核心提示:
1.一個只夠容納一個網頁圖像的文件居然引發了世界上最大的IT中斷事故。
2.CrowdStrike在追求速度、更大利潤的同時,犧牲了基本的安全原則。
3.麻煩的是,CrowdStrike的修復程序需要手動修復,耗時耗力。
4.這次事故不禁讓人反省,少數公司控制網絡安全行業存在的風險。
周五,當英國國民保健署(NHS)的醫生、倫敦帝國理工學院教授布倫丹·德萊尼(Brendan Delaney)出現在他的倫敦診所時,他原以為這一天會忙得不可開交。
兩個月前,倫敦東南部的醫院和診所遭受了毀滅性的網絡攻擊。現在,像德萊尼這樣的醫生終於開始感到工作恢復正常了。他們可以再次發送緊急血液檢測。網絡安全專家在修復和更換之前被黑客犯罪團伙關閉的信息技術系統方面,並取得了進展。
然而,就在他到達診所時,他看到前台正在匆忙地收集紙質記事本,查詢業務連續性計劃。原來,英格蘭醫生用來查看病人病歷的一個系統突然失靈了。
這一次,問題不是源自勒索軟件團伙,而是出在一家為了保護人們免受黑客攻擊的公司,它就是全球最大網絡安全軟件製造商之一的CrowdStrike Holdings,CrowdStrike推送了一個有缺陷的更新,引發了全球IT系統崩潰,導致全球機場、銀行、證券交易所和企業陷入癱瘓。
小文件大破壞
令人難以置信的是,一個很小的文件(專家稱只夠容納一個網頁圖像)居然導致了世界上最大的IT中斷事故。這個名為「C-00000291*.sys」的文件隱藏在CrowdStrike的Falcon sensor安全產品更新中。該問題文件在微軟公司的Windows作業系統中引發了一個錯誤,導致計算機無法正常工作,並觸發了可怕的「藍屏死機」。
這一事件以前所未有的規模暴露了全球IT系統的脆弱性,並凸顯出如此多的組織和個人依賴於少數幾家科技公司存在的危險性。如果其中一家公司出現故障或遭到黑客攻擊,其後果可能波及全球經濟的大片領域。微軟憑藉其Windows作業系統主導了個人電腦業務,而CrowdStrike已成為數千家公司和組織的首選供應商,後者希望保護其最重要系統免受網絡攻擊。
知名研究公司IDC的數據顯示,CrowdStrike是僅次於微軟的第二大「現代終端保護」軟件開發商,在規模為126億美元的市場中佔有18%的份額。這家總部位於美國得州奧斯汀的公司向全球2.9萬家機構銷售其產品,所以此次宕機可能會影響數百萬台電腦。這些電腦可能需要數周或更長時間才能重新恢復正常,因為它們必須手工修復。
「這真是一團糟,」前NHS醫生、網絡安全和公共衛生專家賽義夫·阿比德(Saif Abed)表示,「Crowdstrike影響到了微軟,而整個NHS都依賴於微軟,製造了一個潛在故障連續爆發的多米諾骨牌效應。」
如何發生的?
上周五,隨着宕機事故從亞洲和澳大利亞蔓延到歐洲和美國,CrowdStrike聯合創始人兼CEO喬治·庫爾茨(George Kurtz)為這一錯誤道歉。「這不是安全事件或網絡攻擊,」他說,「這個問題已經被發現、隔離,並且已經部署了修復程序。」
庫爾茨沒有具體說明這個漏洞是如何出現在軟件更新中的。但是,一些長期批評網絡安全行業的人士已經有了一套可以說得通的理論。他們說,CrowdStrike和其他網絡安全公司在追求更大利潤和試圖安撫股東的同時,犧牲了基本、枯燥的安全原則。
「現在是行業成長,放慢腳步的時候了,」總部位於愛丁堡的安全服務公司Quorum Cyber的創始人兼CEO費德里科·查羅斯基(Federico Charosky)表示,「有些開發商在某個地方做出了改變,卻沒有分析這種改變會產生什麼影響。為了追求速度,他們顯然缺乏質量保證和測試,走了捷徑。這表明,我們對運行一切事物所必不可少的技術的完全信任是錯誤的。」
重蹈覆轍
周五發生的一切非常罕見,但CrowdStrike CEO庫爾茨卻不陌生。2010年,他還是殺毒軟件先驅McAfee的首席技術官。那年4月,McAfee發佈了一個更新,錯誤地將一個合法的Windows文件標記為感染文件,癱瘓了世界各地醫院、學校和政府機構的計算機。
McAfee時任CEO戴夫·德沃爾特(Dave DeWalt)稱,該公司在16分鐘後就撤銷了這個有缺陷的更新,但那時,它已經安裝在1600多家客戶的電腦上。德沃爾特現在經營着一家專注於網絡安全的風險投資公司。他在接受採訪時說:「我們在那天損失了大約40%的市值。」德沃爾特還說,公司派出了近4000名員工乘飛機幫助受影響的客戶從事故中恢復過來。
McAfee最終走出了危機,但當時的員工稱這起事故是一種極大的創傷和恥辱。四個月後,英特爾宣佈收購McAfee。
網絡行業觀察人士想知道,CrowdStrike是否會從自己的錯誤中吸取教訓。有人已經表示,該公司是在自找麻煩。多年來,CrowdStrike一直在抨擊微軟允許黑客侵入其系統,庫爾茨利用這些漏洞作為自己產品的賣點。
就在美國政府發佈報告,指責微軟存在「一連串的安全故障」後不久,庫爾茨突然出擊,在財報電話會議上向投資者引用了他的調查結果,表示微軟的問題引發了潛在客戶的「大量要求」。「微軟安全客戶群體中的安全和IT團隊中存在着廣泛的信任危機。」他當時表示。
「CrowdStrike試圖儘可能地抨擊微軟,並從中獲利,」查羅斯基表示,「但是當你的公司在全球基礎設施中佔據如此重要的地位時,沒有人能逃脫干係。這就是因果報應。當一家公司從創業公司成長為重要的國家基礎設施企業時,它需要採取不同的行動,我不知道CrowdStrike是否經歷了這種轉變。」
「年度惡意軟件」
鑑於CrowdStrike造成的破壞程度,一些網絡評論人士已經將這個存在缺陷的更新描述為「年度惡意軟件」。這種將其與黑客攻擊進行的玩笑式比較在某種程度上是有現實依據的。網絡安全專家說,受影響組織的恢復可能需要數周或更長時間,大致相當於大型組織在遭受勒索軟件攻擊後重建網絡所需的時間。
讓這些電腦恢復正常的最大挑戰是,CrowdStrike的修復程序需要由具有管理權限的人手動修復,一台電腦接一台電腦,這是一個非常耗時的過程,在遠程工作的時代尤其困難。
得州普萊諾網絡安全服務公司Accelerynt的聯合創始人兼董事長米高·亨利(Michael Henry)稱,美國一家大型零售商的客戶不得不召集其所有IT員工,讓他們晝夜不停地手動更新約6000台受影響的電腦。他說,該公司預計要花費整個周末時間來恢復關鍵系統,所有系統完全恢復上線狀態需要三周時間。
「這太瘋狂了。他們正在分類,首先關注關鍵系統,」亨利說,「這是一項零售業務,所以他們要確保門店能夠恢復運營。」
亨利有一個疑問,這也是很多人在宕機事故發生後都在問的問題:這是怎麼發生的?
「CrowdStrike對全球商業造成的破壞,比所有勒索軟件攻擊的總和還要大,」他說,「這證明了,我們在保護自己而部署的軟件上承擔了多大的風險:如果這些人出錯,他們可能會毀掉你的業務。」
訴訟
庫爾茨在周五晚些時候發表的一份聲明中說:「隨着這一事件的解決,我承諾將對事件發生的過程以及我們為防止此類事件再次發生所採取的措施提供充分的透明度。我們正在進行技術更新和根本原因分析,並會公佈於眾。」
網絡安全和法律專家表示,CrowdStrike幾乎肯定會受到起訴、付出經濟成本和其他處罰。這一事件也肯定會引發一場新的討論,即權力和風險日益集中在少數幾家網絡安全公司手中存在的問題。
按照矽谷的標準,網絡安全行業相對年輕,它是在蠕蟲和軟盤病毒的時代成長起來的。20年前,它由賽門鐵克和McAfee兩家公司主導,這兩家公司的殺毒產品採用了一種現在看來有些古怪的策略,即編寫「簽名」以阻止已知的惡意軟件菌株。
如今,攻擊者已經變得更加先進,傳統的殺毒軟件已經失寵,導致那些傳統安全廠商退出舞台。取而代之的產品能夠檢測PC上一系列威脅並自動修復這些威脅。
問題在於,這些技術在很大程度上由微軟和CrowdStrike控制。紐約大學計算機科學教授賈斯汀·卡波斯(Justin Cappos)表示,他一直在警告,安全行業的整合以及隨之而來的集中決策可能會導致大問題,這種爭論在其他科技領域也曾發生過。
「大公司在科技領域會犯大錯誤,」他在接受採訪時說,「我們看到過的很多非常糟糕的安全設計都出自大公司之手。」
