اعتذر أحد كبار المسؤولين التنفيذيين في شركة CrowdStrike أمام لجنة حكومية أمريكية عن انقطاع التيار الكهربائي في 19 يوليو مما تسبب في تعطل أنظمة تكنولوجيا المعلومات في جميع أنحاء العالم وظهور شاشة الموت الزرقاء المخيفة بعد أن أطلقت الشركة تحديثًا خاطئًا.
بدأت الحادثة، التي وقعت في الصباح الباكر في المملكة المتحدة، عندما أصدرت شركة CrowdStrike تحديثًا لمنصة الكشف عن التهديدات Falcon الخاصة بها، ولكن بسبب وجود خلل في أداة التحقق التلقائي من المحتوى، تم مسح القالب الذي يحتوي على بيانات المحتوى “المشكلة” للنشر.
وقد أدى هذا بدوره إلى حالة ذاكرة خارج النطاق مما تسبب في دخول أجهزة الكمبيوتر التي تعمل بنظام Windows والتي تتلقى التحديث في حلقة التمهيديعني هذا إعادة تشغيل الأجهزة المتأثرة دون سابق إنذار أثناء عملية بدء التشغيل، مما يجعلها غير قادرة على إكمال دورة تمهيد كاملة.
وقد أدت الفوضى الناتجة عن ذلك إلى شلل 8.5 مليون جهاز كمبيوتر لفترة وجيزة من الزمن وأثرت على المنظمات في جميع أنحاء العالم، حيث كان التأثير محسوسًا بشكل خاص في قطاعي النقل والطيران.
في كلمة الافتتاح أمام لجنة الأمن الداخلي بمجلس النواب وفي واشنطن العاصمة، قال آدم مايرز، نائب الرئيس الأول لعمليات مكافحة الخصوم في شركة كراود سترايك، إن الشركة خذلت عملاءها عندما أطلقت التحديث المعيب.
“بالنيابة عن الجميع في CrowdStrike، أود أن أتقدم بالاعتذار. نحن نأسف بشدة لما حدث ونعتزم منع حدوثه مرة أخرى”، قال مايرز.
“نحن نقدر الجهود الرائعة التي يبذلها عملاؤنا وشركاؤنا على مدار الساعة، والذين عملوا جنبًا إلى جنب مع فرقنا، وحشدوا جهودهم على الفور لاستعادة الأنظمة وإعادة تشغيل العديد منها خلال ساعات. وأستطيع أن أؤكد لكم أننا نواصل التعامل مع هذا الأمر بإحساس كبير بالإلحاح”.
وتابع: “على نطاق أوسع، أود أن أؤكد أن هذا لم يكن هجومًا إلكترونيًا من جهات تهديد أجنبية. كان سبب الحادث تحديثًا سريعًا لمحتوى الاستجابة من CrowdStrike. لقد اتخذنا خطوات للمساعدة في ضمان عدم تكرار هذه المشكلة، ويسعدنا أن نعلن أنه اعتبارًا من 29 يوليو، عادت حوالي 99٪ من أجهزة استشعار Windows إلى العمل.
وقال مايرز: “منذ وقوع هذا الحادث، سعينا جاهدين إلى أن نكون شفافين وملتزمين بالتعلم مما حدث. لقد أجرينا مراجعة كاملة لأنظمتنا وبدأنا في تنفيذ خطط لتعزيز إجراءات تحديث المحتوى لدينا حتى نخرج من هذه التجربة كشركة أقوى. أستطيع أن أؤكد لكم أننا سنستفيد من الدروس المستفادة من هذا الحادث ونستخدمها لإعلام عملنا بينما نتحسن للمستقبل”.
وقال أندرو جاربارينو، عضو ورئيس اللجنة الفرعية للأمن السيبراني وحماية البنية التحتية: “كان حجم هذا الخطأ هائلاً ومثيرًا للقلق. إذا كان التحديث الروتيني يمكن أن يسبب هذا المستوى من الاضطراب، فتخيل فقط ما يمكن أن يفعله ممثل دولة ماهر وعازم.
وقال “لا يمكننا أن نغفل عن كيفية تأثير هذا الحادث على بيئة التهديد الأوسع نطاقا. لا شك أن خصومنا قاموا بتقييم استجابتنا وتعافينا ومستوى المرونة الحقيقي لدينا.
“ومع ذلك، فإن أعدائنا ليسوا مجرد دول قومية ذات قدرات سيبرانية متقدمة – بل يشملون مجموعة من الجهات الفاعلة السيبرانية الخبيثة التي تزدهر غالبًا في حالة عدم اليقين والارتباك التي تنشأ[s] “أثناء انقطاعات تكنولوجيا المعلومات على نطاق واسع”، قال جاربارينو.
“سي آي إيه” [the US Cybersecurity and Infrastructure Security Agency] أصدرت الشركة بيانًا عامًا أشارت فيه إلى أنها لاحظت أن جهات التهديد تستغل هذا الحادث للقيام بعمليات تصيد احتيالي وأنشطة ضارة أخرى. ومن الواضح أن هذا الانقطاع خلق بيئة مواتية ناضجة للاستغلال من قبل جهات فاعلة خبيثة في مجال الإنترنت.
الاضطرابات الناجمة
وسلط رئيس اللجنة مارك جرين الضوء على الاضطرابات التي لحقت بالرحلات الجوية وخدمات الطوارئ والإجراءات الطبية، ليس فقط في الولايات المتحدة ولكن في جميع أنحاء العالم. وقال: “إن انقطاع تكنولوجيا المعلومات العالمي الذي يؤثر على كل قطاع من قطاعات الاقتصاد هو كارثة نتوقع أن نراها في فيلم. إنه شيء نتوقع أن يتم تنفيذه بعناية من قبل جهات فاعلة خبيثة ومتطورة من دول قومية.
“وللإضافة إلى الإهانة، فإن أكبر انقطاع في تكنولوجيا المعلومات في التاريخ كان بسبب خطأ”، كما قال جرين. “في هذه الحالة، لم يتمكن محقق المحتوى الخاص بشركة CrowdStrike المستخدم لجهاز استشعار Falcon الخاص بها من اكتشاف خطأ في ملف قناة. ويبدو أيضًا أن التحديث ربما لم يتم اختباره بشكل مناسب قبل دفعه إلى الجزء الأكثر حساسية في نظام تشغيل الكمبيوتر. الأخطاء تحدث، ولكن لا يمكننا السماح بحدوث خطأ بهذا الحجم مرة أخرى”.
خلال شهادته، قدم مايرز أيضًا تفاصيل حول طبيعة المشكلة بالضبط، وحدد الخطوات التي اتخذتها CrowdStrike لضمان عدم حدوثها مرة أخرى، على الرغم من أنه كشف عن القليل من المعلومات التي لم يتم الإعلان عنها بالفعل.
وواجه أوباما ما يقرب من ساعة ونصف من الأسئلة من السياسيين الأميركيين، بما في ذلك الاستجواب حول الدعم الذي قدمته شركة “كراود سترايك” لمشغلي البنية التحتية الوطنية الحيوية (CNI) المتضررة من الانقطاع، ومراقبتها الخاصة لاستغلال وقت التوقف من قبل مجرمي الإنترنت.
الوصول إلى النواة
ومن المهم أن مايرز دافع عن الحاجة إلى CrowdStrike سيكون لديه حق الوصول إلى نواة Microsoft، وهو جزء أساسي من نظام التشغيل Microsoft Windows، والذي يدير الموارد والعمليات المختلفة على النظام ويستضيف غالبًا تطبيقات الأمن السيبراني الهامة، بما في ذلك مستشعر الكشف والاستجابة لنقطة النهاية Falcon.
وفي أعقاب الحادث، ادعى البعض أن سماح مايكروسوفت بمثل هذا الوصول أمر خطير، وأن الممارسة الأفضل هي نشر مثل هذه التحديثات مباشرة للمستخدمين.
قال مايرز: “CrowdStrike هي واحدة من العديد من البائعين الذين يستخدمون بنية نواة Windows – وهي بنية نواة مفتوحة، وهو قرار اتخذته Microsoft لتمكين نظام التشغيل من دعم مجموعة واسعة من أنواع الأجهزة المختلفة والأنظمة المختلفة”.
وقال “النواة مسؤولة عن المجالات الرئيسية التي يمكنك من خلالها ضمان الأداء، حيث يمكنك الحصول على رؤية واضحة لكل ما يحدث على نظام التشغيل هذا، حيث يمكنك توفير التنفيذ – بمعنى آخر، منع التهديدات – وضمان مكافحة العبث، وهو مصدر قلق رئيسي من منظور الأمن السيبراني”. “إن مكافحة العبث أمر مثير للقلق للغاية لأنه عندما يتمكن أحد الجهات الفاعلة المهددة من الوصول إلى نظام ما، فإنه يسعى إلى تعطيل أدوات الأمان، ومن أجل تحديد ما يحدث، فإن رؤية النواة مطلوبة.
وأضاف مايرز: “يعتبر برنامج تشغيل النواة أحد المكونات الرئيسية لكل منتج أمني يمكنني التفكير فيه. وسواء كان معظم عملهم يتم في النواة أم لا، فإن الأمر يختلف من بائع إلى آخر، ولكن محاولة تأمين نظام التشغيل دون الوصول إلى النواة سيكون أمرًا صعبًا للغاية”.
