小文件诱发大事故 CrowdStrike的一次例行更新如何导致全球电脑宕机|CrowdStrike_新浪财经

当地时间7月19日，当英国国民医疗服务体系(NHS)的医生Brendan Delaney来到他位于伦敦的诊所时，原以为这会是忙碌的一天。

两个月前，伦敦东南部的医院和诊所遭遇了严重的网络攻击。像Delaney这样的医生，刚刚才开始感觉一切恢复正常，能再次开紧急验血单了，网络安全专家在修复和更换之前被黑客团伙关闭的IT系统方面也取得了进展。

但当他到了诊所，看到的是前台人员正匆匆搜集纸质记事本，并忙着查询业务连续性计划。全英国医生用来查看患者病历的一个系统突然失效了。

这一次，问题并不出在勒索软件团伙身上，而是一家旨在保护人们免受黑客攻击的公司。全球最大的网络安全软件制造商之一CrowdStrike Holdings Inc.发布了一个存在缺陷的更新，引发全球IT系统崩溃，造成机场、银行、股票交易所和企业陷入瘫痪。

令人难以置信的是，这次全球宕机事件的罪魁祸首只是一个小小的文件——据专家称大小仅够容纳一张网页图像。这个名为“C-00000291*.sys”的文件隐藏在CrowdStrike的Falcon传感器产品更新中。这个文件导致微软Windows操作系统出错，令电脑无法运行，出现“蓝屏”故障。

这一事件暴露出全球IT系统空前的脆弱性，并凸显出如此多企业和个人依赖少数几家科技公司的危险。如果其中一家发生故障或遭到黑客攻击，则可能波及全球经济的角角落落。微软凭借其Windows操作系统在个人电脑领域占据主导地位，而CrowdStrike已成为成千上万希望保护其最重要系统免受网络攻击的企业和机构的供应商首选。

根据研究公司IDC的数据，CrowdStrike是仅次于微软的第二大“现代终端保护”软件制造商，在这个126亿美元的市场占有18%的份额。这家总部位于奥斯汀的公司向全球29000家机构销售产品，因此这次宕机事故可能影响到了数百万台电脑，由于必须手动修复，这些电脑可能需要数周或更长时间才能恢复正常。

“真是一团糟，”前NHS医生、网络安全和公共卫生专家Saif Abed说。“Crowdstrike影响了微软，而整个NHS又依赖微软。这引发了多米诺骨牌效应。”

随着7月19日的宕机事故从亚洲和澳大利亚蔓延到欧洲和美国，CrowdStrike的联合创始人兼首席执行官George Kurtz站出来道歉。“这不是一起安全事件或网络攻击，”他说。“问题已被识别、隔离并已部署了修复程序。”

Kurtz没有具体说明这个缺陷是如何进入更新程序的。但一些长期批评该行业的人士已经有了一套说得通的理论。他们指CrowdStrike和其他网络安全公司在追求更大利润和安抚股东的同时，牺牲了基本的、枯燥的安全原则。

“现在是行业成长，或许放慢一些脚步的时候了，”总部位于爱丁堡的安全服务公司Quorum Cyber的创始人兼首席执行官Federico “Fede” Charosky说。“某个地方的某个开发人员做了一点更改，但没有分析这种更改会产

生什么影响。这显然缺乏质量保证和测试，为了追求速度走了捷径。这说明我们对运行一切所必须的技术的完全信任是一种妄想。”

7月19日发生的情况极为罕见，但CrowdStrike的Kurtz对此不应该陌生。2010年时，他还是杀毒软件先驱McAfee的首席技术官。那年4月，McAfee发布了一个更新，错误地将一个正常的Windows文件标记为受感染文件，导致全球各地医院、学校和政府机构的电脑瘫痪。

仅16分钟后McAfee就下架了这个有缺陷的更新，但时任该公司首席执行官的Dave DeWalt称，已经有超过1600位客户在电脑上安装了这个更新。“

那天我们损失了大约40%的市值，”DeWalt在接受采访时称，并补充说该公司派出了近4000名员工坐飞机去帮助受影响的客户。

McAfee最终走出了那场危机，但据当时的员工描述，这件事给他们带来了极大的创伤和羞愧。四个月后，英特尔宣布收购该公司。

网络行业的观察人士想知道，CrowdStrike是否会从自己的错误中吸取教训。已经有人说，该公司是搬起石头砸自己的脚。多年来CrowdStrike一直批评微软的漏洞导致黑客侵入其系统，Kurtz将这些漏洞作为自己产品的卖点。

在美国政府发布报告指责微软“存在一系列安全漏洞”后不久，Kurtz就在财报电话会议上向投资者引述了调查结果，并称微软的问题引发了潜在客户的大量需求。“微软安全客户群中，安全和IT团队普遍存在信任危机，”他说。

“CrowdStrike竭力抨击微软，试图从中获利，” Charosky说。“但是，当你的公司是全球基础设施的重要一环时，谁也逃脱不了干系。这就是因果报应。当一家公司从初创企业发展成国家重要基础设施时，它需要转变行为方式，我不知道CrowdStrike是否经历了这种转变。”

因其造成的巨大破坏，CrowdStrike有缺陷的更新被一些网络评论员打趣为“年度恶意软件”。将其与黑客攻击代码类比，有一定的现实依据。网络安全专家表示，受影响的机构可能需要数周或更长时间才能恢复，类似于大型机构在遭到勒索软件攻击后重建网络所需的时间。

让电脑恢复正常的最大挑战是，CrowdStrike的修复需要由有管理权限的人员逐台电脑手动进行，这是一个非常耗时的过程，在远程工作时代尤其困难。

网络安全服务公司Accelerynt Inc.的联合创始人兼董事长Michael Henry称，一位客户——美国一家大型零售商——不得不召集所有IT人员，让他们日以继夜地工作，手动更新约6000台受影响的电脑。他说，该公司预计需要整个周末的时间来恢复关键系统，而所有系统完全恢复正常，可能需要长达三周。

“这太疯狂了，他们正在分类处理，先恢复关键系统，” Henry说。“他们是零售业务，所以要确保门店能够恢复运营。”编辑/陈佳靖