Khi hầu hết các doanh nghiệp chuyển sang điện toán đám mây và phần mềm của những công ty khổng lồ như CrowdStrike đang được chạy trên hàng triệu máy tính thì một lỗi bất kỳ xảy ra cũng có thể ảnh hưởng đến cả hệ thống.
Sự cố hiếm có
Bản cập nhật vội vàng của công ty an ninh mạng CrowsStrike ngày 19/7 (giờ Việt Nam) đã vô tình tạo ra sự cố khiến hàng triệu máy tính chạy hệ điều hành Windows khắp thế giới gặp lỗi ‘màn hình xanh’.
“Mặc dù cập nhật phần mềm đôi khi có thể gây ra sự cố, nhưng những sự cố nghiêm trọng như sự cố của CrowdStrike là hiếm có”, Microsoft thông báo
trên blog rạng sáng 21/7.
"Chúng tôi ước tính bản cập nhật của CrowdStrike ảnh hưởng đến 8,5 triệu thiết bị chạy Windows, tương đương dưới 1% trong tổng số máy Windows toàn cầu. Tỷ lệ này tuy nhỏ nhưng tác động kinh tế-xã hội của nó lại khá rộng lớn vì CrowdStrike được sử dụng bởi các doanh nghiệp cung cấp nhiều dịch vụ thiết yếu,” Microsoft cho biết thêm.
CrowdStrike là một trong những công ty bảo mật mạng lớn nhất trong ngành này. Ngày 19/7, bản cập nhật phần mềm Falcon Sensor của công ty, được dùng để bảo vệ cơ sở hạ tầng đám mây
Microsoft Azure và máy tính
Microsoft Windows, đã khiến hàng nghìn chuyến bay bị hoãn, đài truyền hình ngừng phát sóng và người dùng không thể truy cập vào các dịch vụ như chăm sóc sức khỏe hay ngân hàng.
Ở Mỹ, hàng loạt chuyến bay bị hủy do "gặp vấn đề kết nối". Việc đặt vé, cấp thẻ lên máy bay và một số khâu khác bị lỗi nghiêm trọng. Tại các quầy check-in, lượng hành khách bị kẹt cứng vì nhân viên sân bay phải làm thủ tục bằng tay. Chiều 19/7, Hãng Vietjet của Việt Nam cũng thông báo bị ảnh hưởng dây chuyền do tình trạng hoãn chuyến tại các sân bay khác trên thế giới.
Khoảng 2.600 chuyến bay của Mỹ đã bị hủy tính đến chiều thứ Sáu và hơn 4.200 chuyến bay đã bị hủy trên toàn cầu - theo
Wall Street Journal.
Trên toàn cầu, các dịch vụ ngân hàng, hệ thống chăm sóc sức khỏe chạy hệ điều hành Microsoft cũng bị tê liệt. Bệnh viện Đại học Schleswig-Holstein của Đức cho biết họ đã hủy bỏ một số ca phẫu thuật không khẩn cấp tại hai địa điểm. Tại Israel, hơn một chục bệnh viện đã bị ảnh hưởng và các xe cứu thương phải chuyển đến các bệnh viện khác. Tại Vương quốc Anh, hệ thống y tế
NHS xác nhận lịch hẹn khám chữa bệnh và hồ sơ bệnh nhân đã không thể truy cập trong nhiều tiếng do sự cố.
Các chuyên gia đánh giá, sự cố "màn hình xanh" lần này là một trong những vụ gián đoạn kết nối quy mô lớn nhất những năm gần đây.
Bản chất của vấn đề thực sự khá đơn giản nhưng để giải quyết, các hệ thống không thể tự động cập nhật mà cần có sự can thiệp thủ công của các chuyên gia công nghệ thông tin. Điều này gây tốn kém tiền của và công sức.
Trong khi CrowdStrike đang giải quyết vấn đề này, Microsoft cũng đưa ra một hướng dẫn đơn giản để khách hàng cá nhân của mình khắc phục tình trạng ‘màn hình xanh’ trên máy tính, đó là liên tục khởi động lại máy tính cho đến khi chạy được. Tùy thuộc vào mức độ “cổ xưa” của máy tính mà việc khởi động có thể mất khá nhiều thời gian (đã có báo cáo lên tới 15 lần).
Rủi ro khó lường
Ngay khi sự cố xảy ra, George Kurtz, Giám đốc điều hành của CrowdStrike, viết trên mạng xã hội X rằng CrowdStrike đã triển khai bản sửa lỗi cho vấn đề này. Ông trấn an mọi người "Đây không phải là một sự cố an ninh hay tấn công mạng".
Quả thực, vấn đề đến từ mâu thuẫn lệnh trong một bản cập nhật phần mềm an ninh mạng của CrowdStrike. Trong trường hợp này, mã của CrowdStrike xung đột với mã của Windows, khiến các hệ thống bị treo, ngay cả sau khi khởi động lại.
Patrick Wardle, chuyên gia nghiên cứu các mối đe dọa đối với hệ điều hành, nhận xét mã lỗi của Falcon Sensor có thể "nằm trong một tệp tin chứa thông tin cấu hình (configuration) hoặc chữ ký (signatures)".
Chữ ký là đoạn mã dùng để nhận dạng các loại mã độc (malware). Các phần mềm bảo mật thường cập nhật chữ ký với tần suất cao, có thể là mỗi ngày một lần, bởi vì chúng phải liên tục theo dõi các mã độc mới nhất để bảo vệ khách hàng. Tần suất cập nhật cao “có thể là lý do tại sao CrowdStrike đã không kiểm tra bản cập nhật kỹ càng”, Wardle nói.
Paul Davis, giám đốc an toàn thông tin của nền tảng Jfrog cho biết, các công ty bảo mật thường kiểm tra chức năng cơ bản của phần mềm nhưng vẫn cần dựa vào các bản cập nhật tự động và chấp nhận những "rủi ro nằm trong tính toán". Lần này, CrowdStrike đã không tính được trước những rủi ro đó, và không phát hiện được mã xung đột với Window trước khi phát hành diện rộng.
Lý tưởng nhất là nên triển khai các bản cập nhật cho một nhóm hạn chế trước. Đó là cách tiếp cận an toàn hơn để tránh những rắc rối lớn như thế này.
Sự cố của CrowdStrike không phải là duy nhất và đã từng xảy ra với các công ty bảo mật khác trong quá khứ. Chẳng hạn, bản cập nhật virus lỗi của McAfee vào năm 2010 đã khiến hàng trăm nghìn máy tính bị đình trệ.
Các chuyên gia nói rằng sự cố ngừng hoạt động trên mạng của CrowdStrike đã tô đậm những rủi ro của thế giới trực tuyến. Khi các doanh nghiệp chuyển sang điện toán đám mây và phần mềm của những công ty khổng lồ như CrowdStrike chạy trên hàng triệu máy tính, thì một lỗi bất kỳ xảy ra cũng có thể ảnh hưởng đến cả hệ thống.