19 Temmuz 2024’te, tüm dünya genelinde bir etkiye neden olan online bilgi güvenliği firması CrowdStrike kaynaklı bir bilgisayar ve internet sorunu hakkında bilgi edinelim. O halde gelin başlayalım.

Öncelikle CrowdStrike nedir?

CrowdStrike

CrowdStrike, 2011 yılında kurulan ve Austin, Teksas merkezli bir Amerikan siber güvenlik firmasıdır. Şirket, kuruluşundan bu yana bulut tabanlı yazılım kullanarak bir dizi güvenlik hizmeti sunmaya başladığından beri hızla büyümüştür. Dünya çapındaki ülkelerde binlerce çalışan ve hizmet işletmesi istihdam etmektedir.

Peki CrowdStrike Falcon nedir?

CrowdStrike Falcon

Falcon, kuruluşların bilgisayarlarına siber saldırılardan ve kötü amaçlı yazılımlardan korunmak için yükledikleri yazılım ürünlerinden biridir.

Falcon, “uç nokta algılama ve yanıt” (EDR) yazılımı olarak bilinen bir yazılımdır. Görevi, yüklendiği bilgisayarlarda neler olup bittiğini izlemek ve kötü amaçlı yazılım belirtilerini aramaktır. Şüpheli bir şey tespit ettiğinde, tehdidi kilitlemeye yardımcı olur.

Falcon, saldırı belirtilerini tespit etmek için bilgisayarları çok ayrıntılı bir şekilde izlemek zorundadır. İşte tam da bu nedenle dahili sistemlerin çoğuna erişebilir. Buna, bilgisayarların internet üzerinden hangi iletişimleri gönderdiği, hangi programların çalıştığı, hangi dosyaların açıldığı ve çok daha fazlası dahildir.

Bu amaçla Falcon’un tehditleri kilitleyebilmesi gerekir. Örneğin, izlediği bir bilgisayarın potansiyel bir bilgisayar korsanıyla iletişim kurduğunu tespit ederse, Falcon’un bu iletişimi kapatabilmesi gerekir. Bu, Falcon’un üzerinde çalıştığı bilgisayarların çekirdek yazılımı olan Microsoft Windows ile sıkı bir şekilde entegre olduğu anlamına gelir.

Gerçekleşen CrowdStrike kesintisinin nedeniyle ne biliyoruz?

Havaalanı Hata

Bahsi geçen olayların tarihinde (19 Temmuz 2024 ve Türkiye saatiyle 07:09) CrowdStrike, Microsoft Windows çalıştıran bilgisayarlarda yaygın sorunlara neden olan güvenlik yazılımına hatalı bir güncelleme dağıttı. Sonuç olarak ise yaklaşık 8,5 milyon sistem çöktü ve düzgün bir şekilde yeniden başlatılamadı ve bu, bilgi teknolojisi tarihindeki en büyük kesinti olarak adlandırıldı.

CrowdStrike’a göre, Falcon EDR platformuna yönelik hatalı bir içerik güncellemesi, saat 04:09 UTC, Windows cihazlara gönderildi. CrowdStrike, genellikle Falcon dosyalarına günde birkaç kez güncelleme gönderir.

Kesintiyi tetikleyen kusur, “C:\Windows\System32\drivers\CrowdStrike\” konumunda depolanan ve “C-00000291-” ile başlayıp “.sys” ile biten bir dosya adına sahip olan Channel File 291’deydi. Bu dosya, Windows sistemlerinin sistemler arası veya işlem içi iletişim için kullandığı “named pipe” yürütmesinin nasıl değerlendirileceği hakkında Falcon sensörüne bilgi iletir. Bu komutlar doğası gereği kötü amaçlı değildir ancak kötüye kullanılabilir.

Channel File 291 güncellemesi sonrası, Windows sensör istemcisinde sınır dışı bellek hatasına neden oldu ve etkilenen makinelerin durdurma koduyla mavi ekran hatası alınmasına neden oldu.

Firma ne dedi?

CrowdStrike, blog sayfasında açıklamada bulunan George Kurtz (CrowdStrike Kurucusu ve CEO’su) sözlerine şununla başladı:

I want to sincerely apologize directly to all of you for today’s outage

Bugünkü kesinti için hepinize doğrudan içtenlikle özür dilemek istiyorum.

Ardından, gelen açıklamadan şu çıkarıma varıldı: Yaşanan durum, Mac ve Linux’ta olmayan, Falcon güncellemesinde bulunan bir hatadan kaynaklı olarak sadece Widnows bilgisayarlarda yaşandı.

Bilgisayar korsanları kesintiden yararlanıyor

CrowdStrike’ın bir blog yazısına göre, güvenlik sağlayıcısı aşağıdaki kötü amaçlı faaliyetlere ilişkin raporlar aldı:

  • Müşterilere CrowdStrike desteği varmış gibi görünen kimlik avı e-postaları gönderildi.
  • CrowdStrike personelini taklit eden sahte telefon görüşmeleri oldu.
  • Hatalı güncellemeden kurtarmayı otomatikleştirdiğini iddia eden komut dosyaları satılıyor.
  • Bağımsız araştırmacılar olarak kendilerini tanıtarak, kesintinin bir siber saldırıdan kaynaklandığını söylüyor ve çözüm önerileri sunuyorlar.

Sorun Microsoft kaynaklı mı?

Sorun doğrudan Microsoft kaynaklı değildi ancak CrowdStrike’ın güncellemesi Microsoft Windows işletim sistemleri üzerinde büyük etkiler yarattı. Microsoft, Azure müşterilerinin sorunu çözmek için sanal makinelerini yeniden başlatmalarını önerdi.

Bireysel kullanıcılar etkileniyor mu?

CrowdStrike’ın müşterileri genellikle büyük kurumsal kullanıcılar olup, bireysel kullanıcılar doğrudan etkilenmemiştir. Ancak, bazı bireysel kullanıcıların iş yerindeki sistemler aracılığıyla dolaylı olarak etkilenmiş olabileceği belirtilmiştir.

Olaydan Türkiye nasıl etkilendi?

Türk Hava Yolları

Aralarında Türk Hava Yolları (THY), Denizbank ve Tüvtürk Araç Muayene İstasyonları’nın da bulunduğu çeşitli kurum ve kuruluşlar olaydan etkilenmişti.

THY’den ilk açıklamasında; global çapta meydana gelen aksaklıklar nedeniyle biletleme, check-in ve rezervasyon işlemlerinde sorunlar yaşandığı belirtilmişti.

Elon Musk’ın açıklaması

Tesla, SpaceX ve X gibi şirketlerin sahibi milyarder Elon Musk, küresel yazılım sorununun ardından CrowdStrike’ı sistemlerinden sildiğini bildirdi.

Yorumlar

CNN, bu konuda “Küresel teknoloji kesintisi, kaosun sadece bir hatayla önümüzde olduğunu gösterdi” şeklinde başlık atarken yazısında şunları söyledi;

Muhtemelen daha önce hiç duymadığınız bir siber güvenlik şirketinin, internetin nasıl uyarıda bulunmadan aniden durabileceğini gösteren büyük bir hata yaptığını unutmayalım.

Forbes ise, “CrowdStrike BT Kesintisi Daha Sıkı Operasyonel Güncellemelere İhtiyaç Olduğunu Gösteriyor” başlığını attı.


Reuters ise, “Cuma günü müşterilerinin bilgisayar sistemlerinin dünya genelinde çökmesine neden olan, yaygın olarak kullanılan siber güvenlik yazılımının rutin güncellemesinin, dağıtılmadan önce yeterli kalite kontrollerinden geçmediği anlaşılıyor.” ifadelerini kullandı.


Kaynaklar

Kategoriler:

Gündem, Teknoloji,