一场波及全球的IT灾难毫无征兆地发生,整个业界自“千年虫”时代就开始出现的担忧,最终还是变成了现实。7月19日,微软公司旗下部分应用和服务出现访问延迟、功能不全或无法访问的问题,据称有超过850万台Windows设备出现蓝屏死机,其中更是涉及航空公司、银行、政府网络等与日常生活息息相关的环节。
埃隆·马斯克直接在X平台发文称,这是史上最大的IT事故、没有之一,并已在公司所有系统中彻底删除了CrowdStrike。在这样的危机时刻,微软方面也展示了作为科技巨头的实力,随即发布了一个恢复工具来帮助系统崩溃的Windows设备。在经过周末两天时间后,此次事故的原因终于水落石出,是因为美国网络安全巨头CrowdStrike在例行更新中出现的一项逻辑错误,导致了这次全球数百万台Windows设备的蓝屏死机。
所以微软这次,更像是“人在家中坐,锅从天上来”。正如360创始人周鸿祎所言,“这次的事件也再次展露了微软在整个市场中的占有率之高、覆盖面之广,以及其系统崩溃所带来的威力,不亚于在数字世界投下100万颗原子弹”。尽管信息技术革命确实让地球变小了,但代价就是建立在其基础上的现代社会鲁棒性极低,或者说变得更加脆弱了。
事实上,CrowdStrike的核心产品,就是利用人工智能和机器学习技术来检测、预防和响应网络威胁的Falcon软件,而这次事故也正是因为Falcon的配置更新与Windows系统的交互方式有误所致。
不同于传统的杀毒软件,Falcon这类“端点检测和响应”(EDR)软件是需要更深层地访问计算机的操作系统,来扫描相关威胁。而CrowdStrike此次犯下的错误更是十分低级,虽然代码中存在问题引起BUG是常有的事情,但不寻常的是CrowdStrike发布更新时根本就没有完成测试,并且也没有进行目前主流的灰度更新,致使事故在短短一小时内就迎来了“火山喷发”。CrowdStrike此举就就相当于在Windows内核上释放了一个逻辑炸弹,所以自然所有安装了CrowdStrike软件的Windows设备无一幸免。
那么问题就来了,为什么CrowdStrike犯的错误,会由这些Windows设备来买单呢?其实微软自己也觉得很冤。微软公司发言人在回应媒体关于CrowdStrike软件引起蓝屏死机一事时就指出,问题的核心是微软无法进一步锁定操作系统以提高安全性。
他进一步解释到,这次事故的深层次原因牵涉到微软在2009年与欧盟方面达成的协议,而根据这一协议,微软必须授予安全软件开发商与微软同等的权限。也就是说,微软方面有义务向第三方安全软件厂商提供其安全产品所使用的Windows客户端和服务器操作系统中的API。
根据微软官网公开的具体文件表明,微软必须在微软开发者网络(Microsoft Developer Network)上记录API,以便于安全软件开发商访问。由此,类似CrowdStrike旗下Falcon的核心驱动程序经过签名和认证,在安装到Windows上之后,就拥有内核级别的访问权限。
欧盟的目标是确保市场竞争的公平性,由于微软也拥有自己的端点保护产品Defender,如果不给予CrowdStrike等竞争对手在Windows上的同等权限,就难保不会使用其控制Windows生态的权力来营造竞争优势。为了保证公平,欧盟方面要求微软向安全软件厂商开放内核访问权限,但代价就是在15年后支付。
所以微软现在站出来旧事重提,或许并不是无的放矢。其可能不仅是要拉欧盟出来背锅,更是借此机会向后者喊话,注重公平性而导致更大规模IT灾难事故的孰是孰非?所以一种可能的情况,是借此机会微软裹挟民意,试图让欧盟方面对自己“松绑”。如果相关协议被放宽,也就意味着他们可以在高速增长的EDR软件市场中获取更大的份额。
我始终坚持一个观点,科技进步越快,人类灭亡越快