Bir kripto para borsasının bilgisayar korsanlarına 235 milyon dolar kaybettiği ve dört kripto şirketinin alan adının devralınmasına yol açan başarısız bir göçün yaşandığı bir haftada, CrowdStrike (CRWD) muhtemelen tüm zamanların en büyük kendi kendine sahip olma rekorunu kırarak hepsini geride bıraktı.
CrowdStrike, Windows makineleri için tek bir hatalı kanal güncelleme dosyasıyla interneti bir gecede çökertti, bu süreçte uçuşları iptal etti, bankaları iflas ettirdi ve sağlık hizmetleri ile diğer kritik altyapılarda büyük hasara yol açtı.
Muhtemelen şimdiye kadarki en büyük siber olay veya isterseniz en büyük “teknik kesinti” olacak. Ve düzeltme her makinenin manuel olarak yeniden başlatılmasını gerektirdiğinden, hasarı temizlemek muhtemelen günler sürecek. Yerel BT yöneticilerinize yazık, çünkü uzun bir temizlik hafta sonuna doğru gidiyor olabilirler. Temizliğin ne kadar kötü olacağına dair bir değerlendirme X’te paylaşıldı:
Tam hasarı ve maliyetleri değerlendirmek zaman alacak, ancak CrowdStrike hissesi bugün piyasa değerinde yaklaşık 8 milyar dolar kaybettiğinden, Wall Street yatırımcıları kesinlikle kalıcı bir düşüş bekliyor. Bu siber sigortanın ne kadarını karşılayacağı (ve bunun sonucunda primlere ne olacağı) belli değil, ancak etkilenen makinelerin ve kuruluşların ölçeği göz önüne alındığında, maliyet en azından kaybedilen üretkenlik ve personel zamanı açısından astronomik olacak.
Bu arada, CrowdStrike olayı en azından bir sürü güzel meme’e konu oldu:
CrowdStrike’ın Erişimi Sorunun Bir Parçası
İlginçtir ki, benzer bir olay 2010 yılında McAfee’yi de vurdu – CrowdStrike CEO’su George Kurtz McAfee’nin CTO’suyken. Görünüşe göre CrowdStrike’ı başlatma ilhamını oradan aldı.
CrowdStrike, benim analizime göre, MITRE ve diğer kuruluşlardan gelen bağımsız testlerin yıllara dayanan sonuçlarına göre En İyi 5 Uç Nokta Algılama ve Yanıt (EDR) sağlayıcısıdır. Şirketi diğerlerinden ayıran şey, olay yanıtlama yetenekleridir ve aşırı yüklenmiş güvenlik ekipleri, üst düzey güvenlikten daha çok hızlı temizlemeye değer verir.
CrowdStrike yıllar içinde birçok başka siber güvenlik pazarına girdi ve kendisini öncü bir güvenlik tedarikçisi olarak pazarlama becerisi, aynı derecede büyük güvenlik ihtiyaçları olan bazı çok büyük müşteriler edinmesini sağladı. Şirketin 29.000 müşterisi arasında Fortune 500’ün 298’i, ilk 10 teknoloji şirketinin 8’i, en büyük 10 finansal hizmet firmasının 8’i ve en büyük 10 sağlık hizmeti sağlayıcısının 6’sı ve en büyük 10 üreticinin 7’si yer alıyor.
Bu şekilde baktığınızda, yanlış biçimlendirilmiş tek bir dosyanın küresel interneti nasıl çökertebileceğini görmek kolaydır.
Peki CrowdStrike Kesintisinde Neler Oldu?
CrowdStrike’ın kendi olay açıklamasına göre, tüm sorunlara tek bir kanal dosyası (0409 UTC zaman damgalı “C-00000291*.sys”) yol açmış.
Söz konusu dosya VirusTotal’a gönderildi ve henüz hiçbir güvenlik sağlayıcısı bunu kötü amaçlı olarak işaretlemedi. Bu da CrowdStrike’ın geçersiz biçimde biçimlendirilmiş dosyanın bir siber saldırının sonucu olmadığı iddiasını destekliyor.
Ancak CrowdStrike, müşterilerini rahatlatmak için dosyanın QA kontrollerinden nasıl geçtiğini ve şirketin gelecekte benzer bir olayı önlemek için ne yapacağını açıklamak zorunda kalacak.
İlginçtir ki, CrowdStrike’ın haftanın yüz kızartıcı olaylarından biri olan Squarespace kripto alan adı korsanlığıyla ortak bir noktası olabilir; çünkü yeterli kalite ve güvenlik kontrollerinden geçirilmemiş aceleyle yürütülen geliştirme süreçleri her iki olayda da merkezi bir faktör olabilir.
235 milyon dolarlık kripto hırsızlığına neyin yol açtığı henüz yeterince açıklanmadı.
CrowdStrike BSOD’sini Düzeltme
CrowdStrike, “mavi ölüm ekranı” (BSOD) sorunuyla karşılaşan Windows makineleri için şu talimatları sunuyor:
- Ana bilgisayarı yeniden başlatın ve geri döndürülen kanal dosyasını indirme fırsatı verin. Ana bilgisayar tekrar çökerse, o zaman:
- Windows’u Güvenli Mod’da veya Windows Kurtarma Ortamında başlatın
- NOT: Sunucuyu kablolu bir ağa (WiFi’ın aksine) bağlamak ve Ağ ile Güvenli Mod’u kullanmak sorunu çözmeye yardımcı olabilir.
- %WINDIR%\System32\drivers\CrowdStrike dizinine gidin
- “C-00000291*.sys” ile eşleşen dosyayı bulun ve silin.
- Bilgisayarı normal şekilde başlatın.
- Windows’u Güvenli Mod’da veya Windows Kurtarma Ortamında başlatın
Bitlocker şifreli ana bilgisayarlar bir kurtarma anahtarı gerektirebilir. Bir gözlemcinin alaycı bir şekilde belirttiği gibi, “Bonus olarak, bugün Bitlocker kurtarma anahtarlarını kimin sorumlu bir şekilde yönettiğini öğreniyoruz.”
Microsoft Azure Ayrı Bir Olayda Vuruldu
Beklendiği üzere Microsoft, Windows makineleri ve Microsoft 365 uygulamaları, hizmetleri ve bulut bilgisayarlarında çok sayıda olayla karşı karşıya kaldı.
Aynı zamanda Microsoft, şirketin bir hizmet güncellemesinde belirttiği üzere ayrı bir Azure kesintisiyle karşı karşıya kaldı.
Azure güncellemesinde, “18 Temmuz’da başlayan ve müşterilerin CrowdStrike Falcon aracısını kullanan Windows makinelerinde yanıt vermeme ve başlatma hataları yaşamasına neden olan, hem şirket içi hem de çeşitli bulut platformlarını (Azure, AWS ve Google Cloud) etkileyen bir sorunun farkındayız” denildi.
“Bu olayın, çözülen Orta ABD Azure kesintisinden (İzleme Kimliği: 1K80-N_8) ayrı olduğunu açıklığa kavuşturmak önemlidir. Microsoft, müşterilerin platformlarımızdaki kurtarmalarına yardımcı olmak için aktif olarak destek sağlıyor, ek rehberlik ve teknik yardım sunuyor.”
Microsoft, Azure hizmet bozulmasının nedenini şöyle açıkladı: “Bir arka uç küme yönetimi iş akışının, Azure Depolama kümelerinin bir alt kümesi ile Orta ABD bölgesindeki işlem kaynakları arasında arka uç erişiminin engellenmesine neden olan bir yapılandırma değişikliği dağıttığını belirledik. Bu, etkilenen depolama kaynaklarında barındırılan sanal disklere bağlantı kesildiğinde işlem kaynaklarının otomatik olarak yeniden başlatılmasıyla sonuçlandı.”
CrowdStrike Kesintisinden Sonra Sırada Ne Var?
CrowdStrike temizliği karmaşık ve masraflı olacak ve tamamlandığında müşteriler (ve CrowdStrike müşterilerinden etkilenenler) olayla ilgili ayrıntılı bir açıklama ve bunun tekrarlanmaması için somut adımlar isteyecekler.
O zamana kadar, şirketin kendi pazarlama materyallerinin kendisine karşı kullanılması da dahil olmak üzere daha fazla meme görmeyi bekleyebilirsiniz; örneğin Microsoft güvenlik araştırmacısı Kevin Beaumont’un Mastodon’daki bu gönderisinde olduğu gibi:
