التعافي من انقطاع التقنية العالمي قد يكون عملية طويلة وشاقة

تقول الشركة التي تسببت في حدوث انقطاع هائل في أجهزة الكمبيوتر في جميع أنحاء العالم إن التحديث المعيب قد تم التراجع عنه ولكن هذا لا يساعد بالضرورة آلاف الشركات التي تأثرت بهذا الخلل.

تعمل مشكلة برنامج CrowdStrike في قلب الانقطاع على مستوى عميق في أجهزة الكمبيوتر والأنظمة المتأثرة لدرجة أن إعادة تشغيلها و إصلاحها سيكون، في كثير من الحالات، تحديًا هائلاً.

ومما يضاعف من ذلك حقيقة أن العديد من الخوادم التي قد تحتوي على المعلومات اللازمة لإعادة تشغيل هذه الأنظمة إلى العمل مرة أخرى هي نفسها عالقة في دورة من التعطل وإعادة التشغيل.

كما أن بعض أجهزة الكمبيوتر المتأثرة قد لا يمكن الوصول إليها بسهولة، حيث تم إعدادها في مواقع بعيدة ومعدة للعمل دون تدخل بشري.

"وقال الخبير الأمني تروي هانت في منشور على موقع X: "لا أعتقد أنه من السابق لأوانه أن نقول: سيكون هذا أكبر انقطاع في تكنولوجيا المعلومات في التاريخ.

يعمل برنامج كراود سترايك الخاطئ على ما يسمى مستوى النواة في جهاز الكمبيوتر، وهو مستوى أعمق بكثير مما تفعله التطبيقات العادية مثل المتصفحات أو ألعاب الفيديو. ويتمتع هذا الجزء من الجهاز برؤية وتحكم أكبر بكثير في الكمبيوتر ومكوناته، مما يجعله بالغ الأهمية لتشغيل جميع الأنظمة الأخرى - وأكثر حساسية بكثير.

إن تشغيله على مستوى النواة يعني أن برنامج CrowdStrike يمكنه القيام بالمزيد من الجهد لاكتشاف الهجمات الإلكترونية، ولكنه يعني أيضًا أن الخلل الحالي يتسبب في تعطل أجهزة الكمبيوتر التي تعمل بنظام ويندوز إلى شاشة زرقاء للموت قبل أن يتمكن المستخدمون من اتخاذ أي إجراءات لتصحيحه.

وقالت شركة CrowdStrike إن المشكلة يبدو أنها قابلة للإصلاح، ولكن في كثير من الحالات يتطلب الأمر عملاً مضنياً: يجب الوصول إلى كل جهاز متأثر من قبل مسؤول وإعادة تشغيله يدوياً إلى الوضع الآمن. بعد ذلك، يجب حذف ملف CrowdStrike المخالف يدوياً.

بالنسبة للشركات التي لديها المئات أو الآلاف من أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية والخوادم التي تعمل ببرنامج CrowdStrike الأمني، قد يضطر الإنسان إلى القيام بهذه العملية مراراً وتكراراً.

قال كيفن بومونت، الباحث الأمني ومحلل التهديدات السابق في مايكروسوفت، في منشور على موقع X. "لا يمكنك أتمتة ذلك"، "لذا سيكون هذا مؤلمًا للغاية لعملاء CrowdStrike."

وفي يوم الجمعة، ذكرت صفحة حالة مايكروسوفت أن بعض مستخدمي ويندوز فيرتشوال ماشين نجحوا في التعافي من المشكلة عن طريق إعادة التشغيل بشكل متكرر، وفي بعض الحالات حتى 15 مرة على التوالي.

وقالت مايكروسوفت على الصفحة: "لقد تلقينا تعليقات من العملاء تفيد بأن العديد من عمليات إعادة التشغيل (تم الإبلاغ عن 15 مرة) قد تكون مطلوبة، ولكن بشكل عام فإن التعليقات تشير إلى أن إعادة التشغيل هي خطوة فعالة لاستكشاف الأخطاء وإصلاحها في هذه المرحلة". ولم توضح الشركة سبب نجاح هذه التقنية على ما يبدو.

وأضافت مايكروسوفت أنه يمكن للمؤسسات المتضررة أيضًا محاولة استعادة أجهزتها إلى حالة سابقة من خلال العودة إلى نسخة احتياطية سابقة للنظام، على الرغم من أنها أقرت بأن ذلك قد لا يكون ممكنًا في جميع الحالات.

"وقال إريك أونيل، خبير الأمن السيبراني ومسؤول سابق في مكافحة التجسس في مكتب التحقيقات الفيدرالي: "الشركات التي لم تستثمر في حلول النسخ الاحتياطي السريع عالقة في مأزق.

ويزداد الأمر سوءًا.

من المحتمل أن تكون المؤسسات التي تأخذ الأمن على محمل الجد قد قامت بتشفير محركات الأقراص الصلبة لأجهزة الكمبيوتر الخاصة بها، مما يزيد من صعوبة الوصول إلى الملف الذي يجب حذفه.

بالنسبة لتلك المؤسسات، "تحتاج تلك المؤسسات إلى فك تشفير القرص يدويًا باستخدام مفتاح استرداد BitLocker، والذي على الأرجح - بالنسبة لمعظم الشركات - مخزّن رقميًا على أحد الخوادم التي يتم تشغيلها حاليًا مرارًا وتكرارًا،" كما قال إيرا بيلي، الباحث الأمني، في منشور على موقع BlueSky.

وقال خبير الأمن السيبراني الذي يستخدم اسمًا مستعارًا هو SwiftOnSecurity في منشور على موقع X، إن كل جهاز كمبيوتر متأثر ومشفّر باستخدام BitLocker سيحتاج إلى فتحه باستخدام مفتاح الاسترداد قبل أن تتمكن المؤسسات من بدء عملية حذف ملف CrowdStrike السيئ واستعادة التشغيل العادي.

وقال كين وايت، وهو باحث أمني مستقل متخصص في أمن الشبكات، لشبكة سي إن إن، إن عملية الاسترداد ستكون مكلفة للغاية بالنسبة للشركات المدرجة على قائمة فورتشن 500 التي لديها فرق كبيرة من موظفي تكنولوجيا المعلومات، ومن المحتمل أن تكون أكثر صعوبة بالنسبة للشركات الأصغر حجماً.

"قال وايت: "إذا لم يكن لديك موظفين فعليين يمكنهم لمسها فعليًا، فسيستغرق الأمر أيامًا عديدة جدًا بالنسبة للكثير من الشركات الأمريكية للتعافي من هذا الأمر. "إنه مجرد من العمل اليدوي كثيف العمالة."

"وأضاف وايت: "إنه إجراء معقد إلى حد ما بالنسبة للأشخاص غير التقنيين، وحتى الكثير من المتخصصين المهرة في مجال تكنولوجيا المعلومات سيجدون صعوبة في القيام بذلك على النطاق الذي سيكون مطلوبًا نظرًا لعدد الأجهزة المتأثرة."

كيف أدى خطأ كراود سترايك إلى مثل هذه التأثيرات واسعة النطاق؟

لأن برنامج الحماية الخاص بـ CrowdStrike يعمل على عدد لا يحصى من أجهزة الكمبيوتر الفردية في جميع أنحاء العالم، فإن التحديث الذي تم دفعه إلى تلك الأجهزة تسبب في إيقاف تشغيلها جميعًا، في وقت واحد تقريبًا.

وفي اقتصاد اليوم المترابط شبكيًا، يمكن أن يتسبب انقطاع جزء واحد من سلسلة التوريد في حدوث تأثيرات الدومينو في أعلى وأسفل الخط. عندما تتعطل أجزاء متعددة من سلسلة التوريد، فإن ذلك يؤدي إلى سلسلة من المشاكل.

تخيل شخصاً يحاول شراء قهوة، كما يقول أندرو بيك، خبير الأمن السيبراني في جامعة لوبورو في المملكة المتحدة. ما قد يبدو كمعامل بسيطة يعتمد على عدة أجهزة كمبيوتر يعمل جنباً إلى جنب، من نقطة البيع في المقهى إلى الأنظمة الخلفية الخاصة بمعالج الدفع.

"قال بيك: "هناك الكثير من أجهزة الكمبيوتر في هذه السلسلة، وعادةً كلما كبر حجم العمل، كلما كبرت السلسلة. "إذا تعطل أي جهاز من أجهزة الكمبيوتر في السلسلة، فلن تكتمل المعاملة."

الآن قم بتوسيع نطاق ذلك إلى شيء مثل صناعة الطيران الضخمة، أو قطاع الخدمات المالية الحيوية أو عمليات الحياة أو الموت لمزود الرعاية الصحية، وسيصبح نطاق الكارثة واضحًا بشكل صارخ.

قد تكون بعض الأجهزة المتضررة نادراً ما تتم صيانتها من قبل أشخاص أو تقع في مناطق نائية. وقد لا تحتوي بعض الأجهزة الأخرى على شاشات أو لوحات مفاتيح موصولة بالشبكة، لأنها لا تتطلب من البشر التفاعل معها بشكل مباشر بانتظام.

وقد تشمل الأمثلة الأكثر تطرفاً أجهزة استشعار مراقبة الطقس أو الأجهزة الموجودة في صناديق إشارات السكك الحديدية، كما قال بيك، والتي قد تتطلب من الفنيين زيارة مئات الآلاف من الآلات فعلياً لإجراء عملية الاسترداد.

وقال بيك إن عملية الاسترداد ستكلف العالم "آلاف الساعات وملايين وربما مليارات الدولارات"، وهو ما يضيف بسرعة إلى "بعض فرق دعم تكنولوجيا المعلومات المنهكة للغاية التي تحرق ميزانية لم تكن لديها".

ما هو دور مايكروسوفت في كل هذا؟

لقد أدت مشكلة منفصلة في وقت سابق، يوم الخميس، إلى تأثيرات كبيرة على العديد من عملاء مايكروسوفت السحابية الخاصة بها، ولكن تم حلها بين عشية وضحاها ولم تكن لها علاقة بمشكلة CrowdStrike، حسبما قالت مايكروسوفت والعديد من خبراء الأمن السيبراني لشبكة CNN.

ربما تم الخلط في البداية بين خطأ CrowdStrike ومشكلة مايكروسوفت لأن خطأ CrowdStrike أثر على أجهزة ويندوز فقط.

وقال وايت لـCNN: "كلاهما مرتبط بمايكروسوفت، لكن لا علاقة لمايكروسوفت بالحادثة الثانية".

ويبدو أن هذا ما يدعمه حساب الحالة الخاص بشركة مايكروسوفت على X، والذي أعلن يوم الخميس عن مشكلة تؤثر على "تطبيقات وخدمات Microsoft 365" وإعلان منفصل يوم الجمعة يتناول انقطاع CrowdStrike. ويجري تتبع المشكلتين باستخدام أرقام مرجعية مختلفة.

اعتبارًا من صباح يوم الجمعة، قالت مايكروسوفت إنه تم حل المشكلة مع Microsoft 365 وأن الوضع يتحسن.

وقالت مايكروسوفت: "لا علاقة لمشكلة CrowdStrike المستمرة بانقطاع سابق في منطقة أزور بوسط الولايات المتحدة في 18 يوليو، مما أثر على عملاء أزور الذين يستخدمون تلك المنطقة بالإضافة إلى بعض خدمات Microsoft 365".

واعترف الرئيس التنفيذي لشركة مايكروسوفت ساتيا ناديلا بمشكلة CrowdStrike في منشور على موقع X صباح الجمعة، قائلاً إن مايكروسوفت "تعمل عن كثب مع CrowdStrike وعبر الصناعة لتزويد العملاء بالإرشادات الفنية والدعم الفني لإعادة أنظمتهم بأمان على الإنترنت".

وقال بومونت، الذي قال إنه اطلع على نسخة من تحديث كراود سترايك المعيب، إنه نظرًا لأن تحديث الذي تم تسليمه بواسطة أنظمة الشركة نفسها، يبدو من غير المحتمل أن تتحمل مايكروسوفت المسؤولية المباشرة عن انقطاع يوم الجمعة.

المشكلة في تحديث كراود سترايك أنه لم تتم تهيئته بشكل صحيح "وتسبب في تعطل ويندوز في كل مرة"، حسبما نشر بومونت على موقع X.