ليس اختراقا أمنيا أو هجوما سيبرانيا.. تعرّف على سبب الخلل التقني العالمي

صباح قبل يوم أمس الجمعة, في ساعات الفجر المبكرة بتوقيت الولايات المتحدة, 19 تموز 2024, حدث تعطل واسع جداً في أجهزة الكومبيوتر وخوادم الإنترنت والشبكات الداخلية بعد استلامها لتحديث أمني روتيني لنظام التشغيل ويندوز. كان الكثير من خبراء المعلوماتية في حالة ذعر للوهلة الأولى ظناً أن العالم قد تعرض لهجوم معلوماتي سيبراني غير مسبوق واسع النطاق, أو أن ما يحدث هو انتشار لفايروس كومبيوتر جديد اخترق مختلف الشبكات أو تم تفعيله كحصان طروادة بتوقيت متزامن في مختلف الأماكن.
ولكن, ما حدث لم يكون هجوماً ألكترونيا سيبرانياً ولا فايروساً ولا برنامجاً مشبوهاً ولا كان حتى مقصوداً. ما حدث كان هو تحديث أمني تم نشره من قبل شركة CrowdStrike في تكساس وهي ثاني أكبر بائع أمني معلوماتي بعد شركة Palo Alto Networks في كاليفورنيا.

خلفية المشكلة
تمتلك شركة كراود سترايك أداة أمنية تسمى الصقر Falcon Software وهي تجمع بيانات مهمة للأمن المعلوماتي من خوادم الإنترنت والشبكات الداخلية وأجهزة الكومبيوتر المختلفة التي تعمل بنظام ويندوز عن طريق برنامج حساس Sensor يكون جزءاً من أنظمة التشغيل تلك. تم نشر تحديث لحساس برنامج الصقر صباح يوم أمس بتوقيت الولايات المتحدة, ليتفاجاً الكثيرون أفراداً ومؤسسات وشركات بظهور شاشة الموت الزرقاء لنظام ويندوز. تعطل عمل المستشفيات والمطارات ومحطات القطار ومراكز خدمات الطوارئ وتوقف بث بعض وسائل الإعلام كلياً مثل سكاي نيوز.
إن هذا الحساس يعمل بملف تعريفي حاله حال جهاز ألكتروني أو قطعة ألكترونية بداخل جهاز الكومبيوتر مثل كارد الصوت أو كارد الكرافيكس. الملف التعريفي Driver له امتيازات عليا في نظام التشغيل ويندوز, وتم إعتماد هكذا نوع من الهندسة البرمجية منذ نظام ويندوز 3 في منتصف التسعينات. هذا يعني أن مركز التحكم المركزي الأعلى في نظام الويندوز الذي يسمى كيرنيل Kernel يسمح لملفات التعريف بالعمل بامتياز أقصى في نطاق ذاكرة محمي في الرام يسمى Ring Zero, أو بمعنى آخر, يكون الملف التعريفي له صلاحيات أعضاء الثقة المقربين جداً من النظام بلا مراقبة دورية من الكيرنيل.
إن انتشار تحديث أوتوماتيكي من قبل شركة يفترض أنها شركة موثوقة جداً مثل كراودسترايك لملف تعريفي Driver مطلق الصلاحية دون تجربته أو مراجعته بصورة كافية يرفع العديد من علامات الإستفهام حول الممارسات المتعجلة واللا مسؤولة التي تقوم بها تلك الشركات بلا إعطاء المستخدم حق الإختيار أو حرية التحكم بجهازه بشفافية.
الذي حدث, على كل حال, أن الملف التعريفي كان لا يعمل بصورة مستقرة وكان يؤدي إلى ما يسمى تقنياً بالسلوك غير المتوقع Unexpected Error or Unexpected Behaviour وهو ما يؤدي إلى ذعر الكيرنيل المركزي لنظام التشغيل فيلجاً إلى آخر الحلول وهو التوقف الكامل بشاشة الموت الزرقاء المعروفة للويندوز Blue Screen of Death لعدم قدرته على إيقاف برنامج لملف تعريفي يعمل بصلاحية موازية لصلاحية الكيرنيل في دائرة الثقة العليا للنظام كله.
مرة أخرى, ما حدث لم يكن فايروساً أو هجوماً سيبرانياً ولكنه برغم أنه مبدئياً هو مجرد خطأ غير مقصود من خلال تحديث أمني غير مدروس, فهو قد تسبب بما لم يقدر أن يتسبب به أي هجوم سيبراني أو فايروسي سابقاً. هي المرة الأولى الذي يحصل به هذا التعطل المفاجىء بصورة متزامنة.

الحل
هناك حل بسيط جداً لهذا الخلل إذا كنت تتعامل مع جهاز غير محظوظ استلم التحديث قبل اكتشاف المشكلة, وهو الذهاب إلى داخل فولدر أو مجلد الوندوز
C:\Windows\System32\drivers\CrowdStrike\
ومسح الملف التالي ثم إعادة التشغيل
C-00000291*.sys
ولكن لكي تستطيع أصلاً أن تذهب لداخل ذلك المجلد يجب عليك أولاً إعادة تشغيل جهاز الكومبيوتر واختيار الطور الآمن قبل أقلاع الويندوز Safe Mode أو الذهاب إلى Recovery Mode أو استخدام Live Boot CD or USB مثل Linux Bood CD.

الأبعاد الواسعة للمشكلة
المشكلة العملية هي إذا كان لديك مجموعة كبيرة من أجهزة الكومبيوتر, يجب إعادة إصلاح كل جهاز بصورة منفصلة بوجود مستخدم يتبع خطوات إصلاح الخلل بصورة متكررة, والمشكلة كبيرة جداً إذا تعطلت مثلاً آلاف الأجهزة معاً بداخل شركة واحدة لا تمتلك إلا أفراداً قليلين في قسم المعلوماتية. ويزيد الطين بلة إذا كان جهاز الكومبيوتر المتعطل مشفر أساساً بنظام بيت لوكر BitLocker الذي يتطلب لشفرة طويلة لفتحه حتى في الطور الآمن Safe Mode وهذه الشفرة تكون مخزنة على أجهزة كومبيوتر رئيسية قد تعطلت أيضاً في قسم المعلوماتية للمطار أو المستشفى أو الشركة فلا يستطيعون تزويدك بهذه الشفرة الأمنية. إذا سيكون موظفوا المعلوماتية في الشركات مشغولون جداً بعمليات الإصلاح هذه لعدم إمكانية نشر تحديث جديد أوتوماتيكي لتصليح نظام متوقف عن العمل بشاشة الموت الزرقاء.

بالرغم من أن هذا الحدث غير المسبوق والذي ليس عن قصد قد حدث على نظام ويندوز ولم تتأثر به أنظمة ماك أو لينوكس, إلا أن هذا لا يعني أن مايكروسوفت مذنبة أو شركة سيئة. فبرغم أن كاتب هذا المقال يشجع على استخدام نظام لينوكس ولكن لا يعني هذا إطلاقاً أن ويندوز نظام سيء, فهو إلى الآن يعتبر النظام الأول في الإنتاجية والإعتمادية. فمثلاً أن المستخدمين لتوزيعة نظام Arch Linux يعلم أن هناك عدد هائل من التحديثات المستمرة وقد يؤدي أحدها إلى توقف النظام, ولكن إصلاحه يكون بسيطاً عادة حتى لمن لديه خبرة متواضعة. إن ما يجب على شركات المعلوماتية الكبرى الآن هو مراجعة شاملة للممارسات اللا مسؤولة أو المتسرعة بدفع التحديثات إلى عامة المستخدمين بصورة أوتوماتيكية بلا وجود طبقات برمجية تدقيقية وتخويلية.

كيف لم يراجع ولم يجرب خبراء شركة CrowdStrike التحديث بصورة شاملة قبل نشره؟ وكيف أن نظام مايكروسوفت ويندوز, ونظام ماك, يعملون كلياً تحت رحمة خوادم التحديث دون السماح للمستخدم للإختيار أو إعطاءه الحرية للتصرف بجهازة بشفافية؟ عموماً, هناك الآن شركات كثيرة ومؤسسات عديدة غاضبة جداً مما حدث وبرغم أن المشكلة لم تتسبب بها مايكروسوفت بصورة مباشرة, ولكن الجميع يريدون الآن حماية أنفسهم ممن كان يعتبر الحامي لهم, ويريدون نوعاً من الإستقلالية والسيطرة على أنظمتهم بعيداً عن أوتوماتيكية التحديثات التي قد تخرج للعلن قبل تجربتها والتأكد منها.

✍️: فراس الدباغ - كاليفورنيا
20 تموز 2024

• رابط 1
• رابط 2
• رابط 3
• رابط 4