Bir güvenlik şirketinin yazılım güncellemesi havaalanlarında, bankalarda ve hastanelerde kesintilere ve aksamalara neden oluyor. Bu nasıl olabilir?
Dünya çapında kaos: Milyonlarca bilgisayar, güvenlik şirketi Crowdstrike'ın hatalı bir güncellemesi nedeniyle felç oldu. Şirket 2011 yılında kuruldu ve büyük şirketlerde ve kuruluşlarda siber tehditleri tespit etme, araştırma ve bunlara karşı savunma konusunda uzmanlaştı. Crowdstrike'ın temel ürünü, PC'ler, dizüstü bilgisayarlar veya mobil cihazlar gibi uç cihazları gerçek zamanlı olarak kötü amaçlı yazılımlara ve diğer siber tehditlere karşı izler ve korur.
Ayrıca Crowdstrike, şirketlere siber güvenlik stratejilerini geliştirme ve optimize etme konusunda tavsiyelerde bulunur. Buna risk analizleri ve koruyucu önlemler dahildir: Örneğin şirketler siber saldırıların kurbanı olursa Crowdstrike olayları analiz etmeye, sınırlamaya ve çözmeye yardımcı olur.
Crowdstrike'a göre, dünyadaki en yüksek gelire sahip 100 şirketin yaklaşık %70'i müşteridir, dolayısıyla kesintinin boyutu da buna bağlı olarak büyüktür. Ancak tek bir hata nasıl bu kadar büyük küresel kesintilere ve kesintilere yol açabilir? t-online, Finlandiyalı BT güvenlik uzmanı Mikko Hyppönen ile bu konuda görüştü.
t-online: Bay Hipotenüs, Tek bir sürücü güncellemesi dünya çapında kaosa nasıl yol açabilir?
Mikko Hyppönen: Çünkü Crowdstrike'ın çok sayıda müşterisi var – hem özel sektörde hem de kamu sektöründe. Sorun şu ki, hata ağda veya bulutta değil, doğrudan müşterinin son cihazında. Makineleri koruması ve çalışır durumda tutması gereken sistemin, makinelerin arızalanmasına neden olması biraz ironik.
Mikko Hyppönen, Helsinki'deki bir siber güvenlik etkinliği olan SPHERE24'te. (Kaynak: Jani Telatie / WithSecure)
Mikko Hyppönen Finlandiyalı güvenlik sağlayıcısı WithSecure'da araştırma başkanı ve BT güvenliğinde küresel olarak tanınan bir uzmandır. Arka plan raporları ve araştırma sonuçları “New York Times”, “Wired” ve “Scientific American”da yayınlanmıştır ve Oxford, Stanford ve Cambridge üniversitelerinde ders vermiştir. Ekim 2021'de ilk kitabı “What is connected is vulnerable: How intelligence agencies and criminals infiltrate us on the Internet”i yayınladı.
Crowdstrike hatayı bulduğunu ve düzelttiğini söylüyor. Sistemler neden hala tekrar çalışmıyor?
Bir sunucu çökerse, başka bir sunucuya geçebilirsiniz. Ancak burada etkilenen milyonlarca bireysel bilgisayardan bahsediyoruz – ve bu zaman alır. Ayrıca, cihazda yönetici haklarına sahip olan ve sisteme derinlemesine müdahale edebilen bir güvenlik programı da etkilenir. Bu, hatanın bilgisayarın düzgün bir şekilde başlatılmadan önce çökmesine neden olduğu anlamına gelir.
Böyle bir durumda eski sistemi geri yüklemek için kullanabileceğim bir yedekleme yöntemi yok mudur?
Elbette, ancak yedeklemeyi yükleyebilmek için önce bilgisayarı başlatmanız gerekir. Uzun vadede, gelecekte merkezi olarak böyle bir şey yapmak için muhtemelen bir tür hack olacaktır. Ancak şu anda böyle bir çözüm yok. Bu nedenle sorunların çözülmesi biraz zaman alacaktır.
Gelecekte bu ve benzeri olayların yaşanmasının önüne geçmek mümkün müdür?
Burada biri gerçekten hata yapmış. Bu tür güncellemeler günde birkaç kez kuruluyor – biz de müşterilerimiz için aynısını yapıyoruz. Ve hiçbir şeyi yanlış yapmamak veya bir şeyin çökmesine neden olmamak için çok dikkatli olmalıyız. Bu güncellemeler farklı sistemlerde, farklı dillerde, Windows sürümlerinde ve her türlü farklı kombinasyonda sayısız kez test ediliyor.
Ancak Crowdstrike hatası sadece bireysel sistemleri değil tüm sistemleri etkiliyor.
Kesinlikle. Yani bu, güncellemenin düzgün bir şekilde test edilmediğini veya hiç test edilmediğini gösteriyor. Tahminimce belirli bir sürüm test edildi ancak daha sonra yanlışlıkla farklı bir sürüm gönderildi. Bunun bir insan hatası olduğunu düşünüyorum – çok büyük bir hata. Böyle bir şey tekrar olabilir mi? Kesinlikle. Ancak güvenlik önlemleri çok yüksek olduğu için bu çok düşük bir ihtimal. Ve Crowdstrike'taki geliştiriciler için üzülüyorum, bugün çok kötü bir gün geçirecekler.
Acaba teknolojiye fazla mı güveniyoruz?
Karşı soru: Elektriğe fazla mı güveniyoruz? 150 yıldır çalışmak bizim için son derece önemli. Bilgisayarlar ve ağlar için de durum aynı. Her iyi ve önemli buluş bir gün bizim için gerekli olacak. Elbette teknolojiye bağımlılık bir dezavantajdır; modern dünya onsuz işlemez. Ancak benim görüşüme göre avantajlar dezavantajlardan daha ağır basıyor ve zaten geri dönüş yok.
Bu olaydan ne gibi sonuçlar çıkarabiliriz?
Şirketler için önemli bir seçenek, güncellemeleri hemen yüklemek yerine bir gün boyunca test etmek olurdu. Ancak elbette bu da belirli bir risk içerir: örneğin bir siber saldırı olursa, sistem hemen korunmayabilir. Öte yandan, bir güncellemede hatalar olursa etkilenmezsiniz. Her şirket bunu kendi kendine tartmalıdır – ancak bence güncellemeler için bir test grubu mantıklı olurdu. Bu, mevcut Crowdstrike sorununu belirlemiş olurdu.
Röportaj için teşekkürler!
Dünya çapında kaos: Milyonlarca bilgisayar, güvenlik şirketi Crowdstrike'ın hatalı bir güncellemesi nedeniyle felç oldu. Şirket 2011 yılında kuruldu ve büyük şirketlerde ve kuruluşlarda siber tehditleri tespit etme, araştırma ve bunlara karşı savunma konusunda uzmanlaştı. Crowdstrike'ın temel ürünü, PC'ler, dizüstü bilgisayarlar veya mobil cihazlar gibi uç cihazları gerçek zamanlı olarak kötü amaçlı yazılımlara ve diğer siber tehditlere karşı izler ve korur.
Ayrıca Crowdstrike, şirketlere siber güvenlik stratejilerini geliştirme ve optimize etme konusunda tavsiyelerde bulunur. Buna risk analizleri ve koruyucu önlemler dahildir: Örneğin şirketler siber saldırıların kurbanı olursa Crowdstrike olayları analiz etmeye, sınırlamaya ve çözmeye yardımcı olur.
Crowdstrike'a göre, dünyadaki en yüksek gelire sahip 100 şirketin yaklaşık %70'i müşteridir, dolayısıyla kesintinin boyutu da buna bağlı olarak büyüktür. Ancak tek bir hata nasıl bu kadar büyük küresel kesintilere ve kesintilere yol açabilir? t-online, Finlandiyalı BT güvenlik uzmanı Mikko Hyppönen ile bu konuda görüştü.
t-online: Bay Hipotenüs, Tek bir sürücü güncellemesi dünya çapında kaosa nasıl yol açabilir?
Mikko Hyppönen: Çünkü Crowdstrike'ın çok sayıda müşterisi var – hem özel sektörde hem de kamu sektöründe. Sorun şu ki, hata ağda veya bulutta değil, doğrudan müşterinin son cihazında. Makineleri koruması ve çalışır durumda tutması gereken sistemin, makinelerin arızalanmasına neden olması biraz ironik.
Mikko Hyppönen, Helsinki'deki bir siber güvenlik etkinliği olan SPHERE24'te. (Kaynak: Jani Telatie / WithSecure)
Mikko Hyppönen Finlandiyalı güvenlik sağlayıcısı WithSecure'da araştırma başkanı ve BT güvenliğinde küresel olarak tanınan bir uzmandır. Arka plan raporları ve araştırma sonuçları “New York Times”, “Wired” ve “Scientific American”da yayınlanmıştır ve Oxford, Stanford ve Cambridge üniversitelerinde ders vermiştir. Ekim 2021'de ilk kitabı “What is connected is vulnerable: How intelligence agencies and criminals infiltrate us on the Internet”i yayınladı.
Crowdstrike hatayı bulduğunu ve düzelttiğini söylüyor. Sistemler neden hala tekrar çalışmıyor?
Bir sunucu çökerse, başka bir sunucuya geçebilirsiniz. Ancak burada etkilenen milyonlarca bireysel bilgisayardan bahsediyoruz – ve bu zaman alır. Ayrıca, cihazda yönetici haklarına sahip olan ve sisteme derinlemesine müdahale edebilen bir güvenlik programı da etkilenir. Bu, hatanın bilgisayarın düzgün bir şekilde başlatılmadan önce çökmesine neden olduğu anlamına gelir.
Böyle bir durumda eski sistemi geri yüklemek için kullanabileceğim bir yedekleme yöntemi yok mudur?
Elbette, ancak yedeklemeyi yükleyebilmek için önce bilgisayarı başlatmanız gerekir. Uzun vadede, gelecekte merkezi olarak böyle bir şey yapmak için muhtemelen bir tür hack olacaktır. Ancak şu anda böyle bir çözüm yok. Bu nedenle sorunların çözülmesi biraz zaman alacaktır.
Gelecekte bu ve benzeri olayların yaşanmasının önüne geçmek mümkün müdür?
Burada biri gerçekten hata yapmış. Bu tür güncellemeler günde birkaç kez kuruluyor – biz de müşterilerimiz için aynısını yapıyoruz. Ve hiçbir şeyi yanlış yapmamak veya bir şeyin çökmesine neden olmamak için çok dikkatli olmalıyız. Bu güncellemeler farklı sistemlerde, farklı dillerde, Windows sürümlerinde ve her türlü farklı kombinasyonda sayısız kez test ediliyor.
Ancak Crowdstrike hatası sadece bireysel sistemleri değil tüm sistemleri etkiliyor.
Kesinlikle. Yani bu, güncellemenin düzgün bir şekilde test edilmediğini veya hiç test edilmediğini gösteriyor. Tahminimce belirli bir sürüm test edildi ancak daha sonra yanlışlıkla farklı bir sürüm gönderildi. Bunun bir insan hatası olduğunu düşünüyorum – çok büyük bir hata. Böyle bir şey tekrar olabilir mi? Kesinlikle. Ancak güvenlik önlemleri çok yüksek olduğu için bu çok düşük bir ihtimal. Ve Crowdstrike'taki geliştiriciler için üzülüyorum, bugün çok kötü bir gün geçirecekler.
Acaba teknolojiye fazla mı güveniyoruz?
Karşı soru: Elektriğe fazla mı güveniyoruz? 150 yıldır çalışmak bizim için son derece önemli. Bilgisayarlar ve ağlar için de durum aynı. Her iyi ve önemli buluş bir gün bizim için gerekli olacak. Elbette teknolojiye bağımlılık bir dezavantajdır; modern dünya onsuz işlemez. Ancak benim görüşüme göre avantajlar dezavantajlardan daha ağır basıyor ve zaten geri dönüş yok.
Bu olaydan ne gibi sonuçlar çıkarabiliriz?
Şirketler için önemli bir seçenek, güncellemeleri hemen yüklemek yerine bir gün boyunca test etmek olurdu. Ancak elbette bu da belirli bir risk içerir: örneğin bir siber saldırı olursa, sistem hemen korunmayabilir. Öte yandan, bir güncellemede hatalar olursa etkilenmezsiniz. Her şirket bunu kendi kendine tartmalıdır – ancak bence güncellemeler için bir test grubu mantıklı olurdu. Bu, mevcut Crowdstrike sorununu belirlemiş olurdu.
Röportaj için teşekkürler!