في الـ 78 دقيقة التي عطلت ملايين الأجهزة التي تعمل بنظام Windows

في صباح يوم الجمعة، بعد وقت قصير من منتصف الليل في نيويورك، بدأت الكارثة تتكشف في جميع أنحاء العالم. في أستراليا، قوبل المتسوقون برسائل شاشة الموت الزرقاء (BSOD) في ممرات الدفع الذاتي. وفي المملكة المتحدة، اضطرت قناة سكاي نيوز إلى تعليق بثها بعد أن بدأت الخوادم وأجهزة الكمبيوتر الشخصية في التعطل. وفي هونغ كونغ والهند، بدأت مكاتب تسجيل الوصول في المطارات بالفشل. بحلول الصباح في نيويورك، كانت الملايين من أجهزة الكمبيوتر التي تعمل بنظام Windows قد تعطلت، وكانت كارثة تكنولوجية عالمية جارية.

وفي الساعات الأولى من انقطاع الخدمة، كان هناك ارتباك حول ما يجري. كيف ظهرت فجأة العديد من أجهزة Windows على شاشة الأعطال الزرقاء؟ كتب خبير الأمن السيبراني الأسترالي تروي هانت في منشور على X: “يحدث شيء غريب للغاية الآن”. وعلى موقع Reddit، أطلق مسؤولو تكنولوجيا المعلومات ناقوس الخطر في موضوع بعنوان “خطأ الموت الزرقاء في آخر تحديث لـ CrowdStrike” والذي حصل منذ ذلك الحين على أكثر من 20000 رد. .

أدت المشاكل إلى قيام شركات الطيران الكبرى في الولايات المتحدة بإيقاف أساطيلها وعمالها في أوروبا عبر البنوك والمستشفيات والمؤسسات الكبرى الأخرى غير القادرة على تسجيل الدخول إلى أنظمتها. وسرعان ما أصبح واضحًا أن كل ذلك كان بسبب ملف واحد صغير.

في الساعة 12:09 صباحًا بتوقيت شرق الولايات المتحدة يوم 19 يوليو، أصدرت شركة الأمن السيبراني CrowdStrike تحديثًا خاطئًا لبرنامج الأمان Falcon الذي تبيعه لمساعدة الشركات على منع البرامج الضارة وبرامج الفدية وأي تهديدات إلكترونية أخرى من تدمير أجهزتها. يتم استخدامه على نطاق واسع من قبل الشركات لأنظمة Windows المهمة، ولهذا السبب كان تأثير التحديث السيئ فوريًا للغاية وكان محسوسًا على نطاق واسع.

كان من المفترض أن يكون تحديث CrowdStrike مثل أي تحديث صامت آخر، حيث يوفر تلقائيًا أحدث وسائل الحماية لعملائه في ملف صغير (40 كيلو بايت فقط) يتم توزيعه عبر الويب. يقوم CrowdStrike بإصدار هذه البرامج بشكل منتظم دون وقوع أي حادث، وهي شائعة إلى حد ما بالنسبة لبرامج الأمان. ولكن هذا واحد كان مختلفا. لقد كشفت عن خلل هائل في منتج الأمن السيبراني الخاص بالشركة، وهي كارثة لم يكن من الممكن أن يفصلنا عنها سوى تحديث سيء واحد – وهي كارثة كان من الممكن تجنبها بسهولة.

يعمل برنامج حماية CrowdStrike’s Falcon في Windows على مستوى kernel، وهو الجزء الأساسي من نظام التشغيل الذي يتمتع بوصول غير مقيد إلى ذاكرة النظام والأجهزة. تعمل معظم التطبيقات الأخرى على مستوى وضع المستخدم ولا تحتاج إلى وصول خاص إلى kernel أو تحصل عليها. يستخدم برنامج CrowdStrike’s Falcon برنامج تشغيل خاصًا يسمح له بالعمل بمستوى أقل من معظم التطبيقات حتى يتمكن من اكتشاف التهديدات عبر نظام Windows.

إن التشغيل على النواة يجعل برنامج CrowdStrike أكثر قدرة بكثير كخط دفاع – ولكنه أيضًا أكثر قدرة على التسبب في المشاكل. “قد يكون ذلك مشكلة كبيرة، لأنه عندما يأتي تحديث غير منسق بالطريقة الصحيحة أو يحتوي على بعض التشوهات، يمكن للسائق استيعاب ذلك والثقة العمياء في تلك البيانات،” باتريك واردل، الرئيس التنفيذي لشركة DoubleYou ومؤسس شركة DoubleYou تقول مؤسسة Objective-See الحافة.

يتيح الوصول إلى Kernel للسائق إنشاء مشكلة تلف الذاكرة، وهو ما حدث صباح الجمعة. يقول واردل: “حدث العطل نتيجة لتعليمة كانت تحاول الوصول إلى بعض الذاكرة غير الصالحة”. “إذا كنت تعمل في النواة وحاولت الوصول إلى ذاكرة غير صالحة، فسيتسبب ذلك في حدوث خطأ وسيتسبب في تعطل النظام.”

اكتشف CrowdStrike المشكلات بسرعة، لكن الضرر كان قد حدث بالفعل. أصدرت الشركة إصلاحًا بعد 78 دقيقة من صدور التحديث الأصلي. حاول مسؤولو تكنولوجيا المعلومات إعادة تشغيل الأجهزة مرارًا وتكرارًا وتمكنوا من استعادة بعض الاتصال بالإنترنت إذا حصلت الشبكة على التحديث قبل أن يقوم برنامج تشغيل CrowdStrike بقتل الخادم أو الكمبيوتر الشخصي، ولكن بالنسبة للعديد من العاملين في مجال الدعم، شمل الإصلاح زيارة الأجهزة المتأثرة يدويًا وحذف محتوى CrowdStrike المعيب تحديث.

بينما تستمر التحقيقات في حادثة CrowdStrike، فإن النظرية السائدة هي أنه من المحتمل أن يكون هناك خلل في السائق الذي كان خاملًا لبعض الوقت. ربما لم يتم التحقق من صحة البيانات التي كان يقرأها من ملفات تحديث المحتوى بشكل صحيح، ولكن لم تكن هذه مشكلة على الإطلاق حتى تحديث المحتوى الإشكالي يوم الجمعة.

يقول واردل: “من المحتمل أن يتم تحديث برنامج التشغيل لإجراء فحص إضافي للأخطاء، للتأكد من أنه حتى لو تم تأجيل التكوين الذي به مشكلة في المستقبل، فسيكون لدى السائق دفاعات للتحقق والكشف… مقابل التصرف بشكل أعمى والتعطل”. . “سأفاجأ إذا لم نرى إصدارًا جديدًا من برنامج التشغيل في نهاية المطاف يتضمن فحوصات سلامة إضافية وفحوصات للأخطاء.”

كان من المفترض أن يكون CrowdStrike قد اكتشف هذه المشكلة عاجلاً. من الممارسات المعتادة إلى حد ما طرح التحديثات تدريجيًا، مما يسمح للمطورين باختبار أي مشكلات كبيرة قبل أن يصل التحديث إلى قاعدة المستخدمين بالكامل. لو قامت CrowdStrike باختبار تحديثات محتواها بشكل صحيح مع مجموعة صغيرة من المستخدمين، لكان يوم الجمعة بمثابة دعوة للاستيقاظ لإصلاح مشكلة أساسية في برنامج التشغيل بدلاً من كارثة تقنية امتدت حول العالم.

لم تكن شركة مايكروسوفت هي السبب في كارثة يوم الجمعة، ولكن الطريقة التي يعمل بها نظام التشغيل Windows سمحت لنظام التشغيل بأكمله بالانهيار. تعد رسائل الشاشة الزرقاء للموت المنتشرة على نطاق واسع مرادفة لأخطاء نظام التشغيل Windows بدءًا من التسعينيات فصاعدًا لدرجة أن العديد من العناوين الرئيسية كانت تقرأ في البداية “انقطاع خدمة Microsoft” قبل أن يتضح أن CrowdStrike هو المخطئ. الآن، هناك أسئلة لا مفر منها حول كيفية منع حدوث موقف CrowdStrike آخر في المستقبل – ولا يمكن أن تأتي هذه الإجابة إلا من Microsoft.

على الرغم من عدم مشاركتها بشكل مباشر، لا تزال Microsoft تتحكم في تجربة Windows، وهناك مجال كبير للتحسين في كيفية تعامل Windows مع مثل هذه المشكلات.

في أبسط الأحوال، يمكن لنظام التشغيل Windows تعطيل برامج تشغيل عربات التي تجرها الدواب. إذا قرر Windows أن برنامج التشغيل يعطل النظام عند التمهيد ويجبره على الدخول في وضع الاسترداد، فيمكن لشركة Microsoft إنشاء منطق أكثر ذكاءً يسمح للنظام بالتمهيد بدون برنامج التشغيل المعيب بعد فشل التمهيد المتعدد.

لكن التغيير الأكبر سيكون هو تأمين الوصول إلى Windows kernel لمنع برامج تشغيل الجهات الخارجية من تعطل جهاز الكمبيوتر بأكمله. ومن المفارقات أن مايكروسوفت حاولت القيام بذلك بالضبط مع نظام التشغيل Windows Vista، لكنها قوبلت بمقاومة من موردي الأمن السيبراني والمنظمين في الاتحاد الأوروبي.

حاولت Microsoft تنفيذ ميزة كانت تُعرف في ذلك الوقت باسم PatchGuard في نظام التشغيل Windows Vista في عام 2006، مما أدى إلى تقييد وصول الجهات الخارجية إلى النواة. وقد عارضت شركتا McAfee وSymantec، شركتا مكافحة الفيروسات الكبيرتان في ذلك الوقت، التغييرات التي أجرتها Microsoft، حتى أن شركة Symantec اشتكت إلى المفوضية الأوروبية. تراجعت Microsoft في النهاية، مما سمح لموردي الأمان بالوصول إلى kernel مرة أخرى لأغراض مراقبة الأمان.

اتخذت شركة Apple في النهاية نفس الخطوة، حيث أغلقت نظام التشغيل macOS الخاص بها في عام 2020 حتى لا يتمكن المطورون من الوصول إلى النواة. يقول واردل: “لقد كان بالتأكيد القرار الصحيح الذي اتخذته شركة Apple بإيقاف ملحقات kernel التابعة لجهات خارجية”. “لكن الطريق إلى تحقيق ذلك فعليا كان محفوفا بالقضايا.” واجهت شركة Apple بعض أخطاء kernel حيث لا يزال من الممكن أن تؤدي أدوات الأمان التي تعمل في وضع المستخدم إلى حدوث عطل (ذعر kernel)، ويقول Wardle إن Apple “قدمت أيضًا بعض الثغرات الأمنية في تنفيذ الامتيازات، ولا تزال هناك بعض الأخطاء الأخرى التي يمكن أن تسمح لأدوات الأمان على Mac ليتم تفريغها بواسطة البرامج الضارة.”

ربما لا تزال الضغوط التنظيمية تمنع Microsoft من اتخاذ إجراء هنا. صحيفة وول ستريت جورنال أفادت تقارير خلال عطلة نهاية الأسبوع أن “متحدثًا باسم Microsoft قال إنه لا يمكنها قانونًا عزل نظام التشغيل الخاص بها بنفس الطريقة التي تفعلها شركة Apple بسبب التفاهم الذي توصلت إليه مع المفوضية الأوروبية بعد شكوى”. ال مجلة يعيد صياغة المتحدث المجهول ويذكر أيضًا اتفاقية عام 2009 لتزويد موردي الأمان بنفس مستوى الوصول إلى Windows مثل Microsoft.

توصلت Microsoft إلى اتفاقية التشغيل البيني مع المفوضية الأوروبية في عام 2009 والتي كانت بمثابة “تعهد عام” للسماح للمطورين بالوصول إلى الوثائق الفنية لإنشاء التطبيقات أعلى نظام Windows. تم تشكيل الاتفاقية كجزء من صفقة تضمنت تنفيذ شاشة اختيار المتصفح في Windows وتقديم إصدارات خاصة من Windows دون تضمين Internet Explorer في نظام التشغيل.

انتهت الصفقة لإجبار مايكروسوفت على تقديم خيارات المتصفح بعد خمس سنوات في عام 2014، وتوقفت مايكروسوفت أيضًا عن إنتاج إصداراتها الخاصة من Windows لأوروبا. تقوم Microsoft الآن بتجميع متصفح Edge الخاص بها في نظام التشغيل Windows 11، دون أي تحدي من قبل المنظمين الأوروبيين.

ليس من الواضح كم من الوقت كانت اتفاقية التشغيل البيني هذه سارية، ولكن يبدو أن المفوضية الأوروبية لا تعتقد أنها تمنع Microsoft من إصلاح أمان Windows. وقالت المتحدثة باسم المفوضية الأوروبية، ليا زوبر، في بيان: “إن مايكروسوفت حرة في اتخاذ قرار بشأن نموذج أعمالها وتكييف بنيتها التحتية الأمنية للرد على التهديدات بشرط أن يتم ذلك بما يتماشى مع قانون المنافسة في الاتحاد الأوروبي”. الحافة. “لم تثير Microsoft مطلقًا أي مخاوف بشأن الأمن مع المفوضية، سواء قبل الحادث الأخير أو بعده”.

يمكن أن تحاول Microsoft السير على نفس الطريق الذي اتبعته شركة Apple، لكن المقاومة من قبل موردي الأمن مثل CrowdStrike ستكون قوية. على عكس Apple، تتنافس Microsoft أيضًا مع CrowdStrike وموردي الأمان الآخرين الذين جعلوا من حماية Windows عملاً تجاريًا. لدى Microsoft خدمة Defender for Endpoint المدفوعة الخاصة بها، والتي توفر حماية مماثلة لأجهزة Windows.

ينتقد جورج كورتز، الرئيس التنفيذي لشركة CrowdStrike، Microsoft بانتظام وسجلها الأمني ​​ويفتخر بكسب العملاء بعيدًا عن برامج الأمان الخاصة بشركة Microsoft. لقد تعرضت شركة Microsoft لسلسلة من الأخطاء الأمنية في السنوات الأخيرة، لذلك من السهل والفعال على المنافسين استخدام هذه الأخطاء لبيع البدائل.

في كل مرة تحاول Microsoft إغلاق نظام Windows باسم الأمان، فإنها تواجه أيضًا رد فعل عنيفًا. كان الوضع الخاص في نظام التشغيل Windows 10 الذي يقتصر على تطبيقات Windows Store للأجهزة لتجنب البرامج الضارة مربكًا ولا يحظى بشعبية. لقد تركت Microsoft أيضًا الملايين من أجهزة الكمبيوتر الشخصية مع إطلاق Windows 11 ومتطلبات الأجهزة الخاصة به والتي تم تصميمها لتحسين أمان أجهزة الكمبيوتر التي تعمل بنظام Windows.

يحذر ماثيو برينس، الرئيس التنفيذي لشركة Cloudflare، بالفعل من تأثيرات قيام Microsoft بإغلاق نظام Windows بشكل أكبر، مؤطرًا بطريقة تفضل Microsoft منتجاتها الأمنية الخاصة في حالة حدوث مثل هذا السيناريو. كل هذا التراجع يعني أن لدى Microsoft طريقًا صعبًا للسير هنا إذا كانت تريد تجنب أن يكون Windows في مركز حادث يشبه CrowdStrike مرة أخرى.

ومايكروسوفت عالقة في المنتصف، تحت ضغط من كلا الجانبين. ولكن في الوقت الذي تقوم فيه مايكروسوفت بإصلاح الأمن، يجب أن يكون هناك مجال لموردي الأمن ومايكروسوفت للاتفاق على نظام أفضل من شأنه أن يتجنب عالماً من انقطاعات الشاشة الزرقاء مرة أخرى.