خلال الـ 78 دقيقة التي أدت إلى تعطل ملايين أجهزة الكمبيوتر التي تعمل بنظام Windows

خلال الـ 78 دقيقة التي أدت إلى تعطل ملايين أجهزة الكمبيوتر التي تعمل بنظام Windows

في صباح يوم الجمعة، وبعد منتصف الليل بقليل في نيويورك، بدأت الكارثة تتكشف في جميع أنحاء العالم. ففي أستراليا، استقبل المتسوقون رسائل شاشة الموت الزرقاء (BSOD) في ممرات الدفع الذاتي. وفي المملكة المتحدة، اضطرت سكاي نيوز إلى تعليق بثها بعد أن بدأت الخوادم وأجهزة الكمبيوتر في التعطل. وفي هونج كونج والهند، بدأت مكاتب تسجيل الوصول في المطارات في التعطل. وبحلول الصباح في نيويورك، تعطلت ملايين أجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز، وكانت كارثة تقنية عالمية جارية. وفي الساعات الأولى من الانقطاع، كان هناك ارتباك حول ما كان يحدث. كيف ظهرت فجأة شاشة زرقاء للعديد من أجهزة الكمبيوتر التي تعمل بنظام ويندوز؟ كتب خبير الأمن السيبراني الأسترالي تروي هانت في مقال له: “شيء غريب للغاية يحدث الآن”. نشر على X. على موقع Reddit، أطلق مسؤولو تكنولوجيا المعلومات ناقوس الخطر في موضوع في الساعة 12:09 صباحًا بتوقيت شرق الولايات المتحدة يوم 19 يوليو، أصدرت شركة الأمن السيبراني CrowdStrike تحديثًا معيبًا لبرنامج الأمان Falcon الذي تبيعه لمساعدة الشركات على منع البرامج الضارة وبرامج الفدية وأي تهديدات إلكترونية أخرى من تعطيل أجهزتها. يتم استخدامه على نطاق واسع من قبل الشركات لأنظمة Windows المهمة، ولهذا السبب كان تأثير التحديث السيئ فوريًا للغاية وواسع النطاق. كان من المفترض أن يكون تحديث CrowdStrike مثل أي تحديث صامت آخر، حيث يوفر تلقائيًا أحدث الحماية لعملائه في ملف صغير (فقط 40 كيلو بايت) التي يتم توزيعها عبر الويب. تصدر CrowdStrike هذه بانتظام دون وقوع حوادث، وهي شائعة إلى حد ما في برامج الأمان. لكن هذا كان مختلفًا. لقد كشف عن خلل كبير في منتج الأمن السيبراني للشركة، وهي كارثة كانت على بعد تحديث سيئ واحد فقط – والتي كان من الممكن تجنبها بسهولة. كيف حدث هذا؟ يعمل برنامج حماية Falcon من CrowdStrike في Windows على مستوى النواة، وهو الجزء الأساسي من نظام التشغيل الذي يتمتع بوصول غير مقيد إلى ذاكرة النظام والأجهزة. تعمل معظم التطبيقات الأخرى على مستوى وضع المستخدم ولا تحتاج إلى أو تحصل على وصول خاص إلى النواة. يستخدم برنامج Falcon من CrowdStrike برنامج تشغيل خاص يسمح له بالعمل على مستوى أدنى من معظم التطبيقات حتى يتمكن من اكتشاف التهديدات عبر نظام Windows. يجعل التشغيل على النواة برنامج CrowdStrike أكثر قدرة كخط دفاع – ولكنه أيضًا أكثر قدرة على التسبب في مشاكل. يقول باتريك واردل، الرئيس التنفيذي لشركة DoubleYou ومؤسس مؤسسة Objective-See Foundation، لموقع The Verge: “قد يكون هذا مشكلة كبيرة، لأنه عندما يأتي تحديث غير منسق بالطريقة الصحيحة أو يحتوي على بعض التشوهات فيه، يمكن للسائق استيعاب ذلك والثقة العمياء في هذه البيانات”. يتيح الوصول إلى النواة للسائق إنشاء مشكلة تلف الذاكرة، وهو ما حدث صباح يوم الجمعة. يقول واردل: “كان التعطل يحدث عند تعليمات حيث كان يحاول الوصول إلى بعض الذاكرة غير الصالحة”. “إذا كنت تعمل في النواة وحاولت الوصول إلى ذاكرة غير صالحة، فسيؤدي ذلك إلى حدوث خطأ وسيؤدي ذلك إلى تعطل النظام”. اكتشف CrowdStrike المشكلات بسرعة، لكن الضرر كان قد حدث بالفعل. أصدرت الشركة إصلاحًا بعد 78 دقيقة من إصدار التحديث الأصلي. حاول مسؤولو تكنولوجيا المعلومات إعادة تشغيل الأجهزة مرارًا وتكرارًا وتمكنوا من إعادة تشغيل بعضها إذا حصلت الشبكة على التحديث قبل أن يتسبب برنامج تشغيل CrowdStrike في إتلاف الخادم أو الكمبيوتر الشخصي، ولكن بالنسبة للعديد من العاملين في الدعم، تضمن الإصلاح زيارة الأجهزة المتأثرة يدويًا وبينما تستمر التحقيقات في حادثة CrowdStrike، فإن النظرية الرائدة هي أنه من المحتمل أن يكون هناك خلل في برنامج التشغيل كان كامنًا لبعض الوقت. ربما لم يكن يقوم بالتحقق من صحة البيانات التي كان يقرأها من ملفات تحديث المحتوى بشكل صحيح، لكن لم تكن هذه مشكلة أبدًا حتى تحديث المحتوى الإشكالي يوم الجمعة. يقول واردل: “ربما يجب تحديث برنامج التشغيل لإجراء فحص إضافي للأخطاء، للتأكد من أنه حتى إذا تم طرح تكوين إشكالي في المستقبل، فسيكون لدى برنامج التشغيل دفاعات للتحقق والكشف … بدلاً من التصرف بشكل أعمى والتعطل”. “سأكون مندهشًا إذا لم نرَ إصدارًا جديدًا من برنامج التشغيل في النهاية يحتوي على فحوصات سلامة إضافية وفحوصات أخطاء”. كان ينبغي لشركة CrowdStrike اكتشاف هذه المشكلة في وقت أقرب. إنها ممارسة قياسية إلى حد ما لطرح التحديثات تدريجيًا، مما يسمح للمطورين باختبار أي مشاكل كبيرة قبل أن يصل التحديث إلى قاعدة المستخدمين بالكامل. إذا كانت شركة CrowdStrike قد اختبرت تحديثات المحتوى الخاصة بها بشكل صحيح مع مجموعة صغيرة من المستخدمين، فإن يوم الجمعة كان ليكون بمثابة جرس إنذار لإصلاح مشكلة أساسية في برنامج التشغيل بدلاً من كارثة تقنية امتدت إلى جميع أنحاء العالم. لم تتسبب Microsoft في كارثة يوم الجمعة، لكن الطريقة التي يعمل بها Windows سمحت لنظام التشغيل بالكامل بالانهيار. رسائل شاشة الموت الزرقاء المنتشرة مرادفة لأخطاء Windows من التسعينيات فصاعدًا لدرجة أن العديد من العناوين الرئيسية كانت تقرأ في البداية “انقطاع Microsoft” قبل أن يتضح أن CrowdStrike هي المخطئة. الآن، هناك أسئلة حتمية حول كيفية منع حدوث موقف آخر مثل CrowdStrike في المستقبل – ولا يمكن أن تأتي هذه الإجابة إلا من Microsoft. ما الذي يمكن القيام به لمنع هذا؟ على الرغم من عدم تورط Microsoft بشكل مباشر، إلا أنها لا تزال تتحكم في تجربة Windows، وهناك الكثير من المجال لتحسين كيفية تعامل Windows مع مشكلات مثل هذه. في أبسط تقدير، يمكن لـ Windows تعطيل برامج التشغيل المعيبة. إذا قرر ويندوز أن برنامج تشغيل معين يتسبب في تعطل النظام عند بدء التشغيل وإجباره على الدخول في وضع الاسترداد، فيمكن لشركة مايكروسوفت أن تبني منطقًا أكثر ذكاءً يسمح للنظام بالتشغيل بدون برنامج التشغيل المعيب بعد فشل التمهيد المتعدد. ولكن التغيير الأكبر سيكون قفل الوصول إلى نواة ويندوز لمنع برامج التشغيل التابعة لجهات خارجية من تعطل جهاز الكمبيوتر بالكامل. ومن عجيب المفارقات أن مايكروسوفت حاولت القيام بذلك بالضبط مع ويندوز فيستا ولكنها قوبلت بمقاومة من بائعي الأمن السيبراني والهيئات التنظيمية في الاتحاد الأوروبي. حاولت مايكروسوفت تنفيذ ميزة كانت تُعرف في ذلك الوقت باسم PatchGuard في ويندوز فيستا في عام 2006، والتي تقيد وصول الجهات الخارجية إلى النواة. عارضت شركة ماكافي وسيمانتيك، شركتا مكافحة الفيروسات الكبيرتان في ذلك الوقت، تغييرات مايكروسوفت، وعارضت سيمانتيك التغييرات التي أجرتها شركة مايكروسوفت. حتى اشتكى إلى المفوضية الأوروبية. مايكروسوفت في نهاية المطاف تراجعتفي عام 2020، قامت Apple بإغلاق نظام التشغيل macOS الخاص بها حتى لا يتمكن المطورون من الوصول إلى النواة. يقول واردل: “لقد كان القرار الصحيح بالتأكيد من جانب Apple بإلغاء ملحقات النواة التابعة لجهات خارجية، لكن الطريق إلى تحقيق ذلك كان محفوفًا بالمشكلات”. واجهت Apple بعض أخطاء النواة حيث لا تزال أدوات الأمان التي تعمل في وضع المستخدم غير قادرة على الوصول إلى النواة. تسبب في وقوع حادث (ذعر النواة)، ويقول واردل إن شركة أبل “قدمت أيضًا بعض نقاط الضعف في تنفيذ الامتيازات، ولا تزال هناك بعض الأخطاء الأخرى التي قد تسمح بتفريغ أدوات الأمان على أجهزة ماك بواسطة البرامج الضارة”. قد لا تزال الضغوط التنظيمية تمنع مايكروسوفت من اتخاذ إجراء هنا. وذكرت صحيفة وول ستريت جورنال في نهاية الأسبوع الماضي، صرح متحدث باسم شركة مايكروسوفت بأنها لا تستطيع قانونياً عزل نظام التشغيل الخاص بها بنفس الطريقة التي تفعلها شركة أبل بسبب التفاهم الذي توصلت إليه مع المفوضية الأوروبية في أعقاب شكوى. وتعيد الصحيفة صياغة تصريحات المتحدث المجهول، وتذكر أيضاً اتفاقية عام 2009 لتوفير نفس مستوى الوصول إلى ويندوز لموردي الأمن مثل مايكروسوفت. وتوصلت مايكروسوفت إلى اتفاق مع المفوضية الأوروبية في عام 2009. اتفاقية التشغيل البيني في عام 2009، وقعت المفوضية الأوروبية اتفاقية مع مايكروسوفت تسمح للمطورين بالوصول إلى الوثائق الفنية لبناء التطبيقات على نظام التشغيل ويندوز. وقد تم تشكيل الاتفاقية كجزء من صفقة تضمنت تنفيذ شاشة اختيار المتصفح في ويندوز وتقديم إصدارات خاصة من ويندوز بدون إنترنت إكسبلورر مضمنة في نظام التشغيل. وانتهت الصفقة لإجبار مايكروسوفت على تقديم خيارات المتصفح بعد خمس سنوات في عام 2014، كما توقفت مايكروسوفت أيضًا عن إنتاج إصداراتها الخاصة من ويندوز لأوروبا. والآن تقوم مايكروسوفت بتجميع متصفح إيدج الخاص بها في ويندوز 11، دون أي اعتراض من قبل الهيئات التنظيمية الأوروبية. وليس من الواضح إلى متى كانت اتفاقية التشغيل البيني هذه سارية، لكن يبدو أن المفوضية الأوروبية لا تعتقد أنها تمنع مايكروسوفت من إصلاح أمان ويندوز. وتقول المتحدثة باسم المفوضية الأوروبية ليا زوبر في بيان لموقع ذا فيرج: “مايكروسوفت حرة في اتخاذ القرار بشأن نموذج عملها وتكييف بنيتها التحتية الأمنية للرد على التهديدات شريطة أن يتم ذلك بما يتماشى مع قانون المنافسة في الاتحاد الأوروبي”. “لم تثر مايكروسوفت أي مخاوف بشأن الأمن مع المفوضية، سواء قبل الحادث الأخير أو منذ ذلك الحين”. رد الفعل العنيف بسبب إغلاق ويندوز قد تحاول مايكروسوفت السير على نفس الطريق الذي سلكته أبل، ولكن رد الفعل العنيف من بائعي الأمن مثل كراود سترايك سيكون قوياً. وعلى عكس أبل، تتنافس مايكروسوفت أيضاً مع كراود سترايك وغيرها من بائعي الأمن الذين جعلوا من حماية ويندوز عملاً تجارياً. تمتلك مايكروسوفت شركتها الخاصة التي تعمل في مجال الأمن. مدافع عن نقطة النهاية خدمة مدفوعة الأجر، والتي توفر حماية مماثلة لأجهزة الكمبيوتر التي تعمل بنظام Windows. كما ينتقد الرئيس التنفيذي لشركة CrowdStrike، جورج كورتز، بانتظام مايكروسوفت وسجلها الأمني ​​ويفخر بـ كسب العملاء بعيدا من برنامج الأمان الخاص بشركة Microsoft. لقد قامت شركة Microsoft سلسلة من الحوادث الأمنية في السنوات الأخيرة، أصبح من السهل والفعال بالنسبة للمنافسين استخدام هذه البرامج لبيع البدائل. في كل مرة تحاول فيها Microsoft إغلاق Windows باسم الأمان، فإنها تواجه أيضًا ردود فعل عنيفة. كان هناك وضع خاص في Windows 10 يقيد الأجهزة بتطبيقات Windows Store لتجنب البرامج الضارة. مربك وغير شعبيكما تركت شركة مايكروسوفت الملايين من أجهزة الكمبيوتر الشخصية خلفها مع إطلاق نظام التشغيل Windows 11 ونظام التشغيل Windows 10. متطلبات الأجهزة تم تصميمها لتحسين أمان أجهزة الكمبيوتر التي تعمل بنظام Windows. الرئيس التنفيذي لشركة Cloudflare ماثيو برينس هو تحذير بالفعل إن هذا الموقف من شأنه أن يفرض على مايكروسوفت المزيد من الضغوط على نظام التشغيل ويندوز، وهو ما يجعل مايكروسوفت تفضل منتجاتها الأمنية الخاصة إذا ما حدث مثل هذا السيناريو. وكل هذا الرفض يعني أن مايكروسوفت تواجه مساراً صعباً إذا كانت تريد تجنب وقوع ويندوز في قلب حادثة شبيهة بحادثة كراود سترايك مرة أخرى. إن مايكروسوفت عالقة في المنتصف، تحت ضغط من الجانبين. ولكن في الوقت الذي تواجه فيه مايكروسوفت تحديات كبيرة، فإن هذا يعني أن مايكروسوفت سوف تتخلى عن منتجاتها الأمنية الخاصة إذا ما حدث هذا السيناريو. إصلاح الأمنيجب أن يكون هناك مجال لموردي الأمن ومايكروسوفت للاتفاق على نظام أفضل من شأنه أن يتجنب عالم انقطاعات الشاشة الزرقاء مرة أخرى.

المصدر