CrowdStrike Inc.’in kurucu ortağı ve CEO’su George Kurtz, Kaliforniya, Santa Monica’daki Montgomery Zirvesi’nde konuşuyor.

Patrick T. Fallon | Bloomberg | Getty Images

Siber güvenlik şirketi CrowdStrike tarafından yayınlanan bir güncellemede meydana gelen bir hata, Cuma günü küresel BT sistemlerinde zincirleme etkiye yol açtı ve bankacılıktan havayollarına kadar birçok sektör kesintilerle karşı karşıya kaldı.

Bankalar ve sağlık hizmeti sağlayıcıları hizmetlerinin aksadığını gördü ve dünya çapındaki işletmeler devam eden kesintiyle boğuşurken TV yayıncıları çevrimdışı kaldı. Uçakların yere indirilmesi ve hizmetlerin gecikmesiyle hava yolculuğu da ağır bir darbe aldı.

Sorunun merkezinde Teksas merkezli siber güvenlik satıcısı CrowdStrike var. Cuma günü, siber güvenlik firması bir yazılım güncellemesindeki bir sorunun ardından büyük bir kesinti yaşadı.

Peki tam olarak ne oldu? CNBC bir göz atıyor.

CrowdStrike nedir ve ne işe yarar?

CrowdStrike, şirketlerin saldırıları tespit edip engellemesine yardımcı olmak için yazılım geliştiren bir siber güvenlik tedarikçisidir. Büyük küresel bankalar, sağlık ve enerji şirketleri de dahil olmak üzere dünyanın Fortune 500 şirketlerinin çoğu tarafından kullanılır.

CrowdStrike, internete bağlı cihazlara siber koruma uygulamak için bulut teknolojisini kullanan bir “uç nokta güvenliği” firması olarak biliniyor.

Bu, korumayı doğrudan arka uç sunucu sistemlerine uygulamayı içeren diğer siber firmaların kullandığı alternatif yaklaşımlardan farklıdır.

“Birçok şirket kullanıyor [CrowdStrike software] BT güvenlik firması Sectigo’nun teknoloji sorumlusu Nick France, Cuma günü CNBC’nin “Squawk Box Europe” programında yaptığı açıklamada, “Bunu kuruluşları genelindeki tüm makinelerine kurmayı planlıyorlar” dedi.

“Bu yüzden, sorun yaratabilecek bir güncelleme olduğunda, makinelerin yeniden başlatılmasına ve insanların bilgisayarlarına geri dönememesine neden oluyor.”

Cuma günü neler yaşandı?

Cuma günü, dünya çapında insanlar “ölümün mavi ekranı” olarak bilinen bir hata ekranıyla karşılaşmaya başladı.

Bilgisayarlarda sıkça karşılaşılan bu sorun (örneğin, bir makinenin aşırı ısınması) siber güvenlik firması CrowdStrike’ın Falcon ürünüyle ilgili yaptığı güncellemenin sonucu olarak ortaya çıktı.

Falcon, bulut teknolojisini kullanarak siber ihlalleri durdurmak için tasarlanmış şirket tarafından geliştirilen bir platformdur; firmanın uç noktalara odaklanmasının merkezinde yer alır. CrowdStrike, Cuma günü güncellemeyi küresel olarak geri alma sürecinde olduğunu söyledi.

CrowdStrike’ın yazılımı tehditleri taramak için bir bilgisayarın işletim sistemine derin erişim gerektirir. Cuma günkü kesintide, CrowdStrike tarafından yayınlanan bir yazılım güncellemesinin Windows ile etkileşimindeki bir hata nedeniyle Microsoft’un Windows işletim sistemini çalıştıran makineler çöktü.

“CrowdStrike Falcon aracısını çalıştıran Windows İstemcisi ve Windows Server çalıştıran Sanal Makineleri etkileyen bir sorundan haberdar olduk; bu sorun bir hata denetimiyle (BSOD) karşılaşabilir [blue screen of death]) ve yeniden başlatma durumunda takılıp kalırlar. Etkisinin 18 Temmuz’da 19:00 UTC civarında başladığını tahmin ediyoruz,” dedi Microsoft, 5:40 am ET’de bir güncellemede.

Şirket, “Etkilenen güncellemenin CrowdStrike tarafından geri çekildiğini doğrulayabiliriz. Sorun yaşamaya devam eden müşteriler ek yardım için CrowdStrike ile iletişime geçmelidir” diye ekledi.

Tenable’ın kıdemli araştırmacısı Satnam Narang, Cuma günü CNBC’ye yaptığı açıklamada, kesintinin “çok benzeri görülmemiş” olduğunu söyledi.

“Buradaki zorluk, güvenlik yazılımlarının, kuruluşları koruma işini yaptığı için bu makinelere daha ayrıcalıklı erişime sahip olması gerektiğidir,” dedi.

Narang, insanların BT sorunlarını Windows’la ilgili bir sorun olarak görseler de, “aslında bu bir Windows sorunu değil, bu güvenlik yazılımlarının hatalı veya kötü bir güncellemesiyle ilgili” diye ekledi.

Bir düzeltme yayınlandı

Microsoft daha önce, Azure hizmetlerini ve Microsoft 365 uygulama paketini ABD’nin orta kesiminde etkileyen bir kesintiden sonra bulut hizmetlerinin geri yüklendiğini söyledi. Bir şirket sözcüsü, bunların iki farklı ve birbiriyle alakasız sorun olduğunu söyledi; bir sorun Azure ile ilgili, diğeri ise CrowdStrike ile bağlantılı.

CrowdStrike sorununa ilişkin olarak “bir çözüm bulunmasını beklediklerini” de sözlerine eklediler.

CrowdStrike CEO’su George Kurtz, Cuma günü sosyal medya platformu X’te yaptığı bir güncellemede, “Windows ana bilgisayarları için tek bir içerik güncellemesinde bulunan bir kusurdan etkilenen müşterilerle aktif olarak çalışıyoruz” dedi. Mac ve Linux ana bilgisayarlarının etkilenmediğini de sözlerine ekledi.

Kurtz, “Bu bir güvenlik olayı veya siber saldırı değil. Sorun tanımlandı, izole edildi ve bir düzeltme uygulandı,” dedi.

Ancak bu düzeltmenin uygulanması zor olabilir. Tehdit istihbarat firması Silobreaker’da baş bilgi ve güvenlik görevlisi olan Andy Grayland, bir düzeltmeyi uygulamak için mühendislerin Windows çalıştıran her bir veri merkezine girmesi gerekeceğini söyledi.

Daha sonra sisteme giriş yapmaları, belirli bir CrowdStrike dosyasına gitmeleri, dosyayı silmeleri ve ardından tüm sistemi yeniden başlatmaları gerekecekti.

“Makineler şifrelendiğinde, karmaşık şifreleme anahtarlarının da elle girilmesi gerekir. Microsoft ve CrowdStrike (eğer dahil olurlarsa) çantadan mucizevi bir şey çıkarmadıkları sürece, bundan kurtulmak acı verici olabilir.”