CrowdStrike’ın üst düzey yöneticilerinden biri, şirketin hatalı bir güncellemeyi yayınlamasının ardından dünya genelindeki BT sistemlerinin çökmesine ve korkulan mavi ekran hatasının görüntülenmesine neden olan 19 Temmuz kesintisi nedeniyle ABD hükümet komitesi önünde özür diledi.
İngiltere’de sabahın erken saatlerinde gerçekleşen olay, CrowdStrike’ın Falcon tehdit tespit platformuna bir güncelleme yayınlamasıyla başladı ancak otomatik içerik doğrulama aracında bulunan bir hata nedeniyle “sorunlu” içerik verileri içeren şablonun dağıtıma hazır hale getirilmesi sağlandı.
Bu da, güncelleştirmeyi alan Windows bilgisayarların bir önyükleme döngüsüne girmesine neden olan bir sınır dışı bellek durumuna yol açtı. Bu, etkilenen cihazların başlatma işlemi sırasında uyarı olmadan yeniden başlatılması ve tam bir önyükleme döngüsünü tamamlayamamaları anlamına gelir.
Ortaya çıkan kaos, 8,5 milyon bilgisayarı kısa bir süreliğine çökertti ve dünya çapındaki kuruluşları etkiledi. Etkiler özellikle ulaşım ve havacılık sektörlerinde yoğun bir şekilde hissedildi.
CrowdStrike’ın karşı saldırı operasyonlarından sorumlu kıdemli başkan yardımcısı Adam Meyers, Washington DC’deki Temsilciler Meclisi İç Güvenlik Komitesi’nde yaptığı açılış konuşmasında, kuruluşun hatalı güncellemeyi yayınlayarak müşterilerini hayal kırıklığına uğrattığını söyledi.
“CrowdStrike’taki herkes adına özür dilemek istiyorum. Bunun olmasından dolayı çok üzgünüz ve bunun tekrar olmasını engellemeye kararlıyız” dedi Meyers.
“Ekiplerimizle birlikte çalışarak sistemleri geri yüklemek ve birçoğunu saatler içinde tekrar çevrimiçi hale getirmek için hemen harekete geçen müşterilerimizin ve ortaklarımızın inanılmaz 7/24 çabalarını takdir ediyoruz. Size, buna büyük bir aciliyet duygusuyla yaklaşmaya devam ettiğimizi temin edebilirim.”
Devam etti: “Daha genel olarak, bunun yabancı tehdit aktörlerinden gelen bir siber saldırı olmadığını vurgulamak istiyorum. Olay, CrowdStrike hızlı yanıt içerik güncellemesinden kaynaklandı. Bu sorunun tekrarlanmamasını sağlamak için adımlar attık ve 29 Temmuz itibarıyla Windows sensörlerinin yaklaşık %99’unun tekrar çevrimiçi olduğunu bildirmekten mutluluk duyuyoruz.
“Bu olaydan bu yana, şeffaf olmaya ve yaşananlardan ders çıkarmaya kendimizi adadık,” dedi Meyers. “Sistemlerimizi kapsamlı bir şekilde gözden geçirdik ve bu deneyimden daha güçlü bir şirket olarak çıkabilmemiz için içerik güncelleme prosedürlerimizi güçlendirmek üzere planlar uygulamaya başladık. Bu olaydan öğrendiğimiz dersleri alıp gelecekte gelişmek için çalışmalarımızı bilgilendirmek amacıyla kullanacağımızdan emin olabilirsiniz.”
Siber Güvenlik ve Altyapı Koruması Alt Komitesi üyesi ve başkanı Andrew Garbarino şunları söyledi: “Bu hatanın muazzam ölçeği endişe vericiydi. Rutin bir güncelleme bu düzeyde bir kesintiye neden olabiliyorsa, yetenekli, kararlı bir ulus devlet aktörünün neler yapabileceğini hayal edin.
“Bu olayın daha geniş tehdit ortamına nasıl etki ettiğini gözden kaçıramayız,” dedi. “Hiç şüphesiz, rakiplerimiz tepkimizi, toparlanmamızı ve gerçek dayanıklılık seviyemizi değerlendirdiler.
“Ancak düşmanlarımız yalnızca gelişmiş siber yeteneklere sahip ulus devletler değil; aynı zamanda ortaya çıkan belirsizlik ve karışıklıktan beslenen bir dizi kötü niyetli siber aktörü de içeriyor.[s] Garbarino, “Büyük ölçekli BT kesintileri sırasında” dedi.
“CISA [the US Cybersecurity and Infrastructure Security Agency] tehdit aktörlerinin bu olayı kimlik avı ve diğer kötü amaçlı faaliyetler için kullandığını gözlemlediğini belirten bir kamu açıklaması yayınladı. Bu kesintinin kötü amaçlı siber aktörler tarafından istismara elverişli avantajlı bir ortam yarattığı açıktır.”
Neden olunan kesintiler
Komite başkanı Mark Green, yalnızca ABD’de değil, tüm dünyada uçuşlarda, acil servislerde ve tıbbi prosedürlerde yaşanan aksaklıklara dikkat çekti. “Ekonominin her sektörünü etkileyen küresel bir BT kesintisi, bir filmde görmeyi bekleyeceğimiz bir felakettir,” dedi. “Bu, kötü niyetli ve sofistike ulus-devlet aktörleri tarafından dikkatlice yürütülmesini bekleyeceğimiz bir şey.
Green, “Tuz üstüne tuz, tarihin en büyük BT kesintisi bir hatadan kaynaklandı,” dedi. “Bu durumda, CrowdStrike’ın Falcon sensörü için kullandığı içerik doğrulayıcısı bir kanal dosyasındaki hatayı yakalayamadı. Ayrıca, güncellemenin bir bilgisayarın işletim sisteminin en hassas kısmına gönderilmeden önce uygun şekilde test edilmemiş olabileceği de anlaşılıyor. Hatalar olur, ancak bu büyüklükte bir hatanın tekrar olmasına izin veremeyiz.”
Meyers, ifadesi sırasında sorunun kesin doğasına ilişkin ayrıntıları da ortaya koydu ve CrowdStrike’ın bunun tekrar yaşanmaması için attığı adımları özetledi; ancak kamuoyuna açıklanmayan çok az bilgi paylaştı.
Yaklaşık bir buçuk saat süren oturumda, ABD’li politikacılar CrowdStrike’ın kesintiden etkilenen kritik ulusal altyapı (CNI) operatörlerine ne tür destek sağladığı ve siber suçlular tarafından kesinti süresinin nasıl istismar edildiğine ilişkin kendi gözlemleri de dahil olmak üzere kendisine sorular yöneltti.
Çekirdek erişimi
Önemli olarak Meyers, CrowdStrike’ın Microsoft Windows işletim sisteminin temel bir parçası olan ve sistemdeki çeşitli kaynakları ve süreçleri yöneten ve genellikle Falcon uç nokta algılama ve yanıt sensörü de dahil olmak üzere kritik siber güvenlik uygulamalarına ev sahipliği yapan Microsoft çekirdeğine erişim ihtiyacının olduğunu savundu.
Olayın ardından bazıları, Microsoft’un böyle bir erişime izin vermesinin tehlikeli olduğunu, daha iyi uygulamanın bu tür güncellemeleri doğrudan kullanıcılara dağıtmak olacağını iddia etti.
Meyers, “CrowdStrike, Microsoft’un işletim sisteminin çok çeşitli donanım türlerini ve farklı sistemleri desteklemesini sağlamak için aldığı bir karar olan açık bir çekirdek mimarisi olan Windows çekirdek mimarisini kullanan birçok satıcıdan biri” dedi.
“Çekirdek, performansı garantileyebileceğiniz, işletim sisteminde olan her şeye görünürlük sağlayabileceğiniz, yaptırım sağlayabileceğiniz -başka bir deyişle, tehdit önleme- ve siber güvenlik açısından önemli bir endişe olan kurcalamaya karşı korumayı sağlayabileceğiniz temel alanlardan sorumludur,” dedi. “Kurcalamaya karşı koruma çok endişe vericidir çünkü bir tehdit aktörü bir sisteme erişim sağladığında, güvenlik araçlarını devre dışı bırakmaya çalışır ve bunun gerçekleştiğini tespit etmek için çekirdek görünürlüğü gerekir.
“Çekirdek sürücüsü, aklıma gelen her güvenlik ürününün temel bir bileşenidir,” diye ekledi Meyers. “Çalışmalarının çoğunu çekirdekte yapıp yapmamaları satıcıdan satıcıya değişir, ancak çekirdek erişimi olmadan işletim sistemini güvence altına almaya çalışmak çok zor olurdu.”