في يوم الجمعة، 19 يوليو 2024، تعرضت العديد من القطاعات الحيوية حول العالم لشلل واسع النطاق نتيجة لتحديث خاطئ لمنصة الأمن السيبراني “Falcon – CrowdStrike” التي تقدمها شركة كراود سترايك. تسبب هذا التحديث في ظهور شاشة الموت الزرقاء (BSOD) على آلاف أجهزة Windows، مما أدى إلى تعطل أنظمة التشغيل وتعطيل العمليات في مؤسسات حيوية مثل المطارات، البنوك، والشركات الإعلامية.
تفاصيل الحادثة (رواية الشركة)
تعود المشكلة إلى خلل في مستشعر Falcon، والذي تم تحديثه بشكل خاطئ. المستشعر هو عبارة عن برنامج “Falcon Sensor” يتم تثبيته على أجهزة المستخدمين لرصد التهديدات السيبرانية وحمايتها. التحديث الخاطئ أدى إلى فشل المستشعر في أداء وظيفته بشكل صحيح، مما تسبب في تعطل النظام وتشغيل شاشة الموت الزرقاء.
طريقة عمل برنامج “Falcon Sensor”
في العادة، يُستخدم مستشعر Falcon للتحقق من وجود رمز إلغاء التثبيت لحماية النظام من أي محاولة غير مصرح بها لإزالته. ومع ذلك، اكتشف باحثون في شركة الأمن السيبراني Modzero أن التحديث الأخير يحتوي على ثغرة يمكن أن يتم استغلالها من قبل المهاجمين بامتيازات مدير النظام (Admin Privileges) لإلغاء تثبيت المستشعر بدون الرمز المطلوب. هذا الخلل أدى إلى تعطل أنظمة التشغيل عند محاولة المستشعر تنفيذ مهامه، مما تسبب في ظهور شاشة الموت الزرقاء. أدناه.
التأثيرات العالمية
أثرت هذه المشكلة على العديد من القطاعات الحيوية في مختلف أنحاء العالم. في أستراليا، وأروبا وأمريكا تأثرت البنوك وشركات الطيران بشكل كبير، مما أدى إلى انقطاع الخدمات وتعطيل العمليات. وفي المملكة المتحدة، تأثرت وسائل الإعلام وشبكات النقل، مما تسبب في تعطيل خدمات حيوية أخرى.
الجهات المتأثرة بشكل مباشر
الجهات المتأثرة من مشكلة شاشة الموت الزرقاء (BSOD) هم في الأساس العملاء الذين يستخدمون منصة كراود سترايك “Falcon”. التحديث الخاطئ الذي أصدرته كراود سترايك أثر على مستشعر Falcon، والذي يتم تثبيته على أجهزة العملاء لحمايتها من التهديدات السيبرانية. لذا فإن التأثير كان محصورًا بشكل رئيسي على الشركات والجهات التي تستخدم حلول كراود سترايك في أنظمتها. هذا يشمل مجموعة واسعة من القطاعات مثل المطارات، البنوك، الشركات الإعلامية، وشبكات النقل، حيث تسبب التحديث في تعطل أنظمتها التي تعتمد على Falcon للحماية السيبرانية، مما أدى إلى انقطاع الخدمات وتعطل العمليات في تلك المؤسسات.
الحلول والإجراءات المتخذة
استجابت كراود سترايك بسرعة لهذه المشكلة، حيث أصدرت تعليمات واضحة للمستخدمين لإصلاح الأنظمة المتأثرة. تضمنت هذه التعليمات الدخول إلى وضع الأمان (Safe Mode) في الكومبيوترات ثم حذف الملف المسبب للمشكلة من ملف دليل النظام الخاص بـ Falcon كما في الخطوات أدناه.
الخطوات التالية تحل المشكلة وتعود لتشغيل الأنظمة بشكل طبيعي مرة أخرى:
1- قم بتشغيل النظام في الوضع الآمن (Safe Mode) أو بوضعية (Windows Recovery Environment).
2- أذهب إلى C:\Windows \System32 \drivers \CrowdStrike directory.
3- حدد مكان الملف المطابق لـ C-00000291*.sys وقم بحذفه.
4- قم بتشغيل المضيف بشكل طبيعي.
ومن جهة أخرى قامت كراود سترايك أيضًا بتحديث وثيقة التقنية الخاصة بها لتشمل تفاصيل الثغرة وكيفية التعامل معها. كما أبلغت شركة مايكروسوفت عن الثغرة في نظام التثبيت (MSI) وطالبت بتحديثات لمعالجة المشكلة من جانبها.
هل يتأثر العراق أو أي بلد آخر بهذه المشكلة؟
إذا لم تكن المطارات العراقية أو الجهات العراقية الأخرى تستخدم منصة (كراود سترايك – “Falcon”) للأمن السيبراني، فمن غير المحتمل أن تكون تأثرت بالمشكلة التي تسببت في ظهور شاشة الموت الزرقاء (BSOD) يوم 19 يوليو 2024. التأثير كان محدودًا على العملاء الذين لديهم حلول كراود سترايك مثبتة على أنظمتهم. المشكلة كانت ناجمة عن تحديث خاطئ لمنتج Falcon، لذلك فقط الأنظمة التي تحتوي على هذا المنتج كانت عرضة للتأثيرات السلبية. إذا لم تكن المطارات العراقية أو البنوك أو الشركات الأخرى في العراق تتعامل مع كراود سترايك، فلن تتأثر بتلك المشكلة المحددة. الصورة أدناه لتصريح مدير مطار بغداد هو حتى أصل المشكلة لم يفهمها حالها من حال بقية المسؤولين الذي يصرحون بأن المطارات و أنظمتنا آمنه في العراق . للأسف مطار بغداد الدولي بوابة العراق الدولية الأولى تدار بهكذا عقليات.
الدروس المستفادة
لا يوجد أمان مطلق لحماية البيانات حتى في أكبر الشركات الخاصة بالأمن السيبراني. لا يوجد شيء مضمون بل نسعى لحماية وتوفير بيئة أمينة و سريعة تستجيب للمخاطر وتعيد الأمور الى نصابها بسرعة في حالة حدوث أي أختراق و سبب خلل في الأنظمة. أما ضمان أمني مطلق لا يوجد ولن يتواجد أبداً.
هذا الحادث يسلط الضوء على الأهمية البالغة لضمان جودة التحديثات الأمنية واختبارها بدقة قبل إصدارها للعملاء. كما يبرز ضرورة وجود خطط طوارئ وإجراءات استجابة سريعة للتعامل مع مثل هذه الحوادث.
نبذة عن شركة “كراود سترايك” (CrowdStrike)
شركة “كراود سترايك” (CrowdStrike) هي شركة أمريكية متخصصة في الأمن السيبراني. تأسست في عام 2011 من قبل جورج كورتز، وهو خبير معروف في مجال الأمن السيبراني، واثنين من زملائه. يقع مقر الشركة في مدينة سانيفيل، كاليفورنيا. تقدم كراود سترايك مجموعة واسعة من الخدمات والمنتجات لحماية الأنظمة الإلكترونية والشبكات من التهديدات السيبرانية.
اكتسبت كراود سترايك شهرة كبيرة بعد مشاركتها في التحقيقات المتعلقة بالهجمات السيبرانية على اللجنة الوطنية الديمقراطية الأمريكية في عام 2016. تلعب الشركة دورًا رئيسيًا في مجال الأمن السيبراني وتعتبر واحدة من الشركات الرائدة في هذا المجال على مستوى العالم. لذلك شركة بكل هذه الأحترافية والرصانة لا تخطئ بعملية تحديث تقع فيها الشركات المبتدئة.
الخدمات التي تقدمها شركة “كراود سترايك” (CrowdStrike)
CrowdStrike Falcon: وهي منصة سحابية تعتمد على الذكاء الاصطناعي لتحليل واكتشاف التهديدات السيبرانية والاستجابة لها.
الحماية من البرمجيات الخبيثة: تقدم الشركة حلولًا متقدمة للكشف عن البرمجيات الخبيثة ومنعها.
التحقيقات الرقمية: تقوم الشركة بإجراء تحقيقات شاملة بعد الحوادث الأمنية لفهم كيفية حدوث الاختراق ومنع تكراره.
خدمات الاستجابة للحوادث: توفر الشركة فرق متخصصة للتعامل مع الحوادث الأمنية في الوقت الفعلي وتقديم الدعم الفني والاستشاري.
هل خدماتها مضمونه؟
تعتبر شركة كراود سترايك تعتبر من بين الشركات الرائدة في مجال الأمن السيبراني، وتتمتع بسمعة طيبة وخبرة واسعة في هذا المجال. ومع ذلك، فإن ضمان الحماية الكاملة من التهديدات السيبرانية أمر مستحيل وما حدث اليوم بشاشة الموت الزرقاء دليل على ألا يوجد أمان مطلق، حيث أن التهديدات تتطور باستمرار وتصبح أكثر تعقيدًا. وهذا السباق لن ينتهي بين القراصنة ومزودي خدمات الأمن السيبراني. لذلك يجب أن تعلم، إن أي نظام أمني يمكن أن يكون عرضة للهجمات الجديدة والمتطورة. لكن هذه الشركة “كراود سترايك” (CrowdStrike) تبقى من خيرة الشركات العالمية في مجال خدمات الأمن السيبراني. وسرعة تفاعلهم مع المشكلة ووجود الثغرة ونشر تعليمات بسرعة كبيرة يثبت احتراف يتهم.
الخاتمة
في ظل التهديدات السيبرانية المتزايدة، يبقى الحفاظ على أمن الأنظمة الإلكترونية أمرًا بالغ الأهمية لدول والمؤسسات الحكومية والشركات. وتحتاج هذه الشركات والمؤسسات إلى التعاون المستمر مع مزودي الخدمات الأمنية لضمان حماية الأنظمة والبيانات من التهديدات المتطورة.