相信大家伙在前兩天應(yīng)該都刷到過 “ 微軟藍(lán)屏 ” 事件了吧。

很不巧，當(dāng)時(shí)世超正在激情團(tuán)建中，就沒能讓大家吃上口熱乎的。

但沒關(guān)系，隨著國(guó)外媒體同行們的不斷深挖，關(guān)于這起事件的猛料是越來越多了，所以世超覺得這個(gè)時(shí)間點(diǎn)跟大家來盤一盤這件事剛剛好。

事情的起因是這樣的，有家叫做 CrowdStrike 的網(wǎng)絡(luò)安全公司，他們檢測(cè)到了新的網(wǎng)絡(luò)攻擊技術(shù)后，就對(duì)軟件進(jìn)行了例行的更新推送。

結(jié)果。。。這一更新直接把所有用了他們家產(chǎn)品的設(shè)備干癱瘓了。

機(jī)場(chǎng)、銀行、金融、交通運(yùn)輸、零售、醫(yī)療。。。各行各業(yè)無一幸免。

在德國(guó)柏林勃蘭登堡機(jī)場(chǎng)，乘客們因?yàn)樵O(shè)備故障進(jìn)不去安檢口。

倫敦車站的售票機(jī)藍(lán)屏，導(dǎo)致人們買不到車票。

紐約時(shí)代廣場(chǎng)的標(biāo)志性廣告牌，也喜迎 “ 藍(lán)屏?xí)r代 ” 。

向來心直口快的馬斯克當(dāng)然也是在 X 上激情開噴，還發(fā)了一張 “ 火燒 CrowdStrike 機(jī)房 ” 的 AI 圖片，因?yàn)?CrowdStrike 這回捅的簍子影響到了特斯拉的生產(chǎn)線。

 “ 整活害得是你啊，老馬！ ” 

總之，這起藍(lán)屏事件幾乎影響了所有行業(yè)，就連美國(guó)的專家都說 “ 看到這種連鎖反應(yīng)，我人都傻了。 ” 

而 CrowdStrike 捅出的簍子之所以這么大，主要也是因?yàn)樗麄兊漠a(chǎn)品是真賣得不錯(cuò)。

按照市場(chǎng)調(diào)研機(jī)構(gòu) IDC 的數(shù)據(jù)， CrowdStrike 是終端保護(hù)軟件行業(yè)中僅次于微軟的存在，在 126 億美元的市場(chǎng)中占到了 18% 的份額，全球的客戶就有 2.9 萬家，所以這回影響到的設(shè)備是數(shù)百萬臺(tái)。

CrowdStrike ，人稱美版 360 企業(yè)版（ 狗頭 ）。

而且讓人哭笑不得的一點(diǎn)是，他們這回犯的錯(cuò)誤還有點(diǎn)抽象。

從 CrowdStrike 自己披露的細(xì)節(jié)，以及安全專家們的分析來看，問題的源頭在于一個(gè)很小的文件，這個(gè)名稱為 “C-00000291*.sys” 是 CrowdStrike Falcon 平臺(tái)的一個(gè)配置文件，也被稱為 " 通道文件 " （ Channel File ）。

而這個(gè)特定的 291 通道文件就是負(fù)責(zé)控制 Falcon 對(duì) Windows 上的 " 命名管道 " （ Named Pipe ）執(zhí)行動(dòng)作進(jìn)行評(píng)估。

嗯。。。這么說可能有點(diǎn)難以理解，咱們簡(jiǎn)單點(diǎn)來說。

打個(gè)比方， Falcon 就是一個(gè)保安系統(tǒng)，它會(huì)監(jiān)視 Windows 系統(tǒng)里程序的各種活動(dòng)，而程序之間會(huì)通過一個(gè)叫做 “ 命名管道 ” 的東西來傳遞信息。

那么該怎么去判斷和處理這些 “ 命名管道 ” 里的活動(dòng)呢？這個(gè)時(shí)候就要用到這個(gè) 291 文件，它的作用就像是一個(gè)規(guī)則手冊(cè)， Falcon 保安系統(tǒng)拿著這本冊(cè)子就可以判斷：哪些的活動(dòng)是正常的可以放行；哪些活動(dòng)是可疑的需要檢查；哪些活動(dòng)是有害的需要制止。

如下：進(jìn)程 A 到 B 之間的通信就是通過管道來完成 ▼

但是 CrowdStrike 在更新中往 291 文件里面塞入了一條完全不合理的規(guī)則，就好像你邀請(qǐng)別人來家里，但卻開了鄰居的門，然后說進(jìn)去吧，鄰居：？？？

所以，在執(zhí)行 291 這個(gè)錯(cuò)誤規(guī)則時(shí)， Falcon 觸碰到了 Windows 系統(tǒng)中它本不該接觸的部分，引發(fā)了非法的內(nèi)存訪問，最終導(dǎo)致整個(gè)系統(tǒng)崩潰藍(lán)屏。

想要解決這個(gè)藍(lán)屏問題，還沒辦法用咱們的祖?zhèn)鹘^活 “ 重啟 ” ，而是要手動(dòng)刪除這個(gè)有問題的配置文件 "C-00000291*.sys" ，以防止系統(tǒng)在啟動(dòng)時(shí)再次加載并解析該文件。

但關(guān)鍵是很多用戶連進(jìn)入系統(tǒng)界面都成問題，這就很難繃。。。

除了莫名其妙地往更新里塞入了錯(cuò)誤文件外，這回 CrowdStrike 還暴露出了很多其他問題。

比如就有安全大佬指出，每一次的規(guī)則更新都應(yīng)該堅(jiān)持灰度分發(fā)、監(jiān)測(cè)和回滾等策略，而這回 CrowdStrike 的更新完全就是自動(dòng)推送的，用戶們壓根來不及反應(yīng)，事情發(fā)生后也沒有回滾機(jī)制，只能靠用戶自己手動(dòng)解決。

還有個(gè)問題是：殺毒軟件居然有這么底層的權(quán)限？

針對(duì)這點(diǎn)，之前微軟順勢(shì)跳起來吐槽歐盟說： “ 當(dāng)年就是它讓我向安全軟件開放底層權(quán)限的。 ” 

這波啊 ~ 我只能說微軟真是個(gè)純純的樂子人了，既然事情跟自己沒關(guān)系，之前還老是被歐盟罰款，這回就狠狠地暗諷了一波歐盟。

所以，現(xiàn)在安全軟件公司只要稍不留神在系統(tǒng)底層搞點(diǎn)花活兒，就容易把整個(gè)系統(tǒng)整崩潰，那 Windows 可不就只能藍(lán)屏伺候了。

還有個(gè)有趣的事，之前就有人整出類似的大事兒，而且好巧不巧，這兩起事件的始作俑者都是同一個(gè)人，前殺毒軟件 McAfee CEO 、現(xiàn) CrowdStrike CEO ——喬治 · 庫爾茨（ George Kurtz ）。

喬治前后兩次出手，全世界的數(shù)百萬臺(tái)電腦都抖一抖，這種堪稱史詩級(jí)的操作，應(yīng)該也是后無來者了。

到這里，關(guān)于這起藍(lán)屏事件的前因后果就跟大家聊得差不多了。

世超覺得，這件事對(duì)于咱們來說影響比較小，屬于事不關(guān)己高高掛起，畢竟 CrowdStrike 之前就對(duì)中國(guó)大陸禁售了，咱們也 “ 享受 ” 不到他們的服務(wù)。

但從另外一個(gè)角度來說，這起事件的經(jīng)驗(yàn)教訓(xùn)還是值得國(guó)內(nèi)產(chǎn)業(yè)好好復(fù)盤學(xué)習(xí)的。

因?yàn)?CrowdStrike 事件暴露出來的是，系統(tǒng)安全也是數(shù)字基建的重要部分，會(huì)波及到各行各業(yè)的正常運(yùn)轉(zhuǎn)，咱們想要走向數(shù)字強(qiáng)國(guó)，系統(tǒng)安全這塊還是得搞好。