CrowdStrike, 19 Temmuz’da Falcon sensörlerine gönderilen bir içerik güncellemesinin dünya çapında 8,5 milyondan fazla Windows bilgisayarında bozulmasının nedenlerine ilişkin teknik bir temel neden analizi yayınladı ve Falcon sensör kodunun güvenliğini ve kalite güvencesini incelemek üzere ismi açıklanmayan iki üçüncü taraf yazılım güvenliği sağlayıcısını işe aldığını doğruladı.
CrowdStrike ayrıntılara giriyor
Şirket, olay sonrası ön incelemesini genişleterek, içerik yapılandırma güncellemeleri olarak sunulan hatalı Hızlı Müdahale İçeriğinin hasara yol açmadan önce tespit edilemediği konusunda daha ayrıntılı bilgi verdi.
Şirket, “Hızlı Tepki İçeriği, sensör kodunda değişiklik gerektirmeden telemetri toplamak, düşman davranışının göstergelerini belirlemek ve sensörde yeni tespitleri ve önlemleri artırmak için kullanılıyor” açıklamasında bulundu.
“Hızlı Tepki İçeriği, Kanal Dosyaları aracılığıyla iletilir ve sensörün İçerik Yorumlayıcısı tarafından, düzenli ifade tabanlı bir motor kullanılarak yorumlanır. Her Hızlı Tepki İçeriği kanal dosyası, bir sensör sürümüne yerleştirilmiş belirli bir Şablon Türü ile ilişkilendirilir. Şablon Türü, İçerik Yorumlayıcısına Hızlı Tepki İçeriği ile eşleştirilecek etkinlik verileri ve grafik bağlamı sağlar.”
Felaket niteliğindeki güncelleme, nispeten yeni bir Şablon Türüne dayalı bir Şablon Örneğiydi ve Kanal Dosyası 291 aracılığıyla teslim edildi.
Ancak Şablon Türü 21 giriş parametresi alanı tanımlarken, “Kanal Dosyası 291’in Şablon Örnekleriyle İçerik Yorumlayıcısını çağıran entegrasyon kodu, eşleştirilecek yalnızca 20 giriş değeri sağladı.”
19 Temmuz’da, 21. giriş değerine karşı bir karşılaştırma belirten yeni bir Channel File 291 sürümü Falcon sensörlerine gönderildi. Şirket, “İçerik Yorumlayıcısı yalnızca 20 değer bekliyordu. Bu nedenle, 21. değere erişme girişimi, giriş veri dizisinin sonunun ötesinde sınır dışı bir bellek okuması üretti ve bir sistem çökmesine neden oldu” diyor.
Girdilerin uyumsuzluğu, nihayetinde büyük kesintiye yol açan şeylerden sadece biriydi. Diğerleri şunlardı: CrowdStrike’ın uyumsuzluğu yakalayacak belirli bir testinin olmaması, İçerik Yorumlayıcısı’ndaki sınır dışı okuma sorunu ve şirketin güncellemeleri oradaki her sensöre göndermesi.
Ayrıca, güvenlik araştırmacısı Kevin Beaumont’un da belirttiği gibi, “kanal güncellemeleri dağıtımdan önce gerçek bir Windows PC’de test edilmedi, otomatik özel kod testlerine dayanıyordu.”
Şirket, halihazırda atılan adımları (örneğin, müşterilerin Hızlı Yanıt İçeriği güncellemelerinin nerede ve ne zaman dağıtılacağını seçebilme yeteneği) ve böyle bir olayın tekrar yaşanmasını önlemek için uygulamaya koymayı planladığı adımları (örneğin, içerik güncellemelerinin birkaç aşamada dağıtılması) özetledi.
Güvenlik sensörlerinin çekirdek sürücülerinden yararlanma ihtiyacı konusuna gelince CrowdStrike, Windows’un yeni sürümlerinin kullanıcı alanında daha fazla güvenlik işlevi gerçekleştirme desteği eklemesiyle CrowdStrike’ın aracısını bunu kullanacak şekilde güncellediğini ve bunu yapmaya devam edeceğini söylüyor.
(Diğer uç nokta güvenlik şirketleri, kesintiden bu yana yazılım/güncelleme sürüm süreçlerini ve kalite güvence uygulamalarını ve çekirdek sürücülerini nasıl kullandıklarını açıkladılar.)
Kesintinin etkileri
Kesintinin etkileri CrowdStrike ve müşterileri ve dolayısıyla bu kuruluşların müşterileri/kullanıcıları tarafından hissedildi.
CrowdStrike hisselerinin fiyatı 19 Temmuz’dan bu yana önemli ölçüde düştü ve şirket hissedarları tarafından dava ediliyor.
Delta Air Lines, kesintiden dolayı yaşadıkları büyük kayıpların bir kısmını telafi etmek ve (potansiyel olarak) düzenleyicileri ve ABD Ulaştırma Bakanlığı’nı sırtından atmak umuduyla hem CrowdStrike’ı hem de Microsoft’u dava etmeyi düşünüyor.
Kesintinin ardından Electronic Frontier Foundation, daha sıkı antitröst uygulamaları çağrısında bulundu.
EFF, “Günümüzün endüstri imparatorlukları günlük hayatımız üzerinde giderek daha fazla etki yaratıyor ve monokültürlerine daha fazla kilitleniyorlar. Başarısız olduklarında, ölçek ve etki bir hükümet kapanmasıyla rekabet ediyor” diyor.
“Hata kodunun hayatları riske attığı daha istikrarlı ve güvenli bir dijital geleceği hak ediyoruz. Hayati altyapı dijital bir monokültür üzerine inşa edilemez. Bunu yapmak için, FTC, Adalet Bakanlığı (DOJ) ve eyalet başsavcıları da dahil olmak üzere antitröst uygulayıcıları, tehlikeli düzeyde merkezileşmeyi önlemek için teknoloji sektörünün her köşesinde incelemeyi artırmalıdır.”