ما نعرفه عن فشل تحديث CrowdStrike هو ما يتسبب في انقطاع الخدمة عالميًا وفوضى السفر
أدى تحديث برنامج خاطئ صادر عن شركة الأمن العملاقة CrowdStrike إلى انقطاع كبير بين عشية وضحاها أثر على أجهزة الكمبيوتر التي تعمل بنظام Windows في جميع أنحاء العالم، مما أدى إلى تعطيل الشركات والمطارات ومحطات القطار والبنوك والمذيعين وقطاع الرعاية الصحية.
وقالت CrowdStrike إن انقطاع الخدمة لم يكن بسبب هجوم إلكتروني، ولكنه كان نتيجة “خلل” في تحديث برنامج منتجها الأمني الرائد، Falcon Sensor. تسبب الخلل في تعطل جميع أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows والتي تم تثبيت Falcon عليها دون التحميل الكامل.
وقال CrowdStrike في بيان يوم الجمعة: “تم تحديد المشكلة وعزلها ونشر الإصلاح”. بدأت بعض الشركات والمؤسسات في التعافي، لكن الكثيرين يتوقعون استمرار انقطاع التيار الكهربائي حتى نهاية الأسبوع أو الأسبوع المقبل نظرًا لتعقيد الإصلاح. صرح جورج كورتز، الرئيس التنفيذي لشركة CrowdStrike، لشبكة NBC News أن الأمر قد يستغرق “بعض الوقت لبعض الأنظمة التي لن تتعافى تلقائيًا”. وفي تغريدة لاحقة، اعتذر كورتز عن التعطيل.
إليك كل ما تحتاج لمعرفته حول الانقطاعات.
ماذا حدث؟
في وقت متأخر من الخميس إلى الجمعة، بدأت التقارير في الظهور عن مشاكل تكنولوجيا المعلومات حيث كانت أجهزة الكمبيوتر التي تعمل بنظام Windows عالقة مع “شاشة الموت الزرقاء” سيئة السمعة – وهي شاشة خطأ زرقاء ساطعة مع رسالة تظهر عندما يواجه Windows فشلًا فادحًا، أو يتعطل أو لا يمكن تحميله.
وتم ملاحظة الانقطاعات لأول مرة في أستراليا في وقت مبكر من يوم الجمعة، وسرعان ما وردت التقارير من بقية آسيا وأوروبا مع بدء المناطق يومها، وكذلك الولايات المتحدة.
في غضون فترة زمنية قصيرة، أكدت CrowdStrike أن تحديث برنامج Falcon قد تعطل وتسبب في تعطل أجهزة الكمبيوتر التي تعمل بنظام Windows والتي تم تثبيت البرنامج عليها. يتيح Falcon لـ CrowdStrike تحليل التهديدات والبرامج الضارة والتحقق منها عن بعد على أجهزة الكمبيوتر المثبتة.
في نفس الوقت تقريبًا، أبلغت Microsoft عن انقطاع كبير في إحدى مناطق سحابة Azure الأكثر استخدامًا والتي تغطي جزءًا كبيرًا من وسط الولايات المتحدة. صرح متحدث باسم Microsoft لـ TechCrunch أن انقطاع الخدمة لا علاقة له بحادثة CrowdStrike.
ما هو CrowdStrike وماذا يفعل Falcon Sensor؟
تأسست شركة CrowdStrike في عام 2011، وسرعان ما تطورت لتصبح شركة عملاقة في مجال الأمن السيبراني. توفر الشركة اليوم برامج وخدمات لـ 29 ألف عميل من الشركات، بما في ذلك حوالي نصف شركات فورتشن 500، و43 من أصل 50 ولاية أمريكية، وثماني من أكبر 10 شركات تكنولوجيا، وفقًا لموقعها على الإنترنت.
وتستخدم الشركات برنامج الأمن السيبراني الخاص بالشركة، Falcon، لإدارة الأمن على ملايين أجهزة الكمبيوتر حول العالم. وتشمل هذه الشركات الشركات الكبيرة والمستشفيات ومراكز النقل والدوائر الحكومية. معظم الأجهزة الاستهلاكية لا تعمل بنظام Falcon ولا تتأثر بهذا الانقطاع.
واحدة من أكبر ادعاءات الشركة الأخيرة بالشهرة كانت عندما ألقت القبض على مجموعة من قراصنة الحكومة الروسية وهم يقتحمون اللجنة الوطنية الديمقراطية قبل الانتخابات الرئاسية الأمريكية لعام 2016. تشتهر CrowdStrike أيضًا باستخدام أسماء لا تنسى ذات طابع حيواني لمجموعات القرصنة التي تتعقبها بناءً على جنسيتها، مثل: Fancy Bear، التي يُعتقد أنها جزء من مديرية المخابرات الرئيسية لهيئة الأركان العامة الروسية، أو GRU؛ Cozy Bear، يُعتقد أنه جزء من جهاز المخابرات الخارجية الروسي الروسي، أو SVR؛ الباندا القوطية، يُعتقد أنها مجموعة حكومية صينية؛ وCharming Kitten، التي يُعتقد أنها جماعة إيرانية مدعومة من الدولة. حتى أن الشركة تصنع شخصيات متحركة لتمثيل هذه المجموعات، والتي تبيعها على أنها غنيمة.
تعد CrowdStrike شركة كبيرة جدًا لدرجة أنها أحد رعاة فريق Mercedes F1، وقد قامت هذا العام ببث إعلان Superbowl – وهو الأول من نوعه لشركة أمن إلكتروني.
من هم الذين يؤثر عليهم الانقطاع؟
عمليًا، يتأثر أي شخص يتفاعل خلال حياته اليومية مع نظام كمبيوتر يقوم بتشغيل برنامج من CrowdStrike، حتى لو لم يكن الكمبيوتر ملكًا له.
وتشمل هذه الأجهزة أجهزة تسجيل النقد في محلات البقالة، ولوحات المغادرة في المطارات ومحطات القطار؛ أجهزة الكمبيوتر المدرسية، وأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية الخاصة بالعمل في المكتب، وأنظمة تسجيل الوصول في المطار، ومنصات حجز التذاكر والجدولة الخاصة بشركات الطيران، وشبكات الرعاية الصحية، وغير ذلك الكثير. نظرًا لأن برنامج CrowdStrike منتشر في كل مكان، فإن انقطاع الخدمة يسبب الفوضى في جميع أنحاء العالم بعدة طرق. قد يكون جهاز كمبيوتر واحد متأثر يعمل بنظام Windows ضمن أسطول من الأنظمة كافياً لتعطيل الشبكة.
ويشهد مراسلو TechCrunch حول العالم انقطاع الخدمة ويعانون منه، بما في ذلك في نقاط السفر وعيادات الأطباء وعلى الإنترنت. وفي وقت مبكر من يوم الجمعة، قامت إدارة الطيران الفيدرالية بإيقاف الرحلات الأرضية، مما أدى فعليًا إلى إيقاف الرحلات الجوية عبر الولايات المتحدة، بسبب الاضطراب. يبدو حتى الآن أن شبكة السكك الحديدية الوطنية أمتراك تعمل كالمعتاد.
ماذا تفعل الحكومة الأمريكية حتى الآن؟
وبما أن المشكلة تنبع من شركة ما، فليس هناك الكثير الذي تستطيع الحكومة الفيدرالية الأمريكية أن تفعله. وفقًا لتقرير مجمع، تم إطلاع الرئيس بايدن على انقطاع خدمة CrowdStrike، و”فريقه على اتصال مع CrowdStrike والكيانات المتضررة”.
وقال تقرير المجمع إن فريق بايدن “منخرط عبر الوكالات المشتركة للحصول على تحديثات قطاعية على مدار اليوم وهو على أهبة الاستعداد لتقديم المساعدة حسب الحاجة”.
وفي تغريدة منفصلة، قالت وزارة الأمن الداخلي إنها تعمل مع وكالة الأمن السيبراني الأمريكية التابعة لها CISA وCrowdStirke وMicrosoft – بالإضافة إلى شركائها في البنية التحتية الفيدرالية والولائية والمحلية والحيوية – “لتقييم ومعالجة انقطاع النظام بشكل كامل”.
مما لا شك فيه أن CrowdStrike (وإلى حد ما مايكروسوفت، التي تسبب انقطاعها غير المرتبط بها في انقطاع الخدمة بين عشية وضحاها لعملائها) سوف يطرح أسئلة من الحكومة ومحققي الكونجرس.
في الوقت الحالي، سيكون التركيز الفوري على استعادة الأنظمة المتضررة.
كيف يقوم العملاء المتأثرون بإصلاح أجهزة الكمبيوتر الخاصة بهم التي تعمل بنظام Windows؟
المشكلة الرئيسية هنا هي أن برنامج CrowdStrike’s Falcon Sensor تعطل، مما تسبب في تعطل أجهزة Windows، ولا توجد طريقة سهلة لإصلاح ذلك.
حتى الآن، أصدرت CrowdStrike تصحيحًا، كما قامت بتفصيل حل بديل يمكن أن يساعد الأنظمة المتأثرة على العمل بشكل طبيعي حتى يكون لديها حل دائم. أحد الخيارات هو أن يقوم المستخدمون “بإعادة تشغيل ملف [affected computer] لإعطائها فرصة لتحميل ملف القناة المعادة”، في إشارة إلى الملف الثابت.
وفي رسالة إلى المستخدمين، قامت CrowdStrike بتفصيل بعض الخطوات التي يمكن للعملاء اتخاذها، والتي تتطلب إحداها الوصول الفعلي إلى النظام المتأثر لإزالة الملف المعيب. يقول CrowdStrike أنه يجب على المستخدمين تشغيل الكمبيوتر في الوضع الآمن أو بيئة استرداد Windows، والانتقال إلى دليل CrowdStrike، وحذف الملف الخاطئ “C-00000291*.sys”.
ساهم رام آير من TechCrunch في إعداد التقارير.
