notícias

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Acredito que todos devem ter enfrentado o incidente da “Tela Azul da Microsoft” nos últimos dois dias.

Infelizmente, Shichao estava no meio de uma intensa formação de equipe naquela época, então eles não podiam deixar que todos comessem algo quente.

Mas isso não importa. À medida que os colegas da mídia estrangeira continuam a investigar mais profundamente, há cada vez mais relatos violentos sobre este incidente, então Shichao sente que desta vez é o momento certo para discutir o assunto com todos.

A causa do problema é esta. Existe uma empresa de segurança de rede chamada CrowdStrike. Depois de detectar uma nova tecnologia de ataque à rede, eles realizaram atualizações de rotina no software.

resultado. . . Esta atualização paralisou diretamente todos os dispositivos que usam seus produtos.

Aeroportos, bancos, finanças, transporte, varejo, assistência médica. . . Ninguém de todas as esferas da vida é poupado.

No Aeroporto Berlin Brandenburg, na Alemanha, os passageiros não conseguiram entrar no posto de segurança devido a uma falha no equipamento.

As máquinas de bilhetes nas estações de Londres têm telas azuis, impedindo as pessoas de comprar passagens.

O icônico outdoor na Times Square de Nova York também dá as boas-vindas à “era da tela azul”.

Musk, que sempre foi franco, era obviamente apaixonado por X, e até postou uma imagem de IA de "queimar a sala de computadores CrowdStrike" porque o ataque de CrowdStrike desta vez afetou a linha de produção de Tesla.

“Foi você quem causou tudo isso, Lao Ma!”

Em suma, este incidente de tela azul afetou quase todas as indústrias. Até mesmo especialistas nos Estados Unidos disseram: “Fiquei pasmo quando vi esta reação em cadeia”.

A razão pela qual a CrowdStrike criou um problema tão grande é principalmente porque seus produtos estão vendendo muito bem.

De acordo com dados da empresa de pesquisa de mercado IDC, CrowdStrike perde apenas para a Microsoft na indústria de software de proteção de terminal. É responsável por 18% do mercado de US$ 12,6 bilhões e tem 29.000 clientes em todo o mundo, então desta vez afeta milhões de dispositivos.

CrowdStrike, conhecido como a versão americana do 360 Enterprise Edition (dog head).

E o que é ridículo é que o erro que cometeram desta vez foi um pouco abstrato.

A julgar pelos detalhes divulgados pela própria CrowdStrike e pela análise de especialistas em segurança, a origem do problema está em um arquivo muito pequeno. Este nome é "C-00000291*.sys", que é um arquivo de configuração da plataforma CrowdStrike Falcon,. também conhecido como "Arquivo de canal".

Este arquivo específico do canal 291 é responsável por controlar a avaliação do Falcon das ações de execução do "Named Pipe" no Windows.

Hum. . . Isso pode ser um pouco difícil de entender, então vamos simplificar.

Por exemplo, Falcon é um sistema de segurança que monitora diversas atividades de programas em sistemas Windows, e os programas transferem informações por meio de algo chamado "pipe nomeado".

Então, como julgar e lidar com as atividades nesses “tubos nomeados”? Este arquivo 291 será utilizado neste momento. Ele funciona como um livro de regras. Com este livreto, o sistema de segurança Falcon pode julgar: quais atividades são normais e podem ser liberadas; suspeita e precisa ser verificada; A atividade é prejudicial e precisa ser interrompida.

Da seguinte forma: A comunicação entre os processos A e B é concluída através de tubos▼

Mas CrowdStrike inseriu uma regra completamente irracional no arquivo 291 da atualização. É como se você convidasse alguém para sua casa, mas abrisse a porta do vizinho e dissesse: “Entre, vizinho:?” ? ?

Portanto, ao executar a regra de erro 291, o Falcon tocou em uma parte do sistema Windows que não deveria ter tocado, causando acesso ilegal à memória e eventualmente fazendo com que todo o sistema travasse com uma tela azul.

Para resolver esse problema de tela azul, não há como usar nossa habilidade ancestral para “reiniciar”. Em vez disso, precisamos excluir manualmente o arquivo de configuração problemático “C-00000291*.sys” para evitar que o sistema carregue e analise o arquivo. novamente no documento de inicialização.

Mas o segredo é que muitos usuários têm dificuldade até para entrar na interface do sistema, o que é muito difícil. . .

Além de inserir inexplicavelmente arquivos errados na atualização, CrowdStrike também expôs muitos outros problemas desta vez.

Por exemplo, alguns especialistas em segurança apontaram que cada atualização de regra deve aderir a estratégias como distribuição em escala de cinza, monitoramento e reversão. No entanto, desta vez a atualização do CrowdStrike foi totalmente enviada automaticamente. o incidente. O mecanismo de reversão só pode ser resolvido manualmente pelo usuário.

Outra questão é: o software antivírus realmente possui permissões de baixo nível?

Em resposta a este ponto, a Microsoft levantou-se e reclamou da UE antes, dizendo: “Foi ela que me pediu para abrir as permissões de baixo nível para software de segurança”.

Essa onda ~ Só posso dizer que a Microsoft é realmente uma pessoa pura e divertida. Como o assunto não tem nada a ver consigo mesmo, ela sempre foi multada pela UE antes, e desta vez fez uma rodada de insinuações contra a UE.

Portanto, desde que as empresas de software de segurança não tenham o cuidado de fazer alguns truques na parte inferior do sistema, elas podem facilmente travar todo o sistema, e então o Windows terá que esperar por isso com uma tela azul.

Outra coisa interessante é que alguém já havia feito algo semelhante antes e, por coincidência, o iniciador de ambos os incidentes foi a mesma pessoa, o ex-CEO do software antivírus McAfee e atual CEO da CrowdStrike – George Kurtz (George Kurtz).

George agiu duas vezes, abalando milhões de computadores em todo o mundo. Uma operação tão épica deveria ser sem precedentes.

Neste ponto, quase falamos sobre as causas e consequências deste incidente de tela azul.

Shichao sente que este assunto tem relativamente pouco impacto sobre nós e é um assunto que não tem nada a ver conosco. Afinal, a CrowdStrike já proibiu as vendas para a China continental e não podemos “aproveitar” seus serviços.

Mas, de outra perspectiva, as lições aprendidas com este incidente são dignas de revisão e estudo pela indústria nacional.

Porque o que o incidente CrowdStrike expôs é que a segurança do sistema também é uma parte importante da infraestrutura digital e afetará o funcionamento normal de todas as esferas da vida. Se quisermos nos tornar uma potência digital, a segurança do sistema deve ser bem feita.

Escrever um artigo：Kway Teow

editar: Milo e macarrão

Editor de arte：Xuanxuan

Fotos, fontes：

Análise técnica do CrowdStrike levando a falhas de sistema em grande escala – referência interna de segurança

O que causou a enorme paralisação global de TI?——FINANCIAL TIMES

Relatório de análise sobre a interrupção global da infraestrutura de TI causada pelo CrowdStrike - Qi'anxin

Greve de multidão

Parte da rede de origem da imagem