日前,有报道称Windows系统出现大面积蓝屏现象,随即冲上热搜榜首。
本次蓝屏事件涉及多个版本的操作系统,用户在使用过程中,系统突然崩溃,屏幕显示蓝色错误信息,导致无法正常工作。这种现象不仅影响了个人用户,也对企业用户造成了不小的困扰。日本的列车行驶位置信息因Windows系统故障导致无法获取,航空、银行、政府、企业网络均受到影响。这很容易让人联想多年前的永恒之蓝事件,再次引发大众对Windows系统安全性的担忧。
蓝屏原因在于软件更新
据用户反馈,本次蓝屏事件是新安装的硬件设备、更新系统版本、更新的驱动程序后出现的。
有人将微软全球范围内发生的蓝屏问题被确认与CrowdStrike的软件有关。在CrowdStrike Falcon的Sensor更新之后,内核驱动文件csagent.sys导致全球大面积用户的 Windows 系统出现蓝屏。
就蓝屏问题Crowdstrike公司在自动回复中表示:
“Crowdstrike发现Windows主机上出现与Falcon有关的崩溃报告。症状包括主机出现与 Falcon 相关的 bugcheckblue 屏幕错误。目前我们的工程团队正在积极解决此问题,无需开立支持工单。我们将在获得更多信息(包括问题解决的时间)后发布状态更新。”
微软的声明则表示,一部分客户可能遇到美国中部服务区的多个 Azure 服务出现的问题,包括服务管理操作和服务的连接性或可用性方面的故障。
微软还表示,我们已经意识到这个问题,已派多个团队处理问题。我们现已确定了根本原因。一个后端集群管理工作流程部署了一处配置更改,因而导致一部分 Azure 存储集群和美国中部服务区的计算资源之间的后端访问被阻止。这导致了与虚拟磁盘失去连接时自动重新启动计算资源。
简言之,就是CrowdStrike通过azure云服务获取配置发布推送,CrowdStrike无法获取正确的配置文件,然后推送了一份错误的更新,错误的更新导致蓝屏。
其实,这并非微软云服务首次遭遇大规模宕机。今年1月,微软云服务就曾发生全球性宕机,影响范围覆盖了从Outlook到Teams等一系列服务,
相对于多年前的永恒之蓝事件,本次微软大规模蓝屏事件更像是正常软件更新维护过程中不小心翻车的“事故”。
Windows四处漏风
虽然微软声明本次蓝屏事件和黑客恶意攻击无关,但这并不意味着Windows就可以高枕无忧。
根据斯诺登披露的资料,微软、雅虎、Google、Facebook、Paltalk、YouTube、Skype、美国在线、苹果等公司先后加入了棱镜项目为美国政府收集情报。因此,如果在基础软硬件上依赖美国科技公司提供的产品,就很难保证国外的软件或者硬件里没有刻意植入的后门。像上次的永恒之蓝事件就折射出,微软的操作系统很可能就事先预留了后门。
其实,掌握在美国情报部门手中的杀手锏还有很多。根据维基解密资料,CIA针对从Windows XP覆盖至Windows 10的间谍攻击计划——优先组代号雅典娜,后备组代号赫拉。雅典娜和赫拉由CIA和著名主动式安全软件公司Siege Technologies合作开发。雅典娜的攻击范围从Windows XP至Windows 10;赫拉的的攻击范围从Windows 8到Windows10。
根据维基解密介绍:雅典娜和赫拉可以在用户毫无知觉的情况下取得控制设备的最高权限,并且窃取、或者是删除特定的文件,亦或者将特定的文件传送至CIA的服务器。而且雅典娜和赫拉可以无视诸如卡巴斯基这类杀毒软件或安全工具。
也正是因此,早在2018年,俄罗斯《消息报》发表题为《俄军对Windows说再见》的报道称,俄罗斯国防部日前作出正式决定,所有办公电脑皆将操作系统改为Astra Linux。
关键在提升本土技术实力
Windows在过去几十年里确实服务于中国IT基础设施建设,广泛运用于党政、金融、教育、交通、能源、电信等各个行业,但就当下的国际环境而言,在操作系统上实现国产替代是大势所趋,特别是在川普被枪击后,其当选美国下一任总统已经是板上钉钉的事情。一旦川普上台,势必进一步强化技术脱钩。国人必须未雨绸缪,居安思危,加快麒麟等国产操作系统的替换进程。
从根源上说,本次蓝屏事件并非Windows独有,因为这次的问题主要是因为软件更新导致的。哪怕是使用国产操作系统,只要系统版本更新、驱动更新出了岔子,也会遭遇类似的问题,这就要求我们必须不断提升自己的能力。安全是一个系统工程,只有不断提升能力,才能够在风云诡决的国际环境下岿然不动。
