مالی و دیگر مجازات‌ها روبه‌رو خواهد شد. اما این حادثه بدون شک بحث تازه‌ای پیرامون تمرکز قدرت در دست تعداد کمی از شرکت‌های امنیت سایبری ایجاد خواهد کرد.

بر اساس استانداردهای سیلیکون ولی، صنعت امنیت سایبری نسبتاً جوان است. صنعتی که در دوره کرم‌های رایانه‌ای و ویروس‌های دیسک فلاپی به بلوغ رسید و طی دو دهه پیش، تحت سلطه دو شرکت سمانتک و مک‌آفی بود. امروز، مهاجمان پیشرفته‌تر شده‌اند و نرم‌افزارهای ضدویروس سنتی از محبوبیت افتاده‌اند، به همین دلیل فعالان قدیمی حوزه امنیت سایبری، از صحنه بیرون رانده شده‌اند. به جای آن‌ها، محصولاتی پرتقاضا روی کار آمده‌اند که می‌توانند طیف گسترده‌ای از تهدیدها را بر روی رایانه‌های شخصی شناسایی کرده و به صورت خودکار نسبت به رفع آن‌ها اقدام کنند.

مشکل این است که این تکنولوژی‌ها عمدتاً تحت کنترل مایکروسافت و CrowdStrike هستند. برخی از کارشناسان، ازجمله جاستین کاپوس، استاد علوم کامپیوتر در دانشگاه نیویورک، بارها درباره موضوع ادغام بخش‌های مختلف و تمرکزگرایی در صنعت امنیت هشدار داده‌اند و معتقدند که این دو مقوله می‌تواند منجر به بروز مشکلات بزرگی شود. بحثی که در قسمت‌های دیگر دنیای فناوری نیز مطرح شده است. کاپوس معتقد است در فضای فناوری، شرکت‌های بزرگ اشتباهات بزرگی می‌کنند و بسیاری از طرح‌های امنیتی مخرب که تا‌ کنون شاهد آنها بوده‌ایم از درون همین شرکت‌های بزرگ بیرون آمده‌اند.