Новости

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Я считаю, что каждый, должно быть, сталкивался с инцидентом «синий экран Microsoft» за последние два дня.

К сожалению, в то время Шичао был в разгаре страстного тимбилдинга, поэтому они не могли позволить всем поесть чего-нибудь горячего.

Но это не имеет значения. По мере того, как коллеги из зарубежных СМИ продолжают копать глубже, появляется все больше и больше жестоких сообщений об этом инциденте, поэтому Шичао считает, что настало время обсудить это со всеми.

Причина в следующем. Существует компания по сетевой безопасности под названием CrowdStrike. После того, как они обнаружили новую технологию сетевых атак, они выполнили плановые обновления программного обеспечения.

результат. . . Это обновление напрямую парализовало все устройства, использующие их продукты.

Аэропорты, банковское дело, финансы, транспорт, розничная торговля, медицина. . . Никто из всех слоев общества не будет пощажен.

В аэропорту Берлин-Бранденбург в Германии пассажиры не смогли пройти на контрольно-пропускной пункт из-за неисправности оборудования.

Билетные автоматы на лондонских вокзалах имеют синие экраны, не позволяющие людям покупать билеты.

Знаменитый рекламный щит на Таймс-сквер в Нью-Йорке также приветствует «эру синего экрана».

Маск, который всегда был откровенен, конечно, был увлечен X и даже опубликовал фотографию ИИ, на которой «сожжен компьютерный зал CrowdStrike», потому что атака CrowdStrike на этот раз затронула производственную линию Tesla.

«Это ты виноват во всем этом, Лао Ма!»

Короче говоря, этот инцидент с синим экраном затронул почти все отрасли. Даже эксперты в Соединенных Штатах сказали: «Я был ошеломлен, когда увидел эту цепную реакцию».

Причина, по которой CrowdStrike создала такую ​​большую проблему, заключается главным образом в том, что их продукты действительно хорошо продаются.

По данным исследовательской компании IDC, CrowdStrike уступает только Microsoft в индустрии программного обеспечения для защиты терминалов. На ее долю приходится 18% рынка стоимостью 12,6 миллиардов долларов США, и у нее 29 000 клиентов по всему миру, поэтому на этот раз она затрагивает миллионы устройств.

CrowdStrike, известная как американская версия 360 Enterprise Edition (голова собаки).

И что смешно, так это то, что ошибка, которую они допустили на этот раз, была несколько абстрактной.

Судя по подробностям, раскрытым самой CrowdStrike, и анализу экспертов по безопасности, источник проблемы кроется в очень маленьком файле с именем «C-00000291*.sys», который представляет собой файл конфигурации платформы CrowdStrike Falcon. также известный как «Файл канала».

Этот конкретный файл с 291 каналом отвечает за управление оценкой Falcon действий выполнения «Именованного канала» в Windows.

Хм. . . Это может быть немного сложно понять, поэтому давайте скажем проще.

Например, Falcon — это система безопасности, которая отслеживает различные действия программ в системах Windows, а программы передают информацию через так называемый «именованный канал».

Так как же оценивать и обрабатывать действия в этих «именованных каналах»? В настоящее время будет использоваться этот файл 291. Он действует как свод правил. С помощью этого буклета система безопасности Falcon может определить: какие действия являются нормальными и какие действия могут быть раскрыты; какие действия являются подозрительными и какие требуют проверки; подозрительно и требует проверки; деятельность вредна и ее необходимо прекратить;

Следующее: Связь между процессами A и B осуществляется через каналы▼

Но CrowdStrike вставил в файл 291 обновления совершенно необоснованное правило. Это как если бы вы пригласили кого-то к себе домой, но открыли дверь соседу и сказали: «Заходи, сосед:?» ? ?

Таким образом, при выполнении правила ошибки 291 Falcon затронул часть системы Windows, которую он не должен был трогать, что вызвало несанкционированный доступ к памяти и в конечном итоге привело к сбою всей системы с синим экраном.

Чтобы решить эту проблему с синим экраном, невозможно использовать наш наследственный навык «перезагрузки». Вместо этого нам нужно вручную удалить проблемный файл конфигурации «C-00000291*.sys», чтобы предотвратить загрузку и анализ файла системой. снова при запуске документа.

Но дело в том, что у многих пользователей возникают проблемы даже с входом в интерфейс системы, что очень сложно. . .

Помимо необъяснимой вставки в обновление неправильных файлов, CrowdStrike на этот раз также выявил множество других проблем.

Например, некоторые эксперты по безопасности отметили, что каждое обновление правил должно соответствовать таким стратегиям, как распределение оттенков серого, мониторинг и откат. Однако на этот раз обновление CrowdStrike было выпущено полностью автоматически. У пользователей не было времени отреагировать, и после этого не последовало никакой реакции. Инцидент Механизм отката может быть решен пользователем только вручную.

Другой вопрос: действительно ли антивирусное программное обеспечение имеет такие низкоуровневые разрешения?

В ответ на этот момент Microsoft вскочила и пожаловалась на ЕС, сказав: «Это тот, кто попросил меня открыть низкоуровневые разрешения для защитного программного обеспечения».

Эта волна~ Я могу только сказать, что Microsoft действительно чистый весельчак. Поскольку дело не в этом, ее всегда штрафовал ЕС, и на этот раз она сделала раунд инсинуаций против ЕС.

Таким образом, если компании-разработчики программного обеспечения безопасности не будут осторожны и не проделают некоторые трюки в нижней части системы, они могут легко привести к сбою всей системы, и тогда Windows придется ждать этого с синим экраном.

Еще интересно то, что нечто подобное кто-то делал и раньше, и по совпадению, инициатором обоих инцидентов стал один и тот же человек, бывший генеральный директор антивирусного ПО McAfee и нынешний генеральный директор CrowdStrike — Джордж Курц (George Kurtz).

Джордж дважды предпринимал действия, потрясая миллионы компьютеров по всему миру. Такая эпическая операция должна быть беспрецедентной.

На данный момент мы почти поговорили о причинах и последствиях этого инцидента с синим экраном.

Шичао считает, что этот вопрос имеет относительно небольшое влияние на нас и не имеет к нам никакого отношения. В конце концов, CrowdStrike раньше запрещала продажи в материковый Китай, и мы не можем «наслаждаться» их услугами.

Но с другой стороны, уроки, извлеченные из этого инцидента, достойны рассмотрения и изучения отечественной промышленностью.

Потому что инцидент CrowdStrike показал, что безопасность системы также является важной частью цифровой инфраструктуры и повлияет на нормальную работу всех сфер жизни. Если мы хотим стать цифровой державой, безопасность системы должна быть обеспечена хорошо.

Написать статью: Квей Теоу

редактировать: Майло и лапша

Художественный редактор:Сюаньсюань

Фотографии, источники：

Технический анализ CrowdStrike, приводящего к крупномасштабным сбоям системы: внутренний справочник по безопасности

Что стало причиной глобального сбоя в работе ИТ-систем?——FINANCIAL TIMES

Аналитический отчет о сбоях в глобальной ИТ-инфраструктуре, вызванных CrowdStrike - Qi'anxin

CrowdStrike

Часть сети источника изображений