ماجرای بزرگترین اختلال کامپیوترها در جهان چه بود؟

یک فایل کوچک به‌طور جهانی پخش شد و آسیب‌پذیری شبکه IT جهانی و ریسک‌های ادغام بخش‌های مختلف این صنعت با یکدیگر را آشکار کرد.

هنگامی که برندان دلانی، یکی از پزشکان سرویس بهداشت ملی بریتانیا (NHS)، روز جمعه به کلینیک خود در لندن آمد، انتظار یک روز پرمشغله عادی را داشت. دو ماه از یک حمله سایبری ویرانگر که بیمارستان‌ها و کلینیک‌های جنوب شرقی لندن را هدف قرار داده بود، می‌گذشت. کارشناسان امنیت سایبری، نقاط ضعف سیستم‌های فناوری اطلاعاتی NHS، که چندی پیش توسط یک گروه هکری جنایی هدف گرفته شده بود را شناسایی کرده و میزان امنیت آن را ارتقا داده بودند. همین موضوع باعث می‌شد تا دلانی – که استاد دانشگاه امپریال کالج لندن نیز هست – و همکارانش آرام آرام احساس امنیت خود را باز یافته و مشغول انجام دادن امور روزمره کاری خود شوند .

اما روز جمعه به محض ورود، دلانی متوجه شد که یکی از مهم ترین ابزارهای آنلاین دفتر با مشکل روبرو شده است. سیستمی که پزشکان سراسر انگلستان برای مشاهده پرونده‌های بیمار از آن استفاده می‌کردند، به‌طور ناگهانی از کار افتاده بود.

اما این بار مشکل از سمت یک گروه باج‌افزار ایجاد نشده بود. بلکه توسط شرکت CrowdStrike Holdings Inc. انجام شده ، شرکتی که برای محافظت از مردم در برابر هکرها تأسیس شده است. در واقع این شرکت- که یکی از بزرگ‌ترین سازندگان نرم‌افزارهای امنیت سایبری محسوب می‌شود، یک به‌ روزرسانی معیوب را منتشر کرده و باعث شده تا در سیستم جهانی فناوری اطلاعات، یک فروپاشی بزرگ روی دهد که فرودگاه‌ها، بانک‌ها، بورس‌ها و کسب‌وکارهای سراسر جهان را فلج کرده بود.

باورکردنی نیست که یک فایل کوچک — به حجم یک تصویر صفحه وب— مسئول بزرگ‌ترین خرابی سیستم‌های آی‌تی جهان است. این فایل که “C-00000291*.sys”  نام دارد، در یک نسخه به‌روزرسانی مختص محصول Falcon sensor CrowdStrike  پنهان شده و باعث بروز خطا در سیستم‌عامل ویندوز مایکروسافت شد و کل کامپیوترها را از کار انداخت.

این حادثه، شکنندگی سیستم IT جهانی را به‌طور بی‌سابقه‌ای آشکار کرد و همچنین خطرات وابستگی بسیاری از سازمان‌ها و افراد به تعداد کمی از شرکت‌های فناوری را برجسته کرد. اگر یکی از این شرکت‌های امنیتی دچار خرابی یا حمله شوند، اثرات آن می‌تواند بخش‌های وسیعی از اقتصاد جهانی را تحت تأثیر قرار دهد. مایکروسافت در بازار رایانه‌های شخصی، با سیستم‌عامل ویندوز خود تسلط دارد و CrowdStrike  نیز به فروشنده اصلی برای هزاران شرکت و سازمانی تبدیل شده که به دنبال محافظت از مهم‌ترین سیستم‌های خود در برابر حملات سایبری هستند.

بعد از مایکروسافت، CrowdStrike  دومین سازنده بزرگ نرم‌افزارهای «حفاظت مدرن از نقاط انتهایی- endpoint-» است و طبق تحقیق شرکت IDC،  ۱۸٪ از بازار ۱۲.۶ میلیارد دلاری را کنترل می‌کند. دفتر اصلی شرکت CrowdStrike  در شهر آستین مستقر است و  محصولات این شرکت به ۲۹،۰۰۰ سازمان در سراسر جهان به فروش می‌رسد. به دلیل وجود طیف وسیع مشتریان این شرکت، میلیون‌ها کامپیوتر تحت تأثیر این خرابی قرار گرفته‌اند و تعمیر آنها ممکن است هفته‌ها یا بیشتر طول بکشد.

سعید عابد، پزشک سابق NHS و متخصص امنیت سایبری و بهداشت عمومی درباره این حادثه گفت:« این اوضاع واقعا پیچیده و به هم ریخته است. Crowdstrike ، مایکروسافت را هدف قرار داده و کل NHS به مایکروسافت متکی است. به عبارت دیگر یک خرابی، مانند دومینو، خرابی‌های بیشتر و وسیع‌تر به بار آورده است.»

روز جمعه، قطعی‌ها از آسیا و استرالیا به اروپا و آمریکا گسترش پیدا کردند و جورج کرتز، بنیان‌گذار و مدیرعامل CrowdStrike، خیلی سریع بابت بروز این خطا عذرخواهی کرد. او گفت:« این یک حادثه امنیتی یا حمله سایبری نیست. مشکل شناسایی شده، ایزوله شده و یک فایل فیکس یا تعمیر، برای رفع آن طراحی شده است.»

کرتز اعلام نکرد که چگونه این نقص، در یک فایل به‌روزرسانی بروز پیدا کرده اما برخی از منتقدان قدیمی صنعت او، نظریه‌ای دارند. آن‌ها معتقدند که CrowdStrike و دیگر شرکت‌های امنیت سایبری، اصول ابتدایی و ساده امنیت را فدای سود بیشتر و جلب رضایت سهامداران کرده‌اند.

فدریکو چاروسکی، بنیان‌گذار و مدیرعامل شرکت خدمات امنیتی Quorum Cyber مستقر در ادینبورگ معتقد است:« وقت آن است که فعالان این صنعت، قدم‌های حساب شده‌تر و بالغانه‌تری بردارند. یک برنامه نویس در جایی تغییری کوچک ایجاد کرده و هیچ تحلیلی نسبت به تأثیر آن تغییر انجام نشده است. این حادثه نشان می‌دهد که ما در اعتماد کامل به فناوری‌هایی که برای اجرای همه چیز به کار می‌بریم، دچار توهم هستیم.»

آنچه در روز جمعه اتفاق افتاد به‌طور باورنکردنی نادر است، اما کرتز از CrowdStrike، قبلاً نیز چنین شرایطی را تجربه کرده است. در سال ۲۰۱۰، او مدیر ارشد فناوری در شرکت پیشگام نرم‌افزار ضدویروس McAfee بود. در آوریل همان سال، McAfee یک فایل به‌روزرسانی‌ منتشر کرد که در آن به اشتباه، برچسب «آلوده» روی یک فایل معتبر ویندوز قرار گرفت و در پی انتشار آن، کامپیوترها در بیمارستان‌ها، مدارس و آژانس‌های دولتی سراسر جهان فلج شدند.

طبق گفته دیو دیوالت، که در آن زمان مدیرعامل McAfee بود، به‌روزرسانی معیوب فقط ۱۶ دقیقه بعد از انتشار حذف شد، اما طی این زمان کامپیوترهای بیش از ۱۶۰۰ مشتری در سرتاسر جهان تحت تاثیر قرار گرفته بود. دیوالت در مصاحبه‌ای گفت:«ما در آن روز حدود ۴۰٪ از سرمایه بازار خود را از دست دادیم. همان روز شرکت نزدیک به ۴،۰۰۰ کارمند خود را سوار هواپیما کرد تا به مشتریان متضرر کمک کنند.»

McAfee در نهایت از این بحران جان سالم به در برد، اما کارکنان در آن زمان، این حادثه را بسیار دردناک توصیف کردند. چهار ماه بعد، اینتل اعلام کرد که این شرکت را می‌خرد.

حالا ناظران صنعت سایبری می‌پرسند آیا CrowdStrike از اشتباه خود درس خواهد گرفت یا نه. برخی از افراد می‌گویند که این شرکت قبلا نیز دردسر ساز بوده است. CrowdStrike سال‌ها از نقاط ضعف مایکروسافت به عنوان ابزاری برای تبلیغ محصولات خود استفاده کرده و مایکروسافت را به دلیل حملات نفوذی هکرها مورد انتقاد قرار می‌داد.

درست بعد از اینکه دولت آمریکا گزارشی منتشر کرد و مایکروسافت را مسئول «رشته‌ای از شکست‌های امنیتی» اعلام کرد، کرتز از این وضعیت بحرانی استفاده کرده و در یک تماس با سرمایه‌گذاران اعلام کرد که پیشآمدهای مایکروسافت باعث شده از مشتریان بالقوه، سیلی از درخواست‌ها دریافت شود.

چاروسکی گفت:«CrowdStrike تا جایی که می‌توانست سعی کرد مایکروسافت را تخریب کند و از این آب گل آلود ماهی خود را بگیرد. اما هیچ‌کس از این شرکت، که حالا بخشی از زیرساخت ملی حیاتی جهان است، بی‌تفاوت نمی‌گذرد. این کارما است. وقتی یک شرکت از حالت استارتاپ به زیرساخت ملی حیاتی ارتقا پیدا می‌کند، باید به شکلی متفاوت رفتار کند، من مطمئن نیستم  که CrowdStrike این ضرورت را تشخیص داده باشد.»

برخی از مفسران این حوزه، به‌روزرسانی معیوب CrowdStrike را به عنوان «بدافزار سال» معرفی کرده‌اند زیرا تخریب وسیعی به بار آورده است. این خطای کوچک، با حمله هکرها مقایسه می‌شود و هم سطح آنها ضرر به بار آروده است. زمان بازیابی برای سازمان‌های تحت تأثیر قرار گرفته، ممکن است هفته‌ها یا بیشتر طول بکشد، تقریباً مشابه زمانی که یک سازمان بزرگ برای بازسازی شبکه خود پس از یک حمله باج‌افزار نیاز دارد.

بزرگ‌ترین چالش در برگرداندن کامپیوترها به حالت آنلاین این است که اصلاحیه یا فایل فیکس CrowdStrike باید به صورت دستی، کامپیوتر به کامپیوتر، توسط فردی حرفه‌ای انجام شود — فرآیندی که به‌شدت زمان‌بر بوده و به ویژه در عصر کنونی کار از راه دور، سخت‌تر و چالش بر انگیزتر نیز می‌شود.

مایکل هنری، بنیان‌گذار و رئیس شرکت خدمات امنیت سایبری Accelerynt Inc مستقر در پلانو- تگزاس، می‌گوید یکی از مشتریان این شرکت، یک خرده‌فروش بزرگ آمریکایی، مجبور شده به دلیل این حادثه کل کارکنان آی‌تی Accelerynt Inc را به کار بگیرد تا حدود ۶،۰۰۰ کامپیوتر تحت تأثیر خود را به روز رسانی کند. Accelerynt Inc انتظار داشت بازگرداندن سیستم‌های حیاتی، طی یک هفته ممکن شود اما حالا مشخص شده بازگرداندن کامل تمام سیستم‌ها به حالت آنلاین، احتمالا سه هفته زمان می‌برد.

مانند بسیاری از مردم، مایکل هنری نیز سوال بسیار مهمی در پی این خرابی در ذهن دارد: چگونه این اتفاق افتاد؟

او گفت:«CrowdStrike بیشتر از تمام عاملان باج‌افزارها، تجارت جهانی را مختل کرده است. این نشان‌ می دهد که در انتخاب این نرم‌افزار – که برای حفاظت از خودمان انتخاب کرده‌ایم، چه اندازه ریسک کرده‌ایم: اگر تنها یک نفر در چنین شرکتی اشتباه کند، می‌تواند باعث نابودی یک کسب و کار بزرگ شود.»

کرتز در بیانیه‌ای که اواخر روز جمعه منتشر شد، گفت: «به شما تعهد می‌دهم که همزمان با حل این مشکل، شفافیت کامل در مورد چگونگی وقوع این حادثه ارائه خواهد شد. ما روی عرضه یک به‌روزرسانی فنی برای رفع این مشکل تمرکز داریم و اطلاعات تحلیلی بابت دلیل بروز این حادثه، قطعا با دیگران به اشتراک گذاشته خواهد شد.»

کارشناسان امنیت سایبری و حقوقی تقریباً مطمئن هستند که CrowdStrike با شکایت‌ها، هزینه‌های مالی و دیگر مجازات‌ها روبه‌رو خواهد شد. اما این حادثه بدون شک بحث تازه‌ای پیرامون تمرکز قدرت در دست تعداد کمی از شرکت‌های امنیت سایبری ایجاد خواهد کرد.

بر اساس استانداردهای سیلیکون ولی، صنعت امنیت سایبری نسبتاً جوان است. صنعتی که در دوره کرم‌های رایانه‌ای و ویروس‌های دیسک فلاپی به بلوغ رسید و طی دو دهه پیش، تحت سلطه دو شرکت — Symantec و McAfee — بود. امروز، مهاجمان پیشرفته‌تر شده‌اند و نرم‌افزارهای ضدویروس سنتی از محبوبیت افتاده‌اند، به همین دلیل فعالان قدیمی حوزه امنیت سایبری، از صحنه بیرون رانده شده‌اند. به جای آن‌ها، محصولاتی پر تقاضا روی کار آمده‌اند که می‌توانند طیف گسترده‌ای از تهدیدها را بر روی رایانه‌های شخصی شناسایی کرده و به صورت خودکار نسبت به رفع آن‌ها اقدام کنند.

مشکل این است که این تکنولوژی‌ها عمدتاً تحت کنترل مایکروسافت و CrowdStrike هستند. برخی از کارشناسان، از جمله جاستین کاپوس، استاد علوم کامپیوتر در دانشگاه نیویورک،  بارها درباره موضوع ادغام بخش‌های مختلف و تمرکز گرایی در صنعت امنیت هشدار داده‌اند و معتقدند که این دو مقوله می‌تواند منجر به بروز مشکلات بزرگی شود، بحثی که در قسمت‌های دیگر دنیای فناوری نیز مطرح شده است.

کاپوس  معتقد است در فضای فناوری، شرکت‌های بزرگ اشتباهات بزرگی می‌کنند و بسیاری از طرح‌های امنیتی مخرب که تا کنون دیده‌ایم از بطن شرکت‌های بزرگ بیرون آمده‌اند.

منبع: bloomberg