ABD’li teknoloji şirketi Microsoft’a siber güvenlik hizmeti sağlayan CrowdStrike’ın neden olduğu küresel iletişim kesintisi nedeniyle yolcuların toplanıp beklediği Düsseldorf Havalimanı’ndan genel bir görünüm, 19 Temmuz 2024.

Heşam Elşerif | Anadolu | Getty Images

Güvenlik uzmanları, CrowdStrike’ın yaygın olarak kullanılan siber güvenlik yazılımının rutin güncellemesinin, cuma günü dünya genelinde müşterilerin bilgisayar sistemlerinin çökmesine neden olmasının ardından, dağıtılmadan önce yeterli kalite kontrollerinden geçmediğini söyledi.

Falcon Sensor yazılımının son sürümü, CrowdStrike müşterilerinin sistemlerini, savunduğu tehditleri güncelleyerek saldırılara karşı daha güvenli hale getirmeyi amaçlıyordu. Ancak güncelleme dosyalarındaki hatalı kod, Microsoft’un Windows işletim sistemini kullanan şirketler için son yıllardaki en yaygın teknik kesintilerden birine yol açtı.

Küresel bankalar, havayolları, hastaneler ve devlet daireleri sekteye uğradı. CrowdStrike etkilenen sistemleri düzeltmek için bilgi yayınladı ancak uzmanlar, hatalı kodun manuel olarak ayıklanması gerektiğinden bunları tekrar çevrimiçi hale getirmenin zaman alacağını söyledi.

Güvenlik Puan Kartı’nın baş güvenlik görevlisi Steve Cobb, “Görünüşe göre, kodlara bakarken yaptıkları inceleme veya deneme ortamında, belki de bu dosya bir şekilde bunlara dahil edilmemiş veya bunların arasından sıyrılmış olabilir,” dedi. Bu sorundan etkilenen bazı sistemler de vardı.

Güncelleme Cuma günü yayınlandıktan sonra sorunlar hızla gün yüzüne çıktı ve kullanıcılar sosyal medyada hata mesajları gösteren mavi ekranlı bilgisayarların fotoğraflarını paylaştı. Bunlar sektörde “ölümün mavi ekranları” olarak bilinir.

İşletim sistemlerine yönelik tehditleri inceleyen güvenlik araştırmacısı Patrick Wardle, yaptığı analizde kesintiye neden olan kodun tespit edildiğini söyledi.

Güncellemenin sorunu “yapılandırma bilgisi veya imzalar içeren bir dosyadaydı” dedi. Bu tür imzalar, belirli türdeki kötü amaçlı kodları veya kötü amaçlı yazılımları algılayan kodlardır.

“Güvenlik ürünlerinin imzalarını günde bir kez güncellemeleri çok yaygındır… çünkü sürekli olarak yeni kötü amaçlı yazılımları izlerler ve müşterilerinin en son tehditlere karşı korunduğundan emin olmak isterler,” dedi.

Güncellemelerin sıklığı “muhtemelen CrowdStrike’ın bunu çok fazla test etmemesinin nedeniydi” dedi.

Bu hatalı kodun güncellemeye nasıl girdiği ve müşterilere sunulmadan önce neden tespit edilmediği henüz belli değil.

Huntress Labs’ın baş güvenlik araştırmacısı John Hammond, “İdeal olarak, bu önce sınırlı bir havuza dağıtılırdı,” dedi. “Bu, böyle büyük bir karmaşayı önlemek için daha güvenli bir yaklaşımdır.”

Diğer güvenlik şirketlerinin de geçmişte benzer olayları olmuştu. McAfee’nin 2010’daki hatalı antivirüs güncellemesi yüz binlerce bilgisayarı durdurmuştu.

Ancak bu kesintinin küresel etkisi CrowdStrike’ın hakimiyetini yansıtıyor. Fortune 500 şirketlerinin yarısından fazlası ve ABD’nin en büyük siber güvenlik ajansı olan Siber Güvenlik ve Altyapı Güvenlik Ajansı gibi birçok hükümet kuruluşu şirketin yazılımını kullanıyor.