منظر عام من مطار دوسلدورف حيث يتجمع الركاب وينتظرون بسبب انقطاع الاتصالات العالمي الذي تسبب فيه CrowdStrike، التي تقدم خدمات الأمن السيبراني لشركة التكنولوجيا الأمريكية Microsoft، في 19 يوليو 2024 في دوسلدورف، ألمانيا.
هشام الشريف | الأناضول | صور جيتي
وقال خبراء أمنيون كراود سترايك يبدو أن التحديث الروتيني لبرامج الأمن السيبراني المستخدمة على نطاق واسع، والتي تسببت في تعطل أنظمة الكمبيوتر للعملاء على مستوى العالم يوم الجمعة، لم يخضع لفحوصات الجودة الكافية قبل نشره.
كان من المفترض أن تعمل أحدث نسخة من برنامج Falcon Sensor على جعل أنظمة عملاء CrowdStrike أكثر أمانًا ضد الاختراق من خلال تحديث التهديدات التي تدافع ضدها. لكن الكود المعيب في ملفات التحديث أدى إلى واحدة من أكثر حالات انقطاع التكنولوجيا انتشارًا في السنوات الأخيرة للشركات التي تستخدم مايكروسوفت نظام التشغيل ويندوز.
وقد تعطلت البنوك العالمية وشركات الطيران والمستشفيات والمكاتب الحكومية. وأصدرت شركة CrowdStrike معلومات لإصلاح الأنظمة المتضررة، لكن الخبراء قالوا إن إعادة تشغيلها سوف يستغرق بعض الوقت لأن الأمر يتطلب التخلص يدويًا من الكود المعيب.
وقال ستيف كوب، كبير مسؤولي الأمن في شركة Security Scorecard، التي تأثرت بعض أنظمتها أيضًا بهذه المشكلة: “يبدو أن الفحص أو الحماية التي يقومون بها عندما ينظرون إلى الكود، ربما لم يتم تضمين هذا الملف في ذلك أو تسلل من خلاله بطريقة ما”.
ظهرت المشكلات سريعًا بعد طرح التحديث يوم الجمعة، ونشر المستخدمون صورًا على وسائل التواصل الاجتماعي لأجهزة كمبيوتر بها شاشات زرقاء تعرض رسائل خطأ. وتُعرف هذه في الصناعة باسم “شاشات الموت الزرقاء”.
وقال باتريك واردل، الباحث الأمني المتخصص في دراسة التهديدات ضد أنظمة التشغيل، إن تحليله حدد الكود المسؤول عن الانقطاع.
وقال إن مشكلة التحديث كانت “في ملف يحتوي إما على معلومات تكوين أو توقيعات”. وهذه التوقيعات هي عبارة عن كود يكتشف أنواعًا معينة من الكود الخبيث أو البرامج الضارة.
وقال “من الشائع جدًا أن تقوم منتجات الأمان بتحديث توقيعاتها، مرة واحدة يوميًا… لأنها تراقب باستمرار البرامج الضارة الجديدة ولأنها تريد التأكد من حماية عملائها من أحدث التهديدات”.
وقال إن وتيرة التحديثات “ربما تكون السبب وراء عدم اختبار (CrowdStrike) لها كثيرًا”.
من غير الواضح كيف وصل هذا الكود الخاطئ إلى التحديث ولماذا لم يتم اكتشافه قبل إصداره للعملاء.
قال جون هاموند، الباحث الأمني الرئيسي في Huntress Labs: “من الناحية المثالية، كان من المفترض أن يتم طرح هذه التقنية على مجموعة محدودة أولاً. وهذا نهج أكثر أمانًا لتجنب فوضى كبيرة مثل هذه”.
لقد واجهت شركات أمن أخرى حوادث مماثلة في الماضي. فقد أدى تحديث برنامج مكافحة الفيروسات المعيب لشركة McAfee في عام 2010 إلى توقف مئات الآلاف من أجهزة الكمبيوتر.
لكن التأثير العالمي لهذا الانقطاع يعكس هيمنة شركة CrowdStrike. إذ تستخدم أكثر من نصف شركات Fortune 500 والعديد من الهيئات الحكومية مثل وكالة الأمن السيبراني الأمريكية الكبرى، وكالة الأمن السيبراني وأمن البنية التحتية، برامج الشركة.