Güvenlik devi CrowdStrike tarafından yayınlanan hatalı bir yazılım güncellemesi, dünya genelindeki Windows bilgisayarlarını etkileyen, iş yerlerini, havaalanlarını, tren istasyonlarını, bankaları, yayıncıları ve sağlık sektörünü etkileyen büyük bir gece kesintisine neden oldu.
CrowdStrike, kesintinin bir siber saldırıdan kaynaklanmadığını, ancak amiral gemisi güvenlik ürünü Falcon Sensor için bir yazılım güncellemesindeki bir “kusurdan” kaynaklandığını söyledi. Kusur, Falcon’un yüklü olduğu tüm Windows bilgisayarların tam olarak yüklenmeden çökmesine neden oldu.
“Sorun belirlendi, izole edildi ve bir düzeltme uygulandı” dedi CrowdStrike Cuma günü yaptığı açıklamada. Bazı işletmeler ve kuruluşlar toparlanmaya başlıyor, ancak birçoğu, çözümün karmaşıklığı göz önüne alındığında kesintilerin hafta sonuna veya gelecek haftaya kadar sürmesini bekliyor. CrowdStrike CEO’su George Kurtz NBC News’e söyledi “Bazı sistemlerin otomatik olarak kurtarılamaması için biraz zaman gerekebilir.” sonraki bir tweetKurtz yaşanan aksaklıktan dolayı özür diledi.
Kesintiler hakkında bilmeniz gereken her şey burada.
Ne oldu?
Perşembe akşamından Cuma gününe kadar, Windows bilgisayarların meşhur “mavi ölüm ekranı” sorunuyla karşılaştığına dair BT sorunlarına ilişkin raporlar gelmeye başladı. Bu sorun, Windows kritik bir hatayla karşılaştığında, çöktüğünde veya yüklenemediğinde görüntülenen mesajın yer aldığı parlak mavi bir hata ekranıdır.
Kesintiler ilk olarak Cuma günü erken saatlerde Avustralya’da fark edildi ve gün başlarken Asya ve Avrupa’nın geri kalanından ve ABD’den de kısa sürede raporlar geldi.
Kısa bir süre içinde CrowdStrike, Falcon için bir yazılım güncellemesinin arızalandığını ve yazılımın yüklü olduğu Windows bilgisayarlarının çökmesine neden olduğunu doğruladı. Falcon, CrowdStrike’ın yüklü bilgisayarlarda kötü amaçlı tehditleri ve zararlı yazılımları uzaktan analiz etmesini ve kontrol etmesini sağlar.
Aynı zamanlarda Microsoft, merkezi Amerika Birleşik Devletleri’nin çoğunu kapsayan en çok kullanılan Azure bulut bölgelerinden birinde önemli bir kesinti bildirdi. Microsoft’un bir sözcüsü TechCrunch’a kesintinin CrowdStrike olayıyla ilgisi olmadığını söyledi.
CrowdStrike nedir ve Falcon Sensor ne işe yarar?
2011 yılında kurulan CrowdStrike, hızla bir siber güvenlik devi haline geldi. Şirket bugün, Fortune 500 şirketlerinin yaklaşık yarısı, 50 ABD eyaletinden 43’ü ve en iyi 10 teknoloji firmasından sekizi dahil olmak üzere 29.000 kurumsal müşteriye yazılım ve hizmetler sağlıyor. web sitesine göre.
Şirketin siber güvenlik yazılımı Falcon, işletmeler tarafından dünya çapında milyonlarca bilgisayarın güvenliğini yönetmek için kullanılıyor. Bu işletmeler arasında büyük şirketler, hastaneler, ulaşım merkezleri ve hükümet departmanları yer alıyor. Tüketici cihazlarının çoğu Falcon’u çalıştırmaz ve bu kesintiden etkilenmez.
Şirketin son zamanlardaki en büyük şöhret iddialarından biri, 2016 ABD başkanlık seçimleri öncesinde bir grup Rus hükümet hacker’ını Demokrat Ulusal Komitesi’ne girerken yakalamasıydı. CrowdStrike ayrıca, takip ettiği hacker grupları için milliyetlerine göre akılda kalıcı hayvan temalı isimler kullanmasıyla da bilinir, örneğin: Süslü AyıRusya Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’nün (GRU) bir parçası olduğu düşünülen; Rahat AyıRusya’nın Dış İstihbarat Servisi’nin (SVR) bir parçası olduğuna inanılıyor; Gotik PandaÇin hükümet grubu olduğuna inanılan; ve Şirin kedi yavrusuİran devlet destekli bir grup olduğuna inanılıyor. Şirket, bu grupları temsil eden aksiyon figürleri bile üretiyor. ki bu da ganimet olarak satılıyor.
CrowdStrike o kadar büyük ki, Mercedes F1 takımının sponsorlarıve bu yıl bile bir Superbowl reklamı yayınlandı — siber güvenlik şirketi için bir ilk.
Kesintilerden kimler etkileniyor?
Günlük hayatında CrowdStrike yazılımını çalıştıran bir bilgisayar sistemiyle etkileşime giren hemen hemen herkes, bilgisayar kendisine ait olmasa bile, bundan etkileniyor.
Bu cihazlar arasında marketlerdeki kasalar, havaalanları ve tren istasyonlarındaki kalkış panoları; okul bilgisayarları, ofisteki iş tarafından verilen dizüstü ve masaüstü bilgisayarlar, havaalanı check-in sistemleri, havayollarının kendi bilet ve planlama platformları, sağlık ağları ve daha fazlası yer alıyor. CrowdStrike’ın yazılımı çok yaygın olduğundan, kesintiler dünya çapında çeşitli şekillerde kaos yaratıyor. Bir sistem filosundaki tek bir etkilenen Windows bilgisayarı ağı bozmaya yetebilir.
Dünyanın dört bir yanındaki TechCrunch muhabirleri, seyahat noktalarında, doktor muayenehanelerinde ve çevrimiçi olarak kesintiler görüyor ve deneyimliyor. Cuma günü erken saatlerde, Federal Havacılık İdaresi kesintiyi gerekçe göstererek Amerika Birleşik Devletleri genelinde uçuşları etkili bir şekilde durdurarak bir yer durdurma kararı aldı. Görünüşe göre ulusal Amtrak demiryolu ağı şimdiye kadar normal şekilde işliyor.
ABD hükümeti şu ana kadar ne yapıyor?
Sorunun bir şirketten kaynaklandığı düşünüldüğünde, ABD federal hükümetinin yapabileceği pek bir şey yok. Bir havuz raporuna göre, Başkan Biden CrowdStrike kesintisi hakkında bilgilendirildi ve “ekibi CrowdStrike ve etkilenen kuruluşlarla iletişim halinde.”
Havuz raporunda, Biden’ın ekibinin “gün boyunca sektörel güncellemeleri almak için kurumlar arası görevde olduğu ve ihtiyaç duyulduğunda yardım sağlamak için hazır beklediği” belirtildi.
İç Güvenlik Bakanlığı, ayrı bir tweet’te ABD siber güvenlik ajansı CISA, CrowdStirke ve Microsoft’un yanı sıra federal, eyalet, yerel ve kritik altyapı ortaklarıyla birlikte “sistem kesintilerini tam olarak değerlendirmek ve gidermek” için çalıştığını söyledi.
Hükümet ve kongre araştırmacılarından CrowdStrike’a (ve bir ölçüde de Microsoft’a, ki Microsoft’un alakasız kesintisi de müşterilerinin gece boyunca kesintiye uğramasına neden olmuştu) şüphesiz sorular gelecektir.
Şimdilik öncelikli olarak etkilenen sistemlerin kurtarılmasına odaklanılacak.
Etkilenen müşteriler Windows bilgisayarlarını nasıl düzeltebilir?
Buradaki en büyük sorun, CrowdStrike’ın Falcon Sensor yazılımının arızalanması ve bunun sonucunda Windows makinelerinin çökmesi ve bunu düzeltmenin kolay bir yolunun olmaması.
CrowdStrike şimdiye kadar bir yama yayınladı ve ayrıca kalıcı bir çözüme ulaşana kadar etkilenen sistemlerin normal şekilde çalışmasına yardımcı olabilecek bir geçici çözümün ayrıntılarını verdi. Kullanıcıların bir seçeneği “yeniden başlatmak” [affected computer] “Geri döndürülen kanal dosyasını indirme fırsatı vermek için” düzeltilen dosyaya atıfta bulunulmaktadır.
İçinde kullanıcılara bir mesajCrowdStrike, müşterilerin atabileceği birkaç adımı ayrıntılı olarak açıkladı; bunlardan biri, arızalı dosyayı kaldırmak için etkilenen sisteme fiziksel erişim gerektiriyor. CrowdStrike, kullanıcıların bilgisayarı Güvenli Mod veya Windows Kurtarma Ortamı’nda başlatmaları, CrowdStrike dizinine gitmeleri ve arızalı “C-00000291*.sys” dosyasını silmeleri gerektiğini söylüyor.
TechCrunch’tan Ram Iyer konuya ilişkin habere katkıda bulundu.