Nachricht

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Ich glaube, jeder muss in den letzten zwei Tagen mit dem „Microsoft Blue Screen“-Vorfall konfrontiert gewesen sein.

Leider befand sich Shichao zu diesem Zeitpunkt gerade mitten in der leidenschaftlichen Teambildung, sodass sie nicht jedem etwas Heißes zu essen geben konnten.

Aber das spielt keine Rolle. Da ausländische Medienkollegen immer tiefer in die Materie eintauchen, gibt es immer mehr gewalttätige Berichte über diesen Vorfall, sodass Shichao der Meinung ist, dass es jetzt genau der richtige Zeitpunkt ist, ihn mit allen zu besprechen.

Der Grund dafür ist, dass es ein Netzwerksicherheitsunternehmen namens CrowdStrike gibt, das eine neue Netzwerkangriffstechnologie entdeckt hat.

Ergebnis. . . Dieses Update hat alle Geräte, die ihre Produkte verwenden, direkt lahmgelegt.

Flughäfen, Banken, Finanzen, Transport, Einzelhandel, Medizin. . . Niemand aus allen Gesellschaftsschichten wird verschont.

Am Flughafen Berlin Brandenburg in Deutschland konnten Passagiere aufgrund eines Geräteausfalls die Sicherheitskontrolle nicht betreten.

Fahrkartenautomaten an Londoner Bahnhöfen verfügen über blaue Bildschirme, die Menschen daran hindern, Fahrkarten zu kaufen.

Auch die ikonische Werbetafel am New Yorker Times Square begrüßt die „Blue-Screen-Ära“.

Musk, der sich immer offen geäußert hat, war natürlich begeistert von

„Du bist es, der die ganze Sache verursacht hat, Lao Ma!“

Kurz gesagt, dieser Bluescreen-Vorfall hat fast alle Branchen betroffen. Selbst Experten in den Vereinigten Staaten sagten: „Ich war sprachlos, als ich diese Kettenreaktion sah.“

Der Grund, warum CrowdStrike ein so großes Problem geschaffen hat, liegt hauptsächlich darin, dass sich ihre Produkte wirklich gut verkaufen.

Laut Daten des Marktforschungsunternehmens IDC ist CrowdStrike nach Microsoft der zweitgrößte Markt für Terminal-Schutzsoftware. Das Unternehmen macht 18 % des 12,6-Milliarden-US-Dollar-Marktes aus und hat 29.000 Kunden weltweit, sodass es dieses Mal Millionen von Geräten betrifft.

CrowdStrike, bekannt als die amerikanische Version der 360 Enterprise Edition (Hundekopf).

Und das Lächerliche ist, dass der Fehler, den sie dieses Mal gemacht haben, etwas abstrakt war.

Nach den von CrowdStrike selbst veröffentlichten Details und der Analyse von Sicherheitsexperten liegt die Ursache des Problems in einer sehr kleinen Datei. Dieser Name ist „C-00000291*.sys“, eine Konfigurationsdatei der CrowdStrike Falcon-Plattform. auch als „Kanaldatei“ bekannt.

Diese spezielle 291-Kanal-Datei ist für die Steuerung der Falcon-Auswertung der „Named Pipe“-Ausführungsaktionen unter Windows verantwortlich.

Äh. . . Das ist vielleicht etwas schwer zu verstehen, also sagen wir es einfach.

Falcon ist beispielsweise ein Sicherheitssystem, das verschiedene Aktivitäten von Programmen in Windows-Systemen überwacht und Informationen über eine sogenannte „Named Pipe“ überträgt.

Wie sind also die Aktivitäten in diesen „Named Pipes“ zu beurteilen und zu handhaben? Diese 291-Datei wird zu diesem Zeitpunkt wie ein Regelwerk verwendet. Mit dieser Broschüre kann das Falcon-Sicherheitssystem beurteilen: welche Aktivitäten verdächtig sind und welche überprüft werden müssen verdächtig und muss überprüft werden. Die Aktivität ist schädlich und muss gestoppt werden.

Wie folgt: Die Kommunikation zwischen Prozess A und B erfolgt über Pipes▼

Aber CrowdStrike hat im Update eine völlig unvernünftige Regel in die 291-Datei eingefügt. Es ist, als hätte man jemanden zu sich nach Hause eingeladen, aber die Tür des Nachbarn geöffnet und gesagt: „Komm rein, Nachbar:?“ ? ?

Daher berührte Falcon bei der Ausführung der Fehlerregel 291 einen Teil des Windows-Systems, den es nicht hätte berühren dürfen, was zu illegalen Speicherzugriffen und schließlich zum Absturz des gesamten Systems mit einem Bluescreen führte.

Um dieses Bluescreen-Problem zu lösen, gibt es keine Möglichkeit, unsere angestammte Fähigkeit zum „Neustart“ zu verwenden. Stattdessen müssen wir die problematische Konfigurationsdatei „C-00000291*.sys“ manuell löschen, um zu verhindern, dass das System die Datei lädt und analysiert erneut beim Start des Dokuments.

Der Schlüssel liegt jedoch darin, dass viele Benutzer Schwierigkeiten haben, die Systemoberfläche überhaupt zu betreten, was sehr schwierig ist. . .

Neben dem unerklärlichen Einfügen falscher Dateien in das Update hat CrowdStrike dieses Mal auch viele andere Probleme offengelegt.

Einige Sicherheitsexperten wiesen beispielsweise darauf hin, dass bei jeder Regelaktualisierung Strategien wie Graustufenverteilung, Überwachung und Rollback eingehalten werden sollten. Diesmal hatten die Benutzer jedoch keine Zeit, zu reagieren, und es gab keine Reaktion darauf Der Rollback-Mechanismus kann nur manuell vom Benutzer gelöst werden.

Eine andere Frage ist: Verfügt Antivirensoftware tatsächlich über so niedrige Berechtigungen?

Als Reaktion auf diesen Punkt sprang Microsoft auf und beschwerte sich zuvor über die EU: „Sie war es, die mich gebeten hat, die Low-Level-Berechtigungen für Sicherheitssoftware zu öffnen.“

Diese Welle~ Ich kann nur sagen, dass Microsoft wirklich ein reiner Spaßmensch ist. Da die Angelegenheit nichts mit sich selbst zu tun hat, wurde es zuvor immer mit einer Geldstrafe von der EU belegt, und dieses Mal machte es eine Reihe von Unterstellungen gegen die EU.

Solange Sicherheitssoftwareunternehmen nicht darauf achten, einige Tricks im unteren Bereich des Systems anzuwenden, kann es daher leicht zum Absturz des gesamten Systems kommen, und Windows muss dann mit einem Bluescreen darauf warten.

Interessant ist auch, dass jemand schon einmal etwas Ähnliches getan hat, und zufällig war der Initiator beider Vorfälle dieselbe Person, der ehemalige CEO der Antivirensoftware McAfee und derzeitige CEO von CrowdStrike – George Kurtz (George Kurtz).

George hat zweimal gehandelt und Millionen von Computern auf der ganzen Welt erschüttert. Eine solch epische Operation sollte beispiellos sein.

An diesem Punkt haben wir fast über die Ursachen und Folgen dieses Bluescreen-Vorfalls gesprochen.

Shichao ist der Meinung, dass diese Angelegenheit relativ geringe Auswirkungen auf uns hat und nichts mit uns zu tun hat. Schließlich hat CrowdStrike zuvor den Verkauf auf das chinesische Festland verboten und wir können ihre Dienste nicht „genießen“.

Aus einer anderen Perspektive betrachtet sind die Lehren aus diesem Vorfall jedoch eine Überprüfung und Untersuchung durch die heimische Industrie wert.

Denn der CrowdStrike-Vorfall hat gezeigt, dass die Systemsicherheit auch ein wichtiger Teil der digitalen Infrastruktur ist und den normalen Betrieb aller Lebensbereiche beeinträchtigen wird. Wenn wir eine digitale Macht werden wollen, muss die Systemsicherheit gut gemacht werden.

Einen Artikel schreiben:Kway Teow

bearbeiten: Milo & Nudeln

Kunstredakteur:Xuanxuan

Bilder, Quellen：

Technische Analyse von CrowdStrike, die zu großflächigen Systemabstürzen führte – sicherheitsinterne Referenz

Was hat den riesigen globalen IT-Ausfall verursacht?——FINANCIAL TIMES

Analysebericht zur globalen Störung der IT-Infrastruktur durch CrowdStrike – Qi'anxin

CrowdStrike

Teil des Bildquellennetzwerks