تقول الشركة التي تسببت في انقطاع هائل لأجهزة الكمبيوتر في جميع أنحاء العالم، إن التحديث المعيب قد تم التراجع عنه، ولكن هذا لا يساعد بالضرورة الآلاف من الشركات التي تأثرت بالخلل.
إن مشكلة برنامج كراودسترايك تكمن في أنها تعمل على مستوى عميق في أجهزة الكمبيوتر والأنظمة المتضررة؛ حيث إن إعادة تشغيلها فقط من أجل إصلاحها سيكون، في كثير من الحالات، تحدياً هائلاً.
ويتفاقم هذا الوضع بسبب حقيقة أن العديد من الخوادم التي قد تحتوي على المعلومات اللازمة لتشغيل هذه الأنظمة مرة أخرى تكون هي نفسها عالقة في حلقة مفرغة من التعطل وإعادة التشغيل.
وقد لا يكون من السهل الوصول إلى بعض أجهزة الكمبيوتر المتأثرة، وقد لا يكون من الممكن إعدادها في مواقع بعيدة وتشغيلها دون تدخل بشري.
قال الخبير الأمني تروي هانت في منشور على إكس «لا أعتقد أنه من السابق لأوانه تسميته.. سيكون هذا أكبر انقطاع لتكنولوجيا المعلومات في التاريخ».
ويعمل برنامج كراودسترايك المعطل على ما يُسمى بمستوى النواة في الكمبيوتر، وهو مستوى أعمق كثيراً مما تفعله التطبيقات الأكثر شيوعاً مثل المتصفحات أو ألعاب الفيديو، ويتمتع هذا الجزء من الجهاز بقدر أعظم كثيراً من الرؤية والتحكم في الكمبيوتر ومكوناته؛ ما يجعله بالغ الأهمية لتشغيل جميع الأنظمة الأخرى، وأكثر حساسية.
إن التشغيل على مستوى النواة يعني أن برنامج كراودسترايك يمكنه فعل المزيد للكشف عن الهجمات الإلكترونية، ولكنه يعني أيضاً أن الخطأ الحالي يتسبب في تعطل أجهزة الكمبيوتر التي تعمل بنظام ويندوز إلى شاشة الموت الزرقاء قبل أن يتمكن المستخدمون من اتخاذ أي إجراءات لتصحيحها.
أزمة كراودسترايك تتطلب عملاً شاقاً
ويبدو أن المشكلة قابلة للإصلاح، كما صرحت شركة كراودسترايك، ولكن في كثير من الحالات يتطلب الأمر عملاً شاقاً، «يجب على المسؤول الوصول إلى كل جهاز متأثر وإعادة تشغيله يدوياً في الوضع الآمن».. بعد ذلك، يجب حذف ملف كراود سترايك المخالف يدوياً.
بالنسبة للشركات التي لديها مئات أو آلاف أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية والخوادم التي تعمل ببرنامج أمان كراودسترايك، قد يتعين على شخص بشري فردي إجراء هذه العملية مراراً وتكراراً.
وقال كيفن بومونت، الباحث الأمني ومحلل التهديدات السابق في شركة مايكروسوفت، في منشور على إكس «لا يمكنك أتمتة ذلك؛ لذا فإن هذا سيكون مؤلماً للغاية لعملاء كراودسترايك».
وفي يوم جمعة 19 يوليو 2024، ذكرت صفحة حالة مايكروسوفت أن بعض مستخدمي Windows Virtual Machine تعافوا بنجاح من المشكلة من خلال إعادة التشغيل بشكل متكرر، وفي بعض الحالات ما يصل إلى 15 مرة متتالية.
«لقد تلقينا تعليقات من العملاء تفيد بأن إعادة التشغيل عدة مرات (تم الإبلاغ عن 15 مرة) قد تكون ضرورية، ولكن التعليقات الإجمالية هي أن إعادة التشغيل هي خطوة فعالة لاستكشاف الأخطاء وإصلاحها في هذه المرحلة»، كما ذكرت شركة Microsoft على الصفحة، ولم تتكهن الشركة بالسبب الذي يجعل هذه التقنية تبدو فعالة.
وأضافت مايكروسوفت أن المنظمات المتضررة يمكنها أيضاً محاولة استعادة أجهزتها إلى حالة سابقة من خلال الرجوع إلى نسخة احتياطية سابقة للنظام، على الرغم من أنها اعترفت بأن ذلك قد لا يكون ممكناً في جميع الحالات.
قال إريك أونيل، خبير الأمن السيبراني ومسؤول مكافحة التجسس السابق في مكتب التحقيقات الفيدرالي «الشركات التي لم تستثمر في حلول النسخ الاحتياطي السريع عالقة في مأزق».
الأمور تزداد سوءاً
من المرجح أن تقوم المنظمات التي تأخذ الأمان على محمل الجد بتشفير محركات الأقراص الثابتة لأجهزة الكمبيوتر الخاصة بها؛ ما يجعل الوصول إلى الملف الذي يحتاج إلى حذفه أكثر صعوبة.
بالنسبة لهذه المؤسسات، «تحتاج إلى فك تشفير القرص يدوياً باستخدام مفتاح استرداد BitLocker الذي من المحتمل -بالنسبة لمعظم الشركات- أن يكون مخزناً رقمياً على أحد الخوادم التي تعمل حالياً مراراً وتكراراً»، كما قال إيرا بيلي، وهو باحث أمني، في منشور على بلوسكاي.
سيتعين إلغاء قفل كل جهاز كمبيوتر متأثر مشفر باستخدام BitLocker باستخدام مفتاح استرداد قبل أن تتمكن المؤسسات من بدء عملية حذف ملف كراودسترايك السيئ واستعادة التشغيل الطبيعي، وفقاً لما قاله خبير الأمن السيبراني الذي يستخدم الاسم المستعار SwiftOnSecurity في منشور على إكس.
وقال كين وايت، وهو باحث أمني مستقل متخصص في أمن الشبكات، لشبكة CNN، إن عملية الاسترداد ستكون مكلفة للغاية بالنسبة لشركات Fortune 500 التي لديها فرق كبيرة من موظفي تكنولوجيا المعلومات، ومن المرجح أن تكون أكثر تحدياً للشركات الأصغر حجماً.
وأضاف وايت «إذا لم يكن لديك موظفون قادرون على التعامل مع الأمر فعلياً، فسوف يستغرق الأمر أياماً عديدة حتى تتعافى الشركات الأميركية من هذا الوضع، إنه مجرد قدر هائل من العمل اليدوي الذي يتطلب الكثير من العمالة».
وتابع «إنها عملية معقدة إلى حد ما بالنسبة للأشخاص غير الفنيين، وحتى الكثير من المتخصصين المهرة في تكنولوجيا المعلومات سيجدون صعوبة في القيام بذلك على النطاق المطلوب؛ نظراً لعدد الأجهزة المتأثرة».
(بريان فونج CNN)