Ne bilmek istiyorsun
- Geçtiğimiz hafta dünya, Microsoft hizmetlerini olumsuz etkileyen hatalı bir CrowdStrike sürücüsünün neden olduğu küresel bir dijital salgınla karşılaştı.
- Eski bir Microsoft Windows geliştiricisi olan Dave Plummer, küresel BT kesintisi hakkında ayrıntılı bilgileri anlatan bir YouTube videosu paylaştı.
- Plummer, kesintinin sürücünün dinamik veri dosyasındaki boş baytlardan kaynaklandığını düşünüyor.
Geçtiğimiz hafta Cuma günü, dünya uzmanların artık “dünyanın gördüğü en büyük BT kesintisi” olarak adlandırdığı olayla uyandı. Arızalı bir CrowdStrike çekirdek sürücüsünün neden olduğu büyük kesinti yaklaşık 8,5 milyon Windows cihazını etkiledi.
Dijital pandemi, ağ ve bulut bilişim de dahil olmak üzere Microsoft hizmetlerini etkiledi. Korkunç Mavi Ekran Ölümü (BSoD) hatası sorunu karakterize etti. Microsoft ve CrowdStrike, sorunu düzelttiklerini belirten açıklamalar yayınladılar ancak hizmetlerin tamamen geri yüklenmesinin zaman alacağı belirtildi.
Microsoft, hizmetlerin geri yüklenmesini hızlandırmak için cihazların 15 defaya kadar yeniden başlatılmasını önerdi. Microsoft ve CrowdStrike yetkililerinden, yaygın küresel BT kesintisinin temel nedenini açıklayan farklı açıklamalar aldık.
Dave Plummer (diğer adıyla Dave’s Garage), ZIP dosya desteği ve daha fazlasını ekleme gibi Windows ekosistemindeki katkılarıyla tanınan eski bir Microsoft yazılım mühendisidir. Yakın zamanda şunları paylaştı: CrowdStrike’ın neden olduğu dijital salgını açıklayan bir YouTube videosu.
Bağlam için, Plummer’ın Microsoft’ta bir Windows Geliştiricisi olarak yaptığı iş BSoD hatalarını ayıklamayı içeriyordu, ancak CrowdStrike’ın kesintisinin farklı olduğunu kabul ediyor. İlginç bir şekilde, Plummer New York’ta kaosun ortasında seyahat ettiğini ve bunun onu havaalanında mahsur bıraktığını ekledi.
Plummer, BSoD hatalarını ayıklama sürecinin basit olduğunu belirtirken, çekirdek sürücüsünü etkileyen sorunlardan “çözülmesi en zor olanlar” olarak bahsediyor. Ayrıca, çekirdek işletim sisteminin, işletim sistemi için çekirdek modu ve yazılım uygulamalarının çalışmasını kolaylaştıran kullanıcı modu dahil olmak üzere, işletim için iki ayrı çekirdek modu türüne kodu ayırmak için bir halka sistemi kullandığını belirtti.
Çekirdek modu daha ayrıcalıklıdır ve tüm sistem bellek haritasına ve herhangi bir fiziksel sayfadaki bellekte bulunanlara erişime sahiptir. Öte yandan, kullanıcı modu yalnızca çekirdeğin görmenizi istediği bellek haritası sayfalarına erişime sahiptir. Ayrıca, uygulama kodu çöktüğünde uygulamanın da çöktüğüne dikkat etmek gerekir. Oysa çekirdek modu çöktüğünde tüm sistem çöker — bu yüzden kullanıcılar korkunç BSoD hatasıyla karşılaşır.
Plummer, bunun Windows işletim sistemine özgü olmadığını, Linux ve Apple’ın macOS’u da dahil olmak üzere tüm modern sistemlerde genel bir koruyucu önlem olduğunu belirtiyor. CrowdSrike’ın Falcon güvenlik hizmetinin devreye girdiği yer burasıdır. Kötü amaçlı yazılımları uzak tutmaya yardımcı olur ve sunucular için sağlam koruma sunar. Hizmetin çekirdek modunda çalıştığını belirtmekte fayda var. Saldırı durumunda bir uygulamanın nasıl çalıştığını izler ve analiz eder, çünkü sistem veri yapılarına ve hizmetlerine erişimi vardır.
Windows neden kaosun bir parçasıydı?
Çekirdek modunda kod çalıştırmak kolay bir iş değildir. Bağlam için, Microsoft bu gibi durumlarda sürücülerin testlerden geçtiğinin ve Windows’ta çalışmak üzere sertifikalandırıldığının kanıtı olarak WHQL (Windows Hardware Quality Labs) sertifikasını sunar. Teknoloji devi, dijital sertifikayı yalnızca testleri çalıştırdıktan sonra verir. Ancak, yalnızca sürücüde testten sonra hiçbir değişiklik yapılmadığı sürece geçerliliğini korur.
CrowdStrike, karmaşık saldırılara ayak uydurmak için Falcon’u en son güvenlik özellikleriyle güncel tutmayı hedefliyor. Özünde, bu şirketin her güncelleme için yeni bir sürücü oluşturmasını gerektirecekti, bu da sürücü için yeni WHQL sertifikası anlamına gelecekti. Saldırıların hızlı değişiklikleri ve hızlı dağıtımıyla, bu mümkün olmayacaktı, çünkü geri dönüş süresi haftalar sürebilirdi.
Bu soruna bir çözüm olarak CrowdStrike, sürücünün ilk sürücü paketinin parçası olmadan işleyebileceği dinamik tanımlama dosyaları sunar. Bu şekilde şirket, uzun sertifikasyon ve test süreçlerinden kaçınabilir ve yine de sisteme yönelik potansiyel tehditlere karşı koymak için yeni güncellemeler gönderebilir.
Ancak, yaklaşım tamamen pürüzsüz değildir. Dinamik dosyalar, sürücünün çekirdek modunda imzasız kodu çalıştırıp çalıştırabileceği kodda yazılmış tam programlardır. Sürücü aynı kalır ve yeni bir sertifika gerektirmez, yeni güncellemeler çalışmasını değiştirir ve bu da güvenlik tehditleri oluşturur.
Raporlar, hizmetin geçersiz bir bellek referansı nedeniyle çöktüğünü gösterse de Plummer, sorunun dinamik veri dosyasındaki boş baytlardan kaynaklanmış olabileceğini öne sürüyor. Büyük küresel BT kesintisi sırasında, endişeli kullanıcılar Microsoft’u otobüsün altına attı (ancak sonraki raporlar, şirketin dijital salgının arkasında olmadığını doğruladı).
Windows işletim sistemi, bilinen son iyi yapılandırmayla önyükleme dahil olmak üzere bu tür sorunları ele almak için tasarlanmış birçok özellik ile birlikte gelir. Ancak, CrowdStrike’ın sürücüsü bir önyükleme sürücüsü olarak işaretlenmiştir. Bağlam için, önyükleme sürücüleri işletim sistemini yeniden başlatırken çok önemlidir. Bu nedenle, CrowdStrike’ın sürücüsü Windows aygıtlarını korumak için bir önyükleme sürücüsü olarak belirlenmiş olabilir — bu nedenle kalıcı BSoD hata raporları.
