Tại Úc và Aotearoa New Zealand, các báo cáo cho thấy máy tính tại ngân hàng, tổ chức truyền thông, bệnh viện, dịch vụ vận tải, quầy thanh toán cửa hàng, sân bay,… trở thành “cục gạch” khi liên tục khởi động lại và gặp lỗi màn hình xanh.
Sự cố ngừng hoạt động trên diện rộng có liên quan đến một phần mềm có tên CrowdStrike Falcon. Nó là gì và tại sao nó lại gây ra sự gián đoạn trên diện rộng như vậy?
Gã khổng lồ an ninh mạng
CrowdStrike là công ty an ninh mạng có trụ sở tại Mỹ với thị phần toàn cầu lớn trên thị trường công nghệ. Falcon là một trong những sản phẩm phần mềm được các tổ chức sử dụng để phòng thủ trước các cuộc tấn công mạng và phần mềm độc hại.
Chức năng của Falcon là “phát hiện và phản hồi điểm cuối” (EDR) - một thuật ngữ an ninh mạng. Cụ thể, nó có chức năng giám sát hệ thống máy tính, tìm kiếm những dấu hiệu bất thường và ngăn chặn mối đe doạ nếu có.
Điều này đồng nghĩa Falcon phải có đặc quyền quản trị để truy cập các hệ thống nội bộ, bao gồm những gói tin gửi qua Internet cũng như các chương trình nào đang chạy, tập tin nào đang mở và chi tiết hơn nữa. Có thể ví Falcon như một phần mềm diệt virus nhưng có sức mạnh gấp bội.
Trong khi đó, để có quyền khoá những mối đe doạ, Falcon còn được tích hợp sâu vào lõi hệ điều hành mà máy tính đang chạy, trong trường hợp này, đó là Microsoft Windows.
Tại sao Falcon là vấn đề?
Đặc quyền và sự tích hợp sâu này giúp Falcon trở nên mạnh mẽ. Song, đó cũng đồng nghĩa nếu phần mềm này gặp trục trặc, nó sẽ tạo ra những vấn đề nghiêm trọng.
Giới công nghệ cho hay, nguyên nhân gây ra sự cố CNTT diện rộng lần này là do bản cập nhật của Falcon khiến các máy tính Windows 10 gặp sự cố, không thể khởi động lại và dẫn đến hiện tượng “màn hình xanh chết chóc” (BSOD).
“Màn hình xanh” là thuật ngữ chỉ màn hình hiển thị khi các máy tính chạy hệ điều hành của Microsoft gặp sự cố và cần khởi động. Trong trường hợp này, sự cố của Falcon khiến máy tính rơi vào vòng lặp reboot - BSOD liên tục.
Về quy mô, sự cố diện rộng được lý giải bởi CrowdStrike là công ty dẫn đầu thị trường về các giải pháp EDR. Các sản phẩm của họ, chẳng hạn như Falcon rất phổ biến và là lựa chọn hàng đầu của những tổ chức, doanh nghiệp chú trọng đến vấn đề an ninh mạng (và tất nhiên, giá thành cũng không hề rẻ).
Thực tế đã cho thấy nạn nhân của vụ việc bao gồm từ bệnh viện, sân bay, công ty truyền thông, đại học, siêu thị lớn,… Quy mô tác động của sự cố chưa được đong đếm cụ thể nhưng chắc chắn mang tính toàn cầu.
Tại sao máy tính gia đình không bị ảnh hưởng?
Các sản phẩm của CrowdStrike dù phổ biến trong tổ chức, doanh nghiệp nhưng lại ít xuất hiện trong các máy tính gia đình.
Các phần mềm của công ty này thường được thiết kế riêng cho các tổ chức lớn, trong đó tích hợp các công cụ giám sát mạng mạnh mẽ để kịp thời phát hiện dấu hiệu tấn công, đồng thời cung cấp thông tin cần thiết để ứng phó kịp thời.
Trong khi đó, với nhu cầu của người dùng gia đình, một phần mềm chống virus tích hợp hoặc những sản phẩm từ Norton và McAfee là đủ dùng.
Cách thức khắc phục
Ở thời điểm này, CrowdStrike đã cung cấp hướng dẫn thủ công cách thức khắc phục sự cố trên từng máy tính bị ảnh hưởng.
Một trong những cách khắc phục sự cố nhanh chóng có thể được sử dụng là “format” toàn bộ các máy tính bị ảnh hưởng và khôi phục từ các bản sao lưu trước đó.
Ngoài ra, việc “hoàn nguyên”(roll-back) về những phiên bản Falcon cũ hơn cũng có thể giải quyết vấn đề.
Đối với những công ty như CrowdStrike bán phần mềm bảo mật có đặc quyền cao, đây là lời nhắc nhở kịp thời về việc phải cực kỳ cẩn thận khi triển khai các bản cập nhật tự động cho sản phẩm của họ.
(Tổng hợp)