noticias

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Creo que todos deben haberse encontrado con el incidente de la "pantalla azul de Microsoft" en los últimos dos días.

Desafortunadamente, Shichao estaba en medio de un apasionado trabajo en equipo en ese momento, por lo que no podían permitir que todos comieran algo caliente.

Pero no importa. A medida que los colegas de los medios extranjeros continúan profundizando, hay cada vez más informes violentos sobre este incidente, por lo que Shichao siente que este es el momento adecuado para discutirlo con todos.

La causa del problema es esta. Hay una empresa de seguridad de red llamada CrowdStrike. Después de detectar una nueva tecnología de ataque a la red, llevaron a cabo actualizaciones de rutina del software.

resultado. . . Esta actualización paralizó directamente todos los dispositivos que usaban sus productos.

Aeropuertos, banca, finanzas, transporte, comercio minorista, medicina. . . Nadie de todos los ámbitos de la vida se salva.

En el aeropuerto de Berlín Brandenburgo, en Alemania, los pasajeros no pudieron pasar el control de seguridad debido a una falla en el equipo.

Las máquinas expendedoras de billetes en las estaciones de Londres tienen pantallas azules que impiden que la gente compre billetes.

El icónico cartel del Times Square de Nueva York también da la bienvenida a la "era de la pantalla azul".

Musk, que siempre ha sido franco, por supuesto estaba apasionado por X, e incluso publicó una imagen de IA de "quemando la sala de computadoras CrowdStrike" porque el ataque de CrowdStrike esta vez afectó la línea de producción de Tesla.

"¡Fuiste tú quien causó todo esto, Lao Ma!"

En resumen, este incidente de la pantalla azul ha afectado a casi todas las industrias. Incluso los expertos de Estados Unidos dijeron: "Me quedé estupefacto cuando vi esta reacción en cadena".

La razón por la que CrowdStrike ha creado un problema tan grande es principalmente porque sus productos se venden realmente bien.

Según datos de la firma de investigación de mercado IDC, CrowdStrike ocupa el segundo lugar después de Microsoft en la industria de software de protección de terminales. Representa el 18% del mercado de 12.600 millones de dólares y tiene 29.000 clientes en todo el mundo, por lo que esta vez afecta a millones de dispositivos.

CrowdStrike, conocida como la versión americana de 360 ​​Enterprise Edition (cabeza de perro).

Y lo ridículo es que el error que cometieron esta vez fue un poco abstracto.

A juzgar por los detalles revelados por el propio CrowdStrike y el análisis de los expertos en seguridad, el origen del problema radica en un archivo muy pequeño cuyo nombre es "C-00000291*.sys", que es un archivo de configuración de la plataforma CrowdStrike Falcon. también conocido como "Archivo de canal".

Este archivo de canal 291 específico es responsable de controlar la evaluación de Falcon de las acciones de ejecución de "Named Pipe" en Windows.

Mmm. . . Esto puede resultar un poco difícil de entender, así que digámoslo de forma sencilla.

Por ejemplo, Falcon es un sistema de seguridad que monitorea diversas actividades de programas en sistemas Windows, y los programas transfieren información a través de algo llamado "canalización con nombre".

Entonces, ¿cómo juzgar y manejar las actividades en estas "canalizaciones con nombre"? Este archivo 291 se utilizará en este momento. Funciona como un libro de reglas. Con este folleto, el sistema de seguridad Falcon puede juzgar: qué actividades son normales y pueden liberarse; qué actividades son sospechosas y deben verificarse; sospechosa y debe ser comprobada; la actividad es dañina y debe detenerse.

De la siguiente manera: la comunicación entre el proceso A y B se completa a través de tuberías▼

Pero CrowdStrike insertó una regla completamente irrazonable en el archivo 291 de la actualización. Es como si invitaras a alguien a tu casa, pero abrieras la puerta del vecino y le dijeras: "Entra, vecino:?" ? ?

Por lo tanto, al ejecutar la regla de error 291, Falcon tocó una parte del sistema Windows que no debería haber tocado, provocando un acceso ilegal a la memoria y eventualmente provocando que todo el sistema colapsara con una pantalla azul.

Para resolver este problema de pantalla azul, no hay forma de utilizar nuestra habilidad ancestral para "reiniciar". En cambio, debemos eliminar manualmente el archivo de configuración problemático "C-00000291*.sys" para evitar que el sistema cargue y analice el archivo. nuevamente al inicio del documento.

Pero la clave es que muchos usuarios tienen problemas incluso para ingresar a la interfaz del sistema, lo cual es muy difícil. . .

Además de insertar inexplicablemente archivos incorrectos en la actualización, CrowdStrike también expuso muchos otros problemas esta vez.

Por ejemplo, algunos expertos en seguridad señalaron que cada actualización de reglas debe seguir estrategias como la distribución, el monitoreo y la reversión en escala de grises. Sin embargo, esta vez la actualización de CrowdStrike se envió de manera completamente automática. Los usuarios no tuvieron tiempo de reaccionar y no hubo respuesta después. el incidente. El mecanismo de reversión sólo puede ser solucionado manualmente por el usuario.

Otra pregunta es: ¿el software antivirus realmente tiene permisos de tan bajo nivel?

En respuesta a este punto, Microsoft saltó y se quejó antes de la UE, diciendo: "Fue la que me pidió que abriera los permisos de bajo nivel para el software de seguridad".

Esta ola ~ Solo puedo decir que Microsoft es realmente una persona puramente divertida. Dado que el asunto no tiene nada que ver consigo mismo, siempre fue multado por la UE antes, y esta vez hizo una ronda de insinuaciones contra la UE.

Por lo tanto, siempre que las empresas de software de seguridad no tengan cuidado de hacer algunos trucos en la parte inferior del sistema, pueden bloquear fácilmente todo el sistema y luego Windows tendrá que esperar con una pantalla azul.

Otra cosa interesante es que alguien había hecho algo similar antes y, por coincidencia, el iniciador de ambos incidentes fue la misma persona, el ex director ejecutivo del software antivirus McAfee y actual director ejecutivo de CrowdStrike: George Kurtz (George Kurtz).

George tomó medidas dos veces, sacudiendo millones de computadoras en todo el mundo. Una operación tan épica no debería tener precedentes.

A estas alturas casi hemos hablado de las causas y consecuencias de este incidente de la pantalla azul.

Shichao siente que este asunto tiene relativamente poco impacto en nosotros y que no tiene nada que ver con nosotros. Después de todo, CrowdStrike ha prohibido las ventas a China continental antes y no podemos "disfrutar" de sus servicios.

Pero desde otra perspectiva, las lecciones aprendidas de este incidente son dignas de revisión y estudio por parte de la industria nacional.

Porque lo que expuso el incidente de CrowdStrike es que la seguridad del sistema también es una parte importante de la infraestructura digital y afectará el funcionamiento normal de todos los ámbitos de la vida. Si queremos convertirnos en una potencia digital, la seguridad del sistema debe hacerse bien.

Escribir un artículo:Kway Teow

editar: Milo y fideos

editor de arte:Xuanxuan

Imágenes, fuentes：

Análisis técnico de CrowdStrike que provoca fallos del sistema a gran escala: referencia interna de seguridad

¿Qué provocó la enorme interrupción mundial del sistema informático?—FINANCIAL TIMES

Informe de análisis sobre la interrupción global de la infraestructura de TI causada por CrowdStrike - Qi'anxin

Golpe de masas

Parte de la red de fuentes de imágenes.