【文/观察者网 阮佳琪】
一次更新,一串代码,全球宕机。当地时间19日,美国网络安全龙头企业CrowdStrike一次失败的软件更新,给全球无数微软Windows系统用户搅了个不得安宁。
这场几乎波及所有行业的网络安全事故,强行给繁忙的全世界按下了暂停键,上至政府部门,下至零售商铺,全部运作受阻。所有人只能看着满屏蓝色干瞪眼,气得特斯拉CEO马斯克放狠话要“火烧CrowdStrike机房”;美国国土安全部高官看着无限重启的电脑哀嚎着“被蓝屏逼疯了”;负责网络技术的美国副国家安全顾问安妮·纽伯格(Anne Neuberger),更是凌晨4点在睡梦中被一个电话紧急喊到了白宫。
尽管问题原因已经找到,但由于每台受影响的电脑可能都必须通过手动修复,这一事件的恶劣影响至少仍需要几天时间才能缓慢恢复。许多网络安全专家都认为,这场可谓“历史上规模最大最严重的IT故障”,凸显了全球对少数供应商软件依赖所构成的严重风险。考虑到单一安全软件的广泛应用,且其对电脑权限的不断深入,“一旦它出问题,反而可能比它不运作的后果更严重”,《纽约时报》引述专家分析称。
同时,美国、加拿大、澳大利亚、日本、英国……乃至南非都受到此次事件的一定影响,也迅速引发对全球IT技术中断造成国家安全隐患的担忧。鉴于受影响的关键基础设施供应商范围之广,更有专家警示称,此次事件完全可以视作一次大规模网络攻击的国家演习。澳大利亚前网络安全官员托比亚斯-费金(Tobias Feakin)后怕道,倘若此次事件真是一个“恶意对手”刻意为之,后果不堪设想。
CNN报道称,蓝屏事件也许会促使世界各地政府就可能出现的情况进行研究,美国官员和企业高管或将探讨新的政策工具以避免“灾难”的发生。在出席阿斯彭安全论坛时,美国国务卿布林肯便见缝插针地强调,软件供应商多样化对于国家安全的必要性。
印度德里国际机场,一名乘客正在查看出现故障的机场大屏。欧新社
几乎全球停摆,“有史以来最严重的IT故障”
当地时间7月19日,美国科技巨头微软公司爆发重大服务中断事件,全球范围内众多用户反映搭载Windows系统的企业电脑出现“蓝屏”故障,无法正常启动。
此次事件与第三方美国网络安全企业CrowdStrike旗下软件更新有关。简单来说,是CrowdStrike向全球微软Windows系统用户发送了一个软件更新,一般情况下,这种更新会在后台悄无声息地自动更新,不影响用户使用。但由于这次更新存在漏洞,所以在运行时直接导致了系统崩溃,并进而引发全球IT系统中断。
于是从周四晚开始,全球各地陆续有微软用户在打开电脑以后被“蓝光”照拂,并伴随着电脑反复重启又崩溃的尴尬境况。正如一名网民吐槽说的那样,“如果今天你收获了一个微软蓝屏,你不孤单。”
外国网民吐槽
而随着天幕转亮,繁忙的一天即将开始,不见丝毫起色的电脑,让人们慢慢意识到这次故障可能没有那么简单——飞机不飞了,医院不转了,货运不走了,连路口的咖啡店都不能刷卡结账了……许多国家都上演了不同程度的、甚至自上而下的公共服务“瘫痪”。
尤其眼下正值旅游旺季,航空业遭到的“暴击”最为直接明显。CNN援引航班跟踪网站FlightAware的数据称,截至美东时间周五晚间,全球有4.1万个航班被推迟,逾4600个航班被取消。
许多机场不得不人工值机,使用手写登机牌办理登机,效率大大降低,等待的旅客大排长龙。还有不少人被困在机场,只能抱着行李席地而睡。欧洲最大的航空公司瑞安航空坦言,这次宕机已经超出其控制范围,建议所有游客至少提前三个小时到达机场。
这其中,美国境内外取消航班已经超过3000次,超过1.1万个航班延误。
据美媒报道,美国联邦航空局最初叫停美国境内所有航班起飞,航空公司稍后反映陆续恢复服务。按照《纽约时报》的说法,这种程度的影响几乎相当于一场暴风雪对航班的影响。
截至美东时间19日晚23点半,全美航班取消班次。Flightaware数据
有点黑色幽默的是,常年因系统老旧被美交通部和国会点名批评的美国西南航空公司,这回丝毫没有受到宕机影响,如常执飞航班。究其原因,美媒认为可能是因为这家航司时至今日仍在使用32年前推出的Window3.1系统,过于“落后”无法更新,反倒“逃过一劫”。
央视记者刘骁骞在美国旧金山机场就正好赶上了令人崩溃的机场瘫痪事件。而当他摸黑打车想找一家酒店入住时,他发现“噩梦”远不止于此——酒店系统也是一片明晃晃的蓝色。
综合“政客新闻网”报道,酒店系统宕机导致无法向住客收费、退房或预定房间。在俄亥俄州和宾夕法尼亚州经营着大约十几家希尔顿和万豪酒店的Indus Hotels透露,它旗下的许多酒店在周五早上只有一台电脑是可以正常使用的。
“酒店经理们肯定在抓狂地揪头发。”Indus Hotels的首席运营官阿兰·L·阿萨夫(Alan L. Assaf)无奈道。
此外,包括特斯拉、星巴克、埃克森美孚等在内的不同行业的企业也公开表示受到了影响。星巴克称,第三方系统出现广泛的故障,导致移动预订和支付功能暂时中断。埃克森美孚则表示,全球网络故障影响了公司部分的信息系统。
特斯拉首席执行官马斯克的反应最为激烈,他在社交媒体上愤怒抱怨称,他已经从特斯拉所有系统中全部删除了CrowdStrike软件,大骂此次故障对汽车供应链造成冲击。《商业内幕》援引知情人士消息称,特斯拉因全球IT故障而停止了得克萨斯州和内华达州的部分生产线。
骂完还不过瘾,马斯克还附上一张“火烧CrowdStrike机房”的AI生成图片宣泄不满。他随后补充道,“不幸的是,我们的许多供应商和物流公司都在使用那家公司的软件。”
马斯克的X账号
《华尔街日报》指出,这次宕机几乎波及了所有行业,从美洲、欧洲到亚洲,可谓是“雨露均沾”,多国交通、金融、媒体、医疗、零售、物流等在内的各行各业均受到严重干扰。
《华盛顿邮报》报道称,哪怕是在今年已经因为黑客攻击遭受过严重打击的行业中,专家们仍对周五这种程度的停摆感到震惊。
“看到这种连锁反应,我人都傻了。”网络安全专家、前国土安全部官员克里斯-库米斯基(Chris Cummiskey)表示,虽然CrowdStrike通常被视为网络保护的“黄金标准”,但这次事件可能需要重新审视他们的内部做法,“你不会希望按下一个按钮,就发生这种全球性的崩溃吧?”
CrowdStrike“无处不在”,单一软件供应商主导地位引担忧
据CNN介绍,CrowdStrike对于普通人来说可能名不见经传,但事实上这家公司是货真价实的美国网络安全龙头企业,在网络安全市场中占有最大份额。十多年的经营,CrowdStrike的业务足迹已遍布全球,拥有2.9万个客户,包括像亚马逊和微软这样的大型公司。据美媒报道,全球500强企业中,有271家是它的客户。
照在哈佛大学肯尼迪政治学院任教的安全技术专家布鲁斯-施奈尔(Bruce Schneier)的话来说,这家普通人“听都没听过”的公司,对于互联网正常运作至关重要。但现在的情况就相当于,只是在房子的墙上钉一幅画,结果把房子快整塌了。
一个漏洞,就能够轻易地导致全球经济的某些领域完全陷入停滞。英国国家网络安全中心前首席执行官、牛津大学教授夏兰·马丁(Ciaran Martin)直言,这个例子让他“非常不安”。
CNN在一篇评论文中指出,蓝屏事件凸显出全球经济的脆弱性,以及对CrowdStrike这家美国网络安全公司的依赖性,此前这一点鲜少有人关注。专家认为,少数几家公司在杀毒和检测市场占据主导地位,一旦出问题就是“牵一发动全身”,为政府和企业带来了巨大风险。
纽约市前网络风险总监穆尼斯(Munish Walther-Puri)担忧道:“我们广泛信任着缺乏多样性的网络安全供应商,我们在技术生态系统中制造了脆弱性。”
当地时间7月19日,在德国汉堡,旅客在汉堡机场1号航站楼等待办理登机手续。视觉中国
《华尔街时报》也指出,单个供应商的一次更新就能让如此多的公司陷入数字黑暗时代,这是对世界技术依赖性的新警告。尽管类似的更新故障此前也有先例,但随着企业和个人对人工智能驱动的自动化工具的依赖与日俱增,使得每一次新的宕机事件都让人感到更加危险。
网络安全顾问、前美国国家安全局分析师托马斯·帕伦蒂(Thomas Parenty)还指出,安全软件的一个棘手之处在于,它需要对整台电脑拥有绝对权限才能完成工作。“因此,如果它出了问题,后果远比比它无法工作要严重得多。”
但问题是,在发生重大服务中断和网络安全事故时,这些软件供应商几乎不会承担什么责任。帕伦蒂说,和汽车制造商会因为刹车失灵而面临严厉处罚不同,软件供应商要承担的后果往往微不足道,他们可能只需要发布一个新的补丁,然后就能装作无事发生地继续发展着。
他认为,“除非软件公司必须为有问题的产品付出严重代价,否则我们的明天不会比今天更安全。”
美国市场预测机构D.A.戴维森公司高级软件分析师吉尔·卢里亚表示,大部分公司找不到微软的替代品。这起事件发生后,一些企业用户可能考虑在安全产品上寻找可替代方案。
尤其考虑到CrowdStrike产品出现漏洞并不罕见的情况下:就在今年4月,该公司向运行Linux系统的客户推送了一个软件更新,结果导致电脑崩溃。CrowdStrike花了近五天时间才修复了漏洞。
“这将是历史上最大的IT中断。”澳大利亚安全顾问、黑客检查网站的创建者特洛伊·亨特(Troy Hunt)说,“我们实际上才刚刚开始看到冰山一角。”
对于国家安全而言,“堪称核弹级事故”
尽管CrowdStrike的联合创始人兼首席执行官乔治·库尔茨(George Kurtz)强调,此次事件“不是一起安全事件或网络攻击”,但由于故障已经影响了近千万台使用微软Windows系统的设备,其中更涉及多国大量关键基础设施运作,甚至是政府部门,美国波特兰市市长一度因公共服务“瘫痪”,宣布全市进入紧急状态。因此在不少安全专家看来,此事堪称是一次“核弹级”的网络安全事件。
白宫前代理国家网络主管肯巴·瓦尔登(Kemba Walden)说,鉴于CrowdStrike和微软软件的广泛应用,联邦机构受到影响是“合理假设”。此后,美国财政部、司法部官员均对“政客新闻网”承认,该部门部分计算机系统出现问题。美社会保障局19日也宣布,所有办公室不对公众开放。五角大楼亦被参议员要求就此次服务中断对美国国防事务的影响进行通报。
美国土安全部在一份声明中没有回应其系统是否受到故障影响,而一名哀嚎着“被蓝屏逼疯”的匿名高级官员私下对“政客新闻网”透露,该部门的电脑在凌晨一点半左右集体崩溃,周五上午仍然无法重新启动。
CNN报道指出,周五发生的混乱局面虽然并不涉及恶意攻击,但这场几乎导致全球停摆的蓝屏事件,势必会引起世界各地政府的重视和研究。鉴于受影响的关键基础设施供应商范围之广,美国官员和企业高管也可能会思考,是否需要新的政策工具来避免未来的灾难。
当地时间周五,在美国科罗拉多州举行的阿斯彭安全论坛上,负责网络技术的美国副国家安全顾问安妮·纽伯格(Anne Neuberger)谈到此事时透露,她是凌晨4点被白宫一个电话叫醒,然后花了一上午的时间评估服务中断对美国所有关键基础设施部门的影响。
纽伯格认为,这件事暴露了技术供应链中的整合风险,“我们需要真正思考的是我们的数字韧性,不仅是运行的系统,还包括全球连接的安全系统整合的风险,我们如何应对整合,以及我们如何确保一旦发生事故,能够得到控制并迅速恢复。要建立这种弹性,我们还有很多工作要做。”
美国副国家安全顾问安妮·纽伯格。阿斯彭安全论坛官方X账号
同样在阿斯彭安全论坛,美国国务卿布林肯也强调,这次蓝屏事件表明,“我们必须实现软件供应商的多样化。”
前美国联邦调查局探员罗布-达米科(Rob DAmico)在接受CNN访问时指出,这场全球计算机故障对国家安全的的影响“比大多数人想象得要大”。
除了已经造成的影响,他认为,有一些网络恶意攻击者可能会持续关注事件过程,或者试图借机进行网络钓鱼攻击,“他们可能没有参与事件的发生,但他们正在关注发生了什么,有什么反应,反应时间是多少,如何修复的。”
另据BBC报道,澳大利亚是在此次事件中受到影响最为严重的国家之一,其金融行业、航空业、通信业,乃至传媒机构都在19日当天密集报错。一度惊动澳大利亚网络安全监管机构出面安抚,表示没有任何信息表明该国收到恶意攻击。
澳大利亚外交部前网络安全官员托比亚斯·费金(Tobias Feakin)后怕道,倘若此次事件是一个“恶意对手”刻意为之,后果不堪设想,可能会对澳大利亚造成非常严重的破坏。
周五早些时候,欧盟各国当局也在积极应对事件对机场航司和金融机构的影响。欧盟委员会和英国首相办公室的发言人均向“政客新闻网”透露,他们都在调查此事。
“这是一次很好的警示,或者说是一次大规模网络攻击的演习。”美国非营利组织“国家网络安全联盟”(National Cybersecurity Alliance)执行董事丽莎(Lisa Plaggemier)说:“我的意思是,如果我们正因为一家主要安全供应商的故障而苦苦挣扎,这很可能就是我们被网络攻击的样子。”据美媒介绍,该组织是美国国土安全部下属的网络安全和基础设施安全局的主要合作伙伴之一。
值得一提的是,在这场突如其来的全球“大考”中,沙特阿拉伯认为自己交出了一份满意的答卷。当地时间19日,沙特国家网络安全局(NCA)发布声明称,全球IT技术中断对沙特关键基础设施的影响“微乎其微”。
其声明指出,通过提高国家能力和技术主权,当局采取了积极措施以应对和监控网络威胁。NCA设立的网络安全标准加强了该国网络安全性和可靠性,保护了国家实体和关键基础设施。
此外,埃及、阿联酋等国也接连宣布,在启用备用系统后,其航空业受到的影响比较有限。
央视新闻19日报道称,当天,国航、东航、南航等多家航空公司的航班未受到大范围系统技术故障影响,航班运行正常。北京首都机场和大兴机场出发的国际航班目前也运行正常。
据北京日报报道,奇安信网络安全事件响应专家、威胁情报中心负责人汪列军分析称,国内受影响的主要是外企及其在中国的分支机构,相关办公电脑可能默认装载了CrowdStrike,国内党政机关、央企、大型民企等受影响较小。
“第一财经”亦了解到,由于中国本土企业几乎没有安装CrowdStrike,中国大陆的航班运行和进出港业务、本土酒店业和医疗行业基本都没有受到影响。亚信安全SaaS产品部总经理赵洪兵认为,此次微软蓝屏事件也促使国内深思,需要加快信创步伐,从基础操作系统到顶层应用,构筑完全自主可控的技术能力。
本文系观察者网独家稿件,未经授权,不得转载。