CrowdStrike’ın küresel kesintilere ve seyahat kaosuna neden olan güncelleme başarısızlığı hakkında bildiklerimiz

Güvenlik devi CrowdStrike tarafından yayınlanan hatalı bir yazılım güncellemesi, dünya genelinde Windows bilgisayarları etkileyen, işletmeleri, havalimanlarını, tren istasyonlarını, bankaları, yayıncıları ve sağlık sektörünü aksatan büyük bir gece kesintisine neden oldu.

CrowdStrike, kesintinin bir siber saldırıdan kaynaklanmadığını, amiral gemisi güvenlik ürünü Falcon Sensor’un yazılım güncellemesindeki bir “kusurun” sonucu olduğunu söyledi. Kusur, Falcon’un yüklü olduğu tüm Windows bilgisayarların tam olarak yüklenmeden çökmesine neden oldu.

CrowdStrike Cuma günü yaptığı açıklamada, “Sorun tespit edildi, izole edildi ve bir düzeltme uygulandı” dedi. Bazı işletmeler ve kuruluşlar toparlanmaya başlıyor ancak çoğu kişi, düzeltmenin karmaşıklığı göz önüne alındığında kesintilerin hafta sonuna veya gelecek haftaya kadar devam etmesini bekliyor. CrowdStrike CEO’su George Kurtz, NBC News’e “otomatik olarak iyileşmeyen bazı sistemler için biraz zaman alabileceğini” söyledi. Daha sonraki bir tweet’te Kurtz, yaşanan aksaklıktan dolayı özür diledi.

İşte kesintiler hakkında bilmeniz gereken her şey.

Ne oldu?

Perşembe sonlarından Cuma gününe kadar, Windows bilgisayarlarının, Windows kritik bir arızayla karşılaştığında, çöktüğünde veya yüklenemediğinde görüntülenen bir mesaj içeren parlak mavi bir hata ekranı olan kötü şöhretli “mavi ölüm ekranı” ile sıkışıp kaldığı BT sorunlarına ilişkin raporlar ortaya çıkmaya başladı.

Kesintiler ilk olarak Cuma günü erken saatlerde Avustralya’da fark edildi ve bölgeler güne başlarken Amerika Birleşik Devletleri’nin yanı sıra Asya ve Avrupa’nın geri kalanından da hızla raporlar geldi.

Kısa bir süre içinde CrowdStrike, Falcon’a yönelik bir yazılım güncellemesinin hatalı çalıştığını ve yazılımın yüklü olduğu Windows bilgisayarların çökmesine neden olduğunu doğruladı. Falcon, CrowdStrike’ın yüklü bilgisayarlardaki kötü amaçlı tehditleri ve kötü amaçlı yazılımları uzaktan analiz etmesine ve kontrol etmesine olanak tanır.

Aynı sıralarda Microsoft, Amerika Birleşik Devletleri’nin çoğunu kapsayan, en çok kullanılan Azure bulut bölgelerinden birinde önemli bir kesinti bildirdi. Microsoft’un bir sözcüsü TechCrunch’a kesintinin CrowdStrike olayıyla ilgisi olmadığını söyledi.

Microsoft CEO’su Satya Nadella, Cuma günü öğlen (Doğu saati) civarında, X’te şirketin CrowdStrike’ın başarısız güncellemesinin farkında olduğunu ve “müşterilere sistemlerini güvenli bir şekilde tekrar çevrimiçi hale getirmeleri için teknik rehberlik ve destek sağlamak üzere CrowdStrike ile ve sektör genelinde yakın işbirliği içinde çalıştığını” söyledi. .”

CrowdStrike nedir ve Falcon Sensör ne işe yarar?

2011 yılında kurulan CrowdStrike, hızla büyüyerek bir siber güvenlik devine dönüştü. Web sitesine göre şirket bugün, Fortune 500 şirketlerinin yaklaşık yarısı, 50 ABD eyaletinden 43’ü ve en iyi 10 teknoloji firmasından sekizi dahil olmak üzere 29.000 kurumsal müşteriye yazılım ve hizmet sağlıyor.

Şirketin siber güvenlik yazılımı Falcon, kuruluşlar tarafından dünya çapında milyonlarca bilgisayarın güvenliğini yönetmek için kullanılıyor. Bu işletmeler arasında büyük şirketler, hastaneler, ulaşım merkezleri ve devlet daireleri bulunmaktadır. Çoğu tüketici cihazı Falcon’u çalıştırmaz ve bu kesintiden etkilenmez.

Şirketin son zamanlardaki en büyük şöhret iddialarından biri, 2016 ABD başkanlık seçimleri öncesinde bir grup Rus hükümeti hackerının Demokratik Ulusal Komite’ye zorla girmesiydi. CrowdStrike ayrıca uyruklarına göre takip ettiği bilgisayar korsanlığı grupları için hayvan temalı unutulmaz isimler kullanmasıyla da tanınıyor; örneğin: Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’nün veya GRU’nun bir parçası olduğuna inanılan Fancy Bear; Rusya’nın Dış İstihbarat Servisi’nin (SVR) bir parçası olduğuna inanılan Cozy Bear; Bir Çin hükümeti grubu olduğuna inanılan Gotik Panda; ve İran devleti destekli bir grup olduğuna inanılan Charming Kitten. Şirket, bu grupları temsil edecek aksiyon figürleri bile yapıyor ve bunları swag olarak satıyor.

CrowdStrike o kadar büyük ki Mercedes F1 takımının sponsorlarından biri ve hatta bu yıl bir siber güvenlik şirketi için bir ilk olan Super Bowl reklamını bile yayınladı.

Kesintiler kimleri etkiliyor?

Günlük yaşamları boyunca CrowdStrike yazılımını çalıştıran bir bilgisayar sistemiyle etkileşime giren herkes, bilgisayar kendilerine ait olmasa bile bu durumdan etkileniyor.

Bu cihazlar arasında marketlerdeki yazarkasalar, havalimanları ve tren istasyonlarındaki kalkış panoları, okul bilgisayarları, işiniz tarafından verilen dizüstü ve masaüstü bilgisayarlar, havaalanı check-in sistemleri, havayollarının kendi biletleme ve planlama platformları, sağlık ağları ve çok daha fazlası yer alıyor. CrowdStrike yazılımının her yerde bulunması nedeniyle kesintiler dünya çapında çeşitli şekillerde kaosa neden oluyor. Bir sistem filosundaki etkilenen tek bir Windows bilgisayarı, ağı kesintiye uğratmak için yeterli olabilir.

Dünyanın dört bir yanındaki TechCrunch muhabirleri seyahat noktaları, doktor muayenehaneleri ve çevrimiçi kesintiler de dahil olmak üzere kesintiler görüyor ve deneyimliyor. Cuma günü erken saatlerde Federal Havacılık İdaresi, kesintiyi gerekçe göstererek Amerika Birleşik Devletleri genelinde uçuşları etkin bir şekilde durdurarak yer durdurmayı yürürlüğe koydu. Görünüşe göre ulusal Amtrak demiryolu ağı şu ana kadar normal şekilde çalışıyor.

ABD hükümeti şu ana kadar ne yaptı?

Sorunun bir şirketten kaynaklandığı göz önüne alındığında ABD federal hükümetinin yapabileceği fazla bir şey yok. Havuz raporuna göre, Başkan Biden’a CrowdStrike kesintisi hakkında bilgi verildi ve “ekibi CrowdStrike ve etkilenen kuruluşlarla iletişim halinde.” Bunun nedeni büyük ölçüde federal hükümetin CrowdStrike’ın müşterisi olması ve aynı zamanda etkilenmesidir.

Cuma günü kesinti nedeniyle ofislerini kapattığını açıklayan Eğitim Bakanlığı ve Sosyal Güvenlik İdaresi de dahil olmak üzere birçok federal kurum olaydan etkilendi.

Havuz raporunda, Biden’ın ekibinin “gün boyunca sektör bazında güncellemeler almak için kurumlar arası iletişim halinde olduğu ve gerektiğinde yardım sağlamaya hazır olduğu” belirtildi.

Homeland Security, ayrı bir tweet’te ABD siber güvenlik kurumu CISA, CrowdStirke ve Microsoft’un yanı sıra federal, eyalet, yerel ve kritik altyapı ortaklarıyla birlikte “sistem kesintilerini tam olarak değerlendirmek ve ele almak” için çalıştığını söyledi.

Hiç şüphe yok ki hükümet ve kongre müfettişlerinin CrowdStrike’a (ve bir dereceye kadar ilgisiz kesintisi aynı zamanda müşterileri için bir gecede aksamaya neden olan Microsoft’a) yönelik soruları olacaktır.

Şimdilik acil odak noktası etkilenen sistemlerin kurtarılması olacaktır.

Etkilenen müşteriler Windows bilgisayarlarını nasıl düzeltir?

Buradaki en büyük sorun, CrowdStrike’ın Falcon Sensor yazılımının arızalanarak Windows makinelerinin çökmesine neden olması ve bunu düzeltmenin kolay bir yolu olmaması.

CrowdStrike şu ana kadar bir yama yayınladı ve kalıcı bir çözüm bulununcaya kadar etkilenen sistemlerin normal şekilde çalışmasına yardımcı olabilecek bir geçici çözümü de ayrıntılı olarak açıkladı. Kullanıcıların “yeniden başlatması” için seçeneklerden biri [affected computer] geri alınan kanal dosyasını indirme fırsatı vermek için” sabit dosyaya atıfta bulunur.

CrowdStrike, kullanıcılara gönderdiği bir mesajda müşterilerin atabileceği birkaç adımı ayrıntılı olarak açıkladı; bunlardan biri, kusurlu dosyayı kaldırmak için etkilenen sisteme fiziksel erişim gerektiriyor. CrowdStrike, kullanıcıların bilgisayarı Güvenli Mod’da veya Windows Kurtarma Ortamı’nda başlatması, CrowdStrike dizinine gitmesi ve hatalı “C-00000291*.sys” dosyasını silmesi gerektiğini söylüyor.

TechCrunch bu raporu gün boyunca güncel tutacaktır.

TechCrunch’tan Ram Iyer raporlamaya katkıda bulundu.