19 Temmuz’da, milyonlarca Windows kullanıcısı korkulan “mavi ekran” ile karşılaştı. CrowdStrike adlı kritik bir siber güvenlik yazılımındaki bir hata, işletim sisteminin çökmesine neden olmuştu. Bazı insanlar ve şirketler için sorun günler sordu ve hatadan kaynaklı maaliyetin milyar dolarlar seviyesinde olduğu tahmin ediliyor.
Kullandığımız yazılımlardaki hatalara karşı yapabileceğimiz pek bir şey olmadığını söyleyen Bilgisayar Bilimi Yardımcı Doçenti Zakir Durumeric, “Genel olarak, insanların kendilerini saldırılardan korumak için yapabilecekleri en iyi şey, bilgisayarlarını ve telefonlarını düzenli olarak güncellemektir,” diyor ve kesinti hakkında görüşlerini paylaşıyor:
- Basitçe anlatırsanız, tam olarak ne oldu?
19 Temmuz’da başlayan kesinti, “CrowdStrike Falcon” adlı bir güvenlik yazılımına gönderilen hatalı bir güncelleme nedeniyle oluştu. CrowdStrike, herkesin bildiği bir isim olmasa da büyük bir kurumsal güvenlik şirketidir ve “Endpoint Detection and Response” (EDR) yazılımı geliştirir. EDR, antivirüs yazılımlarının yerini alan kurumsal bir yazılımdır ve bir şirketteki her iş istasyonunda sürekli çalışarak bilgisayarın virüslü olduğuna işaret edebilecek anormal davranışları izler (örneğin, fidye yazılımları). EDR yaygın olarak kullanılır ve güvenlik sektöründeki birçok kişi tarafından, kullanıcıların bilgisayarlarını saldırılara karşı korumak için en iyi araçlardan biri olarak görülür.
Olay günü CrowdStrike yazılımına gönderilen güncelleme hatalıydı ve yazılım her başlatıldığında ve güncellemeyi işlemeye çalıştığında çökmesine neden oldu. Genellikle Google Chrome veya Microsoft Word gibi bir uygulama çöktüğünde, sadece o uygulama çöker. Ancak, CrowdStrike Falcon da dahil olmak üzere birçok güvenlik yazılımı bu konuda özel bir duruma sahiptir. CrowdStrike, tüm bilgisayardaki kötü amaçlı etkinlikleri tespit etmesi gerektiğinden, Windows işletim sistemiyle birlikte çalışır, üstünde değil. Ne yazık ki, bu aynı zamanda yazılım çöktüğünde Windows işletim sisteminin de çökmesine neden olduğu anlamına geliyor.
- Etki neden bu kadar büyük oldu ve çözülmesi neden bu kadar uzun sürdü?
CrowdStrike ve Windows’un tekrar çalışmasını sağlamak basittir – gönderilen hatalı dosyanın silinmesi yeterlidir. Ancak, ne yazık ki, Windows işletim sistemi her başlatıldığında çöktüğü için bu işlem uzaktan ya da otomatik olarak yapılamaz. Bunun yerine, BT personelinin Windows makinelerini manuel olarak bir sorun giderme “Güvenli Mod”da başlatıp sorunlu güncellemeyi silmesi gerekiyor. Sorunu daha da karmaşık hale getiren durum, bilgisayarlar BitLocker Tam Disk Şifrelemesi kullandığında – ki bu şiddetle tavsiye edilir – BT personelinin ayrıca BitLocker kurtarma anahtarlarına ihtiyaç duymasıdır. Bazı organizasyonlar, bu anahtarları kaydetmediklerini veya erişemediklerini fark ediyor.
- Hava seyahatlerine ne oldu?
Birçok organizasyon, Windows iş istasyonlarını ve sunucularını korumak için CrowdStrike EDR yazılımını kullanıyor, buna havayolları da dahil. Sonuç olarak, bazı havayollarının – en çok dikkat çeken Delta Havayolları – bilgisayarları Cuma gününden itibaren artık başlatılamadı. Delta, sistemlerinin yarısından fazlasının Windows ile çalıştığını ve özellikle mürettebat planlama sistemlerinin bu durumdan büyük ölçüde etkilendiğini belirtti. Bu sistemlerin neden diğer organizasyonlara göre daha uzun sürede tekrar çalışır hale getirildiği henüz bilinmiyor; ABD Ulaştırma Bakanlığı, bu sorun nedeniyle Delta hakkında bir soruşturma başlattı.
- Bu kesintiden çıkarabileceğimiz dersler neler?
Bu olay, inanılmaz derecede karmaşık yazılım sistemlerine ve bu sistemlerin sahip olduğu çok sayıda bağımlılığa ne kadar bağımlı hale geldiğimizin sert bir hatırlatıcısıdır. Yazılım geliştirme alanında daha iyi hale gelsek de karmaşık sistemlerin bu tür hatalara sahip olmayacağını garanti etmekten hâlâ çok uzağız. Kritik altyapı sağlayıcılarının, sistemlerinin başarısızlıklara karşı nasıl dirençli olacağını ve bir sistem başarısız olduğunda nasıl toparlanacaklarını düşünmeleri gerekiyor çünkü bu, bu tür bir hatayı son görüşümüz olmayacak.
Kaynak: Stanford