Microsoft, üçüncü taraf bir ürünün Windows’u nasıl çökertebildiğine ilişkin sorular sorarken, 2009 yılında AB’nin verdiği bir rekabet karşıtı kararı savunma hattı olarak kullandı.
19 Temmuz Cuma günü, 8,5 milyon bilgisayar, Windows işletim sisteminin (OS) büyük bir hata yaşaması ve daha fazla hasarı önlemek için durması anlamına gelen Mavi Ekran sorununu yaşadı.
Bu tür olaylar meydana gelir, ancak asıl neden CrowdStrike tarafından sağlanan Falcon adlı üçüncü taraf anti-virüs yazılımındaki hatalı bir güncelleme olarak tanımlanmıştır. Hatalı dosya Falcon tarafından tespit edilmiş olmalıydı, ancak bunda da dosyayı okuyan ve çökmesine neden olan bir hata vardı.
Çökmeler PC kullanıcıları için düzenli bir olaydır, ancak sistemin durmasına neden olmaları çok nadirdir. Ancak bu durumda, Computer Weekly’nin daha önce bildirdiği gibi, Falcon, Ring Zero olarak bilinen bir çekirdek modu aygıt sürücüsü olarak çalışır. Bu, ona Windows işletim sistemine tam erişim sağlar, bu da Microsoft tarafından geliştirilen çekirdek Windows bileşenlerinin sahip olduğu erişimle aynıdır.
Microsoft’a göre CrowdStrike’ın bu erişime sahip olmasının nedeni, Microsoft’un üçüncü taraf ürünlerinin, diğer Microsoft ürünleriyle eşit şartlarda aynı birlikte çalışabilirlik bilgilerini kullanarak Microsoft’un ilgili yazılım ürünleriyle birlikte çalışabilmesini sağlamasını şart koşan 2009 tarihli bir Avrupa Komisyonu kararıdır.
Microsoft yazılım lisanslama uzmanı Rich Gibbons şunları söyledi: “Microsoft, üçüncü bir tarafın Windows’u bu kadar derin bir teknik düzeyde etkileyebilmesi nedeniyle bazı eleştiriler aldı. Microsoft’un bunun, Microsoft’un diğer güvenlik şirketlerine Windows çekirdeğine kendileri kadar erişim sağlaması gerektiği anlamına gelen 2009 tarihli bir AB rekabet karşıtı kararından kaynaklandığını belirtmesi ilginçtir.”
Gibbons, 2009’daki birlikte çalışabilirlik kararının, diğer kuruluşların da CrowdStrike çekirdek aygıt sürücüsünün yaptığı gibi Windows’u bozabileceği anlamına geldiğine ve Microsoft’un bu felaketi AB’nin müdahalesine karşı koymak için kullanabileceğine inanıyor.
“Microsoft, CrowdStrike durumunu Microsoft ürünlerinin birlikte çalışabilirliğiyle ilgili bu kararı ve/veya gelecekteki benzer kararları geri püskürtmek için mi kullanacak ve bunu müşterileri kendi güvenlik ürünlerine yönlendirmek için ek bir kaldıraç olarak mı kullanacak?” diye sordu.
Açık olan bir şey var ki, CrowdStrike’tan önce Microsoft, şirket içinde kullandığı uygulama programlama arayüzlerine (API) erişim sağlamanın güvenlik riskleri konusundaki güvenlik endişelerini kamuoyuna açıklamamıştı.
Linux sunucularının da nisan ayında CrowdStrike ile benzer bir sorun yaşadığı anlaşılıyor. Bazı sektör yorumcularına göre bu durum, CrowdStrike ve Microsoft’un yeterince ele almadığı bir kalite kontrol başarısızlığını ortaya koyuyordu.
Apple MacOS, antivirüs sağlayıcılarının çekirdek MacOS işletim sisteminden telemetri bilgisi almak için kullandığı bir API olan Apple Endpoint Security Framework’ü çalıştırdığı için Cuma günkü çöküşten etkilenmedi. Bu, kodlarının çekirdek MacOS’ta Ring Zero’da, yani CrowdStrike’ın Falcon’unun Windows sürümünün çalışması gereken yerde çalışmasına gerek olmadığı anlamına geliyor.
Microsoft’un neden benzer bir şey sağlamadığı konusunda sorular var. Sorunun bir kısmı, Windows’un, MacOS’un aksine, uzun yıllara yayılan geriye dönük uyumluluk sunmasıdır. Ancak rekabeti önleyici düzenlemelerin de bir rolü olmuş olabilir.
Eski Windows geliştiricisi David Plummer’a göre Microsoft, aslında üçüncü taraf antivirüs güvenliği için bir dizi API sunuyor. Plummer bir YouTube videosunda “CrowdStrike varsayılan olarak çekirdek moduna geçiyor, muhtemelen kullanıcı modundan yapılamayan şeyleri yapması gerektiği için” dedi.
“Ve bana göre, Microsoft’un sorumluluğu burada olabilir, çünkü Windows platformunda, bildiğim kadarıyla, CrowdStrike güvenlik işlevlerinden bazıları, şu anda yalnızca çekirdek tarafında elde edilebilen işletim sistemiyle derin bir entegrasyon gerektiriyor.”
Plummer, Microsoft’un Windows Defender Uygulama Denetim API’si ve Windows Defender Aygıt Koruması da dahil olmak üzere bir dizi API’si olduğunu ve bunların uygulama yürütmeyi kontrol eden ve işletim sisteminde yalnızca güvenilir kodun çalışmasını sağlayan mekanizmalar sağladığını söyledi.
Windows Filtreleme Platformu’nun (WFP) uygulamaların çekirdek düzeyinde kod gerektirmeden ağ yığınıyla etkileşime girmesine izin verdiğini söyledi. Ancak, Microsoft içindeki kaynakları alıntılayan Plummer, şirketin CrowdStrike’ınki gibi güvenlik uygulamaları için özel olarak tasarlanmış gelişmiş bir API geliştirerek aslında “doğru şeyi yapmaya çalıştığını” iddia etti.
“Bu API, Windows işletim sistemiyle daha derin bir entegrasyon sunarak gelişmiş kararlılık, performans ve güvenlik sunmayı vaat ediyor” diye ekledi.
Ancak AB’nin 2009 tarihli kararı, Microsoft’a haksız bir avantaj sağlayabileceği için böyle bir entegrasyonu fiilen engelledi.
Ancak internet düzenlemeleri konusunda bağımsız danışman olan Ian Brown, CrowdStrike çöküşünün sorumluluğunu AB Rekabet Karşıtı Komisyonu’na yüklemeye çalışmak yerine Microsoft’un daha iyi güvenlik kontrollerine sahip olması gerektiğini savundu.
Bir blogda şöyle yazmıştır: “Teknolojiye bağımlı toplumların dayanıklılığı için, sosyal açıdan kritik altyapı sistemlerindeki (seyahat, sağlık ve bankacılık gibi) işletim sistemi çekirdek düzeyindeki yazılımlar ve eşdeğerleri çok dikkatli bir şekilde test edilmeli (ve ideal olarak resmi olarak doğrulanmış bir mikro çekirdeğin üstünde çalıştırılmalı) ve kontrol edilmelidir. Ancak işletim sistemi tekelcileri, bu kontrollerin tam olarak nasıl göründüğü ve rekabete etkileri olup olmadığı konusunda nihai kararları vermemelidir.”