CrowdStrike更新風波：從熒幕笑料到現(xiàn)實危機

   在美劇《太空部隊》第二季之中，有這樣一幕：一顆衛(wèi)星失去了控制，朝著地球快速撞來，地面控制站急需解算衛(wèi)星數(shù)據(jù)，用以攔截衛(wèi)星避免一場災難，但是就在這千鈞一發(fā)之際，win10電腦因為系統(tǒng)自動升級沒辦法用了······

在電視劇之中，這一幕本就是為了調(diào)侃win 10系統(tǒng)不合時宜的更新和其超長的更新時間，但是你可能不會想到，美國許多看似不可思議的橋段不是腦洞大開，而是真的有現(xiàn)實基礎的。這不，在上周（7月19日），微軟就因推送了一個系統(tǒng)更新，引發(fā)了全球Windows電腦集體藍屏罷工。

一時間，連鎖反應迅速蔓延至各行各業(yè)，從金融交易到航空運輸，無一幸免。此次事件中，達美航空、聯(lián)合航空和美國航空等多家航空公司航班被迫取消，倫敦證券交易所的新聞發(fā)布受到影響，日本的列車行駛位置信息丟失，澳大利亞的銀行和政府網(wǎng)絡癱瘓······    

眾所周知，Windows系統(tǒng)的“藍屏崩潰”，并不是真正的崩潰，是一種系統(tǒng)的保護機制。當系統(tǒng)檢測到潛在的嚴重錯誤時，它會自動觸發(fā)藍屏以防止問題進一步惡化。如果沒有這種機制，一個小錯誤可能會逐漸累積，最終導致系統(tǒng)數(shù)據(jù)遭受嚴重破壞。實際上，由Windows系統(tǒng)本身引發(fā)的藍屏情況相對較少；更多的時候，藍屏是由各種驅(qū)動程序的問題所引起的，特別是那些采用不當或惡意編程技巧（如內(nèi)核HOOK或過濾驅(qū)動）的驅(qū)動程序。此外，不符合微軟編程規(guī)范的軟件或存在BUG的應用程序，例如常見的中斷請求級別（IRQL）錯誤或違反PatchGuard保護機制的情況，同樣可能觸發(fā)藍屏。

因此，本次事件之中，我們不應該把矛頭指向微軟的Windows，在本次大范圍藍屏的事件中，罪魁禍首就是。那么，這個CrowdStrike到底是何方神圣呢？居然能以一己之力造成如此巨大的混亂？    

對于CrowdStrike，如果您是在外企或者海外工作對于這個名字一定算不陌生。CrowdStrike是一家領先的網(wǎng)絡安全技術和解決方案提供商，專注于提供基于云計算的端點保護平臺。該公司成立于2011年，總部位于美國加利福尼亞州的Irvine，并在世界各地設有辦公室。CrowdStrike的核心產(chǎn)品是Falcon平臺，這是一個高度先進的安全平臺，利用人工智能（AI）和機器學習（ML）技術來檢測、預防和響應各種網(wǎng)絡威脅。Falcon平臺的獨特之處在于它的輕量級代理，可以在幾乎任何設備上運行，包括傳統(tǒng)的個人電腦、服務器、移動設備，甚至是物聯(lián)網(wǎng)（IoT）設備。這個代理能夠收集和分析終端上的數(shù)據(jù)，然后使用云端的AI和ML模型進行威脅檢測。由于所有的處理和分析都在云端完成，因此不會占用本地設備的大量計算資源，也不會顯著影響性能。

確實，在這次“藍屏事件”中，CrowdStrike的“先進”和“安全”沒有體驗出來，但是確確實實讓我們看到了其真的“可以在幾乎任何設備上運行”，讓它有了能干出如此“狠活兒”的平臺。那么為什么區(qū)區(qū)一個殺毒軟件就能讓Windows藍屏呢？一個殺毒軟件，最重要的工作肯定就是殺毒了，因此，殺毒軟件往往有著其他軟件所沒有的權限。而且由于它一直奮戰(zhàn)在病毒一線，所以其自身也一定有相當高的自我保護機制，為了做到上述的兩個能力，某些殺毒軟件會把自己的關鍵程序?qū)戇M系統(tǒng)驅(qū)動層，也就是Windows系統(tǒng)中的system32/divers之中。而這個system文件自然是Windows系統(tǒng)之中的關鍵部分，而好巧不巧，這次CrowdStrike推送的更新就在這個部分出現(xiàn)了一個“小問題”。    

2024 年 7 月 19 日星期五，CrowdStrike 公司的 Falcon sensor 安全軟件升級。該產(chǎn)品的驅(qū)動程序 csagent.sys 出現(xiàn)空指針異常，導致 Windows 藍屏死機。也就是說，是因為程序會判斷地址是否是0，如果是0就會跳過指令，用來避免異常的崩潰藍屏。但是，在CrowdStrike的代碼中，忘記了判斷指針是否真的是有效指針，直接訪問了一個空指針，直接導致系統(tǒng)運行不下去，進而導致了這次的系統(tǒng)崩潰。

如果說這一點代碼錯誤是誰都難以避免的“小失誤”，那么沒有進行灰度更新，這CrowdStrike推都推卸不掉的責任了。什么是灰度更新呢？灰度更新是一種軟件發(fā)布策略，它允許開發(fā)者在全面推出新版本之前，先向一小部分用戶推送更新。這樣做的目的是在有限的范圍內(nèi)測試新版本軟件的性能、穩(wěn)定性和安全性，同時收集用戶反饋，以便在正式推出之前發(fā)現(xiàn)并修復潛在的問題。這種重要的系統(tǒng)底層更新，居然沒有先小范圍的推送測試，這是CrowdStrike最讓人難以理解的部分，同時也是CrowdStrike必須為本次事件負責的直接原因。

那么，可能也有讀者還會有一個問題？為什么這次受影響的都是外企或是外國，為什么我國沒有受到波及呢？首先，有一點是我國的公共設施中的電腦一般不會采用外國的殺毒軟件，因此CrowdStrike的在國內(nèi)的市占率很少；其次，在我國的公共設施之中，安卓系統(tǒng)因其成本更低，被大量使用，而Windows只有少數(shù)系統(tǒng)，如火車站、醫(yī)院會使用；最后，在我國，使用Windows的公共設施設備基本上都不會聯(lián)網(wǎng)，就算需要更新也是內(nèi)部統(tǒng)一評估之后再更新。這一套操作下來，就讓我國幾乎完美的避免了這次藍屏危機。    

最后，此次CrowdStrike引發(fā)的大規(guī)模藍屏事件再次提醒我們，漏洞無處不在，而這些漏洞一旦被觸發(fā)，可能會帶來難以預料的后果。而灰度更新的重要性就體現(xiàn)在這里，一切的軟件產(chǎn)品都應該重視灰度更新。因此，無論是技術開發(fā)者還是用戶，都需要保持警惕，并采取一切適當?shù)拇胧﹣肀Ｗo自己免受潛在風險的影響。未來，隨著技術的不斷進步和安全威脅的日益復雜化，加強國際合作、提升應急響應能力和推動技術創(chuàng)新將是保障全球信息安全的關鍵所在。而對于像CrowdStrike這樣的技術公司來說，除了需要不斷改進其產(chǎn)品和服務之外，更應該將用戶體驗放在首位，避免此類事件再次發(fā)生。