紐約時代廣場的數字廣告牌因宕機事故藍屏
核心提示:
1.一個只夠容納一個網頁圖像的文件居然引發了世界上最大的IT中斷事故。
2.CrowdStrike在追求速度、更大利潤的同時,犧牲了基本的安全原則。
3.麻煩的是,CrowdStrike的修復程序需要手動修復,耗時耗力。
4.這次事故不禁讓人反省,少數公司控制網絡安全行業存在的風險。
周五,當英國國民保健署(NHS)的醫生、倫敦帝國理工學院教授布倫丹·德萊尼(Brendan Delaney)出現在他的倫敦診所時,他原以為這一天會忙得不可開交。
兩個月前,倫敦東南部的醫院和診所遭受了毀滅性的網絡攻擊。現在,像德萊尼這樣的醫生終于開始感到工作恢復正常了。他們可以再次發送緊急血液檢測。網絡安全專家在修復和更換之前被黑客犯罪團伙關閉的信息技術系統方面,并取得了進展。
然而,就在他到達診所時,他看到前臺正在匆忙地收集紙質記事本,查詢業務連續性計劃。原來,英格蘭醫生用來查看病人病歷的一個系統突然失靈了。
這一次,問題不是源自勒索軟件團伙,而是出在一家為了保護人們免受黑客攻擊的公司,它就是全球最大網絡安全軟件制造商之一的CrowdStrike Holdings CrowdStrike推送了一個有缺陷的更新,引發了全球IT系統崩潰,導致全球機場、銀行、證券交易所和企業陷入癱瘓。
小文件大破壞
令人難以置信的是,一個很小的文件(專家稱只夠容納一個網頁圖像)居然導致了世界上最大的IT中斷事故。這個名為“C-00000291*.sys”的文件隱藏在CrowdStrike的Falcon sensor安全產品更新中。該問題文件在微軟公司的Windows操作系統中引發了一個錯誤,導致計算機無法正常工作,并觸發了可怕的“藍屏死機”。
這一事件以前所未有的規模暴露了全球IT系統的脆弱性,并凸顯出如此多的組織和個人依賴于少數幾家科技公司存在的危險性。如果其中一家公司出現故障或遭到黑客攻擊,其后果可能波及全球經濟的大片領域。微軟憑借其Windows操作系統主導了個人電腦業務,而CrowdStrike已成為數千家公司和組織的首選供應商,后者希望保護其最重要系統免受網絡攻擊。
罪魁禍首CrowdStrike
知名研究公司IDC的數據顯示,CrowdStrike是僅次于微軟的第二大“現代終端保護”軟件開發商,在規模為126億美元的市場中占有18%的份額。這家總部位于美國得州奧斯汀的公司向全球2.9萬家機構銷售其產品,所以此次宕機可能會影響數百萬臺電腦。這些電腦可能需要數周或更長時間才能重新恢復正常,因為它們必須手工修復。
“這真是一團糟,”前NHS醫生、網絡安全和公共衛生專家賽義夫·阿比德(Saif Abed)表示,“Crowdstrike影響到了微軟,而整個NHS都依賴于微軟,制造了一個潛在故障連續爆發的多米諾骨牌效應。”
如何發生的?
上周五,隨著宕機事故從亞洲和澳大利亞蔓延到歐洲和美國,CrowdStrike聯合創始人兼CEO喬治·庫爾茨(George Kurtz)為這一錯誤道歉。“這不是安全事件或網絡攻擊,”他說,“這個問題已經被發現、隔離,并且已經部署了修復程序。”
庫爾茨沒有具體說明這個漏洞是如何出現在軟件更新中的。但是,一些長期批評網絡安全行業的人士已經有了一套可以說得通的理論。他們說,CrowdStrike和其他網絡安全公司在追求更大利潤和試圖安撫股東的同時,犧牲了基本、枯燥的安全原則。
“現在是行業成長,放慢腳步的時候了,”總部位于愛丁堡的安全服務公司Quorum Cyber的創始人兼CEO費德里科·查羅斯基(Federico Charosky)表示,“有些開發商在某個地方做出了改變,卻沒有分析這種改變會產生什么影響。為了追求速度,他們顯然缺乏質量保證和測試,走了捷徑。這表明,我們對運行一切事物所必不可少的技術的完全信任是錯誤的。”
重蹈覆轍
周五發生的一切非常罕見,但CrowdStrike CEO庫爾茨卻不陌生。2010年,他還是殺毒軟件先驅McAfee的首席技術官。那年4月,McAfee發布了一個更新,錯誤地將一個合法的Windows文件標記為感染文件,癱瘓了世界各地醫院、學校和政府機構的計算機。
CrowdStrike CEO庫爾茨
McAfee時任CEO戴夫·德沃爾特(Dave DeWalt)稱,該公司在16分鐘后就撤銷了這個有缺陷的更新,但那時,它已經安裝在1600多家客戶的電腦上。德沃爾特現在經營著一家專注于網絡安全的風險投資公司。他在接受采訪時說:“我們在那天損失了大約40%的市值。”德沃爾特還說,公司派出了近4000名員工乘飛機幫助受影響的客戶從事故中恢復過來。
McAfee最終走出了危機,但當時的員工稱這起事故是一種極大的創傷和恥辱。四個月后,英特爾宣布收購McAfee。
網絡行業觀察人士想知道,CrowdStrike是否會從自己的錯誤中吸取教訓。有人已經表示,該公司是在自找麻煩。多年來,CrowdStrike一直在抨擊微軟允許黑客侵入其系統,庫爾茨利用這些漏洞作為自己產品的賣點。
就在美國政府發布報告,指責微軟存在“一連串的安全故障”后不久,庫爾茨突然出擊,在財報電話會議上向投資者引用了他的調查結果,表示微軟的問題引發了潛在客戶的“大量要求”。“微軟安全客戶群體中的安全和IT團隊中存在著廣泛的信任危機。”他當時表示。
“CrowdStrike試圖盡可能地抨擊微軟,并從中獲利,”查羅斯基表示,“但是當你的公司在全球基礎設施中占據如此重要的地位時,沒有人能逃脫干系。這就是因果報應。當一家公司從創業公司成長為重要的國家基礎設施企業時,它需要采取不同的行動,我不知道CrowdStrike是否經歷了這種轉變。”
“年度惡意軟件”
鑒于CrowdStrike造成的破壞程度,一些網絡評論人士已經將這個存在缺陷的更新描述為“年度惡意軟件”。這種將其與黑客攻擊進行的玩笑式比較在某種程度上是有現實依據的。網絡安全專家說,受影響組織的恢復可能需要數周或更長時間,大致相當于大型組織在遭受勒索軟件攻擊后重建網絡所需的時間。
讓這些電腦恢復正常的最大挑戰是,CrowdStrike的修復程序需要由具有管理權限的人手動修復,一臺電腦接一臺電腦,這是一個非常耗時的過程,在遠程工作的時代尤其困難。
星巴克電腦藍屏
得州普萊諾網絡安全服務公司Accelerynt的聯合創始人兼董事長邁克爾·亨利(Michael Henry)稱,美國一家大型零售商的客戶不得不召集其所有IT員工,讓他們晝夜不停地手動更新約6000臺受影響的電腦。他說,該公司預計要花費整個周末時間來恢復關鍵系統,所有系統完全恢復上線狀態需要三周時間。
“這太瘋狂了。他們正在分類,首先關注關鍵系統,”亨利說,“這是一項零售業務,所以他們要確保門店能夠恢復運營。”
亨利有一個疑問,這也是很多人在宕機事故發生后都在問的問題:這是怎么發生的?
“CrowdStrike對全球商業造成的破壞,比所有勒索軟件攻擊的總和還要大,”他說,“這證明了,我們在保護自己而部署的軟件上承擔了多大的風險:如果這些人出錯,他們可能會毀掉你的業務。”
訴訟
庫爾茨在周五晚些時候發表的一份聲明中說:“隨著這一事件的解決,我承諾將對事件發生的過程以及我們為防止此類事件再次發生所采取的措施提供充分的透明度。我們正在進行技術更新和根本原因分析,并會公布于眾。”
網絡安全和法律專家表示,CrowdStrike幾乎肯定會受到起訴、付出經濟成本和其他處罰。這一事件也肯定會引發一場新的討論,即權力和風險日益集中在少數幾家網絡安全公司手中存在的問題。
按照硅谷的標準,網絡安全行業相對年輕,它是在蠕蟲和軟盤病毒的時代成長起來的。20年前,它由賽門鐵克和McAfee兩家公司主導,這兩家公司的殺毒產品采用了一種現在看來有些古怪的策略,即編寫“簽名”以阻止已知的惡意軟件菌株。
微軟
如今,攻擊者已經變得更加先進,傳統的殺毒軟件已經失寵,導致那些傳統安全廠商退出舞臺。取而代之的產品能夠檢測PC上一系列威脅并自動修復這些威脅。
問題在于,這些技術在很大程度上由微軟和CrowdStrike控制。紐約大學計算機科學教授賈斯汀·卡波斯(Justin Cappos)表示,他一直在警告,安全行業的整合以及隨之而來的集中決策可能會導致大問題,這種爭論在其他科技領域也曾發生過。
“大公司在科技領域會犯大錯誤,”他在接受采訪時說,“我們看到過的很多非常糟糕的安全設計都出自大公司之手。”
底層邏輯:
直接刪除硬盤上的記錄文件即可。
目錄位置如下:
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
打開Service文件夾,把里面能刪除的文件全部刪除即可。
遇到的問題:
一,C盤目錄下找不到ProgramData文件夾。
解決方法:打開文件夾選項,顯示隱藏的項目。
二,Scans 文件夾打不開。
解決方法:進入安全模式,在安全模式下可以打開,并直達Service文件夾,刪除里面的文件即可。
穿插:
如何進入電腦安全模式。
windows 7 及以前的老系統,開機按F8即可。
windows10 和 windows11方法如下:
情況一,能正常進入系統。
1,(推薦)第一個方法,按住shift 鍵,點擊重啟電腦。
進入選項模式界面:疑難解答——高級選項——啟動設置
——重啟。重啟后根據需要選擇,一般選擇F4。
2,(推薦)第二個方法,打開windows設置——更新和安全——左側選擇“恢得”——高級啟動"立即重啟啟動“,進入選項模式界面后接方法1。
3,(不推薦)第三個方法,win+R 啟動運行,輸入”msconfig“,打開系統配置窗口,選擇引導,引導選項下,選擇安全引導,然后應用和確定,選擇重啟電腦后,即可進入安全模式。(注意事項:退出安全模式時,務必關掉安全引導,不然正常開機會再次進入安全模式。
情況二,不能正常進入系統。
按物理開機鍵后,出現主板標志時,強制再按物理開機鍵強制關機,然后再開再關,重復三次后,電腦便會提示自動修復,然后即可進行選項模式界面,接上述方法1。
注意事項:
1,保護歷史記錄通過系統無法正常刪除,不必折騰。
2,借助第三方軟件也能刪除,但容易遇到流氓軟件。
3,使用雙顯示器或者多顯示器的小伙伴,顯示器最好通通將信號源連接到需要進入安全模式的電腦上,有時候安全模式顯示界面不會走主顯示器。
至于為什么要刪除保護歷史記錄,懂的都懂。