Dava, Hatalı Yazılım Güncellemesini Bilgisayar Korsanlığıyla Karşılaştırıyor
Jayant Chakravarti (@JayJay_Tech), David Perera (@daveperera) •
28 Ekim 2024
Delta Air Lines, Cuma öğleden sonra CrowdStrike’a karşı, uç nokta güvenlik sağlayıcısının başarısız 19 Temmuz güncellemesini bilgisayar korsanlığına benzeten sert bir dava açtı.
Birçok açıdan dünyanın en büyük uçağı olan Atlanta uçağı, CrowdStrike tarafından başlatılan ve günlerce süren Windows bilgisayar erimesinin kendisine 500 milyon dolara mal olduğunu tahmin ediyor; “gelecekteki gelire ve itibar ile itibara ciddi zarar verilmesine ek olarak.” Uçak beş gün içinde yaklaşık 7.000 uçuşu iptal etti.
Uçak, CrowdStrike’ın Delta’nın satıcının Falcon uç nokta algılama ve yanıt sistemi örneğinde otomatik güncellemeler yapmasını engelleme kararını atlattığını ileri sürdü. “Delta, CrowdStrike’ın uyguladığı türden yetkisiz ve sertifikasız kapılara asla izin vermezdi.”
Delta’nın dünya çapında 8,5 milyon Microsoft makinesinin Temmuz ortasında çökmesinden sonra teknoloji sağlayıcılarına tazminat davası açma niyetini telgrafla duyurması yalnızca haftalar aldı. Ağustos ayında yapılan düzenleyici başvuruda CEO Ed Bastian, Crowdstrike ve Microsoft’a dava açacağını söyledi ancak Fulton İlçesi Yüksek Mahkemesinde açılan dava, kesintilerden doğrudan CrowdStrike’ı sorumlu tutuyor.
Davada, 19 Temmuz güncellemesinin, güncellemeyi kusurları kontrol eden bir sertifika süreci aracılığıyla çalıştırmaması nedeniyle Microsoft’un üçüncü taraf çekirdek düzeyinde erişim gereksinimlerine uymadığı ileri sürülüyor. “Delta gibi müşteriler, her yeni ‘içerik güncellemesinde’ doğrulanmamış ve yetkisiz programlama ve çekirdek modunda çalışan verilerle karşı karşıya kaldı.” Kesintilerden kaynaklanan toplam doğrudan kayıp tahminleri 5,4 milyar doların üzerinde bulunuyor.
Dava, şirketin üç aylık mali sonuçlarında kesintinin iptal edilen uçuşlarda ve müşteri tazminatlarında 380 milyon dolar, müşteri ve mürettebat giderlerinde ise 170 milyon dolara mal olduğunu ayrıntılarıyla açıklamasının ardından geldi.
CrowdStrike tarafından olaya ilişkin bir ön analiz, olayın bulut tabanlı bir sistemdeki, “sorunlu içerik verileri içermesine” rağmen hatalı bir “şablon türü”ne yol açan yeni güncellemeleri test eden bir kusurdan kaynaklandığını öne sürdü.
Olayın daha kapsamlı temel neden analizi, CrowdStrike’ın güncellemeyi bir anda üretime göndermek yerine aşamalı olarak yapması gerektiğini kabul etti. Aşamalı dağıtım, şirketin etkilenen sistem sayısını sınırlamasına olanak tanıyacaktı.
Bir e-posta açıklamasında CrowdStrike sözcüsü, Delta’nın iddialarının “çürütülmüş yanlış bilgilere dayandığını, modern siber güvenliğin nasıl çalıştığına dair anlayış eksikliğini ortaya koyduğunu ve yavaş toparlanmanın suçunu eski BT altyapısını modernize etme başarısızlığından uzaklaştırmaya yönelik umutsuz bir girişimi yansıttığını” söyledi. “
Siber güvenlik şirketi daha önce Delta’nın dava tehditlerine, “ağır ihmalkar olduğu veya kasıtlı suiistimal yaptığı yönündeki her türlü iddiayı güçlü bir şekilde reddettiğini” belirten bir mektupla yanıt vermişti (bkz: CrowdStrike, Delta’nın BT Kesintisine İlişkin İhmal İddialarını Reddetti).”
Dava ayrıca CrowdStrike’ı “Delta’nın bilgisayar programlamasını veya verilerini değiştirerek ve değiştirerek” izinsiz giriş yapmakla suçluyor. Ek sayılanlar arasında sözleşmenin ihlali, kasıtlı yanlış beyan, ürün kusuru, ağır ihmal ve aldatıcı ve adil olmayan iş uygulamaları yer alır.
Hukuk firması Boies Schiller Flexner tarafından hazırlanan dava, CrowdStrike’ın yazılımının kalitesi ve Microsoft’un çekirdek erişimi koşullarına uygunluğu hakkındaki iddialarını çürütmeyi amaçlıyor.
“CrowdStrike, yayınlanan “iş etiği”nin bir parçası olarak geniş çapta şunu öne sürerken, “biz [CrowdStrike] köşeleri kesmeyin” ve bu “[w]Dava dilekçesinde, “Müşterilerimize karşı dürüstüz”, “hiçbir şey gerçeklerden bu kadar uzak olamaz. CrowdStrike küresel bir felakete neden oldu çünkü işi kolaylaştırdı, kısayollar kullandı ve reklamını yaptığı test ve sertifikasyon süreçlerini kendi çıkarı ve kârı için atlattı.” ifadesi yer alıyor.
Aynı zamanda CrowdStrike CEO’su George Kurtz’un, 2010 yılında artık feshedilmiş siber güvenlik firması McAfee’nin CTO’su olduğunu ve bu durumun eşzamanlı tahminlere göre dünya çapında on binlerce bilgisayarı etkilediği söylenen hatalı bir güncelleme nedeniyle Windows XP sistemlerinin çökmesine neden olduğunu belirterek bir tokat atıyor. Dava dilekçesinde, “Hem CrowdStrike hem de CEO’sunun çok iyi bildiği gibi, aşamalı dağıtımlar ve testler temel ve standart yazılım geliştirme uygulamalarıdır” ifadesi yer alıyor.
Siber güvenlik şirketi ayrıca, hatalı güncelleme dünya çapındaki Windows sistemlerini çökertmeden ve şirketin hisse senedi fiyatını serbest düşüşe göndermeden önce teknolojisinin “doğrulandığını, test edildiğini ve onaylandığını” iddia ederek şirketin kendilerini yanılttığını iddia eden yatırımcılardan toplu dava ile karşı karşıyadır ( bkz: CrowdStrike Küresel BT Kesintisi Nedeniyle Toplu Davayla Karşı Karşıya).