可惜的是,当时世超正处于激情洋溢的团建之中,无法给大家提供一顿热腾腾的饭菜。
不过这没关系,随着外媒同行们的不断深挖,关于这起事件的爆炸性信息也越来越多,所以世超觉得这是一个和大家讨论这件事情的绝佳时机。
事件的起因是一家名叫 的公司,在检测到一种新的网络攻击技术后,对该软件进行了例行更新。
结果……这次更新直接导致所有使用其产品的设备全部瘫痪。
机场、银行、金融、交通、零售、医疗……没有一个行业能幸免。
在德国柏林勃兰登堡机场,由于设备故障,旅客无法进入安检处。
伦敦车站的售票机出现蓝屏,导致人们无法买票。
纽约时代广场的标志性广告牌也正在迎来“蓝屏时代”。
一向直言不讳的马斯克当然也在X上怒斥,并晒出了AI“在机房里燃烧”的图片,因为这一场乱局影响到了特斯拉的生产线。
“这事儿责任都怪你啊老马!”
总之,这次蓝屏事件影响到了几乎所有行业,就连美国专家都表示,“看到这种连锁反应,我都惊呆了”。
之所以闹得这么大,主要是因为他们的产品卖得实在是太好了。
根据市场研究公司IDC的数据,其在端点保护软件行业仅次于微软,占据126亿美元市场的18%,在全球拥有2.9万家客户,因此此次受影响的设备数量达数百万台。
,被称为美国版360企业版(狗头)。
更搞笑的是,他们这次犯的错误有点抽象。
从他们自己披露的细节以及安全专家的分析来看,问题的根源在于一个非常小的文件,名为“C-*.sys”,这是平台的一个配置文件,又称“通道文件”(File)。
这个特定的291通道文件负责控制上面的“命名管道”的执行动作的评估。
嗯。。这个可能有点难以理解,我们就简单说一下吧。
比如,它是一个安全系统,监视系统中程序的各种活动,而信息是通过一种叫做“命名管道”的东西在程序之间传递的。
那么我们该如何判断和处理这些“命名管道”中的活动呢?这时候就需要使用291文件了,它的作用就像一本规则手册。安全系统可以通过这本书来判断:哪些活动是正常的,可以放行;哪些活动是可疑的,需要检查;哪些活动是有害的,需要停止。
如下:进程A和进程B之间的通信通过管道完成 ▼
但在更新中,291文件里插入了一条完全不合理的规则,就好像你邀请别人来你家,却打开邻居的门说“邻居,进来吧”:???
因此,错误规则291在执行时,触碰了系统中不该触碰的部分,造成了非法内存访问,最终导致整个系统蓝屏崩溃。
如果想要解决这个蓝屏问题,并不能使用我们的祖传技能“重启”,而是要手动删除有问题的配置文件“C-*.sys”,避免系统在启动时再次加载和解析该文件。
但关键是很多用户连进入系统界面都出现问题,维护起来非常困难......
除了错误的文件莫名其妙地被插入到更新中之外,这次还暴露了许多其他问题。
例如,有安全专家指出,每一次规则更新都应该坚持灰度发布、监控、回滚等策略。但这次更新是全自动推送,用户根本来不及反应,事后也没有回滚机制,问题只能靠用户自己手动解决。
还有一个疑问就是:杀毒软件怎么会有这么低的权限?
对此,微软此前曾跳出来抱怨欧盟,称:“是欧盟让我开放安全软件的底层权限”。
这波~我只能说微软真是一个纯粹的玩笑,既然事情和他们没关系,之前也一直被欧盟罚款,这次就狠狠讽刺一下欧盟了。
因此现在安全软件公司如果不小心在系统底层做了点猫腻,很容易就导致整个系统崩溃,到时候你就只能等着蓝屏出现了。
而另外一件有意思的事情是,之前也曾有人做过类似的大事,而且巧合的是,这两起事件的始作俑者正是同一个人,即前任杀毒软件CEO、现任CEO——乔治·库尔茨。
乔治两步走,全球数百万台计算机震动,这一史诗级操作未来不太可能再发生。
到这里,关于这次蓝屏事件的前因后果,我已经差不多和大家说完了。
世超觉得,这件事情对我们影响比较小,不关我们的事,就无所谓了,毕竟之前大陆地区就被禁止销售了,我们也没法“享受”他们的服务。
但从另一个角度看,此次事件的教训仍然值得国内业界回顾和学习。
因为这次事件暴露了系统安全也是数字基础设施的重要组成部分,会影响到各行各业的正常运转,我们要想成为数字强国,还是要把系统安全做好。
撰文:Kuey Teow
