19 Temmuz 2024 Cuma günü, Birleşik Krallık, görünüşte küresel nitelikte, yüzlerce, hatta binlerce kuruluşu etkileyen hızla yayılan bir BT kesintisi haberiyle uyandı.
Avustralya’da cuma sabahının erken saatlerinde başlayan aksaklıklar kısa sürede Asya, Avrupa ve Amerika’ya yayıldı. En çok etkilenen sektör ise seyahat sektörü oldu.
Kesinti, kaosun ortasında olay müdahalesiyle meşgul olan siber güvenlik firması CrowdStrike’a hızla iletildi. Önümüzdeki günlerde ve haftalarda Temel Rehberimizle bu gelişen olaydan haberdar olun.
CrowdStrike ne yapar?
CrowdStrike, dünyanın dört bir yanında binlerce müşterisi olan dünyanın en önde gelen siber güvenlik şirketlerinden biridir. Teksas merkezli olan şirket, 8.000’den fazla kişiyi istihdam ediyor ve yıllık yaklaşık 3 milyar dolar gelir elde ediyor. 2011’den beri varlığını sürdürüyor.
Kuruluş kendini şu şekilde tanımlıyor: “CrowdStrike, modern işletmeleri yönlendiren insanları, süreçleri ve teknolojileri koruyan ve etkinleştiren dünyanın en gelişmiş bulut tabanlı platformuyla güvenliği yeniden tanımladı. CrowdStrike, müşterileri günümüzün saldırganlarının önünde tutmak ve ihlalleri durdurmak için en kritik risk alanlarını – uç noktaları ve bulut iş yüklerini, kimliği ve verileri – güvence altına alıyor.”
CrowdStrike, teknoloji sektöründe olmayan çoğu kişi için yabancı bir isim olabilir; ancak Formula 1 hayranları, Mercedes AMG Petronas takımına yaptığı sponsorluk nedeniyle bunu bileceklerdir; markası, halo güvenlik cihazında yer alıyor ve Lewis Hamilton’ın aracından alınan görüntülerde açıkça görülüyor.
Güvenlik uzmanları CrowdStrike’ı, Sony Pictures’ın hacklenmesi, WannaCry krizi ve Rusya’nın 2016’da Demokratik Ulusal Komitesi’ne düzenlediği saldırı da dahil olmak üzere büyük olay soruşturmalarına yaptığı katkılardan tanıyacaktır.
CrowdStrike kesintisi sırasında neler yaşandı?
Bu aksaklık ilk olarak Windows PC’lerde ölümcül bir sistem hatasına işaret eden meşhur mavi ekran hatası şeklinde ortaya çıktı.
Sorun ilk başta Microsoft’un bir sorunu gibi göründüğünden, ilk müdahaleyi Redmond yaptı ve sabah 8’den hemen önce ABD’deki bulut hizmetlerini etkileyen sorunları araştırdığını doğruladı.
Sorunun Microsoft’tan kaynaklanmadığı, CrowdStrike’ın Falcon sensör ürününe gönderilen hatalı bir kanal dosyasından kaynaklandığı kısa sürede anlaşıldı.
Falcon, yeni nesil antivirüs, uç nokta algılama ve yanıt (EDR), tehdit istihbaratı ve tehdit avcılığı ve güvenlik hijyenini birleştirerek siber saldırıları önlemek için tasarlanmış bir çözümdür. Bunların hepsi, sorunun ortaya çıktığı yer gibi görünen hafif, bulut üzerinden sağlanan ve yönetilen bir sensör aracılığıyla yönetilir ve sunulur.
Beceriksizce yapılan dağıtım, önyükleme döngüsü olarak bilinen şeye etkili bir şekilde neden oldu. Bu, bir Windows cihazının başlatma işlemi sırasında uyarı vermeden yeniden başlatılmasıyla oluşan bir durumdur; bu, makinenin tam ve kararlı bir önyükleme döngüsünü tamamlayamayacağı ve bu nedenle açılmayacağı anlamına gelir.
Yazının yazıldığı sırada, olayın tüm gerçekleri henüz ortaya çıkmamış olup, soruşturmanın biraz zaman alması muhtemeldir.
Ancak bu tür sorunlar genellikle çeşitli masaüstü ve sunucu ortamlarında yapılan yetersiz testlerden veya çekirdek düzeyinde etkileşim içeren güncellemeler için uygun deneme alanı ve geri alma mekanizmalarının eksikliğinden dolayı ortaya çıkacaktır.
CrowdStrike kesintisi nedeniyle siber güvenlik tehdidi var mı?
Etkisi ve kökeni tedarik zinciri saldırısına benzese de, CrowdStrike kesintisinin bir siber güvenlik olayı olmadığını ve bunun sonucunda kimsenin saldırıya uğradığına dair bilgi bulunmadığını belirtmek önemlidir.
Ancak, siber güvenlik ürününü etkilediği için tehdit aktörlerinin, oluşan kesintilerden ve ortaya çıkan kapsam boşluklarından faydalanmaya çalışması ihtimali de vardır.
Önümüzdeki günler ve haftalarda tehdit aktörlerinin yeni kurbanları cezbetmeye çalışırken olayı kimlik avı ve sosyal mühendislik saldırılarında istismar ettiğini görmek neredeyse kesin. Olası cazibeler arasında teknik destek teklifleri veya sahte CrowdStrike güncellemeleri olabilir ve sonuçları arasında veri sızdırma, fidye yazılımı dağıtımı ve gasp yer alabilir.
Güvenlik ve BT liderleri ve yöneticilerinin, olası devam eden tehlikeleri kullanıcılarına iletmeleri yerinde olacaktır.
CrowdStrike kesintisinden kimler etkilendi?
Kesintiden etkilenen kuruluşların tam sayısı şimdilik bilinmiyor. Ancak, etkilendiği bilinen veya etkilendiğini doğrulayanlar arasında şunlar yer alıyor:
- American Airlines, Delta, KLM, Lufthansa, Ryanair, SAS ve United gibi havayolları;
- Gatwick, Luton, Stansted ve Schiphol gibi havaalanları;
- Londra Borsası, Lloyds Bank ve Visa gibi finans kuruluşları;
- Çoğu aile hekimliği muayenehanesi ve birçok bağımsız eczaneyi de kapsayan sağlık hizmeti;
- MTV, VH1, Sky ve bazı BBC kanalları da dahil olmak üzere medya kuruluşları;
- Gail’s Bakery, Ladbrokes, Morrisons, Tesco ve Sainsbury’s dahil perakendeciler, eğlence ve konaklama kuruluşları;
- 20-21 Temmuz hafta sonunda Macaristan Grand Prix’sinde yarışacak F1 takımları Aston Martin Aramco, Mercedes AMG Petronas ve Williams Racing gibi spor kuruluşları ile 26 Temmuz’da başlayacak olan Paris 2024 Olimpiyat ve Paralimpik Oyunları Düzenleme Komitesi;
- Avanti West Coast, Merseyrail, Southern ve Transport for Wales gibi tren işletme şirketleri (TOC’ler).
CrowdStrike kesinti hakkında ne diyor?
CrowdStrike CEO’su George Kurtz ilk açıklamasında şunları söyledi: “CrowdStrike, Windows ana bilgisayarları için tek bir içerik güncellemesinde bulunan bir kusurdan etkilenen müşterilerle aktif olarak çalışıyor. Mac ve Linux ana bilgisayarları etkilenmiyor. Bu bir güvenlik olayı veya siber saldırı değil.
“Sorun tanımlandı, izole edildi ve bir düzeltme uygulandı. Müşterilerimizi en son güncellemeler için destek portalına yönlendiriyoruz ve web sitemizde eksiksiz ve sürekli güncellemeler sağlamaya devam edeceğiz.
“Ayrıca kuruluşlara CrowdStrike temsilcileriyle resmi kanallar aracılığıyla iletişim kurduklarından emin olmalarını öneriyoruz. Ekibimiz CrowdStrike müşterilerinin güvenliğini ve istikrarını sağlamak için tam olarak seferber olmuş durumda.”
Kurtz, ABD’de NBC’ye verdiği bir sabah televizyon röportajında şunları ekledi: “Müşterilerimize, gezginlere, şirketlerimiz de dahil olmak üzere bundan etkilenen herkese verdiğimiz etkiden dolayı derin bir üzüntü duyuyoruz.”
BBC ile paylaşılan ve bir sözcüye atfedilen Microsoft’un tam açıklaması şöyle: “Üçüncü taraf bir yazılım platformundan gelen bir güncelleme nedeniyle Windows cihazlarını etkileyen bir sorunun farkındayız. Bir çözümün yakında geleceğini öngörüyoruz.”
CrowdStrike sorununu kendim çözebilir miyim?
CrowdStrike, etkilenen üründeki değişiklikleri otomatik olarak geri aldı; ancak sunucular çökmeye devam edebilir veya düzeltici güncellemeyi almak için çevrimiçi kalamayacaktır.
Sorunun kısa cevabı evettir, ancak ne yazık ki bu tür sorunları çözmek göz korkutucu olabilir ve BT ekiplerinin çok fazla çaba sarf etmesini gerektirebilir. Etkilenen tüm cihazlara ulaşılabilmesi günler veya daha uzun sürebilir.
Sistem yöneticilerinin aşağıdaki adımları izlemeleri önerilir:
- Windows’u güvenli modda veya Windows Kurtarma Ortamı’nda başlatın;
- C:\Windows\System32\drivers\CrowdStrike dizinine gidin;
- “C-00000291*.sys” ile eşleşen dosyayı bulun. Bu dosyayı silin;
- Normal şekilde önyükleme yapın.
CrowdStrike müşterileri, destek portalına giriş yaparak daha fazla bilgiye erişebilirler.
Gelecekte benzer sorunları nasıl önleyebilirim?
CrowdStrike gibi güvenlik şirketleri, müşterilerini yeni sıfır-gün saldırılarından, fidye yazılımlarından ve benzerlerinden korumak için sık sık yapılması gereken ürün geliştirme ve güncellemeler konusunda büyük bir baskı altındadır.
Bu baskı, anlaşılabilir bir şekilde çoğu zaman güvenlik araçlarının otomatik olarak güncellenmesini sağlayacak ayarlardan yararlanmak isteyen müşterilere de yansıyor.
Gelecekte bu tür sorunların kurbanı olmaktan kaçınmak için BT ekipleri, yazılım güncellemelerine yönelik aşamalı bir yaklaşım benimsemeyi (özellikle güvenlik çözümleriyle ilgiliyse) ve tam dağıtımdan önce bunları bir deneme ortamında veya sınırlı sayıda cihazda test etmeyi düşünmelidir.
Özellikle kritik altyapı çalıştırırken, hata alanlarını düzgün bir şekilde izole etmek ve yönetmek için belirli düzeyde sistem yedekliliğinin yerleşik olması da akıllıca olacaktır.