Thứ Sáu tuần trước, thế giới hỗn loạn. Hàng triệu máy tính Windows bỗng nhiên bị màn hình xanh và ngừng hoạt động. Sự cố ngừng hoạt động đã làm tê liệt nhiều sân bay, ngân hàng, bệnh viện và cơ sở hạ tầng quan trọng trên khắp thế giới. Đó là sự điên rồ hoàn toàn. Mọi người nghĩ rằng đó là một loại tấn công khủng bố kỹ thuật số. Cũng có thể như vậy nhưng chúng tôi không có tất cả các chi tiết. Điều mà mọi người nhanh chóng nhận ra là thủ phạm là một tệp hệ thống CrowdStrike bị hỏng!! Rõ ràng, một tệp hệ thống không đúng định dạng sẽ được đẩy tới hàng triệu máy tính Windows thông qua bản cập nhật bảo mật. Hệ điều hành Windows đã phát hiện tệp hệ thống mới, cố gắng khởi động lại nhưng không thành công và mọi thứ đều ngừng hoạt động. Thật là điên rồ khi một công ty bên thứ ba (CrowdStrike) có thể đưa các tập tin từ xa vào hệ thống Windows mà không cần kiểm tra tỉ mỉ. Đáng chú ý, cổ phiếu CrowdStrike đã rơi tự do sau đợt ngừng hoạt động. Sự cố ngừng hoạt động này khiến tôi tự hỏi cơ sở hạ tầng CNTT toàn cầu của chúng ta thực sự mong manh đến mức nào. Nếu một nhà cung cấp bên thứ ba như CrowdStrike có thể tàn phá hệ thống CNTT toàn cầu chỉ bằng cách tung ra một bản cập nhật xấu, thì điều gì ngăn cản tin tặc Nga hoặc Triều Tiên gây ra thiệt hại to lớn bằng cách xâm nhập vào các nhà cung cấp này và cài đặt một số phần mềm độc hại ở những nơi gây tò mò? Đây là một bình luận cực kỳ buồn trong một chủ đề tin tức về hacker :
CrowdStrike trong ngữ cảnh này là một mô-đun có thể tải hạt nhân NT (tệp .sys), thực hiện chặn cấp độ tòa nhà và ghi nhật ký sau đó vào một quy trình riêng trên máy. Nó cũng có thể DỪNG các tòa nhà cao tầng hoạt động nếu chúng đang cố gắng kết nối với các nút khác và truy cập các tệp mà chúng không nên truy cập (sử dụng một số phương pháp phỏng đoán ngu ngốc).
Điều xảy ra ở đây là họ đã phát hành trình điều khiển hạt nhân mới cho mọi khách hàng mà không được phép để khắc phục sự cố về độ trễ và độ chậm vốn có trong sản phẩm cảm biến Falcon trước đó. Họ có một hệ thống dàn dựng được cho là sẽ cung cấp cho khách hàng quyền kiểm soát việc này nhưng họ bực tức với quy tắc và quy tắc dàn dựng của mọi người và chỉ đẩy nó vào sản xuất.
Điều này đã đưa chúng tôi ra ngoài và chúng tôi có 30 người hiện đang phục hồi và DR. Hầu hết các nút của chúng tôi đều lặp khởi động với màn hình xanh lam, điều này trên đám mây không phải là thứ bạn chỉ cần nhấn F8 và xóa trình điều khiển. Theo đúng nghĩa đen, chúng ta phải gỡ từng nút xuống, gắn đĩa vào một nút đang hoạt động, xóa tệp .sys và đưa nó lên. Hoặc là vậy hoặc hiển thị một nút mới hoàn toàn từ Snapshot.
Điều này không sao nhưng EC2 hiện đang có rất nhiều người làm việc này nên việc này sẽ mất rất nhiều thời gian. Độ trễ lưu trữ là thông qua mái nhà.
Tôi đã đấu tranh trong nhiều tháng để loại bỏ thứ chết tiệt này khỏi sản xuất vì lý do này. Bây giờ tôi đang bận nhưng được minh oan.
Chỉnh sửa: gửi tới tất cả những người đang than phiền về Windows, chúng tôi không gặp vấn đề gì với Windows. Đây không phải là vấn đề về windows. Đây là nhà cung cấp bảo mật bên thứ ba đang xử lý kernel.
Mọi người có thể làm theo hướng dẫn như trên để máy tính cá nhân của họ hoạt động trở lại nhưng việc áp dụng bản sửa lỗi cho một trang trại máy chủ khổng lồ với hàng chục nghìn máy tính sẽ là một thách thức rất lớn như đã đề cập ở trên. Đây là điều điên rồ và tôi hy vọng điều này không mang lại cho những kẻ độc hại ý tưởng về cách chúng có thể chiếm lĩnh thế giới thông qua bản cập nhật bảo mật của bên thứ ba.
