소식

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

지난 이틀 동안 모든 사람이 "Microsoft 블루 스크린" 사건을 경험했을 것입니다.

안타깝게도 당시 Shichao는 열정적인 팀 빌딩을 하고 있었기 때문에 모든 사람에게 뜨거운 음식을 먹게 할 수 없었습니다.

그러나 그것은 중요하지 않습니다. 외국 언론 동료들이 계속해서 더 깊이 파고들면서 이 사건에 대한 폭력적인 보도가 점점 더 많아지고 있기 때문에 Shichao는 이번이 모든 사람과 논의하기에 적합하다고 생각합니다.

문제의 원인은 크라우드스트라이크(CrowdStrike)라는 네트워크 보안업체가 있는데, 새로운 네트워크 공격 기술을 발견해 정기적인 소프트웨어 업데이트를 진행했다.

결과. . . 이 업데이트는 해당 제품을 사용하는 모든 장치를 직접 마비시켰습니다.

공항, 은행, 금융, 운송, 소매, 의료. . . 각계 각층의 누구도 아끼지 않습니다.

독일 베를린 브란덴부르크 공항에서는 장비 고장으로 승객들이 보안 검색대에 진입하지 못했습니다.

런던 역의 매표기에는 블루 스크린이 설치되어 있어 사람들이 티켓을 구매할 수 없습니다.

뉴욕 타임스퀘어의 상징적인 광고판도 '블루스크린 시대'를 맞이하고 있다.

늘 거침없는 발언을 해온 머스크는 물론 X에 대한 열정도 있었고, 이번에 크라우드스트라이크의 공격이 테슬라의 생산라인에 영향을 미쳤기 때문에 '크라우드스트라이크 컴퓨터실을 불태운다'는 AI 사진까지 올렸다.

"이 모든 일을 일으킨 건 바로 너야, 라오마!"

요컨대 이번 블루스크린 사건은 거의 모든 산업에 영향을 미쳤다. 미국의 전문가들조차 “이런 연쇄반응을 보고 어안이 벙벙했다”고 말했다.

CrowdStrike가 이렇게 큰 문제를 일으킨 이유는 주로 그들의 제품이 정말 잘 팔리기 때문입니다.

시장 조사 기관 IDC의 데이터에 따르면 CrowdStrike는 단말기 보호 소프트웨어 업계에서 Microsoft에 이어 2위입니다. 126억 달러 시장의 18%를 차지하고 전 세계적으로 29,000명의 고객을 보유하고 있으므로 이번에 영향을 미치는 장치는 수백만 대입니다.

CrowdStrike는 360 Enterprise Edition(개 머리)의 미국 버전으로 알려져 있습니다.

그리고 우스꽝스러운 것은 그들이 이번에 저지른 실수가 다소 추상적이라는 것입니다.

CrowdStrike가 자체적으로 공개한 세부 정보와 보안 전문가의 분석에 따르면 문제의 원인은 CrowdStrike Falcon 플랫폼의 구성 파일인 "C-00000291*.sys"라는 매우 작은 파일에 있는 것으로 보입니다. "채널 파일".

이 특정 291 채널 파일은 Windows에서 "명명된 파이프" 실행 작업에 대한 Falcon의 평가를 제어하는 ​​역할을 합니다.

음. . . 조금 이해하기 어려울 수 있으니 간단하게 설명하겠습니다.

예를 들어, Falcon은 Windows 시스템에서 프로그램의 다양한 활동을 모니터링하는 보안 시스템이며, 프로그램은 "명명된 파이프"라는 것을 통해 정보를 전송합니다.

그렇다면 이러한 "명명된 파이프"의 활동을 어떻게 판단하고 처리합니까? 이 291 파일은 현재 규칙집과 같은 기능을 합니다. Falcon 보안 시스템은 어떤 활동이 정상이고 어떤 활동이 의심스럽고 확인이 필요한지 판단할 수 있습니다. 의심스럽고 확인이 필요한 활동입니다. 유해하므로 중지해야 합니다.

다음과 같이 프로세스 A와 B 간의 통신이 파이프를 통해 완료됩니다▼

그런데 CrowdStrike는 업데이트에서 291 파일에 완전히 불합리한 규칙을 삽입했습니다. 마치 집에 누군가를 초대했는데 이웃집 문을 열고 "이웃, 들어오세요:?"라고 말한 것과 같습니다. ? ?

따라서 Falcon은 오류 규칙 291을 실행할 때 Windows 시스템의 건드리지 말아야 할 부분을 건드렸고, 이로 인해 불법적인 메모리 액세스가 발생했으며 결국 전체 시스템이 블루 스크린과 함께 충돌하게 되었습니다.

이 블루 스크린 문제를 해결하려면 기존 기술을 사용하여 "다시 시작"하는 방법이 없습니다. 대신 문제가 있는 구성 파일 "C-00000291*.sys"를 수동으로 삭제하여 시스템이 파일을 로드하고 구문 분석하지 못하도록 해야 합니다. 다시 시작할 때 문서.

하지만 중요한 점은 많은 사용자가 시스템 인터페이스에 진입하는 것조차 어려워한다는 점입니다. 이는 매우 어렵습니다. . .

CrowdStrike는 설명할 수 없을 정도로 잘못된 파일을 업데이트에 삽입하는 것 외에도 이번에는 다른 많은 문제도 노출했습니다.

예를 들어 일부 보안 전문가들은 모든 규칙 업데이트가 그레이스케일 배포, 모니터링, 롤백 등의 전략을 준수해야 한다고 지적했지만, 이번에는 CrowdStrike의 업데이트가 완전히 자동으로 푸시되었으며 사용자는 이후 반응이 없었습니다. 롤백 메커니즘은 사용자가 수동으로만 해결할 수 있습니다.

또 다른 질문은 다음과 같습니다. 바이러스 백신 소프트웨어에 실제로 그러한 낮은 수준의 권한이 있습니까?

이에 대해 마이크로소프트는 앞서 EU에 대해 “보안 소프트웨어에 대한 낮은 수준의 권한을 열어달라고 요청한 곳”이라며 불만을 토로했다.

이 물결 ~ Microsoft는 정말 순수한 재미있는 사람이라고 말할 수 있습니다. 문제 자체와 관련이 없기 때문에 이전에는 항상 EU에서 벌금을 물었고 이번에는 EU에 대해 암시를 가했습니다.

따라서 보안 소프트웨어 회사가 시스템 하단에서 몇 가지 트릭을 조심하지 않는 한 전체 시스템이 쉽게 충돌할 수 있으며 Windows는 블루 스크린이 표시될 때까지 기다려야 합니다.

또 다른 흥미로운 점은 누군가 이전에 비슷한 일을 했다는 것입니다. 우연히 두 사건의 시작자는 안티 바이러스 소프트웨어 McAfee의 전 CEO이자 현재 CrowdStrike의 CEO인 George Kurtz(George Kurtz)였습니다.

George는 전 세계 수백만 대의 컴퓨터를 뒤흔드는 조치를 두 번이나 취했습니다. 이러한 엄청난 작업은 전례가 없을 것입니다.

지금까지 이번 블루스크린 사건의 원인과 결과에 대해 거의 이야기해보았습니다.

Shichao는 이 문제가 우리에게 상대적으로 작은 영향을 미치며 우리와는 아무 관련이 없는 문제라고 생각합니다. 결국 CrowdStrike는 이전에 중국 본토에 대한 판매를 금지했으며 우리는 그들의 서비스를 "즐길" 수 없습니다.

그러나 다른 관점에서 보면 이번 사건에서 얻은 교훈은 국내 업계가 재검토하고 연구할 가치가 있다.

CrowdStrike 사건이 드러낸 것은 시스템 보안도 디지털 인프라의 중요한 부분이며 모든 계층의 정상적인 운영에 영향을 미칠 것이라는 점입니다. 디지털 강자가 되려면 시스템 보안을 잘 수행해야 합니다.

기사 쓰기：콰이 테오

편집하다: 마일로&누들

아트 에디터：쉬안쉬안

사진, 출처：

대규모 시스템 충돌로 이어지는 CrowdStrike의 기술적 분석 - 보안 내부 참조

전 세계적으로 IT가 대규모 중단되는 원인은 무엇입니까?——파이낸셜 타임즈

CrowdStrike로 인한 글로벌 IT 인프라 중단에 대한 분석 보고서 - Qi'anxin

크라우드스트라이크

이미지 소스 네트워크의 일부