دنیا در کام صفحه آبی مرگ؛‌ چطور یک‌ به‌روزرسانی ساده جهان را به آشوب کشید

صبح جمعه، ۱۹ جولای (۲۹ تیر)، یک به‌روزرسانی ظاهراً عادی از سمت شرکت آنتی‌ویروس آمریکایی CrowdStrike بخش بزرگی از دنیا را به هرج‌ومرج انداخت. تعداد زیادی از بزرگ‌ترین خطوط هوایی، پخش‌کنندگان برنامه‌های تلویزیونی، بانک‌ها، بیمارستان‌ها، شرکت‌های بیمه، سوپرمارکت‌ها و بسیاری از کسب‌وکارها و خدمات حیاتی دیگر در سراسر جهان دچار قطعی گسترده شدند و انبوهی از دستگاه‌های ویندوزی دنیا در کام صفحه‌ی آبی مرگ فرو رفتند.

از حادثه‌ی روز جمعه به‌عنوان بزرگ‌ترین اختلال IT تاریخ یاد می‌شود؛‌ چراکه به‌سختی می‌توان حادثه‌ی مشابه‌ای را به خاطر آورد که تا این‌ اندازه شرکت‌ها و سرویس‌های سراسر جهان را دچار مشکل کرده باشد. ابعاد این قطعی به‌حدی گسترده بود که رسانه‌های خبری در عرض یک ساعت پس از شروع خبررسانی، مجبور به توقف به‌روزرسانی فهرست شرکت‌های آسیب‌دیده شدند، چون هر لحظه نام چندین شرکت به فهرست اضافه می‌شد و ردیابی تمام آن‌ها تقریباً غیرممکن بود.

از آنجا که این قطعی فقط دستگاه‌های ویندوزی را درگیر کرد و کاربران اپل و لینوکس جان سالم به‌در بردند، پای مایکروسافت اشتباهی به‌عنوان مقصر به ماجرا باز شد و نزدیک بود پایان ناراحت‌کننده‌ای در انتظار ارزش سهامش باشد؛ اما ردموندی‌ها با واکنش سریع، تأکید کردند که مشکل از سمت آن‌ها نیست تا ارزش سهام مایکروسافت تنها یک درصد افت کند؛ درحالی‌که شرکت CrowdStrike، مقصر اصلی که تا پیش از این حادثه، حدود ۸۳ میلیارد دلار ارزش داشت، با سقوط ۱۱ میلیارد دلار ارزش بازار روبه‌رو شد.

مسعود ذاکری

هرآنچه باید در مورد صفحه آبی مرگ ویندوز بدانید

مطالعه '9

شرکت CrowdStrike اعلام کرد که مشکل اکنون «شناسایی، ایزوله و رفع شده است» و هنوز گزارشی مبنی‌بر خرابکاری عامدانه یا سرقت اطلاعات منتشر نشده؛ بااین‌حال برگشت تمام سرویس‌ها و کسب‌وکارهای مختل‌شده به حالت عادی پروسه‌ای زمان‌بر خواهد بود که شاید هفته‌ها طول بکشد.

قطعی سراسری ۱۹ جولای که دسترسی کاربران به خدمات حیاتی بسیاری از سازمان‌ها و کسب‌وکارها از جمله خطوط هوایی، بانک‌ها و سوپرمارکت‌ها را مختل کرد، به آپدیت معیوب پلتفرم اصلی شرکت CrowdStrike به‌نام «فالکون» مربوط می‌شود. فالکون پلتفرمی مبتنی‌بر سرورهای ابری است که چندین ابزار و قابلیت امنیتی ازجمله آنتی‌ویروس، حفاظت از نقاط پایانی و نظارت لحظه‌ای را در قالب یک هاب واحد برای جلوگیری از دسترسی غیرمجاز به سیستم‌های سازمانی سراسر جهان ارائه می‌دهد.

جورج کورتز، مدیرعامل CrowdStrike، روز جمعه گفت که این اختلال در اثر نقصی در یکی از به‌روزرسانی‌های محتوایی برای میزبان‌های ویندوزی پیش آمده است و ربطی به حملات سایبری ندارد؛ همچنین دستگاه‌های مک و لینوکس تحت‌تأثیر این اختلال قرار نگرفتند، چراکه به‌روزرسانی معیوب فقط برای دستگاه‌های ویندوزی ارائه شده بود.

کوین بومونت، پژوهشگر امنیت سایبری در پستی در شبکه‌ی اجتماعی X نوشت که پس از بررسی نسخه‌ای از به‌روزرسانی معیوب CrowdStrike، به این نتیجه رسیده که فایل به‌درستی فرمت نشده است و باعث می‌شود ویندوز هر بار کرش کند. او در پست دیگری نوشت که راه‌حل خودکاری برای رفع این مشکل وجود ندارد و دستگاه‌های درگیر لازم است به‌طور دستی ریبوت شوند. برادی نیسبت، مدیر ناظر CrowdStrike نیز در X نوشت که فایل معیوب C-00000291*.sys باید در حالت Safe Mode ویندوز، از سیستم حذف شود.

به زبان ساده، نرم‌افزاری که قرار بود از بروز خرابی‌ و اختلال در سیستم‌های کامپیوتری دنیا جلوگیری کند، خودش آن‌ها را از کار انداخت. البته وقت‌شناسی هم مهم است؛ قانون نانوشته‌ای بین مهندسان کامپیوتر وجود دارد که می‌گوید «هیچ‌وقت به‌روزرسانی‌‌ها را روز جمعه انجام ندهید.» به این دلیل که اگر مشکلی پیش بیاید و رفع آن زمان‌بر باشد، افرادی که آخر هفته سر کار باشند و بتوانند مشکل را رفع کنند، بسیار کمترند.

کراداسترایک نهایتاً درباره‌ی جزئیات فنی آپدیت روز جمعه این‌طور توضیح داد:

فایل‌های پیکربندی به‌عنوان فایل‌های کانال (Channel Files) شناخته می‌شوند و جزء مکانیزم‌های محافظت رفتاری به‌شمار می‌روند که حسگر Falcon از آن‌ها استفاده می‌کند. به‌روزرسانی‌های فایل‌های کانال، بخشی عادی از عملکرد حسگر هستند و هر روز چند بار ازطریق CrowdStrike منتشر می‌شوند. این فرایند جدیدی نیست و از زمان شروع Falcon اجرا شده است.

آپدیتی که CrowdStrike برای پیکربندی حسگر Falcon برای سیستم‌های ویندوزی منتشر کرد، اگرچه فرایند جدیدی نبود، اما این بار باعث ایجاد خطایی منطقی و نمایش صفحه‌ی آبی مرگ در سیستم‌های تحت‌تأثیر شد. در ضمن، این به‌روزرسانی بدون توجه به هرگونه تنظیماتی که برای جلوگیری از آپدیت‌ خودکار پیش‌بینی شده باشد، منتشر شد.

اختلال روز جمعه نشان داد که چقدر دنیا به دستگاه‌هایی وابسته است که از راه دور توسط شرکت‌های بزرگ فناوری مدیریت می‌شوند و چطور در مواجهه با مشکلات مربوط‌ به این دستگاه‌ها، دنیا کاملاً ناتوان است.

بانک‌های هنگ‌کنگ، بیمارستان‌های بریتانیا، خطوط هواپیمایی آمریکا؛ اورژانس آلاسکا، خبرگزاری‌های استرالیا، پلتفرم‌های متا، فروشگاه‌های زنجیره‌ای و استارباکس و کارخانه‌ی تسلا؛ ابعاد این اختلال چندساعته به‌قدری گسترده است که آلن وودوارد، استاد امنیت سایبری دانشگاه ساری انگلیس به بلومبرگ گفت: «این اتفاق بی‌سابقه است. تأثیر اقتصادی آن بسیار زیاد خواهد بود.»

به‌طور کلی، اختلال CrowdStrike بخش بزرگی از سازمان‌ها و سرویس‌های سراسر دنیا ازجمله بیمارستان‌ها، آژانس‌های دولتی، خطوط‌های هوایی، بانک‌ها، شرکت‌های خودروسازی، رسانه‌ها و شرکت‌های بزرگی چون متا و FedEx را درگیر کرد.

اولين گزارش‌ها از بانک‌ها و شبکه‌های تلویزیونی در استرالیا منتشر شد. با شروع روز کاری در اروپا، دستگاه‌های بیشتری با مشکل صفحه‌ی آبی مرگ روبه‌رو شدند. اسکای نیوز، شبکه‌ی خبری بریتانیا، قادر به پخش برنامه‌های خود نبود. Ryanair، یکی از بزرگ‌ترین خطوط هوایی اروپا اعلام کرد که با مشکل فنی مواجه شده که بر پروازهای این شرکت تأثیر گذاشته است.

اداره‌ی فدرال هوانوردی آمریکا (FAA) اعلام کرد که به دلیل یک «مشکل ارتباطی» تمام پروازهای شرکت‌های هواپیمایی دلتا، یونایتد و امریکن ایرلاینز متوقف شده‌اند. فرودگاه برلین نیز به دلیل «مشکلات فنی» موقتاً تمامی پروازها را به حالت تعلیق درآورد.

تایم‌لپس ۱۲ ساعته ترافیک هوایی خطوط امریکن ایرلاینز، دلتا و یونایتد پس از قطعی گسترده

وزارت امور خارجه‌ی امارات اعلام کرد که قطعی گسترده‌ی سرویس‌ها، برخی از سیستم‌های الکترونیکی این وزارت‌خانه را با مشکل مواجه کرده است. در استرالیا، رسانه‌ها و خرده‌فروشی‌ها و بانک‌ها و شرکت‌های هواپیمایی و حتی اپراتورها تحت‌تأثیر قرار گرفته‌اند.

حال مایکروسافت می‌گوید به‌روزرسانی معیوب CrowdStrike، بیش از ۸٫۵ میلیون دستگاه ویندوزی را تحت‌تأثیر قرار داده که کمتر از یک درصد از تمام دستگاه‌های ویندوزی است؛ اما همین تعداد برای ایجاد اختلال گسترده در عملکرد هزاران کسب‌وکار مانند خرده‌فروشان، بانک‌ها، فرودگاه‌ها و بسیاری از سیستم‌هایی که به آن وابسته هستند، کافی بود.

کراداسترایک ارائه‌دهنده‌ی خدمات امنیت سایبری است که ۱۳ سال پیش در آستین تگزاس تأسیس شد و اکنون نزدیک به ۸۵۰۰ کارمند و ۲۴ هزار مشتری سازمانی دارد. شرکتی که در مرکز بزرگ‌ترین اختلال IT جهان ایستاده، برای کاربران عادی شناخته‌‌شده نیست، اما طی یک سال گذشته به‌ عزیزدردانه‌ی وال‌استریت تبدیل شده است.

در سال ۲۰۲۴، ارزش سهام این شرکت با افزایش ۹۶ درصدی، یکی از بهترین عملکردها را در شاخص فناوری‌محور نزدک و شاخص عام‌تر S&P 500 به نمایش گذاشت. کراداسترایک تا پایان شب پنج‌شنبه، ۸۴ میلیارد دلار ارزش‌گذاری شده بود.

آنچه سرمایه‌گذاران را به وجد آورد، تأکید کراداسترایک به ارائه‌ی ابزاری همه‌جانبه برای حفاظت «نقطه پایانی»‌ (Endpoint) و استفاده از هوش مصنوعی در بسیاری از خدمات این شرکت بود. محافظت نقطه‌ی پایانی ابتدا چیزی به‌جز یک نرم‌افزار آنتی‌ویروس ساده نبود، اما در دهه‌ی گذشته به مجموعه‌ی گسترده‌ای از خدمات امنیتی شامل شناسایی تهدیدات، جلوگیری از نشت داده و مدیریت شبکه برای حفاظت از دستگاه‌های فیزیکی متصل به اینترنت مانند کامپیوتر، گوشی‌ هوشمند، تبلت و سرور تبدیل شده است.

چندین عامل باعث محبوبیت چشم‌گیر CrowdStrike شد؛ اول سهم حدوداً ۲۴ درصدی این شرکت در بخش امنیت سایبری بود. دوم، مهاجرت گسترده‌ی داده‌ها و سرویس‌های IT به فضای ابری بود که تقاضا برای خدمات امنیت سایبری را به‌طرز چشم‌گیری افزایش داد و شاید مهم‌ترین عامل، قوانین جدید کمیسیون بورس آمریکا در پایان سال ۲۰۲۳ بود که شرکت‌ها را ملزم به افشای روش‌های مدیریت ریسک امنیت سایبری می‌کرد؛ این قوانین تقاضای شرکت‌ها آمریکایی را برای استفاده از خدمات امنیت سایبری افزایش داد.

اختلال گسترده‌ی IT روز جمعه ارزش سهام کراداسترایک را با ۲۰ درصد افت مواجه کرد، اما به‌نظر می‌رسد حامیان بزرگ آن همچنان امید خود را به خدمات امنیتی این شرکت حفظ کرده‌اند. بااین‌حال، حادثه‌ی امنیتی روز جمعه عواقب سهمگینی در بلند‌مدت به‌همراه خواهد داشت؛ چراکه برخی از تحلیلگران صنعت فناوری، کنترل چنین نرم‌افزارهای حیاتی و عملیاتی‌ای در دست تعداد انگشت‌شماری از شرکت‌ها را به‌طور جدی به چالش کشیده‌اند.

اگرچه CrowdStrike به‌روزرسانی مشکل‌ساز را برطرف کرده است، سیستم‌های بسیاری به‌ویژه در بانک‌ها، خطوط هوایی، سوپرمارکت‌ها و شبکه‌های تلویزیونی کماکان به‌دلیل از کار افتادن کامپیوترها، با اختلالاتی دست‌وپنجه نرم می‌کنند.

برخی از این راهکارها در اغلب موارد نیازمند دسترسی فیزیکی به دستگاه هستند و مواردی مانند رمزنگاری دیسک یا حتی نداشتن دسترسی ادمین در ویندوز، روند کار را پیچیده‌تر کرده‌اند. کراداسترایک مشغول کار روی راه‌حلی است که بتواند به‌طور خودکار تمام سیستم‌های آسیب‌دیده را به حالت عادی برگرداند.

بااین‌حال، راهکار ابتدایی مایکروسافت برای حل مشکل، ساده و کلاسیک بود؛ «ما از مشتریان خود شنیده‌ایم که چندین‌بار ری‌استارت کردن (حتی تا ۱۵ بار) گام مؤثری برای مشکل‌یابی در این مرحله است.» اگر راه‌اندازی مجدد ۱۵‌باره‌ی سیستم جواب نداد، مایکروسافت روش دیگری را که بسیاری از ادمین‌های IT از آن استفاده کرده‌اند، پیشنهاد می‌دهد: پاک کردن درایور معیوب CrowdStrike. بااین‌حال، حیرت‌انگیز است که یکی از هولناک‌ترین اختلالات IT جهان فقط با خاموش‌ و روشن کردن سیستم رفع شود؛ این راه‌حل آدم را یاد سریال کمدی IT Crowd و جمله‌ی معروف کارشناس آی‌تی آن می‌اندازد: «?Have you tried turning it off and on again»

اختلال روز جمعه تلنگری بود برای یادآوری وابستگی شدید خدمات اساسی به سیستم‌های کامپیوتری و محصولات فناوری اطلاعات، به‌ویژه وقتی این وابستگی به یک شرکت خاص محدود می‌شود. بسیار محتمل است که این حادثه پیامدهای سنگینی برای شرکت‌های تکنولوژی در بلندمدت داشته باشد. رگولاتورهای آمریکا از منتقدان سرسخت قدرت‌گرفتن بی‌حدومرز شرکت‌های بزرگ فناوری هستند و بعید نیست پای Crowdstrike و به‌دنبال آن، مایکروسافت پس از ختم‌به‌خیر شدن جنجال تصاحب اکتیویژن بلیزارد، دوباره به پرونده‌های ضدانحصار باز شود.