จะพยายามเล่าเรื่องเหตุการณ์ Blue Screen บน Windows ทั้งโลกเมื่อวานแบบง่ายๆ ไม่แน่ใจว่าเข้าใจถูกไหมแต่ก็เสริมได้ครับ
บนคอมพิวเตอร์ขององค์กรใหญ่ๆ โดยปกติทาง IT เขาจะติดตั้ง software ที่ทำหน้าที่เป็นคล้ายๆ Antivirus เพื่อเป็นระบบความปลอดภัยไซเบอร์ของบริษัท โดยหนึ่งในโปรแกรมที่ได้รับการใช้งานกันแพร่หลายในเหล่าองค์กรต่างๆคือ Falcon ซึ่งผลิตโดยบริษัท Crowdstrike
แต่ software ที่ทำหน้าที่เป็น Antivirus จะมีความพิเศษคือมันจะได้สิทธิ์เหนือ software อื่นๆ (ในเชิงเทคนิค มันรันอยู่ใน kernel mode และจะต้องรันทันทีตั้งแต่บูทเครื่อง) เพื่อที่จะสามารถ monitor การเข้าออกของ network traffic ได้ทั้งเครื่องจริงๆ และโปรแกรม Antivirus ที่รันอยู่ใน kernel mode นี้จำเป็นจะต้องรันได้สำเร็จถึงจะสามารถบูทเครื่องได้
แต่แล้วเมื่อวาน Crowdstrike ได้ทำการอัปเดตโปรแกรม Falcon ซึ่งคอมพิวเตอร์ที่ติดตั้ง Falcon ทุกเครื่องจะได้รับการอัปเดตอัตโนมัติ แต่แล้วมันดันมีบัคในอัปเดตของ Falcon ทำให้โปรแกรม Falcon รันไม่ขึ้น และเมื่อโปรแกรม Antivirus ที่รันอยู่บน kernel mode รันไม่ขึ้น มันก็เลยทำให้คอมพิวเตอร์บูทไม่ขึ้นตามไปด้วย
โชคดีที่เหตุการณ์นี้เกิดเฉพาะกับ Windows มันจึงไม่มีปัญหากับคนที่ใช้ Mac และ Linux แต่โชคร้ายคือ Windows แทรกซึมอยู่ในทุกระบบคอมพิวเตอร์ขององค์กรใหญ่ๆทั้งนั้น เลยทำให้ส่งผลเสียในวงกว้าง
แต่เหตุการณ์นี้ก็ทำให้เราเอะใจอย่างหนึ่งว่า ถ้าอย่างนี้การลง antivirus (แม้จะผลิตโดยบริษัทที่น่าเชื่อถือก็ตาม) จะเป็นความเสี่ยงใหม่ด้านความปลอดภัยหรือเปล่า ในกรณีนี้อาจจะเป็นแค่บัคที่เห็นผลทันที แต่ถ้ามันเป็นช่องโหว่ด้านความปลอดภัยที่ไม่อาจเห็นผลได้ทันที โดยเฉพาะกับซอฟต์แวร์ที่มีสิทธิ์สูงขนาดนี้ มันจะกลายเป็นการเปิดช่องโหว่ที่ใหญ่มากให้กับคอมพิวเตอร์ทั่วโลกเลยหรือเปล่า?
#siamstr
Evil Ocelot
npub17j…sjxl3
2024-07-20 16:29:04
Author Public Key
npub17jcuf3g6qfj2r2dz3ghq6ua2g3fatqqp2kpnut094xfc3a6rr7uqwsjxl3Published at
2024-07-20 16:29:04Event JSON
{
"id": "1aa1535d811155799b342e65e5fe42627720d6b5ef1abeaba713aadfed4e4835",
"pubkey": "f4b1c4c51a0264a1a9a28a2e0d73aa4453d5800155833e2de5a99388f7431fb8",
"created_at": 1721492944,
"kind": 1,
"tags": [
[
"t",
"siamstr"
]
],
"content": "จะพยายามเล่าเรื่องเหตุการณ์ Blue Screen บน Windows ทั้งโลกเมื่อวานแบบง่ายๆ ไม่แน่ใจว่าเข้าใจถูกไหมแต่ก็เสริมได้ครับ\n\nบนคอมพิวเตอร์ขององค์กรใหญ่ๆ โดยปกติทาง IT เขาจะติดตั้ง software ที่ทำหน้าที่เป็นคล้ายๆ Antivirus เพื่อเป็นระบบความปลอดภัยไซเบอร์ของบริษัท โดยหนึ่งในโปรแกรมที่ได้รับการใช้งานกันแพร่หลายในเหล่าองค์กรต่างๆคือ Falcon ซึ่งผลิตโดยบริษัท Crowdstrike\n\nแต่ software ที่ทำหน้าที่เป็น Antivirus จะมีความพิเศษคือมันจะได้สิทธิ์เหนือ software อื่นๆ (ในเชิงเทคนิค มันรันอยู่ใน kernel mode และจะต้องรันทันทีตั้งแต่บูทเครื่อง) เพื่อที่จะสามารถ monitor การเข้าออกของ network traffic ได้ทั้งเครื่องจริงๆ และโปรแกรม Antivirus ที่รันอยู่ใน kernel mode นี้จำเป็นจะต้องรันได้สำเร็จถึงจะสามารถบูทเครื่องได้\n\nแต่แล้วเมื่อวาน Crowdstrike ได้ทำการอัปเดตโปรแกรม Falcon ซึ่งคอมพิวเตอร์ที่ติดตั้ง Falcon ทุกเครื่องจะได้รับการอัปเดตอัตโนมัติ แต่แล้วมันดันมีบัคในอัปเดตของ Falcon ทำให้โปรแกรม Falcon รันไม่ขึ้น และเมื่อโปรแกรม Antivirus ที่รันอยู่บน kernel mode รันไม่ขึ้น มันก็เลยทำให้คอมพิวเตอร์บูทไม่ขึ้นตามไปด้วย\n\nโชคดีที่เหตุการณ์นี้เกิดเฉพาะกับ Windows มันจึงไม่มีปัญหากับคนที่ใช้ Mac และ Linux แต่โชคร้ายคือ Windows แทรกซึมอยู่ในทุกระบบคอมพิวเตอร์ขององค์กรใหญ่ๆทั้งนั้น เลยทำให้ส่งผลเสียในวงกว้าง\n\nแต่เหตุการณ์นี้ก็ทำให้เราเอะใจอย่างหนึ่งว่า ถ้าอย่างนี้การลง antivirus (แม้จะผลิตโดยบริษัทที่น่าเชื่อถือก็ตาม) จะเป็นความเสี่ยงใหม่ด้านความปลอดภัยหรือเปล่า ในกรณีนี้อาจจะเป็นแค่บัคที่เห็นผลทันที แต่ถ้ามันเป็นช่องโหว่ด้านความปลอดภัยที่ไม่อาจเห็นผลได้ทันที โดยเฉพาะกับซอฟต์แวร์ที่มีสิทธิ์สูงขนาดนี้ มันจะกลายเป็นการเปิดช่องโหว่ที่ใหญ่มากให้กับคอมพิวเตอร์ทั่วโลกเลยหรือเปล่า?\n\n#siamstr",
"sig": "e76352fa4519b01c81f8929572f725feece3bc28870785e3f38d0cda7bd4a29670ddc16ae8aada933dbc2de4ad97a9cca7c549854da589880d480c4de6ada515"
}