7 月 19 日,由于美国网络安全企业 CrowdStrike 软件升级引发的故障,使得全球数百万台安装 Windows 系统的电脑终端发生 " 蓝屏故障 ",无法正常开机使用。在一些 " 打工人 " 欢呼提前过上周末的同时,多国关键领域的重要系统因为这一次故障而被迫瘫痪,造成了难以估量的损失。
▲ CrowdStrike 软件升级引发微软 " 蓝屏危机 "。图据 ICphoto
澳大利亚政府网络安全顾问特洛伊 · 亨特表示,这次故障是全球有史以来规模最大的 IT 故障。
" 上一次人类碰到如此大规模的计算机系统问题还要追溯到‘千年虫’问题。不过区别在于,虽然在 2000 年新千年到来之际全球专家们普遍感到非常紧张,但‘千年虫’问题实际上并未大规模发生,而这次的蓝屏故障则实实在在地造成了重大影响。" 亨特说。
事故原因:
软件更新引发故障,并非网络攻击
事发之后,CrowdStrike 公司 CEO 乔治 · 库尔茨确认,故障是由 " 针对 Windows 主机的单个内容更新缺陷 " 引起的,而 Mac 和 Linux 主机则不受影响。
库尔茨表示,该公司正在全力以赴帮助被影响的客户恢复网络,并且驳斥了 " 故障是由网络攻击引起 " 的说法。库尔茨还提醒客户注意保护信息安全,因为在这种网络全面瘫痪的时刻," 骗子和竞争对手都会倾巢而出 "。
作为全球最大的网安公司之一,CrowdStrike 开发了一款名为 Falcon 的安全软件,作为 " 微软自带安全系统的补充伙伴 ",能帮助大型机构的 Windows 系统网络监控和抵御安全风险。
而本次 " 蓝屏故障 " 的起因,据悉是由于 Falcon 最新的软件更新与 Windows 系统本身的安全代码产生了不兼容,使得受影响的终端设备开机就进入蓝屏状态。
▲ " 蓝屏故障 " 致使美国航班大面积取消。图据视觉中国
选择安装 Falcon 的基本都是拥有成百上千台终端设备的超大型企业或政府机构,因为 Falcon 不仅能侦测系统遇到的威胁和攻击,并且能在每一台终端设备自动将所需的防护程序下载到本地运行。
英国政府下属机构认为,这次故障的影响范围之广泛,暴露了全球网络安全基础设施的脆弱性。由于平时的技术准备不足,才会使得一个 " 单点故障 " 影响全局,造成大面积宕机。
由于涉事的 CrowdStrike 公司是全球网络安全领域的头部企业之一," 世界 500 强 " 企业中有 60% 都是该公司的客户。事发后,CrowdStrike 的股价也在 19 日下跌超过 11%,市值蒸发近百亿美元。
" 闯祸 " 企业:
深度涉足美政府业务,与 FBI 勾连紧密
CrowdStrike 于 2011 年成立于美国得克萨斯州奥斯汀市。次年,创始人库尔茨请来美国联邦调查局(FBI)前高官肖恩 · 亨利作为技术顾问,此后逐渐打开了美国政府部门的市场。
据悉,美国联邦政府部门以及多个州政府都是该公司的客户。在本次故障发生后,美国国土安全部专门发布声明称,已经在严密监控该事件对政府部门设备的影响。
CrowdStrike 的早期主要投资方包括谷歌等巨头,并于 2019 年在纳斯达克上市。得到充足募资后的 CrowdStrike 开启了一系列并购活动,收购了多家网安领域的小型企业。
对此,美国联邦贸易委员会负责人林斯 · 可汗表示,他一直主张对网络安全领域的频繁并购现象进行反垄断拆分调查。
▲当地时间 2024 年 7 月 19 日,美国加利福尼亚州森尼韦尔,美国网络安全企业 CrowdStrike 大楼。图据 ICphoto
由于深度涉足美国政府部门的网络安全业务,CrowdStrike 也频频出现在政治新闻中。从 2014 年开始,该公司就多次提交了所谓 " 外国政府黑客组织 " 的网络攻击事件。其中,最为著名的一次是 2016 年大选期间被媒体炒作的 " 美国民主党全国委员会网络遭受攻击 " 一事。
2017 年,时任 FBI 局长科米在美国国会作证时,拿出了 CrowdStrike 给出的技术报告,表示这次攻击是由俄罗斯政府下属的 2 个黑客组织完成的。当时科米拒绝让国会调查人员接触 FBI 内部网络,只是向国会表明,自己 " 绝对信任 CrowdStrike 这家企业的结论 "。
该事件在特朗普上任后再次出现反转,一些舆论认为,可能是乌克兰黑客通过 CrowdStrike 攻击了美民主党的服务器,并且 " 栽赃 " 给俄罗斯。2019 年,特朗普专门和乌克兰总统泽连斯基通电话,要求他调查这种说法的可能性。
糟糕后果:
修复网络难度大,恐需 " 数周时间 "
据报道,特斯拉卡车工厂也受到此次 " 蓝屏故障 " 的影响,流水线暂停作业,奥斯汀超级工厂不得不让工人提前下班。这无疑让马斯克大为光火,他在自己的 X 平台账号上连续发了多个 " 梗图 " 吐槽这一事故。
马斯克表示,他根本不会去修复问题,而是将直接在特斯拉的所有系统中删掉所有的 CrowdStrike 软件。
在留言区,有网友恶搞附上了一张 " 马斯克火烧 CrowdStrike 机房 " 的 AI 生成图片,引发马斯克大笑回应," 不幸的是,我们的许多供应商和物流公司都在使用它 "。马斯克警告说,这次故障将导致 " 汽车供应链的重大中断 "。
▲网友恶搞 " 马斯克火烧 CrowdStrike 机房 "
据英国特许信息技术委员会估算,要修复网络可能需要 " 长达数周时间 ",而这还是相对乐观的估计。
伦敦大学学院安全工程学教授史蒂文 · 默多克表示,对于许多机构来说,修复这一问题的实际难度很大。" 由于问题发生在计算机设备连接到互联网之前,因此无法远程修复,必须由工程师实地修复。"
默多克认为,很多大型企业的技术力量薄弱,采用外包 IT 团队,或者一些机构的终端设备分布在一些偏远地方,需要花时间派人赶到现场。
目前,CrowdStrike 公司已向客户推荐了技术解决方案,建议将系统回滚到软件更新之前的时间点。不过实际上这种回滚操作的技术门槛很高,对于大多数客户而言无法自行根据操作手册来完成,只能等待专业工程师上门修复。