یک فایل کوچک بهطور جهانی پخش شد و آسیبپذیری شبکه IT جهانی و ریسکهای ادغام بخشهای مختلف این صنعت با یکدیگر را آشکار کرد.
هنگامی که برندان دلانی، یکی از پزشکان سرویس بهداشت ملی بریتانیا (NHS)، روز جمعه به کلینیک خود در لندن آمد، انتظار یک روز پرمشغله عادی را داشت. دو ماه از یک حمله سایبری ویرانگر که بیمارستانها و کلینیکهای جنوب شرقی لندن را هدف قرار داده بود، میگذشت. کارشناسان امنیت سایبری، نقاط ضعف سیستمهای فناوری اطلاعاتی NHS، که چندی پیش توسط یک گروه هکری جنایی هدف گرفته شده بود را شناسایی کرده و میزان امنیت آن را ارتقا داده بودند. همین موضوع باعث میشد تا دلانی – که استاد دانشگاه امپریال کالج لندن نیز هست – و همکارانش آرام آرام احساس امنیت خود را باز یافته و مشغول انجام دادن امور روزمره کاری خود شوند .
اما روز جمعه به محض ورود، دلانی متوجه شد که یکی از مهم ترین ابزارهای آنلاین دفتر با مشکل روبرو شده است. سیستمی که پزشکان سراسر انگلستان برای مشاهده پروندههای بیمار از آن استفاده میکردند، بهطور ناگهانی از کار افتاده بود.
اما این بار مشکل از سمت یک گروه باجافزار ایجاد نشده بود. بلکه توسط شرکت CrowdStrike Holdings Inc. انجام شده ، شرکتی که برای محافظت از مردم در برابر هکرها تأسیس شده است. در واقع این شرکت- که یکی از بزرگترین سازندگان نرمافزارهای امنیت سایبری محسوب میشود، یک به روزرسانی معیوب را منتشر کرده و باعث شده تا در سیستم جهانی فناوری اطلاعات، یک فروپاشی بزرگ روی دهد که فرودگاهها، بانکها، بورسها و کسبوکارهای سراسر جهان را فلج کرده بود.
باورکردنی نیست که یک فایل کوچک — به حجم یک تصویر صفحه وب— مسئول بزرگترین خرابی سیستمهای آیتی جهان است. این فایل که “C-00000291*.sys” نام دارد، در یک نسخه بهروزرسانی مختص محصول Falcon sensor CrowdStrike پنهان شده و باعث بروز خطا در سیستمعامل ویندوز مایکروسافت شد و کل کامپیوترها را از کار انداخت.
این حادثه، شکنندگی سیستم IT جهانی را بهطور بیسابقهای آشکار کرد و همچنین خطرات وابستگی بسیاری از سازمانها و افراد به تعداد کمی از شرکتهای فناوری را برجسته کرد. اگر یکی از این شرکتهای امنیتی دچار خرابی یا حمله شوند، اثرات آن میتواند بخشهای وسیعی از اقتصاد جهانی را تحت تأثیر قرار دهد. مایکروسافت در بازار رایانههای شخصی، با سیستمعامل ویندوز خود تسلط دارد و CrowdStrike نیز به فروشنده اصلی برای هزاران شرکت و سازمانی تبدیل شده که به دنبال محافظت از مهمترین سیستمهای خود در برابر حملات سایبری هستند.
بعد از مایکروسافت، CrowdStrike دومین سازنده بزرگ نرمافزارهای «حفاظت مدرن از نقاط انتهایی- endpoint-» است و طبق تحقیق شرکت IDC، ۱۸٪ از بازار ۱۲.۶ میلیارد دلاری را کنترل میکند. دفتر اصلی شرکت CrowdStrike در شهر آستین مستقر است و محصولات این شرکت به ۲۹،۰۰۰ سازمان در سراسر جهان به فروش میرسد. به دلیل وجود طیف وسیع مشتریان این شرکت، میلیونها کامپیوتر تحت تأثیر این خرابی قرار گرفتهاند و تعمیر آنها ممکن است هفتهها یا بیشتر طول بکشد.
سعید عابد، پزشک سابق NHS و متخصص امنیت سایبری و بهداشت عمومی درباره این حادثه گفت:« این اوضاع واقعا پیچیده و به هم ریخته است. Crowdstrike ، مایکروسافت را هدف قرار داده و کل NHS به مایکروسافت متکی است. به عبارت دیگر یک خرابی، مانند دومینو، خرابیهای بیشتر و وسیعتر به بار آورده است.»
روز جمعه، قطعیها از آسیا و استرالیا به اروپا و آمریکا گسترش پیدا کردند و جورج کرتز، بنیانگذار و مدیرعامل CrowdStrike، خیلی سریع بابت بروز این خطا عذرخواهی کرد. او گفت:« این یک حادثه امنیتی یا حمله سایبری نیست. مشکل شناسایی شده، ایزوله شده و یک فایل فیکس یا تعمیر، برای رفع آن طراحی شده است.»
کرتز اعلام نکرد که چگونه این نقص، در یک فایل بهروزرسانی بروز پیدا کرده اما برخی از منتقدان قدیمی صنعت او، نظریهای دارند. آنها معتقدند که CrowdStrike و دیگر شرکتهای امنیت سایبری، اصول ابتدایی و ساده امنیت را فدای سود بیشتر و جلب رضایت سهامداران کردهاند.
فدریکو چاروسکی، بنیانگذار و مدیرعامل شرکت خدمات امنیتی Quorum Cyber مستقر در ادینبورگ معتقد است:« وقت آن است که فعالان این صنعت، قدمهای حساب شدهتر و بالغانهتری بردارند. یک برنامه نویس در جایی تغییری کوچک ایجاد کرده و هیچ تحلیلی نسبت به تأثیر آن تغییر انجام نشده است. این حادثه نشان میدهد که ما در اعتماد کامل به فناوریهایی که برای اجرای همه چیز به کار میبریم، دچار توهم هستیم.»
آنچه در روز جمعه اتفاق افتاد بهطور باورنکردنی نادر است، اما کرتز از CrowdStrike، قبلاً نیز چنین شرایطی را تجربه کرده است. در سال ۲۰۱۰، او مدیر ارشد فناوری در شرکت پیشگام نرمافزار ضدویروس McAfee بود. در آوریل همان سال، McAfee یک فایل بهروزرسانی منتشر کرد که در آن به اشتباه، برچسب «آلوده» روی یک فایل معتبر ویندوز قرار گرفت و در پی انتشار آن، کامپیوترها در بیمارستانها، مدارس و آژانسهای دولتی سراسر جهان فلج شدند.
طبق گفته دیو دیوالت، که در آن زمان مدیرعامل McAfee بود، بهروزرسانی معیوب فقط ۱۶ دقیقه بعد از انتشار حذف شد، اما طی این زمان کامپیوترهای بیش از ۱۶۰۰ مشتری در سرتاسر جهان تحت تاثیر قرار گرفته بود. دیوالت در مصاحبهای گفت:«ما در آن روز حدود ۴۰٪ از سرمایه بازار خود را از دست دادیم. همان روز شرکت نزدیک به ۴،۰۰۰ کارمند خود را سوار هواپیما کرد تا به مشتریان متضرر کمک کنند.»
McAfee در نهایت از این بحران جان سالم به در برد، اما کارکنان در آن زمان، این حادثه را بسیار دردناک توصیف کردند. چهار ماه بعد، اینتل اعلام کرد که این شرکت را میخرد.
حالا ناظران صنعت سایبری میپرسند آیا CrowdStrike از اشتباه خود درس خواهد گرفت یا نه. برخی از افراد میگویند که این شرکت قبلا نیز دردسر ساز بوده است. CrowdStrike سالها از نقاط ضعف مایکروسافت به عنوان ابزاری برای تبلیغ محصولات خود استفاده کرده و مایکروسافت را به دلیل حملات نفوذی هکرها مورد انتقاد قرار میداد.
درست بعد از اینکه دولت آمریکا گزارشی منتشر کرد و مایکروسافت را مسئول «رشتهای از شکستهای امنیتی» اعلام کرد، کرتز از این وضعیت بحرانی استفاده کرده و در یک تماس با سرمایهگذاران اعلام کرد که پیشآمدهای مایکروسافت باعث شده از مشتریان بالقوه، سیلی از درخواستها دریافت شود.
چاروسکی گفت:«CrowdStrike تا جایی که میتوانست سعی کرد مایکروسافت را تخریب کند و از این آب گل آلود ماهی خود را بگیرد. اما هیچکس از این شرکت، که حالا بخشی از زیرساخت ملی حیاتی جهان است، بیتفاوت نمیگذرد. این کارما است. وقتی یک شرکت از حالت استارتاپ به زیرساخت ملی حیاتی ارتقا پیدا میکند، باید به شکلی متفاوت رفتار کند، من مطمئن نیستم که CrowdStrike این ضرورت را تشخیص داده باشد.»
برخی از مفسران این حوزه، بهروزرسانی معیوب CrowdStrike را به عنوان «بدافزار سال» معرفی کردهاند زیرا تخریب وسیعی به بار آورده است. این خطای کوچک، با حمله هکرها مقایسه میشود و هم سطح آنها ضرر به بار آروده است. زمان بازیابی برای سازمانهای تحت تأثیر قرار گرفته، ممکن است هفتهها یا بیشتر طول بکشد، تقریباً مشابه زمانی که یک سازمان بزرگ برای بازسازی شبکه خود پس از یک حمله باجافزار نیاز دارد.
بزرگترین چالش در برگرداندن کامپیوترها به حالت آنلاین این است که اصلاحیه یا فایل فیکس CrowdStrike باید به صورت دستی، کامپیوتر به کامپیوتر، توسط فردی حرفهای انجام شود — فرآیندی که بهشدت زمانبر بوده و به ویژه در عصر کنونی کار از راه دور، سختتر و چالش بر انگیزتر نیز میشود.
مایکل هنری، بنیانگذار و رئیس شرکت خدمات امنیت سایبری Accelerynt Inc مستقر در پلانو- تگزاس، میگوید یکی از مشتریان این شرکت، یک خردهفروش بزرگ آمریکایی، مجبور شده به دلیل این حادثه کل کارکنان آیتی Accelerynt Inc را به کار بگیرد تا حدود ۶،۰۰۰ کامپیوتر تحت تأثیر خود را به روز رسانی کند. Accelerynt Inc انتظار داشت بازگرداندن سیستمهای حیاتی، طی یک هفته ممکن شود اما حالا مشخص شده بازگرداندن کامل تمام سیستمها به حالت آنلاین، احتمالا سه هفته زمان میبرد.
مانند بسیاری از مردم، مایکل هنری نیز سوال بسیار مهمی در پی این خرابی در ذهن دارد: چگونه این اتفاق افتاد؟
او گفت:«CrowdStrike بیشتر از تمام عاملان باجافزارها، تجارت جهانی را مختل کرده است. این نشان می دهد که در انتخاب این نرمافزار – که برای حفاظت از خودمان انتخاب کردهایم، چه اندازه ریسک کردهایم: اگر تنها یک نفر در چنین شرکتی اشتباه کند، میتواند باعث نابودی یک کسب و کار بزرگ شود.»
کرتز در بیانیهای که اواخر روز جمعه منتشر شد، گفت: «به شما تعهد میدهم که همزمان با حل این مشکل، شفافیت کامل در مورد چگونگی وقوع این حادثه ارائه خواهد شد. ما روی عرضه یک بهروزرسانی فنی برای رفع این مشکل تمرکز داریم و اطلاعات تحلیلی بابت دلیل بروز این حادثه، قطعا با دیگران به اشتراک گذاشته خواهد شد.»
کارشناسان امنیت سایبری و حقوقی تقریباً مطمئن هستند که CrowdStrike با شکایتها، هزینههای مالی و دیگر مجازاتها روبهرو خواهد شد. اما این حادثه بدون شک بحث تازهای پیرامون تمرکز قدرت در دست تعداد کمی از شرکتهای امنیت سایبری ایجاد خواهد کرد.
بر اساس استانداردهای سیلیکون ولی، صنعت امنیت سایبری نسبتاً جوان است. صنعتی که در دوره کرمهای رایانهای و ویروسهای دیسک فلاپی به بلوغ رسید و طی دو دهه پیش، تحت سلطه دو شرکت — Symantec و McAfee — بود. امروز، مهاجمان پیشرفتهتر شدهاند و نرمافزارهای ضدویروس سنتی از محبوبیت افتادهاند، به همین دلیل فعالان قدیمی حوزه امنیت سایبری، از صحنه بیرون رانده شدهاند. به جای آنها، محصولاتی پر تقاضا روی کار آمدهاند که میتوانند طیف گستردهای از تهدیدها را بر روی رایانههای شخصی شناسایی کرده و به صورت خودکار نسبت به رفع آنها اقدام کنند.
مشکل این است که این تکنولوژیها عمدتاً تحت کنترل مایکروسافت و CrowdStrike هستند. برخی از کارشناسان، از جمله جاستین کاپوس، استاد علوم کامپیوتر در دانشگاه نیویورک، بارها درباره موضوع ادغام بخشهای مختلف و تمرکز گرایی در صنعت امنیت هشدار دادهاند و معتقدند که این دو مقوله میتواند منجر به بروز مشکلات بزرگی شود، بحثی که در قسمتهای دیگر دنیای فناوری نیز مطرح شده است.
کاپوس معتقد است در فضای فناوری، شرکتهای بزرگ اشتباهات بزرگی میکنند و بسیاری از طرحهای امنیتی مخرب که تا کنون دیدهایم از بطن شرکتهای بزرگ بیرون آمدهاند.
منبع: bloomberg
source