notizia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Credo che tutti abbiano riscontrato l'incidente "Schermata blu Microsoft" negli ultimi due giorni.

Sfortunatamente, Shichao era nel bel mezzo di un appassionato team building in quel momento, quindi non potevano permettere a tutti di mangiare qualcosa di caldo.

Ma non importa. Mentre i colleghi dei media stranieri continuano a scavare più a fondo, ci sono sempre più resoconti violenti su questo incidente, quindi Shichao ritiene che questa volta sia giusto discuterne con tutti.

La causa del problema è questa. Esiste una società di sicurezza di rete chiamata CrowdStrike Dopo aver rilevato una nuova tecnologia di attacco di rete, hanno effettuato aggiornamenti di routine al software.

risultato. . . Questo aggiornamento ha paralizzato direttamente tutti i dispositivi che utilizzavano i loro prodotti.

Aeroporti, banche, finanza, trasporti, vendita al dettaglio, medicina. . . Nessuno, di ogni ceto sociale, viene risparmiato.

All'aeroporto di Berlino Brandeburgo in Germania, i passeggeri non sono riusciti ad accedere ai controlli di sicurezza a causa di un guasto alle apparecchiature.

I distributori automatici di biglietti nelle stazioni di Londra hanno schermi blu che impediscono alle persone di acquistare i biglietti.

Anche l'iconico cartellone pubblicitario a Times Square a New York dà il benvenuto all'"era dello schermo blu".

Musk, che è sempre stato schietto, era ovviamente appassionato di X e ha persino pubblicato un'immagine AI di "bruciare la sala computer di CrowdStrike" perché l'attacco di CrowdStrike questa volta ha colpito la linea di produzione di Tesla.

"Sei tu che hai causato tutta questa cosa, Lao Ma!"

In breve, questo incidente con schermata blu ha colpito quasi tutti i settori. Anche gli esperti negli Stati Uniti hanno affermato: "Sono rimasto sbalordito quando ho visto questa reazione a catena".

Il motivo per cui CrowdStrike ha creato un problema così grosso è principalmente perché i suoi prodotti si vendono davvero bene.

Secondo i dati della società di ricerche di mercato IDC, CrowdStrike è secondo solo a Microsoft nel settore dei software per la protezione dei terminali. Rappresenta il 18% del mercato da 12,6 miliardi di dollari e ha 29.000 clienti in tutto il mondo, quindi questa volta colpisce milioni di dispositivi.

CrowdStrike, conosciuta come la versione americana di 360 Enterprise Edition (testa di cane).

E la cosa ridicola è che l’errore commesso questa volta era un po’ astratto.

A giudicare dai dettagli divulgati dallo stesso CrowdStrike e dall'analisi degli esperti di sicurezza, l'origine del problema risiede in un file molto piccolo denominato "C-00000291*.sys", che è un file di configurazione della piattaforma CrowdStrike Falcon, nota anche come "File canale".

Questo specifico file di canale 291 è responsabile del controllo della valutazione di Falcon delle azioni di esecuzione "Named Pipe" su Windows.

Ehm. . . Questo potrebbe essere un po’ difficile da capire, quindi diciamolo semplicemente.

Ad esempio, Falcon è un sistema di sicurezza che monitora varie attività dei programmi nei sistemi Windows e i programmi trasferiscono le informazioni attraverso qualcosa chiamato "named pipe".

Allora come giudicare e gestire le attività in queste "named pipe"? Questo file 291 verrà utilizzato in questo momento. Funziona come un libro di regole, con questo opuscolo, il sistema di sicurezza Falcon può giudicare: quali attività sono normali e possono essere rilasciate; quali attività sono sospette e devono essere controllate; sospetta e necessita di essere controllata; l'attività è dannosa e deve essere interrotta.

Come segue: La comunicazione tra il processo A e B viene completata tramite tubi▼

Ma CrowdStrike ha inserito una regola del tutto irragionevole nel file 291 dell'aggiornamento. È come se avessi invitato qualcuno a casa tua, ma avessi aperto la porta del vicino e avessi detto: "Entra, vicino:?". ? ?

Pertanto, durante l'esecuzione della regola di errore 291, Falcon ha toccato una parte del sistema Windows che non avrebbe dovuto toccare, provocando un accesso illegale alla memoria e infine provocando il crash dell'intero sistema con una schermata blu.

Per risolvere questo problema della schermata blu, non c'è modo di utilizzare la nostra abilità ancestrale per "riavviare". Dobbiamo invece eliminare manualmente il file di configurazione problematico "C-00000291*.sys" per impedire al sistema di caricare e analizzare il file. nuovamente all'avvio del documento.

Ma la chiave è che molti utenti hanno difficoltà anche ad accedere all’interfaccia del sistema, il che è molto difficile. . .

Oltre ad aver inserito inspiegabilmente file errati nell'aggiornamento, CrowdStrike questa volta ha esposto anche molti altri problemi.

Ad esempio, alcuni esperti di sicurezza hanno sottolineato che ogni aggiornamento delle regole dovrebbe aderire a strategie come la distribuzione in scala di grigi, il monitoraggio e il rollback. Tuttavia, questa volta l'aggiornamento di CrowdStrike è stato inviato in modo completamente automatico. Gli utenti non hanno avuto il tempo di reagire e non c'è stata alcuna risposta l'incidente Il meccanismo di rollback può essere risolto solo manualmente dall'utente.

Un'altra domanda è: il software antivirus dispone effettivamente di autorizzazioni di livello così basso?

In risposta a ciò, Microsoft è balzata in piedi e si è lamentata prima dell'UE, dicendo: "È stata lei a chiedermi di aprire autorizzazioni di basso livello per il software di sicurezza".

Questa ondata~ Posso solo dire che Microsoft è davvero una persona puramente divertente Dato che la questione non ha nulla a che fare con se stessa, prima è stata sempre multata dall'UE, e questa volta ha fatto un giro di insinuazioni contro l'UE.

Pertanto, finché le società di software di sicurezza non stanno attente a fare alcuni trucchi nella parte inferiore del sistema, possono facilmente mandare in crash l'intero sistema e Windows dovrà attendere con una schermata blu.

Un'altra cosa interessante è che qualcuno aveva già fatto qualcosa di simile e, per coincidenza, l'iniziatore di entrambi gli incidenti era la stessa persona, l'ex CEO del software antivirus McAfee e l'attuale CEO di CrowdStrike - George Kurtz (George Kurtz).

George è intervenuto due volte, facendo tremare milioni di computer in tutto il mondo. Un’operazione così epica non dovrebbe avere precedenti.

A questo punto abbiamo quasi parlato delle cause e delle conseguenze di questo incidente con schermata blu.

Shichao ritiene che questa questione abbia un impatto relativamente piccolo su di noi, e che non abbia nulla a che fare con noi. Dopotutto, CrowdStrike ha già vietato le vendite nella Cina continentale e non possiamo "godere" dei loro servizi.

Ma da un’altra prospettiva, le lezioni apprese da questo incidente meritano di essere esaminate e studiate dall’industria nazionale.

Perché ciò che l’incidente di CrowdStrike ha messo in luce è che la sicurezza del sistema è anche una parte importante dell’infrastruttura digitale e influenzerà il normale funzionamento di tutti gli ambiti della vita. Se vogliamo diventare una potenza digitale, la sicurezza del sistema deve essere gestita bene.

Scrivi un articolo：Kway Teow

modificare: Milo e tagliatelle

Redattore d'arte:Xuanxuan

Immagini, fonti：

Analisi tecnica di CrowdStrike che ha portato a arresti anomali del sistema su larga scala: riferimento interno alla sicurezza

Cosa ha causato l'enorme interruzione IT globale? ——FINANCIAL TIMES

Rapporto di analisi sull'interruzione dell'infrastruttura IT globale causata da CrowdStrike - Qi'anxin

Sciopero della folla

Parte della rete di origine delle immagini