導語
2024年7月19日,一則全球性的系統故障的消息瞬間刷爆了全球的朋友圈以及社交媒體�,在眾多人的口中都出現了“藍屏”這個詞匯����,而這些朋友們所說的不是他們個人電腦的藍屏����,而是微軟公司旗下的操作系統windows系統此次全球服務出現了大規模癱瘓����。
從全球范圍內都在使用微軟window操作系統的航空��、金融以及醫療等行業的朋友們傳來的消息得知��,此次故障的影響之大可見想象。
突然間���,各大航空公司不得不取消了所有航班,各銀行也紛紛宣布暫停金融交易��,各醫院也都停止了電子病歷的使用����,這是怎么回事,為什么全世界的windows系統會同時崩潰�����,而中國憑借自主研發的國產操作系統竟然置身事外����,這其中又是為何呢?
全球航空��、金融機構癱瘓怎么回事?
2024年7月19日����,全球范圍內的微軟公司旗下的windows window操作系統的服務器在日本三番對外發布的軟件故障報告中宣布���,他們將經歷大規模的系統故障����,預計將會影響全球范圍內數百大型企業的生產活動,而在通報中����,令人擔憂的是�����,故障的恢復時間甚至要等到兩天后的21日。
這令受到這次故障的全球范圍內的用戶感到 incomprehensible,因為這兩天的系統無法正常運作���,很多公司的生產將會受到巨大的影響,然而最終的事實的確如此��,全球范圍內很多企業都因為受到這次故障的影響而無法正常運作�。
和廣大用戶感到困擾的同時,也被這次故障打擊的最慘的行業怕不是汽車行業了�,因為全球范圍內受此次故障影響最嚴重的行業不是汽車行業�����,而是航空行業�。
一方面,各大航空公司的運營人員因為本來正打算通過windows操作系統進行航班信息系統的查看和管理工作的時候卻被迫選擇了新冠病毒以來在全世界有加強通風換氣的措施中沒有辦法進行工作的傳統翻閱各種資料進行處理流程的方式��,而另一方面����,因為各大航空公司的票務系統也都是建立在windows操作系統上的,所以因為故障��,各大航空公司也只能選擇封停所有的航班�����,這樣在系統故障修復之前���,不會有乘客的信息遺失到系統當中��。
另一個受到這次故障影響最大的行業是金融行業,和航空行業一樣�,金融行業的內部運營系統也是基于windows系統運行的����,如果windows系統服務器癱瘓,各位打算進行交易的投資人員就不得不將鈔票和各種憑證復印出來進行人工交易�,但是盡管是線下人工交易��,也只有交易雙方將錢款和憑證都傳輸到清算中心進行清算,交易才能算是完成����,因此金融機構也只能選擇暫停交易等到系統恢復正常之后再進行交易清算��。
不僅是航空運輸和金融領域,很多需要高性能計算的行業�,例如醫療領域�,也因為系統癱瘓而不得不暫停了部分服務�����。
為何中國能置身事外?
此次微軟windows系統全球性故障的源頭起因有兩個。
微軟方出面解釋��,這次全球性的微軟windows系統服務器癱瘓首要原因是來自于一家網絡安全公司的殺毒軟件的驅動程序的故障導致的��。
來自于美國的CrowdStrike這家公司憑借著自家的殺毒軟件���,可以保障其它系統不受到病毒的侵擾��,因此其殺毒軟件csagent.sys可以防止系統受到病毒的侵擾,然而這款驅動在2021年7月17日進行了一次升級,升級后�����,對于仍在運行著windows7系統的計算機來說���,會在原本保存病毒的存檔的位置上創建一個指向%SystemRoot%\Temp\CrowdStrike\%ComputerName%的快捷方式���,然而新升級的驅動沒有正確處理好這個步驟�����,在進行完之后將這個快捷方式創建成功后��,卻忘了將其和原來的保存病毒存檔位置進行鏈接起來,因此在病毒倉庫里面的病毒文件和病毒之間的快捷方式沒有被創建成功����,導致無法從存檔倉庫讀取病毒��,也就無法執行后續的病毒檢測工作。
微軟windows系統團隊在對這個文件進行了系統分析之后發現了這個文件的問題并將其修復之后��,于7月19日向全球用戶進行了發布�����,然而在這之后,出現了第二個全球性系統故障的源頭��,這個源頭來自于微軟自家的Microsoft 365的配套服務��。
在經過一番好幾次迭代更新之后��,最終,微軟windows系統團隊發現了這次全球系統故障的最根本的源頭在于CrowdStrike這款殺毒軟件驅動的問題�����,因此在7月20日�����,微軟windows系統官方在官方博客中宣布了解決了這次系統故障的最終根本問題�����,但是在7月21日,關注國際新聞的人們卻發現,微軟windows系統服務居然沒有在21日出現故障之后恢復正常,反而是在7月21日出現了因為Microsoft 365配套服務的中斷而導致全球系統故障的消息�,因此��,很多人也因為微軟之前宣布了系統故障的源頭在于CrowdStrike這款殺毒軟件,便開始懷疑微軟之前對于這次系統故障的定位是否有問題,最終的微軟系統故障到底是源自于殺毒軟件的缺陷還是Microsoft 365的問題�,都沒有定論�。
然而奇妙的是��,在全球范圍內����,使用了中國自主研發的國產操作系統的企業數量不在少數,然而在這些國企中,并沒有因為微軟server全球癱瘓的消息����,似乎很多人都剛剛從微軟官方的系統恢復消息中看到了希望��,然而對于自主使用國產操作系統的企業來說�����,只是抱著“噢�,我以為全球的windows都要廢了�����,原來只是微軟的windows廢了”這樣的思維表達了一下安心����,為什么中國的企業只用了中國國產操作系統這樣一件事就可以使其在全球的信息系統癱瘓中置身事外呢?
中國長期致力于在科技自主創新的道路上前行�����,把自主研發的國產計算機和操作系統的使用推廣開去正是為了為中國人民打造一個安全可靠的信息網絡環境��。
在2006年,我國的科技界確立了在自主研發計算機的道路上所走的決策���,國家發改委、教育部�����、工信部���、財政部等國家部委共同成立了紅旗計算機項目領導小組�,這個小組此后陸續公布了一系列關于發展國產操作系統的相關政策和文件,為中國科技界明確了在自主研發操作系統的道路上的方向��。
2017年�,國家發改委、教育部��、財政部����、中央組織部����、中央維護穩定辦和民政部六個部委就聯合發布了《關于進一步促進軟件產業發展的意見》,文件中強調了中央將會支持國產操作系統發展的決心��,并且在后續的各種計算機配置的集中采購文件中都明確的提出了對計算機配置中CPU和操作系統的安全可靠性的要求�����,一方面為了推動國產操作系統的普及和應用��,另一方面也是為了保障我國的信息安全,避免因為使用了其他國家的操作系統而被其他國家利用���。
中國在科技自主創新領域的成功經驗。
中國對于國家信息網絡的自主可控能力十分上心�,中國在科技自主創新領域前進的成功經驗值得其他國家好好學習�。
現在全球范圍內的網絡都在全面的轉入以信息技術為中心的信息化的時代����,各國都在為了提升自身的信息網絡安全實力而不斷推進信息技術的發展,然而伴隨著信息技術的發展和應用�����,信息網絡也日益成為國家之間相互爭斗的戰場�����,為了在這場戰斗中不被其他國家占據不利地位���,各國都掀起了全民網絡安全意識的建設熱潮�����。
2021年,中國校園網絡安全意識周的開展為各個年紀的學生充分普及了網絡安全的重要性和大家在網絡中的必須的安全防范知識��,而這場關于網絡安全的公益宣傳活動也在全球范圍內掀起了防范網絡攻擊的學習熱潮��。
在全球信息化的競爭中�,各個國家為了保障自身的信息安全��,都在不斷的進行源頭打擊工作���,推進自研操作系統的使用和應用���,各國的這種舉措開始得到了實質性的收獲�����,最顯著的收獲,便是信息系統的自主可控能力得到了提升。
然而�����,未來的信息環境形式其實并不樂觀�,因為隨著全球信息網絡的不斷發展,網絡攻擊的技術也在不斷的發展,而且各國之間也在不斷使用互聯網進行信息網絡攻擊�����,為了更好的保護自己的信息網絡���,各國不僅應該不斷加強自身操作系統的研發和應用�����,還應該將觀念和防護手段貫穿于全國。
此外,各國政府之間的合作與交流也是十分關鍵的�,信息網絡安全是一個全球性的重要問題�,各國間在加強信息網絡安全交流的同時��,在開展信息網絡安全攻擊來源的合作和打擊上也要加強交流合作�,共同應對全球性的網絡安全挑戰���,保障各個國家的信息網絡安全���。
在這個全球化的時代�����,只有通過全球合作����,各國在信息技術的發展和安全應用上不斷前進�����,才能為之后全球化信息化的進一步發展奠定堅實的基礎�。
結語
對于微軟系統全球癱瘓事件來說���,在這場經歷中����,中國的國產操作系統打上了“自主可控,安全可靠”這一枷鎖,而中國的經驗也可以為其他國家所借鑒學習����。
隨著國產操作系統的研發和應用不斷前進,將會為構建多元化的信息化進程提供更多可能性���,中國的國產操作系統將在后續的建設中發揮著舉足輕重的作用。
2024 年 7 月 19 日��,全球各地網友突然發現他們的 Windows 電腦開始頻繁出現藍屏(BSOD)故障。當他們在社交媒體上吐槽時�,更嚴重的危機也蔓延到了關鍵領域��,包括但不限于零售、航空��、金融��、醫療等����。比如����,美國多家主要航空公司取消航班,銀行和交易所停止服務����。網絡安全研究員 Troy Hunt 認為�����,這可能是史上最大規模的 IT 故障。
還記得上一次全球性 Windows 系統崩潰���,還發生在震蕩波/沖擊波等蠕蟲病毒肆虐的時代。在計算機網絡安全已得到空前重視的今天�����,這次席卷全球的 Windows 藍屏故障究竟是如何發生的呢�?
一場由安全公司導致的全球 Windows 藍屏宕機事件
盡管國內有些新聞媒體在事件剛開始的時候�����,將這次宕機事故簡單描述為「Windows 系統藍屏」��,并將其歸咎于使用了外國的 Windows 操作系統,但這種解釋并不成立�。經過簡單分析�����,可以發現:
- 藍屏宕機發生的同時,國內相關服務機構的終端設備也安裝了 Windows 操作系統��,但依舊正常運行并提供服務��;
- 國內雖然也有 Windows 電腦出現藍屏宕機���,但主要是外企的設備����,國內大部分公司和個人電腦未受影響����。
這些現象表明,導致這次全球 Windows 系統藍屏宕機的罪魁禍首并非微軟��,而是另有其人��。
隨著網友�����、各個機構以及微軟的介入,這場全球 Windows 系統宕機故障的原因逐漸清晰——宕機設備都安裝了 CrowdStrike 公司的安全軟件���。CrowdStrike 的產品主要用于幫助企業防范勒索軟件等黑客威脅�����,近年來業務擴展迅速�,成為該領域的主要供應商���。與傳統防病毒軟件相比�����,其產品屬于「端點檢測和響應」類軟件���,可以不斷掃描設備上的可疑活動并自動做出響應�。為了實現這種級別的防護,其組件需要作為驅動程序運行在內核級別,從而帶來了造成操作系統故障的潛在風險�����。
那么你肯定會覺得疑惑��,CrowdStrike 是如何讓他們客戶的 Windows 電腦全部藍屏宕機的呢�?
根據目前的最新情況來看�����,CrowdStrike 在安全配置文件上缺乏完善地測試�����,沒有嚴格進行環境測試和代碼審查,導致存在 Bug 的更新包未經過充分測試就被直接部署到生產環境����;CrowdStrike 也缺乏應急回滾機制,在出現了藍屏問題以后不能及時撤銷新推送的安全配置文件���;最后不少領域的機構用戶沒有冗余備份,單一節點故障就導致業務停擺�。多個原因疊加就導致了這樣不亞于蠕蟲病毒攻擊的大范圍 IT 故障���。
始作俑者 CrowdStrike
CrowdStrike 暴露的問題遠不止 Windows 上的問題��,今年四月 CrowdStrike 的一次安全更新導致部署其服務的 Debian Linux 和 Rocky Linux 服務器無法啟動,經調查后發現是 CrowdStrike 與最新的 Debian 版本不兼容��。
同時����,CrowdStrike 在 Linux 事件故障響應上也備受批評,在故障發生一天后才承認故障本身�����,在后續更為漫長的調查后才發現問題在測試上——CrowdStrike 的測試系統矩陣中根本沒有包含最新版 Debian Linux 的配置�����。
而在深入挖掘 CrowdStrike 的發展史后�����,其實也不難發現,安全軟件導致系統崩潰這件事上����,其創始人可能是個「慣犯」���。
CrowdStrike 成立于 2011 年����,其創始人 George Kurtz 此前是計算機安全軟件 McAfee 的首席技術官�。在他任上�,McAfee 也出過類似的事故——殺毒軟件將 svchost.exe 識別成惡意程序從而錯將其刪除,最終導致大量的 Windows XP SP3 循環重啟并無法上網���。正是因為那次事故,導致很多 PC 用戶至今仍認為給系統安裝安全軟件反而會電腦「不穩定」�����。
George Kurtz 曾解釋到�,創建 CrowdStrike 的契機來源于一次坐航班時,隔壁乘客足足等了 15 分鐘�����,才讓 McAfee 軟件在自己的筆記本電腦上完全啟動。這讓他覺得需要創辦一家基于云的數據安全公司��。
CrowdStrike 主要面向企業提供基于云的一攬子企業安全解決方案���。這次導致大面積 Windows 藍屏宕機的是旗下名為 Falcon 的工具��,該工具通過識別異常行為和漏洞來保護計算機系統免受惡意軟件等威脅�。CrowdStrike 表示自 2011 年成立以來���,CrowdStrike 已幫助調查了多起重大網絡攻擊�,并稱擁有「最快的平均時間」來檢測威脅。
CrowdStrike 的服務范圍不在國內���,因此國內大部分的機構和個人電腦也并未受到本次 Windows 藍屏宕機的影響。
如何正確的看待本次事件
2024 年 7 月 20 日����,微軟和 CrowdStrike 公布了最新的調查結果和解決方案�。微軟確定了一個影響 Windows 設備運行的 CrowdStrike Falcon 問題�,包括藍屏錯誤信息 0x50 和 0x7E���,設備會處于反復重啟狀態�����。
想要解決這個問題���,IT 工程師需要重啟并進入安全模式���,刪除相關目錄下名為 C-00000291*.sys 的文件���,再次重啟系統即可恢復正常�。由于宕機導致設備無法遠程訪問�,這樣的恢復操作只能由 IT 工程師在線下手動進行。不過�����,云服務器中的 Windows 電腦沒有安全模式�,IT 工程師需要挨個手動連接到虛擬硬盤再刪除。
與此同時����,CrowdStrike 也將更新回滾�����,避免重現故障,至此這次事件暫時告一段落。微軟提供了專門的修復工具,輔助 IT 工程師通過 Windows PE 環境,自動刪除有問題的 CrowdStrike 文件來讓機器正常啟動;CrowdStrike 則提供了一份新的幫助文檔�,來輔助 IT 工程師修復電腦�����;CrowdStrike 還提醒道����,有新的惡意程序在以「crowdstrike-hotfix.zip」(crowdstrike 問題修復補丁)的名義在互聯網上傳播���。
雖然事件暫時告一段落,但我們需要客觀和理性地看待這次事件。在事件剛發生時,很多媒體在沒有徹底了解事情緣由的情況下�,斷然認為這是因為微軟 Windows 操作系統本身存在問題���,并借機無腦炒作���,使得本來單純的事件復雜化����。
在隱私模式下用關鍵詞搜索這次事件時��,不少「流量黨」借機炒作
事實上���,始作俑者 CrowdStrike 主要面向企業提供服務����,因此受到影響的主要是企業用戶,對于一般用戶幾乎沒有影響。微軟估計��,受到此次藍屏宕機事件影響的 Windows 電腦可能有 850 萬臺大概占總數的 1%��。
由于受影響的主要是服務業等「窗口行業」�,在輿論傳播時�,故障的嚴重程度被無形放大。國內大多數的 Windows 用戶都平安無事,沒有使用 CrowdStrike 的企業電腦也沒有受到影響。因此,單就 Windows 操作系統本身而言��,依舊是可靠且值得信賴的��。
這次事件確實對安全廠商的形象造成了一定損害,CrowdStrike 在軟件開發和測試過程中存在的重大漏洞是導致此次全球 Windows 藍屏宕機的根源���。提醒安全廠商需要在頻繁的安全更新與充分的測試之間需要找到一個平衡點,在增強安全同時�����,減少風險和不確定性���。
這次事件后���,CrowdStrike 作為安全軟件的侵入性也被不少人所詬病���,突顯了高權限防病毒和 EDR(端點檢測與響應)解決方案的潛在風險和不足����。有網友認為:「為了避免類似問題的再次發生,重新設計防病毒和 EDR 解決方案�����,降低其對高權限的依賴�����,顯得尤為重要」���。
當下����,設計防病毒更成熟的解決方案則是采用 eBPF����。eBPF 是一個內核里的虛擬機���,允許開發者在不修改內核源代碼或加載內核模塊的情況下����,在內核中安全地運行用戶定義的代碼。
這個特性使得 eBPF 成為一個強大的監控和過濾工具����,基于 eBPF 的工具也不會讓內核崩潰�。目前微軟正在全力開發 Windows 版本的 eBPF�����,相信未來 Windows 上安全軟件也可以移植到 eBPF 上�����,更安全的同時也能顯著減少這次藍屏事件的發生。
當然���,我們一般用戶也不能因為此次事件就「一朝被蛇咬,十年怕井繩」��,讓自己的電腦「裸奔」��。畢竟此次 Windows 大面積藍屏宕機只是偶發事件��,且主要影響的是企業客戶��。但如果因為沒有安裝安全軟件或者關閉安全軟件而導致個人資料被加密勒索或泄漏,得不償失�。
