Gündem

Wednesday, July 24, 2024

CrowdStrike, dünya çapındaki kesintiye neden olan hatanın hatalı test yazılımından kaynaklandığını söyledi.

CrowdStrike, olay sonrası incelemesinde (PIR) dünya çapında 8,5 milyon Windows makineyi çökerten hatalı bir güncelleme için hatalı test yazılımını suçladı. Şirket, “İçerik Doğrulayıcı'daki bir hata nedeniyle, iki [güncellemeden] biri sorunlu veriler içermesine rağmen doğrulamayı geçti” dedi. Sorunun tekrarlanmasını önlemek için bir dizi yeni önlem sözü verdi.

Büyük BSOD (mavi ölüm ekranı) kesintisi, havayolları, yayıncılar, Londra Borsası ve diğerleri dahil olmak üzere dünya çapında birçok şirketi etkiledi. Sorun, Windows makinelerini bir önyükleme döngüsüne zorladı ve teknisyenlerin kurtarmak için makinelere yerel erişim sağlaması gerekti (Apple ve Linux makineleri etkilenmedi). Delta Havayolları gibi pek çok şirket hala toparlanmaya çalışıyor.

DDoS ve diğer saldırı türlerini önlemek için CrowdStrike'ın Falcon Sensor adlı bir aracı vardır. Tehditlere karşı nasıl savunma yapacağını tanımlamak için bir “Şablon Türü” kullanan çekirdek düzeyinde (Sensör İçeriği olarak adlandırılır) işlev gören içerikle birlikte gönderilir. Yeni bir şey ortaya çıkarsa, “Şablon Örnekleri” biçiminde “Hızlı Yanıt İçeriği” gönderir.

Yeni bir sensör için bir Şablon Türü 5 Mart 2024'te yayınlandı ve beklendiği gibi performans gösterdi. Ancak CrowdStrike, 19 Temmuz'da iki yeni Şablon Örneği yayınlandığını ve bunlardan birinin (sadece 40KB boyutunda) “sorunlu verilere” sahip olmasına rağmen doğrulamayı geçtiğini söyledi. “Algılayıcı tarafından alındığında ve İçerik Yorumlayıcısına yüklendiğinde, [bu] bir istisnayı tetikleyen sınırların dışında bir bellek okumasına neden oldu. Bu beklenmedik istisna zarif bir şekilde ele alınamadı ve bir Windows işletim sistemi çökmesine (BSOD) neden oldu.”

Olayın tekrarlanmasını önlemek için CrowdStrike çeşitli önlemler alacağına söz verdi. Bunlardan ilki, yerel geliştirici testi, içerik güncelleme ve geri alma testi, stres testi, kararlılık testi ve daha fazlası dahil olmak üzere Rapid Response içeriğinin daha kapsamlı bir şekilde test edilmesidir. Ayrıca doğrulama kontrolleri eklenecek ve hata işleme geliştirilecek.

Ayrıca şirket, küresel kesintinin tekrarlanmasını önlemek için Hızlı Yanıt İçeriği için kademeli bir dağıtım stratejisi kullanmaya başlayacak. Ayrıca müşterilere bu tür içeriklerin dağıtımı üzerinde daha fazla kontrol sağlayacak ve güncellemeler için sürüm notları sunacak.

Ancak bazı analistler ve mühendisler, şirketin bu tür önlemleri en başından itibaren uygulamaya koyması gerektiğini düşünüyor. Mühendis Florian Roth X'te “CrowdStrike bu güncellemelerin sürücüler tarafından yorumlandığının ve sorunlara yol açabileceğinin farkında olmalıydı” dedi ve ekledi: “Hızlı Yanıt İçeriği için en başından itibaren kademeli bir dağıtım stratejisi uygulamalıydılar.”