- เหตุขัดข้องจากอัปเดต CrowdStrike เมื่อวันที่ 19 กรกฎาคม 2024 คาดว่าทำให้ คอมพิวเตอร์ 8.5 ล้านเครื่องใช้งานไม่ได้ และก่อความเสียหาย มากกว่า 5.4 พันล้านดอลลาร์ โดยอาจนำไปสู่ตรรกะความรับผิดชดใช้ค่าเสียหายที่คล้ายกับคดี OVH ในฝรั่งเศส
- ในคดี OVH ศาลเห็นว่าผู้ให้บริการแบ็กอัปต้องรักษาระดับความสมเหตุสมผลและแนวปฏิบัติที่เป็นเลิศ และไม่ยอมรับว่าแบ็กอัปที่อยู่ในสถานที่เดียวกันหรือศูนย์ข้อมูลที่อยู่ใกล้กันเป็นการดำเนินงานที่ สมเหตุสมผล
- CrowdStrike เป็นซอฟต์แวร์ความปลอดภัยที่ทำงานก่อนในระดับเคอร์เนล ดังนั้นยิ่งมีการติดตั้งในอุปกรณ์ขององค์กรและอุตสาหกรรมสำคัญ เช่น ธนาคาร การท่องเที่ยว ซูเปอร์มาร์เก็ต ภาระด้าน การทดสอบและการทยอยปล่อยใช้งาน ก็ยิ่งมากขึ้น
- อัปเดตที่มีปัญหาถูกปล่อยพร้อมกันไปยังอุปกรณ์หลายล้านเครื่องทั่วโลกและทำให้เกิด BSOD โดยการกู้คืนต้องใช้การเข้าถึงทางกายภาพ สิทธิ์ผู้ดูแลระบบ การเข้า safe mode หรือ recovery mode และการลบไดรเวอร์
- ลูกค้าในอุตสาหกรรมที่มีการกำกับดูแลจำเป็นต้องมีการทดสอบการเปลี่ยนแปลง การทยอยปล่อยใช้งาน และการติดตามตรวจสอบ ดังนั้นหาก CrowdStrike ไม่ได้ทำหรือปฏิเสธสิ่งเหล่านี้ ก็อาจนำไปสู่การ ละเมิด compliance ของลูกค้าและเป็นเหตุให้ยกเลิกสัญญาได้
โครงสร้างความรับผิดชดใช้ค่าเสียหายจากเหตุขัดข้องของ CrowdStrike
- กรณี CrowdStrike เป็นตัวอย่างที่อัปเดตเพียงครั้งเดียวทำให้เกิดความขัดข้องของคอมพิวเตอร์ในวงกว้าง
- ขนาดความเสียหายคาดว่าอยู่ที่ คอมพิวเตอร์ 8.5 ล้านเครื่องใช้งานไม่ได้
- มูลค่าความเสียหายคาดว่า มากกว่า 5.4 พันล้านดอลลาร์
- ความเป็นไปได้ในการเรียกค่าเสียหายถูกนำไปเปรียบเทียบกับบรรทัดฐานคดี OVH ในฝรั่งเศส
- ข้อกำหนดยกเว้นความรับผิดในสัญญาทั่วไปมักมีผลจำกัดในหลายเขตอำนาจศาลนอกสหรัฐฯ และโดยปกติยากที่จะยกเว้นความรับผิดที่เกี่ยวข้องกับความประมาทร้ายแรง การกระทำผิดทางอาญา หรือการฝ่าฝืนกฎหมาย
- ประเด็นสำคัญคือ เมื่อ ความเสียหายที่เกิดขึ้นจริง รวมกับ เจตนาหรือความประมาท ก็จะเปิดทางให้เกิดความรับผิดชดใช้ค่าเสียหายได้
ความล้มเหลวด้านการดำเนินงานที่ปรากฏในคดี OVH
- OVH เป็นผู้ให้บริการศูนย์ข้อมูลและคลาวด์ในฝรั่งเศส โดยให้บริการเซิร์ฟเวอร์จริง เวอร์ชวลแมชชีน และบริการคลาวด์หลายประเภท
- เมื่อวันที่ 10 มีนาคม 2021 เกิดเพลิงไหม้ที่ไซต์ SGB ของ OVH
- ศูนย์ข้อมูล SGB1 และ SGB2 ถูกทำลาย
- SGB3 และ SGB4 ก็ไม่สามารถให้บริการได้อยู่ช่วงหนึ่ง
- เว็บไซต์ของลูกค้าหลายรายถูกทำลาย ทำให้บริการและข้อมูลสูญหายจนไม่อาจกู้คืนได้ และลูกค้าบางรายฟ้อง OVH จนชนะคดี
- จุดที่ศาลให้ความสำคัญคือเกิด การสูญเสียบริการ และ การสูญเสียแบ็กอัป พร้อมกัน
- ระหว่างเหตุการณ์และหลังเหตุการณ์ มีการสูญเสียบริการโดยสมบูรณ์
- หลังเหตุการณ์ยังคงมีการสูญเสียข้อมูลที่กู้คืนไม่ได้
- OVH ให้บริการแบ็กอัปแก่ลูกค้า แต่แบ็กอัปก็สูญหายจนกู้คืนไม่ได้ทั้งหมด
- แม้จะมีหลายศูนย์ข้อมูล แต่ในความเป็นจริงกลับตั้งอยู่ใกล้กันในสถานที่เดียวกัน และศาลไม่เห็นว่านี่เป็นการออกแบบที่คาดการณ์ได้หรือสมเหตุสมผล
- ศาลยังเห็นว่าการเก็บแบ็กอัปไว้ในศูนย์ข้อมูลเดียวกัน หรือในศูนย์ข้อมูลอื่นที่อาจอยู่ในสถานที่เดียวกัน ก็ไม่สมเหตุสมผลเช่นกัน
- OVH อ้างว่าลูกค้าควรปฏิบัติตามแนวปฏิบัติที่เป็นเลิศโดยทำแบ็กอัปหลายชุดไว้คนละสถานที่ แต่ศาลเห็นว่า OVH ในฐานะผู้ให้บริการแบ็กอัปเองต้องเป็นฝ่ายให้บริการแบ็กอัปตามมาตรฐานที่สมเหตุสมผล
- ผลลัพธ์คือ บริการแบ็กอัปของ OVH ไม่สามารถบรรลุวัตถุประสงค์ และถูกมองว่าเป็นบริการที่ไม่ได้ดำเนินงานในระดับที่สมเหตุสมผล
ลักษณะทางเทคนิคของเหตุขัดข้อง CrowdStrike
- CrowdStrike เป็นซอฟต์แวร์แอนติไวรัสหรือ EDR (Endpoint Detection and Response) ที่ติดตั้งบนอุปกรณ์ขององค์กร
- ซอฟต์แวร์นี้ทำงานตั้งแต่เริ่มเปิดคอมพิวเตอร์ และผสานเข้ากับระบบปฏิบัติการ Windows หรือ Linux อย่างลึกในระดับเคอร์เนล
- มันทำงานให้เร็วที่สุดเท่าที่จะทำได้ ก่อนองค์ประกอบอื่น
- สามารถเฝ้าดูสิ่งที่กำลังรันอยู่และบล็อกหรือรายงานสิ่งที่น่าสงสัยได้
- เมื่อวันที่ 19 กรกฎาคม 2024 CrowdStrike ได้ปล่อยอัปเดตซอฟต์แวร์ และอัปเดตนั้นทำให้คอมพิวเตอร์ที่ได้รับอัปเดตล่ม
- คอมพิวเตอร์หลายล้านเครื่องทั่วโลกได้รับอัปเดตพร้อมกันและเข้าสู่สภาพ ทำงานผิดปกติ
- เนื่องจากโครงสร้างที่ทำงานก่อนและมีสิทธิ์สูง บั๊กหรือการตัดสินผิดพลาดของ CrowdStrike จึงสามารถขัดขวางการทำงานของซอฟต์แวร์อื่นหรือแม้แต่ระบบเองได้
ประเด็นเรื่องการปล่อยใช้งาน การทดสอบ และการมอนิเตอร์
- CrowdStrike ถูกใช้อย่างแพร่หลายในอุปกรณ์ขององค์กรขนาดใหญ่ เช่น ธนาคาร การท่องเที่ยว ซูเปอร์มาร์เก็ต และเน้นเป้าหมายที่อุตสาหกรรมสำคัญกับอุปกรณ์สำคัญซึ่งจัดการข้อมูลลับ
- เนื่องจากเป็นแอปพลิเคชันสำคัญที่ทำงานในสภาพแวดล้อมอ่อนไหว จึงต้องใช้ความระมัดระวังเพิ่มเติมในการพัฒนาและทดสอบ
- ในวันเกิดเหตุ อัปเดตถูกปล่อยไปยังอุปกรณ์สำคัญหลายล้านเครื่องพร้อมกัน ทั้งที่แนวปฏิบัติที่ดีคือการ ทยอยปล่อยอัปเกรดซอฟต์แวร์
- ประเด็นอยู่ที่ว่าอัปเดตที่เสียหายแพร่ไปยังอุปกรณ์หลายล้านเครื่องได้อย่างไรภายในไม่กี่นาที และมีการทดสอบหรือการทยอยปล่อยใช้งานหรือไม่
- ในการพูดคุยออนไลน์ มีรายงานว่าลูกค้ากลุ่มโรงพยาบาลเคยประสบปัญหานี้มาก่อนและได้ขอสิทธิ์ควบคุมการอัปเดตจาก CrowdStrike
- ลูกค้ารายหนึ่งอ้างว่า CrowdStrike ส่งบันทึกความยาว 50 หน้าเพื่อปฏิเสธการทยอยปล่อยใช้งาน
- หาก CrowdStrike ไม่มีฟังก์ชันทยอยปล่อยใช้งานหรือปฏิเสธสิ่งนี้ ก็อาจขัดกับข้อกำหนดของอุตสาหกรรมที่มีการกำกับดูแลซึ่งเป็นตลาดเป้าหมายของตน
- อัปเดตที่มีปัญหาทำให้คอมพิวเตอร์ที่ได้รับอัปเดตเกิด BSOD และการที่ไม่มีการตรวจพบว่าเป็นอัปเดตที่เสียหายอย่างชัดเจนก่อนการปล่อยออกภายนอก ถูกใช้เป็นเหตุผลว่าขาดการทดสอบ
- มีรายงานว่าปัญหาคล้ายกันเกิดขึ้นกับ CrowdStrike agent สำหรับ Linux เมื่อไม่กี่สัปดาห์ก่อน จึงอาจนำไปสู่ข้อโต้แย้งว่าไม่ใช่เหตุการณ์เดี่ยว
- หลังจากปล่อยอัปเดตผิดพลาดไปแล้ว CrowdStrike ใช้เวลาเกือบ 2 ชั่วโมงกว่าจะรับรู้ปัญหาและหยุดอัปเดต
- นักพัฒนาซอฟต์แวร์สำคัญควรมอนิเตอร์หลังการปล่อยว่า ซอฟต์แวร์ทำงานตามคาดและไม่ก่อปัญหาหรือไม่
ความยากในการกู้คืนและความเสียหายของลูกค้า
- คอมพิวเตอร์ที่ได้รับผลกระทบอยู่ในสภาพบูตไม่ได้ และผู้ใช้ไม่สามารถเข้าถึงคอมพิวเตอร์เพื่อสร้างทิกเก็ตหรือวินิจฉัยปัญหาได้
- ในองค์กรที่ได้รับผลกระทบ พนักงานได้รับคอมพิวเตอร์ที่ใช้งานไม่ได้ ทำให้ไม่สามารถทำงานได้
- วิธีการกู้คืนแบบหนึ่งคือทีม IT รับเครื่องไปติดตั้งใหม่ทั้งหมดหรือทำ reimage
- ต่อมามีการพบอีกวิธีหนึ่งคือ ผู้ดูแลระบบต้องเข้าถึงคอมพิวเตอร์ทางกายภาพ บูตเข้า safe mode หรือ recovery mode แล้วลบไฟล์ไดรเวอร์ของ CrowdStrike
- การกู้คืนนี้ต้องใช้ทั้ง การเข้าถึงทางกายภาพ และ สิทธิ์ผู้ดูแลระบบ
- อาจต้องใช้รหัสผ่านพิเศษหรือ USB key ที่มีรหัสผ่านเพื่อเริ่มโน้ตบุ๊กใน recovery mode
- องค์กรที่ได้รับผลกระทบอาจใช้เวลาหลายสัปดาห์กว่าจะรวบรวมโน้ตบุ๊ก เดสก์ท็อป และเซิร์ฟเวอร์ของผู้ใช้ทั้งหมดได้ทางกายภาพ
- จำนวนอุปกรณ์เป้าหมายอาจอยู่ตั้งแต่หลักพันถึงหลายแสนเครื่อง
- อุปกรณ์ที่ปิดล้อมหรือเข้าถึงยาก เช่น จอแสดงผลในสนามบิน เครื่องมือแพทย์และอุปกรณ์ในโรงพยาบาล หรือแผงควบคุมลิฟต์ อาจใช้เวลานานกว่านั้น
- อุปกรณ์ที่ถูกปิดกั้นทางกายภาพหรือไม่ทราบรหัสผ่านสำหรับกู้คืน อาจไม่สามารถกู้คืนได้เลย
- คอมพิวเตอร์สำรองก็ได้รับผลกระทบจากปัญหาเดียวกัน จึงยากที่จะจัดหาอุปกรณ์ทดแทนให้ผู้ใช้ที่ได้รับผลกระทบ
- CrowdStrike เป็นซอฟต์แวร์ความปลอดภัยที่มีเป้าหมายเพื่อทำให้คอมพิวเตอร์ทำงานต่อไปได้และปกป้องจากภัยคุกคาม แต่กลับทำให้คอมพิวเตอร์ที่ควรปกป้องใช้งานไม่ได้ จึงล้มเหลวต่อวัตถุประสงค์ของตน
อุตสาหกรรมที่มีการกำกับดูแลและความเป็นไปได้ในการยกเลิกสัญญา
- ลูกค้าในอุตสาหกรรมที่มีการกำกับดูแล เช่น การแพทย์ การเงิน อวกาศ และการขนส่ง ต้องทดสอบการเปลี่ยนแปลง ทยอยปล่อยใช้งาน และติดตามตรวจสอบได้
- CrowdStrike ระบุว่ามีการรับรองและมาตรฐานหลายรายการ แต่เกณฑ์เหล่านี้ต้องการแนวปฏิบัติการพัฒนาที่เฉพาะเจาะจงและการทดสอบหลายระดับ
- หาก CrowdStrike ไม่ได้ปฏิบัติตามขั้นตอนดังกล่าวและปฏิเสธอย่างชัดเจน ก็อาจนำไปสู่การละเมิด compliance ของ CrowdStrike เอง
- การใช้ CrowdStrike อาจทำให้ลูกค้าตกอยู่ในสถานะไม่สอดคล้องตามข้อกำหนดด้วย และสำหรับลูกค้าที่ต้องการ ก็อาจเป็นเหตุอันเพียงพอให้ยุติสัญญากับ CrowdStrike ได้ฝ่ายเดียว
กรณีเปรียบเทียบและหลักฐานเพิ่มเติม
-
วิธีการทดสอบและปล่อยใช้งานของ BitLocker
- การพูดคุยเรื่องวิธีการทดสอบและปล่อยใช้งานของพนักงานที่เกี่ยวข้องกับ BitLocker ถูกใช้เป็นหลักฐานเพิ่มเติม
- BitLocker เป็นเครื่องมือเข้ารหัสดิสก์ของคอมพิวเตอร์ให้ปลอดภัย
- มันทำให้ผู้อื่นไม่สามารถอ่านข้อมูลได้เมื่อคอมพิวเตอร์สูญหายหรือถูกขโมย
- มันทำงานก่อนตั้งแต่เริ่มเปิดเครื่อง และหากไม่มีมันก็ไม่สามารถโหลดข้อมูลจากดิสก์ได้
- บั๊กของ BitLocker อาจทำให้คอมพิวเตอร์ใช้งานไม่ได้และทำให้อ่านข้อมูลทั้งหมดไม่ได้ ซึ่งคล้ายกับการสูญเสียข้อมูลที่กู้คืนไม่ได้ในคดี OVH
- BitLocker ผ่านการทดสอบหลายขั้น ตั้งแต่คอมพิวเตอร์ของตนเอง ทีมของตน ไปจนถึงทีมอื่น
-
ข้ออ้างเรื่องประสบการณ์เหตุขัดข้องของ CrowdStrike ก่อนหน้านี้
- ประสบการณ์เหตุขัดข้องของ CrowdStrike ก่อนหน้านี้จากพนักงานบริษัทนิรนาม ก็ถูกใช้เป็นหลักฐานเพิ่มเติม
- บริษัทดังกล่าวอ้างว่าเคยได้รับผลกระทบจากปัญหา CrowdStrike มาก่อน
- บริษัทระบุว่าได้ร้องขออย่างเป็นทางการให้ CrowdStrike อนุญาตการทยอยปล่อยใช้งาน แต่ CrowdStrike ส่งบันทึกความยาว 50 หน้าเพื่อปฏิเสธเรื่องนี้โดยเด็ดขาด
- หากข้ออ้างนี้เป็นจริง บันทึกดังกล่าวอาจเป็นหลักฐานสำคัญที่ไม่เป็นผลดีต่อ CrowdStrike
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ผมทำงานอยู่ที่ ผู้ให้บริการคลาวด์ ฝรั่งเศสอีกรายในฝรั่งเศส ได้เจอเหตุการณ์ OVH แบบเรียลไทม์ และเห็นผลกระทบที่ตามมาทั้งหมด
ที่ OVH ต้องรับผิดไม่ใช่เพราะ บริการหยุดชะงัก แต่เป็นเพราะข้อมูลสูญหาย การสูญหายของข้อมูลเป็นความเสียหายที่ย้อนกลับไม่ได้ ถาวร และแน่นอน บริษัทบางแห่งไม่มีข้อมูลให้ดำเนินงานต่อจนแทบจะล้มไปเลย ที่แย่กว่านั้นคือ OVH ขาย “แบ็กอัปนอกสถานที่” โดยตั้งอยู่ห่างจากดาต้าเซ็นเตอร์แค่ไม่กี่เมตรตามตัวอักษร การหยุดให้บริการเป็นเรื่องน่าเสียดาย แต่เกิดขึ้นได้ และจัดการกันตามสัญญา SLA ที่ทั้งสองฝ่ายตกลงกัน การล่มไม่กี่วันไม่ได้ทำให้บริษัทต้องปิดกิจการ
ผมสงสัยว่า CrowdStrike จะต้องรับผิดชอบต่อบริษัทต่าง ๆ อย่างหนักหรือไม่ ถ้าชดใช้ความเสียหายทั้งหมด บริษัทก็คงต้องปิดกิจการ อย่างไรก็ตาม ภาคสาธารณสุขเป็นอีกเรื่องหนึ่ง และดูเหมือนว่าจะนำไปสู่การเพิ่มกฎระเบียบสำหรับหน่วยงานสำคัญมากขึ้น
เหตุขัดข้องครั้งใหญ่ที่สุดในประวัติศาสตร์เกิดจากความล้มเหลวของตัวแยกวิเคราะห์การตั้งค่า และดูเหมือนว่าไม่ได้ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรมในการจัดการการตั้งค่า/การพาร์ส อีกทั้งมีความเป็นไปได้สูงว่าการเขียนโปรแกรมเคอร์เนลโมดูลก็ไม่ได้ทำตามแนวปฏิบัติที่ดีที่สุดด้วย ถ้าเป็นเช่นนั้น การที่ไม่ต้องยื่นล้มละลายเพราะค่าชดเชยความเสียหายก็ดูแปลกอย่างตรงไปตรงมา แต่นั่นไม่ได้หมายความว่าซอฟต์แวร์จะหายไปหรือไม่ได้รับการบำรุงรักษา มีวิธีมากมายที่จะป้องกันเรื่องนั้นได้ เช่น Microsoft ก็สนใจจะซื้อ Falcon อยู่แล้วอยู่ดี
ตามตรรกะแล้ว ยิ่งข้อมูลสำคัญมากเท่าไร ก็ยิ่งมีโอกาสหายไปมากเท่านั้น จากกรณีรอบตัวที่ไม่เป็นทางการ ผู้ใช้จำนวนมากใช้ BitLocker ซึ่งหมายความว่าการสูญหายของข้อมูลก็น่าจะมากเช่นกัน
แก้ไข: ผมเห็นว่าหลายกรณีสามารถกู้ไดรฟ์ที่เข้ารหัสด้วย BitLocker ได้ อยากรู้ว่าการสูญหายของข้อมูลจริง ๆ มีมากแค่ไหน
ชื่อเรื่องนี้ค่อนข้างชวนให้เข้าใจผิด จริง ๆ แล้วเป็นความเห็นส่วนตัวของใครบางคนในบล็อก แม้จะเป็นความเห็นที่มีความรู้ ไม่ใช่การระบุข้อเท็จจริง
ควรเป็นชื่อประมาณ “คิดว่า CrowdStrike จะต้องรับผิด” หรือ “CrowdStrike ควรต้องรับผิด” มากกว่า
เป็นเรื่องดีที่เตือนว่า ข้อยกเว้นความรับผิดทั่วไป ที่พบบ่อยในสัญญาไลเซนส์ อาจไม่มีความหมายภายนอกเขตอำนาจศาลสหรัฐฯ หากคุณทำธุรกิจในเขตอำนาจศาลอื่น
คิดว่าคงมีผู้เรียกร้องจำนวนมหาศาลกำลังคุยกับทนายเรื่องวิธีรับค่าชดเชยกันอยู่แล้ว ไม่ใช่แค่ในฝรั่งเศส แต่ทั่วโลก
สงสัยว่าเมื่อมีเขตอำนาจศาลมากขนาดนี้ เรื่องแบบนี้ถูกจัดการอย่างไร
ดังนั้นศาลและทนายจำนวนมากทั่วโลกคงจะยุ่งกับคดีนี้ไปอีกสักพัก
ผมไม่ใช่ทนาย และยิ่งไม่ใช่ทนายฝรั่งเศส แต่คิดว่า การเปรียบเทียบกับ OVH ไม่สมเหตุสมผล
ในคดี OVH ระบบแบ็กอัปทั้งหมดล้มเหลว ลูกค้าจำนวนมากเหลือข้อมูลเป็น 0 และตามบทความ “ศาลตัดสินว่าบริการแบ็กอัปของ OVH ไม่ได้ดำเนินการในระดับที่สมเหตุสมผลและไม่บรรลุวัตถุประสงค์”
ในทางกลับกัน CrowdStrike “แค่” ทำให้เคอร์เนลของลูกค้าครัชไปประมาณ 1 ชั่วโมง ระหว่างนั้นก็น่าจะปลอดภัยจากการโจมตีทางไซเบอร์ 100% ส่วนความล่าช้าในการนำระบบกลับขึ้นมาหลังจากนั้น ในมุมมองของผมเป็นเพราะแผนกู้คืนจากภัยพิบัติของลูกค้าไม่ดีพอ แน่นอนว่ามีช่องให้โต้แย้งว่าซอฟต์แวร์ CrowdStrike “ไม่ได้อยู่ในระดับที่สมเหตุสมผล” แต่ผลกระทบชั้นแรกคือซอฟต์แวร์ครัช ซึ่งต่างระดับกันโดยสิ้นเชิงจาก OVH ที่สูญเสียข้อมูลทั้งหมดอย่างถาวรในกองเพลิงตามตัวอักษร
ซอฟต์แวร์ครัชอยู่เสมอ ไม่ว่าจะชอบหรือไม่ อุตสาหกรรมส่วนใหญ่ถือว่าบั๊กซอฟต์แวร์เป็นสิ่งที่หลีกเลี่ยงไม่ได้ แน่นอนว่ามีข้อยกเว้น “ความรับผิด” ของบั๊กซอฟต์แวร์อยู่ที่ผู้ขาย แต่การลดผลกระทบเป็นหน้าที่ของผู้ที่นำมันไปใช้งาน เหตุผลเดียวที่กรณี CrowdStrike กลายเป็นข่าวเมื่อเทียบกับซอฟต์แวร์ครัชอื่น ๆ ที่เกิดขึ้นทุกวัน คือ ลูกค้าจำนวนมากของ CrowdStrike เอาซอฟต์แวร์นี้ไปแทรกไว้ในเส้นทางสำคัญหลายจุด
CrowdStrike ขาย ไพ่ใบเดียว และลูกค้าทั้งหลายโดยรวมเอามันไปสร้างเป็นบ้าน
ป.ล. อย่ารับสิ่งนี้ว่าเป็นการปกป้อง CrowdStrike ผมคิดว่าซอฟต์แวร์ของพวกเขาแย่มากและพัฒนาอย่างลวก ๆ ผมเห็นว่าควรต้องจ่ายราคาสำหรับความลวกนั้น แต่ภายใต้ระบบกฎหมายปัจจุบันคงไม่เป็นเช่นนั้น อย่างมากที่สุด ต่อไปผู้คนอาจโหวตด้วยกระเป๋าเงินของตนเองได้
คอมพิวเตอร์ส่วนใหญ่ที่ได้รับผลกระทบจากข้อบกพร่องนี้ติดอยู่ในลูปรีบูตและไม่สามารถดาวน์โหลดแพตช์แก้ไขได้ จึงต้องมีการดำเนินการทางกายภาพผ่าน การบูต Safe Mode เท่าที่เข้าใจ ในกรณีส่วนใหญ่ช่าง IT ต้องไปที่หน้างานและเข้าถึงคอมพิวเตอร์ทางกายภาพเพื่อแก้ไข
แม้ผ่านไปหนึ่งสัปดาห์ หรือ 168 ชั่วโมง ก็ยังมีคอมพิวเตอร์จำนวนมากที่กลายเป็นก้อนอิฐเพราะข้อบกพร่องนี้อยู่ เพราะมันแก้ยากอย่างน่ากลัว
ดังนั้นควรมองว่าแตกต่างจากครัชทั่วไปพอสมควร เพราะกู้คืนยากกว่ามาก และส่งผลกระทบต่อคอมพิวเตอร์จำนวนมากพร้อมกัน
นอกจากนี้ยังมีบริษัทที่ขั้นตอนกู้คืนของตัวเองล้มเหลวด้วย แต่แม้ขั้นตอนจะดี เหตุการณ์นี้ก็ยังอาจเป็นเหตุขัดข้องใหญ่ได้ เพราะย้อนกลับได้ไม่ง่าย และมักส่งผลกระทบพร้อมกันต่อการตั้งค่าหลายชุดที่ถูกทำซ้ำไว้เพื่อรับมือกับเหตุขัดข้องอื่น ๆ จำนวนมาก
ช่วยอธิบายได้ไหมว่าทำไมระบบปฏิบัติการเองถึงไม่ให้ความสามารถในการป้องกันแบบที่ Falcon มีให้? ไม่ใช่ว่าผมไม่รู้อะไรเลย และผมก็เคยจัดการความปลอดภัยให้เซิร์ฟเวอร์ Linux สำคัญ ๆ มาค่อนข้างมาก แต่บน Windows ดูเหมือนการแบ่งบทบาทด้านความปลอดภัยจะไม่ชัดเจนเท่ากัน
เมื่อเทียบกับ Red Hat หรือ Canonical ฝั่งนั้นให้ความรู้สึกว่าผู้ใช้ต้องต่อสู้กับความปลอดภัยของระบบเพื่อทำให้แอปพลิเคชันของตัวเองใช้งานได้ ซึ่งกลับรู้สึกว่าเป็นทิศทางที่ถูกต้องมากกว่า
https://www.theregister.com/2024/07/22/windows_crowdstrike_k...
บางส่วนมีทางเลือกพื้นฐานจากระบบปฏิบัติการ บางส่วนไม่มี และส่วนใหญ่ไม่ได้ติดมากับ Linux เป็นค่าเริ่มต้น ตัวอย่างเช่น ทีมเคอร์เนล Linux ไม่มี ฐานข้อมูลลายเซ็นมัลแวร์ สำหรับตรวจเทียบคอมโพเนนต์ซอฟต์แวร์ใหม่ก่อนที่เคอร์เนล, ระบบ init หรือเชลล์จะรันมัน แต่ Falcon ทำสิ่งนี้
อีกตัวอย่างหนึ่งคือ Linux หรือ user space ของ Linux โดยทั่วไปไม่ได้ผสานรวมกับ ระบบจัดการฟลีต เป็นค่าเริ่มต้นเพื่อตรวจสอบว่าผู้ใช้ปัจจุบันสามารถรันซอฟต์แวร์บางตัวได้หรือไม่ ยังมีคำถามลักษณะคล้ายกันอีกหลายข้อ
สุดท้าย แม้ระบบปฏิบัติการจะให้บริการเหล่านี้เป็นค่าเริ่มต้น เช่น Windows รุ่น Enterprise มีความสามารถข้างต้น แต่ก็สมเหตุสมผลอย่างยิ่งที่จะชอบโซลูชันจากผู้ให้บริการรายอื่น เช่น อาจเชื่อถือรายการลายเซ็นมัลแวร์ของ CrowdStrike มากกว่า Microsoft และถ้าเป็นเช่นนั้นก็เป็นเหตุผลให้ซื้อ CrowdStrike แทน Windows Defender
ผมไม่ได้พยายามปกป้อง CrowdStrike หรือ Windows เพียงแต่ภายใต้ร่มของคำว่า “ความปลอดภัย” มีฟีเจอร์จำนวนมากที่เราอาจไม่อยากใส่ไว้ในระบบปฏิบัติการเอง และต่อให้มีเวอร์ชันที่ติดมากับระบบ บริษัทก็อาจต้องการแหล่งจัดหาจากรายอื่นได้อย่างชัดเจน
แต่พิสูจน์แล้วว่าไม่เพียงพอที่จะป้องกันปัญหาในโลกจริงจำนวนมาก เช่น แรนซัมแวร์
จึงเกิดตลาดโซลูชันบุคคลที่สามที่ก้าวร้าวกว่าเดิมขึ้นมา เพื่อให้ทันกับภัยคุกคามจริง ต้องอัปเดตบ่อย และต้องรันในระดับสิทธิ์สูง ผลคือเกิดสถานการณ์ที่โซลูชันบุคคลที่สามเหล่านี้สามารถทำให้เกิดจอฟ้าหรือบูตวนได้ ดังนั้นวิธีเผยแพร่อัปเดตจึงต้องออกแบบมาอย่างดีมาก
เช่น ดาวน์โหลดไฟล์แล้วรันเนื้อหาของไฟล์นั้นเป็นโค้ด หรืออัปโหลดหรือเข้ารหัสไฟล์ทั้งหมดที่เข้าถึงได้
CrowdStrike และ Defender จัดการกับพฤติกรรมที่เป็นไปได้แต่ชวนสงสัยเหล่านี้
แม้จะถูกนำไปติดตั้งในระบบจำนวนมาก แต่การที่คิดเป็นน้อยกว่า 1% ของระบบ Windows หมายความว่าในเชิงปริมาณแล้วก็ยังเป็นตลาดเฉพาะกลุ่ม คนส่วนใหญ่ไม่รู้จักแม้แต่ CrowdStrike เอง และยิ่งไม่รู้จักคู่แข่งด้วยซ้ำ
ผมคิดว่าความแตกต่างใหญ่ข้อหนึ่งระหว่าง CrowdStrike กับแอนติไวรัสคือ ค่าใช้จ่ายสูงมากจนไม่คาดหวังว่าจะมีมนุษย์เข้ามาเกี่ยวข้องอยู่ตลอด สำหรับซอฟต์แวร์ผู้บริโภค เรื่องนี้ก็ไม่ feasible ด้วยเพราะปัญหาความเป็นส่วนตัว
แม้ในตลาดเฉพาะกลุ่มเล็ก ๆ นี้ โซลูชันต่าง ๆ ก็แตกต่างกันมาก และแทบไม่มีความหมายกับเครื่องเดี่ยว ๆ แต่อาจถูกออกแบบมาให้ทำงานในระดับเครือข่ายจริง ๆ
เวลาติดต่อกับผู้บริโภค ผมรู้ว่าเรื่องแบบนี้เป็นไปได้ แต่ผมคิดว่า สัญญา B2B ถือเป็นสัญญาระหว่างคู่สัญญาสองฝ่ายที่มีความชำนาญ จึงน่าจะมีการคุ้มครองทางกฎหมายที่เกินไปจากเงื่อนไขสัญญาน้อยมาก
ความเข้าใจกฎหมายของผมส่วนใหญ่ยึดตามอังกฤษ แต่เมื่อเหตุการณ์ที่ก่อให้เกิดความรับผิดเป็นประเด็นเรื่องความสุจริต/ความสามารถทั่วไปในการปฏิบัติตามสัญญา ไม่ใช่ด้านสุขภาพและความปลอดภัยหรือพื้นที่อื่นที่มีกฎหมายกำกับอย่างเข้มข้น ผมไม่ค่อยรู้จักกฎหมายที่จะทำให้ข้อจำกัดความรับผิดเป็นโมฆะ
ดังนั้นผมจึงไม่มั่นใจเนื้อหาในบทความที่ว่าเรื่องนี้ไม่ใช่แค่ปัญหา “ระบบกฎหมายฝรั่งเศส” และอาจมีคำตัดสินแบบเดียวกันในเขตอำนาจศาลอื่นด้วย
ถ้าไม่ได้ตั้งใจทำระบบปล่อยอัปเดตแบบเป็นขั้นเป็นตอน ในสายตาผมนั่นดูเหมือนความประมาท แต่ผมไม่ใช่ทนาย การฆ่านกคานารีมีเหตุผลของมัน
หากไม่ทำเช่นนั้น ก็อาจเป็นการผิดสัญญา และข้อจำกัดความรับผิดอาจไม่สามารถใช้ได้อีกต่อไป
เรื่องนี้ไม่ได้เกิดเฉพาะในฝรั่งเศส
ประเทศใน EU ส่วนใหญ่ หรืออาจทั้งหมด มีกฎหมายจำกัด การหลีกเลี่ยงความรับผิด ไม่ว่าจะเขียนอะไรไว้ในสัญญาก็ตาม
ผมไม่รู้เส้นแบ่งที่แน่ชัดของแต่ละประเทศ แต่ค่อนข้างมั่นใจว่าอย่างน้อยโรงพยาบาล บริการแจ้งเหตุฉุกเฉิน ฯลฯ น่าจะฟ้องร้องได้สำหรับส่วนที่มีนัยสำคัญของความเสียหายที่เกิดจากการล่มโดยตรง
บุคคลที่ได้รับความเสียหายเพราะไม่ได้รับการผ่าตัดทันเวลาก็มีแนวโน้มสูงที่จะฟ้องเรียกค่าเสียหายทั้งหมดที่เกิดกับตนได้เช่นกัน เพียงแต่การคำนวณความเสียหายทำได้ยาก และอาจต้องดำเนินทางอ้อม เช่น ฟ้องโรงพยาบาลก่อน แล้วให้โรงพยาบาลไปเรียกร้องค่าเสียหายก้อนใหญ่กว่าอีกทอดหนึ่ง
ส่วนที่น่าจะฟ้องยากคือ ความสูญเสียจากต้นทุนค่าเสียโอกาส ค่าแรงคนที่ใช้ในการกู้คืน และเรื่องทำนองนี้
อีกทั้งในหลายกรณีที่ไม่ได้ร้ายแรงเท่าการสูญเสียชีวิต และก็ไม่ได้อ้อมเท่าความสูญเสียจากต้นทุนค่าเสียโอกาส ปัจจัยสำคัญน่าจะอยู่ที่ผู้พิพากษามองระดับความประมาทอย่างไร โดย “ความประมาท” ในที่นี้ไม่ได้หมายถึงแค่การเปลี่ยนแปลงเฉพาะที่สร้างบั๊ก แต่ยังรวมถึงว่าได้ปฏิบัติหน้าที่ในการใช้ความระมัดระวังด้านการเลือกเครื่องมือ แนวทาง และกระบวนการทางธุรกิจ เพื่อลดความเสี่ยงอย่างสมเหตุสมผลหรือไม่ เช่น วิธีพาร์สการตั้งค่าไม่เหมาะสมหรือไม่ ได้ทำตามแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรมหรือไม่ ซึ่งในความเห็นผมดูเหมือนไม่ใช่ หรือการทำเครื่องหมายไดรเวอร์นั้นว่าเป็นสิ่งจำเป็นต่อการบูตเหมาะสมหรือไม่ เป็นต้น ถ้าไม่ใช่ Windows ก็คงปิดใช้งานโดยอัตโนมัติแล้วรีสตาร์ตไปแล้ว
ระบุว่า “CrowdStrike ได้เผยแพร่อัปเดตซอฟต์แวร์เมื่อวันที่ 19 กรกฎาคม 2019” แต่ดูเหมือนว่าปีที่หมายถึงคือ 2024
สำหรับส่วนที่ว่า “นี่ไม่ใช่เหตุการณ์ที่เกิดขึ้นอย่างโดดเดี่ยว ไม่กี่สัปดาห์ก่อนก็เกิดเรื่องเดียวกันกับเอเจนต์ CrowdStrike บน Linux จนทำให้ระบบพัง และก่อนหน้านั้นก็อาจมีกรณีอื่น ๆ อีก” มีลิงก์ของเหตุการณ์นี้ไหม?
“CrowdStrike's Falcon Sensor also linked to Linux kernel panics and crashes”, https://news.ycombinator.com/item?id=41030352