1 คะแนน โดย GN⁺ 2024-07-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เหตุขัดข้องจากอัปเดต CrowdStrike เมื่อวันที่ 19 กรกฎาคม 2024 คาดว่าทำให้ คอมพิวเตอร์ 8.5 ล้านเครื่องใช้งานไม่ได้ และก่อความเสียหาย มากกว่า 5.4 พันล้านดอลลาร์ โดยอาจนำไปสู่ตรรกะความรับผิดชดใช้ค่าเสียหายที่คล้ายกับคดี OVH ในฝรั่งเศส
  • ในคดี OVH ศาลเห็นว่าผู้ให้บริการแบ็กอัปต้องรักษาระดับความสมเหตุสมผลและแนวปฏิบัติที่เป็นเลิศ และไม่ยอมรับว่าแบ็กอัปที่อยู่ในสถานที่เดียวกันหรือศูนย์ข้อมูลที่อยู่ใกล้กันเป็นการดำเนินงานที่ สมเหตุสมผล
  • CrowdStrike เป็นซอฟต์แวร์ความปลอดภัยที่ทำงานก่อนในระดับเคอร์เนล ดังนั้นยิ่งมีการติดตั้งในอุปกรณ์ขององค์กรและอุตสาหกรรมสำคัญ เช่น ธนาคาร การท่องเที่ยว ซูเปอร์มาร์เก็ต ภาระด้าน การทดสอบและการทยอยปล่อยใช้งาน ก็ยิ่งมากขึ้น
  • อัปเดตที่มีปัญหาถูกปล่อยพร้อมกันไปยังอุปกรณ์หลายล้านเครื่องทั่วโลกและทำให้เกิด BSOD โดยการกู้คืนต้องใช้การเข้าถึงทางกายภาพ สิทธิ์ผู้ดูแลระบบ การเข้า safe mode หรือ recovery mode และการลบไดรเวอร์
  • ลูกค้าในอุตสาหกรรมที่มีการกำกับดูแลจำเป็นต้องมีการทดสอบการเปลี่ยนแปลง การทยอยปล่อยใช้งาน และการติดตามตรวจสอบ ดังนั้นหาก CrowdStrike ไม่ได้ทำหรือปฏิเสธสิ่งเหล่านี้ ก็อาจนำไปสู่การ ละเมิด compliance ของลูกค้าและเป็นเหตุให้ยกเลิกสัญญาได้

โครงสร้างความรับผิดชดใช้ค่าเสียหายจากเหตุขัดข้องของ CrowdStrike

  • กรณี CrowdStrike เป็นตัวอย่างที่อัปเดตเพียงครั้งเดียวทำให้เกิดความขัดข้องของคอมพิวเตอร์ในวงกว้าง
  • ความเป็นไปได้ในการเรียกค่าเสียหายถูกนำไปเปรียบเทียบกับบรรทัดฐานคดี OVH ในฝรั่งเศส
  • ข้อกำหนดยกเว้นความรับผิดในสัญญาทั่วไปมักมีผลจำกัดในหลายเขตอำนาจศาลนอกสหรัฐฯ และโดยปกติยากที่จะยกเว้นความรับผิดที่เกี่ยวข้องกับความประมาทร้ายแรง การกระทำผิดทางอาญา หรือการฝ่าฝืนกฎหมาย
  • ประเด็นสำคัญคือ เมื่อ ความเสียหายที่เกิดขึ้นจริง รวมกับ เจตนาหรือความประมาท ก็จะเปิดทางให้เกิดความรับผิดชดใช้ค่าเสียหายได้

ความล้มเหลวด้านการดำเนินงานที่ปรากฏในคดี OVH

  • OVH เป็นผู้ให้บริการศูนย์ข้อมูลและคลาวด์ในฝรั่งเศส โดยให้บริการเซิร์ฟเวอร์จริง เวอร์ชวลแมชชีน และบริการคลาวด์หลายประเภท
  • เมื่อวันที่ 10 มีนาคม 2021 เกิดเพลิงไหม้ที่ไซต์ SGB ของ OVH
    • ศูนย์ข้อมูล SGB1 และ SGB2 ถูกทำลาย
    • SGB3 และ SGB4 ก็ไม่สามารถให้บริการได้อยู่ช่วงหนึ่ง
  • เว็บไซต์ของลูกค้าหลายรายถูกทำลาย ทำให้บริการและข้อมูลสูญหายจนไม่อาจกู้คืนได้ และลูกค้าบางรายฟ้อง OVH จนชนะคดี
  • จุดที่ศาลให้ความสำคัญคือเกิด การสูญเสียบริการ และ การสูญเสียแบ็กอัป พร้อมกัน
    • ระหว่างเหตุการณ์และหลังเหตุการณ์ มีการสูญเสียบริการโดยสมบูรณ์
    • หลังเหตุการณ์ยังคงมีการสูญเสียข้อมูลที่กู้คืนไม่ได้
    • OVH ให้บริการแบ็กอัปแก่ลูกค้า แต่แบ็กอัปก็สูญหายจนกู้คืนไม่ได้ทั้งหมด
  • แม้จะมีหลายศูนย์ข้อมูล แต่ในความเป็นจริงกลับตั้งอยู่ใกล้กันในสถานที่เดียวกัน และศาลไม่เห็นว่านี่เป็นการออกแบบที่คาดการณ์ได้หรือสมเหตุสมผล
  • ศาลยังเห็นว่าการเก็บแบ็กอัปไว้ในศูนย์ข้อมูลเดียวกัน หรือในศูนย์ข้อมูลอื่นที่อาจอยู่ในสถานที่เดียวกัน ก็ไม่สมเหตุสมผลเช่นกัน
  • OVH อ้างว่าลูกค้าควรปฏิบัติตามแนวปฏิบัติที่เป็นเลิศโดยทำแบ็กอัปหลายชุดไว้คนละสถานที่ แต่ศาลเห็นว่า OVH ในฐานะผู้ให้บริการแบ็กอัปเองต้องเป็นฝ่ายให้บริการแบ็กอัปตามมาตรฐานที่สมเหตุสมผล
  • ผลลัพธ์คือ บริการแบ็กอัปของ OVH ไม่สามารถบรรลุวัตถุประสงค์ และถูกมองว่าเป็นบริการที่ไม่ได้ดำเนินงานในระดับที่สมเหตุสมผล

ลักษณะทางเทคนิคของเหตุขัดข้อง CrowdStrike

  • CrowdStrike เป็นซอฟต์แวร์แอนติไวรัสหรือ EDR (Endpoint Detection and Response) ที่ติดตั้งบนอุปกรณ์ขององค์กร
  • ซอฟต์แวร์นี้ทำงานตั้งแต่เริ่มเปิดคอมพิวเตอร์ และผสานเข้ากับระบบปฏิบัติการ Windows หรือ Linux อย่างลึกในระดับเคอร์เนล
    • มันทำงานให้เร็วที่สุดเท่าที่จะทำได้ ก่อนองค์ประกอบอื่น
    • สามารถเฝ้าดูสิ่งที่กำลังรันอยู่และบล็อกหรือรายงานสิ่งที่น่าสงสัยได้
  • เมื่อวันที่ 19 กรกฎาคม 2024 CrowdStrike ได้ปล่อยอัปเดตซอฟต์แวร์ และอัปเดตนั้นทำให้คอมพิวเตอร์ที่ได้รับอัปเดตล่ม
  • คอมพิวเตอร์หลายล้านเครื่องทั่วโลกได้รับอัปเดตพร้อมกันและเข้าสู่สภาพ ทำงานผิดปกติ
  • เนื่องจากโครงสร้างที่ทำงานก่อนและมีสิทธิ์สูง บั๊กหรือการตัดสินผิดพลาดของ CrowdStrike จึงสามารถขัดขวางการทำงานของซอฟต์แวร์อื่นหรือแม้แต่ระบบเองได้

ประเด็นเรื่องการปล่อยใช้งาน การทดสอบ และการมอนิเตอร์

  • CrowdStrike ถูกใช้อย่างแพร่หลายในอุปกรณ์ขององค์กรขนาดใหญ่ เช่น ธนาคาร การท่องเที่ยว ซูเปอร์มาร์เก็ต และเน้นเป้าหมายที่อุตสาหกรรมสำคัญกับอุปกรณ์สำคัญซึ่งจัดการข้อมูลลับ
  • เนื่องจากเป็นแอปพลิเคชันสำคัญที่ทำงานในสภาพแวดล้อมอ่อนไหว จึงต้องใช้ความระมัดระวังเพิ่มเติมในการพัฒนาและทดสอบ
  • ในวันเกิดเหตุ อัปเดตถูกปล่อยไปยังอุปกรณ์สำคัญหลายล้านเครื่องพร้อมกัน ทั้งที่แนวปฏิบัติที่ดีคือการ ทยอยปล่อยอัปเกรดซอฟต์แวร์
  • ประเด็นอยู่ที่ว่าอัปเดตที่เสียหายแพร่ไปยังอุปกรณ์หลายล้านเครื่องได้อย่างไรภายในไม่กี่นาที และมีการทดสอบหรือการทยอยปล่อยใช้งานหรือไม่
  • ในการพูดคุยออนไลน์ มีรายงานว่าลูกค้ากลุ่มโรงพยาบาลเคยประสบปัญหานี้มาก่อนและได้ขอสิทธิ์ควบคุมการอัปเดตจาก CrowdStrike
    • ลูกค้ารายหนึ่งอ้างว่า CrowdStrike ส่งบันทึกความยาว 50 หน้าเพื่อปฏิเสธการทยอยปล่อยใช้งาน
  • หาก CrowdStrike ไม่มีฟังก์ชันทยอยปล่อยใช้งานหรือปฏิเสธสิ่งนี้ ก็อาจขัดกับข้อกำหนดของอุตสาหกรรมที่มีการกำกับดูแลซึ่งเป็นตลาดเป้าหมายของตน
  • อัปเดตที่มีปัญหาทำให้คอมพิวเตอร์ที่ได้รับอัปเดตเกิด BSOD และการที่ไม่มีการตรวจพบว่าเป็นอัปเดตที่เสียหายอย่างชัดเจนก่อนการปล่อยออกภายนอก ถูกใช้เป็นเหตุผลว่าขาดการทดสอบ
  • มีรายงานว่าปัญหาคล้ายกันเกิดขึ้นกับ CrowdStrike agent สำหรับ Linux เมื่อไม่กี่สัปดาห์ก่อน จึงอาจนำไปสู่ข้อโต้แย้งว่าไม่ใช่เหตุการณ์เดี่ยว
  • หลังจากปล่อยอัปเดตผิดพลาดไปแล้ว CrowdStrike ใช้เวลาเกือบ 2 ชั่วโมงกว่าจะรับรู้ปัญหาและหยุดอัปเดต
  • นักพัฒนาซอฟต์แวร์สำคัญควรมอนิเตอร์หลังการปล่อยว่า ซอฟต์แวร์ทำงานตามคาดและไม่ก่อปัญหาหรือไม่

ความยากในการกู้คืนและความเสียหายของลูกค้า

  • คอมพิวเตอร์ที่ได้รับผลกระทบอยู่ในสภาพบูตไม่ได้ และผู้ใช้ไม่สามารถเข้าถึงคอมพิวเตอร์เพื่อสร้างทิกเก็ตหรือวินิจฉัยปัญหาได้
  • ในองค์กรที่ได้รับผลกระทบ พนักงานได้รับคอมพิวเตอร์ที่ใช้งานไม่ได้ ทำให้ไม่สามารถทำงานได้
  • วิธีการกู้คืนแบบหนึ่งคือทีม IT รับเครื่องไปติดตั้งใหม่ทั้งหมดหรือทำ reimage
  • ต่อมามีการพบอีกวิธีหนึ่งคือ ผู้ดูแลระบบต้องเข้าถึงคอมพิวเตอร์ทางกายภาพ บูตเข้า safe mode หรือ recovery mode แล้วลบไฟล์ไดรเวอร์ของ CrowdStrike
  • การกู้คืนนี้ต้องใช้ทั้ง การเข้าถึงทางกายภาพ และ สิทธิ์ผู้ดูแลระบบ
    • อาจต้องใช้รหัสผ่านพิเศษหรือ USB key ที่มีรหัสผ่านเพื่อเริ่มโน้ตบุ๊กใน recovery mode
  • องค์กรที่ได้รับผลกระทบอาจใช้เวลาหลายสัปดาห์กว่าจะรวบรวมโน้ตบุ๊ก เดสก์ท็อป และเซิร์ฟเวอร์ของผู้ใช้ทั้งหมดได้ทางกายภาพ
    • จำนวนอุปกรณ์เป้าหมายอาจอยู่ตั้งแต่หลักพันถึงหลายแสนเครื่อง
  • อุปกรณ์ที่ปิดล้อมหรือเข้าถึงยาก เช่น จอแสดงผลในสนามบิน เครื่องมือแพทย์และอุปกรณ์ในโรงพยาบาล หรือแผงควบคุมลิฟต์ อาจใช้เวลานานกว่านั้น
  • อุปกรณ์ที่ถูกปิดกั้นทางกายภาพหรือไม่ทราบรหัสผ่านสำหรับกู้คืน อาจไม่สามารถกู้คืนได้เลย
  • คอมพิวเตอร์สำรองก็ได้รับผลกระทบจากปัญหาเดียวกัน จึงยากที่จะจัดหาอุปกรณ์ทดแทนให้ผู้ใช้ที่ได้รับผลกระทบ
  • CrowdStrike เป็นซอฟต์แวร์ความปลอดภัยที่มีเป้าหมายเพื่อทำให้คอมพิวเตอร์ทำงานต่อไปได้และปกป้องจากภัยคุกคาม แต่กลับทำให้คอมพิวเตอร์ที่ควรปกป้องใช้งานไม่ได้ จึงล้มเหลวต่อวัตถุประสงค์ของตน

อุตสาหกรรมที่มีการกำกับดูแลและความเป็นไปได้ในการยกเลิกสัญญา

  • ลูกค้าในอุตสาหกรรมที่มีการกำกับดูแล เช่น การแพทย์ การเงิน อวกาศ และการขนส่ง ต้องทดสอบการเปลี่ยนแปลง ทยอยปล่อยใช้งาน และติดตามตรวจสอบได้
  • CrowdStrike ระบุว่ามีการรับรองและมาตรฐานหลายรายการ แต่เกณฑ์เหล่านี้ต้องการแนวปฏิบัติการพัฒนาที่เฉพาะเจาะจงและการทดสอบหลายระดับ
  • หาก CrowdStrike ไม่ได้ปฏิบัติตามขั้นตอนดังกล่าวและปฏิเสธอย่างชัดเจน ก็อาจนำไปสู่การละเมิด compliance ของ CrowdStrike เอง
  • การใช้ CrowdStrike อาจทำให้ลูกค้าตกอยู่ในสถานะไม่สอดคล้องตามข้อกำหนดด้วย และสำหรับลูกค้าที่ต้องการ ก็อาจเป็นเหตุอันเพียงพอให้ยุติสัญญากับ CrowdStrike ได้ฝ่ายเดียว

กรณีเปรียบเทียบและหลักฐานเพิ่มเติม

  • วิธีการทดสอบและปล่อยใช้งานของ BitLocker

    • การพูดคุยเรื่องวิธีการทดสอบและปล่อยใช้งานของพนักงานที่เกี่ยวข้องกับ BitLocker ถูกใช้เป็นหลักฐานเพิ่มเติม
    • BitLocker เป็นเครื่องมือเข้ารหัสดิสก์ของคอมพิวเตอร์ให้ปลอดภัย
    • มันทำให้ผู้อื่นไม่สามารถอ่านข้อมูลได้เมื่อคอมพิวเตอร์สูญหายหรือถูกขโมย
    • มันทำงานก่อนตั้งแต่เริ่มเปิดเครื่อง และหากไม่มีมันก็ไม่สามารถโหลดข้อมูลจากดิสก์ได้
    • บั๊กของ BitLocker อาจทำให้คอมพิวเตอร์ใช้งานไม่ได้และทำให้อ่านข้อมูลทั้งหมดไม่ได้ ซึ่งคล้ายกับการสูญเสียข้อมูลที่กู้คืนไม่ได้ในคดี OVH
    • BitLocker ผ่านการทดสอบหลายขั้น ตั้งแต่คอมพิวเตอร์ของตนเอง ทีมของตน ไปจนถึงทีมอื่น
  • ข้ออ้างเรื่องประสบการณ์เหตุขัดข้องของ CrowdStrike ก่อนหน้านี้

    • ประสบการณ์เหตุขัดข้องของ CrowdStrike ก่อนหน้านี้จากพนักงานบริษัทนิรนาม ก็ถูกใช้เป็นหลักฐานเพิ่มเติม
    • บริษัทดังกล่าวอ้างว่าเคยได้รับผลกระทบจากปัญหา CrowdStrike มาก่อน
    • บริษัทระบุว่าได้ร้องขออย่างเป็นทางการให้ CrowdStrike อนุญาตการทยอยปล่อยใช้งาน แต่ CrowdStrike ส่งบันทึกความยาว 50 หน้าเพื่อปฏิเสธเรื่องนี้โดยเด็ดขาด
    • หากข้ออ้างนี้เป็นจริง บันทึกดังกล่าวอาจเป็นหลักฐานสำคัญที่ไม่เป็นผลดีต่อ CrowdStrike

1 ความคิดเห็น

 
GN⁺ 2024-07-26
ความคิดเห็นจาก Hacker News
  • ผมทำงานอยู่ที่ ผู้ให้บริการคลาวด์ ฝรั่งเศสอีกรายในฝรั่งเศส ได้เจอเหตุการณ์ OVH แบบเรียลไทม์ และเห็นผลกระทบที่ตามมาทั้งหมด
    ที่ OVH ต้องรับผิดไม่ใช่เพราะ บริการหยุดชะงัก แต่เป็นเพราะข้อมูลสูญหาย การสูญหายของข้อมูลเป็นความเสียหายที่ย้อนกลับไม่ได้ ถาวร และแน่นอน บริษัทบางแห่งไม่มีข้อมูลให้ดำเนินงานต่อจนแทบจะล้มไปเลย ที่แย่กว่านั้นคือ OVH ขาย “แบ็กอัปนอกสถานที่” โดยตั้งอยู่ห่างจากดาต้าเซ็นเตอร์แค่ไม่กี่เมตรตามตัวอักษร การหยุดให้บริการเป็นเรื่องน่าเสียดาย แต่เกิดขึ้นได้ และจัดการกันตามสัญญา SLA ที่ทั้งสองฝ่ายตกลงกัน การล่มไม่กี่วันไม่ได้ทำให้บริษัทต้องปิดกิจการ
    ผมสงสัยว่า CrowdStrike จะต้องรับผิดชอบต่อบริษัทต่าง ๆ อย่างหนักหรือไม่ ถ้าชดใช้ความเสียหายทั้งหมด บริษัทก็คงต้องปิดกิจการ อย่างไรก็ตาม ภาคสาธารณสุขเป็นอีกเรื่องหนึ่ง และดูเหมือนว่าจะนำไปสู่การเพิ่มกฎระเบียบสำหรับหน่วยงานสำคัญมากขึ้น

    • ถ้าเหตุการณ์นี้ไม่นำไปสู่การ ปิดกิจการของ CrowdStrike ผมคิดว่ามันจะส่งสัญญาณที่ผิดมาก
      เหตุขัดข้องครั้งใหญ่ที่สุดในประวัติศาสตร์เกิดจากความล้มเหลวของตัวแยกวิเคราะห์การตั้งค่า และดูเหมือนว่าไม่ได้ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรมในการจัดการการตั้งค่า/การพาร์ส อีกทั้งมีความเป็นไปได้สูงว่าการเขียนโปรแกรมเคอร์เนลโมดูลก็ไม่ได้ทำตามแนวปฏิบัติที่ดีที่สุดด้วย ถ้าเป็นเช่นนั้น การที่ไม่ต้องยื่นล้มละลายเพราะค่าชดเชยความเสียหายก็ดูแปลกอย่างตรงไปตรงมา แต่นั่นไม่ได้หมายความว่าซอฟต์แวร์จะหายไปหรือไม่ได้รับการบำรุงรักษา มีวิธีมากมายที่จะป้องกันเรื่องนั้นได้ เช่น Microsoft ก็สนใจจะซื้อ Falcon อยู่แล้วอยู่ดี
    • เท่าที่เข้าใจ ใครก็ตามที่ใช้ BitLocker ดูเหมือนจะสูญเสียข้อมูลแบบกู้คืนไม่ได้
      ตามตรรกะแล้ว ยิ่งข้อมูลสำคัญมากเท่าไร ก็ยิ่งมีโอกาสหายไปมากเท่านั้น จากกรณีรอบตัวที่ไม่เป็นทางการ ผู้ใช้จำนวนมากใช้ BitLocker ซึ่งหมายความว่าการสูญหายของข้อมูลก็น่าจะมากเช่นกัน
      แก้ไข: ผมเห็นว่าหลายกรณีสามารถกู้ไดรฟ์ที่เข้ารหัสด้วย BitLocker ได้ อยากรู้ว่าการสูญหายของข้อมูลจริง ๆ มีมากแค่ไหน
    • ถ้าบริษัทต้องปิดตัวเพราะเหตุการณ์ OVH ความเสียหายถูกคำนวณอย่างไร? เป็น 1 เท่าของรายได้ต่อปี หรืออิงกำไร หรือ 5 เท่า?
  • ชื่อเรื่องนี้ค่อนข้างชวนให้เข้าใจผิด จริง ๆ แล้วเป็นความเห็นส่วนตัวของใครบางคนในบล็อก แม้จะเป็นความเห็นที่มีความรู้ ไม่ใช่การระบุข้อเท็จจริง
    ควรเป็นชื่อประมาณ “คิดว่า CrowdStrike จะต้องรับผิด” หรือ “CrowdStrike ควรต้องรับผิด” มากกว่า

    • ชื่อเต็มอย่างน้อยในตอนนี้ก็มีนัยละเอียดกว่าที่เห็นบน HN: “CrowdStrike จะต้องรับผิดชดใช้ความเสียหายในฝรั่งเศสโดยอิง บรรทัดฐานคดี OVH
  • เป็นเรื่องดีที่เตือนว่า ข้อยกเว้นความรับผิดทั่วไป ที่พบบ่อยในสัญญาไลเซนส์ อาจไม่มีความหมายภายนอกเขตอำนาจศาลสหรัฐฯ หากคุณทำธุรกิจในเขตอำนาจศาลอื่น

    • น่าทึ่งที่มีบริษัทเทคโนโลยีอเมริกันจำนวนมากจริง ๆ ที่ตกใจเมื่อรู้ว่าต้องปฏิบัติตาม กฎหมายแรงงานและกฎหมายคุ้มครองข้อมูล เมื่อทำงานในเขตอำนาจศาลอื่น หรือคิดว่าสามารถเพิกเฉยได้
    • สงสัยว่ามีเว็บไซต์แนว แผนที่ความรับผิด ที่แสดงว่าไลเซนส์ซอฟต์แวร์ทั่วไปได้รับการยกเว้นความรับผิดตามกฎหมายในแต่ละประเทศได้มากน้อยแค่ไหนหรือไม่
  • คิดว่าคงมีผู้เรียกร้องจำนวนมหาศาลกำลังคุยกับทนายเรื่องวิธีรับค่าชดเชยกันอยู่แล้ว ไม่ใช่แค่ในฝรั่งเศส แต่ทั่วโลก
    สงสัยว่าเมื่อมีเขตอำนาจศาลมากขนาดนี้ เรื่องแบบนี้ถูกจัดการอย่างไร

    • ในทางทฤษฎีแล้วเรียบง่าย ถ้า CrowdStrike ทำธุรกิจอยู่ในรัฐ/ประเทศ X การเรียกร้องค่าชดเชยก็จะถูกจัดการในศาลของ X
      ดังนั้นศาลและทนายจำนวนมากทั่วโลกคงจะยุ่งกับคดีนี้ไปอีกสักพัก
  • ผมไม่ใช่ทนาย และยิ่งไม่ใช่ทนายฝรั่งเศส แต่คิดว่า การเปรียบเทียบกับ OVH ไม่สมเหตุสมผล
    ในคดี OVH ระบบแบ็กอัปทั้งหมดล้มเหลว ลูกค้าจำนวนมากเหลือข้อมูลเป็น 0 และตามบทความ “ศาลตัดสินว่าบริการแบ็กอัปของ OVH ไม่ได้ดำเนินการในระดับที่สมเหตุสมผลและไม่บรรลุวัตถุประสงค์”
    ในทางกลับกัน CrowdStrike “แค่” ทำให้เคอร์เนลของลูกค้าครัชไปประมาณ 1 ชั่วโมง ระหว่างนั้นก็น่าจะปลอดภัยจากการโจมตีทางไซเบอร์ 100% ส่วนความล่าช้าในการนำระบบกลับขึ้นมาหลังจากนั้น ในมุมมองของผมเป็นเพราะแผนกู้คืนจากภัยพิบัติของลูกค้าไม่ดีพอ แน่นอนว่ามีช่องให้โต้แย้งว่าซอฟต์แวร์ CrowdStrike “ไม่ได้อยู่ในระดับที่สมเหตุสมผล” แต่ผลกระทบชั้นแรกคือซอฟต์แวร์ครัช ซึ่งต่างระดับกันโดยสิ้นเชิงจาก OVH ที่สูญเสียข้อมูลทั้งหมดอย่างถาวรในกองเพลิงตามตัวอักษร
    ซอฟต์แวร์ครัชอยู่เสมอ ไม่ว่าจะชอบหรือไม่ อุตสาหกรรมส่วนใหญ่ถือว่าบั๊กซอฟต์แวร์เป็นสิ่งที่หลีกเลี่ยงไม่ได้ แน่นอนว่ามีข้อยกเว้น “ความรับผิด” ของบั๊กซอฟต์แวร์อยู่ที่ผู้ขาย แต่การลดผลกระทบเป็นหน้าที่ของผู้ที่นำมันไปใช้งาน เหตุผลเดียวที่กรณี CrowdStrike กลายเป็นข่าวเมื่อเทียบกับซอฟต์แวร์ครัชอื่น ๆ ที่เกิดขึ้นทุกวัน คือ ลูกค้าจำนวนมากของ CrowdStrike เอาซอฟต์แวร์นี้ไปแทรกไว้ในเส้นทางสำคัญหลายจุด
    CrowdStrike ขาย ไพ่ใบเดียว และลูกค้าทั้งหลายโดยรวมเอามันไปสร้างเป็นบ้าน
    ป.ล. อย่ารับสิ่งนี้ว่าเป็นการปกป้อง CrowdStrike ผมคิดว่าซอฟต์แวร์ของพวกเขาแย่มากและพัฒนาอย่างลวก ๆ ผมเห็นว่าควรต้องจ่ายราคาสำหรับความลวกนั้น แต่ภายใต้ระบบกฎหมายปัจจุบันคงไม่เป็นเช่นนั้น อย่างมากที่สุด ต่อไปผู้คนอาจโหวตด้วยกระเป๋าเงินของตนเองได้

    • “ประมาณ 1 ชั่วโมง” ไม่ถูกต้องเลย
      คอมพิวเตอร์ส่วนใหญ่ที่ได้รับผลกระทบจากข้อบกพร่องนี้ติดอยู่ในลูปรีบูตและไม่สามารถดาวน์โหลดแพตช์แก้ไขได้ จึงต้องมีการดำเนินการทางกายภาพผ่าน การบูต Safe Mode เท่าที่เข้าใจ ในกรณีส่วนใหญ่ช่าง IT ต้องไปที่หน้างานและเข้าถึงคอมพิวเตอร์ทางกายภาพเพื่อแก้ไข
      แม้ผ่านไปหนึ่งสัปดาห์ หรือ 168 ชั่วโมง ก็ยังมีคอมพิวเตอร์จำนวนมากที่กลายเป็นก้อนอิฐเพราะข้อบกพร่องนี้อยู่ เพราะมันแก้ยากอย่างน่ากลัว
    • ไม่ใช่แค่ครัชธรรมดา แต่ทำให้ 100% ของคอมพิวเตอร์ ที่กำลังทำงานอยู่ในขณะนั้นครัช และเป็นแบบที่ต้องมีการแทรกแซงทางกายภาพจึงจะกู้คืนได้
      ดังนั้นควรมองว่าแตกต่างจากครัชทั่วไปพอสมควร เพราะกู้คืนยากกว่ามาก และส่งผลกระทบต่อคอมพิวเตอร์จำนวนมากพร้อมกัน
      นอกจากนี้ยังมีบริษัทที่ขั้นตอนกู้คืนของตัวเองล้มเหลวด้วย แต่แม้ขั้นตอนจะดี เหตุการณ์นี้ก็ยังอาจเป็นเหตุขัดข้องใหญ่ได้ เพราะย้อนกลับได้ไม่ง่าย และมักส่งผลกระทบพร้อมกันต่อการตั้งค่าหลายชุดที่ถูกทำซ้ำไว้เพื่อรับมือกับเหตุขัดข้องอื่น ๆ จำนวนมาก
    • ผู้ขายไม่ควรเป็นคนทำให้ต้องเริ่มใช้แผนกู้คืนจากภัยพิบัติ นั่นเป็นสิ่งที่ ภัยพิบัติ ตามตัวอักษรควรทำ
  • ช่วยอธิบายได้ไหมว่าทำไมระบบปฏิบัติการเองถึงไม่ให้ความสามารถในการป้องกันแบบที่ Falcon มีให้? ไม่ใช่ว่าผมไม่รู้อะไรเลย และผมก็เคยจัดการความปลอดภัยให้เซิร์ฟเวอร์ Linux สำคัญ ๆ มาค่อนข้างมาก แต่บน Windows ดูเหมือนการแบ่งบทบาทด้านความปลอดภัยจะไม่ชัดเจนเท่ากัน
    เมื่อเทียบกับ Red Hat หรือ Canonical ฝั่งนั้นให้ความรู้สึกว่าผู้ใช้ต้องต่อสู้กับความปลอดภัยของระบบเพื่อทำให้แอปพลิเคชันของตัวเองใช้งานได้ ซึ่งกลับรู้สึกว่าเป็นทิศทางที่ถูกต้องมากกว่า

    • ผมเคยอ่านบทความว่า Microsoft แพ้คดี ต่อต้านการผูกขาด ใน EU และ EU กำหนดให้ต้องเปิดให้คู่แข่งบุคคลที่สามสามารถให้บริการนี้ได้ด้วย โซลูชันของ Microsoft เองคือ Windows Defender
      https://www.theregister.com/2024/07/22/windows_crowdstrike_k...
    • โดยหลักการแล้ว Falcon ให้การป้องกันหลายระดับ ในทางปฏิบัติ เมื่อดูจากความไร้ความสามารถสุดขั้วที่เหตุการณ์นี้เปิดเผยออกมา ก็อดสงสัยไม่ได้ว่าอย่างดีที่สุดอาจเป็นแค่การขายน้ำมันงูเท่านั้น
      บางส่วนมีทางเลือกพื้นฐานจากระบบปฏิบัติการ บางส่วนไม่มี และส่วนใหญ่ไม่ได้ติดมากับ Linux เป็นค่าเริ่มต้น ตัวอย่างเช่น ทีมเคอร์เนล Linux ไม่มี ฐานข้อมูลลายเซ็นมัลแวร์ สำหรับตรวจเทียบคอมโพเนนต์ซอฟต์แวร์ใหม่ก่อนที่เคอร์เนล, ระบบ init หรือเชลล์จะรันมัน แต่ Falcon ทำสิ่งนี้
      อีกตัวอย่างหนึ่งคือ Linux หรือ user space ของ Linux โดยทั่วไปไม่ได้ผสานรวมกับ ระบบจัดการฟลีต เป็นค่าเริ่มต้นเพื่อตรวจสอบว่าผู้ใช้ปัจจุบันสามารถรันซอฟต์แวร์บางตัวได้หรือไม่ ยังมีคำถามลักษณะคล้ายกันอีกหลายข้อ
      สุดท้าย แม้ระบบปฏิบัติการจะให้บริการเหล่านี้เป็นค่าเริ่มต้น เช่น Windows รุ่น Enterprise มีความสามารถข้างต้น แต่ก็สมเหตุสมผลอย่างยิ่งที่จะชอบโซลูชันจากผู้ให้บริการรายอื่น เช่น อาจเชื่อถือรายการลายเซ็นมัลแวร์ของ CrowdStrike มากกว่า Microsoft และถ้าเป็นเช่นนั้นก็เป็นเหตุผลให้ซื้อ CrowdStrike แทน Windows Defender
      ผมไม่ได้พยายามปกป้อง CrowdStrike หรือ Windows เพียงแต่ภายใต้ร่มของคำว่า “ความปลอดภัย” มีฟีเจอร์จำนวนมากที่เราอาจไม่อยากใส่ไว้ในระบบปฏิบัติการเอง และต่อให้มีเวอร์ชันที่ติดมากับระบบ บริษัทก็อาจต้องการแหล่งจัดหาจากรายอื่นได้อย่างชัดเจน
    • Windows มี Defender และติดตาม ลายเซ็นกับฮิวริสติก สำหรับมัลแวร์หลายประเภทในระดับหนึ่ง
      แต่พิสูจน์แล้วว่าไม่เพียงพอที่จะป้องกันปัญหาในโลกจริงจำนวนมาก เช่น แรนซัมแวร์
      จึงเกิดตลาดโซลูชันบุคคลที่สามที่ก้าวร้าวกว่าเดิมขึ้นมา เพื่อให้ทันกับภัยคุกคามจริง ต้องอัปเดตบ่อย และต้องรันในระดับสิทธิ์สูง ผลคือเกิดสถานการณ์ที่โซลูชันบุคคลที่สามเหล่านี้สามารถทำให้เกิดจอฟ้าหรือบูตวนได้ ดังนั้นวิธีเผยแพร่อัปเดตจึงต้องออกแบบมาอย่างดีมาก
    • แม้ไม่มีการยกระดับสิทธิ์ ก็สามารถทำพฤติกรรมอันตรายใน user space ได้
      เช่น ดาวน์โหลดไฟล์แล้วรันเนื้อหาของไฟล์นั้นเป็นโค้ด หรืออัปโหลดหรือเข้ารหัสไฟล์ทั้งหมดที่เข้าถึงได้
      CrowdStrike และ Defender จัดการกับพฤติกรรมที่เป็นไปได้แต่ชวนสงสัยเหล่านี้
    • CrowdStrike Falcon EDR ในความหมายหนึ่งคือ แอนติไวรัสแบบเสริมความสามารถ และ CrowdStrike ก็ไม่ได้ทำแค่ EDR เท่านั้น
      แม้จะถูกนำไปติดตั้งในระบบจำนวนมาก แต่การที่คิดเป็นน้อยกว่า 1% ของระบบ Windows หมายความว่าในเชิงปริมาณแล้วก็ยังเป็นตลาดเฉพาะกลุ่ม คนส่วนใหญ่ไม่รู้จักแม้แต่ CrowdStrike เอง และยิ่งไม่รู้จักคู่แข่งด้วยซ้ำ
      ผมคิดว่าความแตกต่างใหญ่ข้อหนึ่งระหว่าง CrowdStrike กับแอนติไวรัสคือ ค่าใช้จ่ายสูงมากจนไม่คาดหวังว่าจะมีมนุษย์เข้ามาเกี่ยวข้องอยู่ตลอด สำหรับซอฟต์แวร์ผู้บริโภค เรื่องนี้ก็ไม่ feasible ด้วยเพราะปัญหาความเป็นส่วนตัว
      แม้ในตลาดเฉพาะกลุ่มเล็ก ๆ นี้ โซลูชันต่าง ๆ ก็แตกต่างกันมาก และแทบไม่มีความหมายกับเครื่องเดี่ยว ๆ แต่อาจถูกออกแบบมาให้ทำงานในระดับเครือข่ายจริง ๆ
  • เวลาติดต่อกับผู้บริโภค ผมรู้ว่าเรื่องแบบนี้เป็นไปได้ แต่ผมคิดว่า สัญญา B2B ถือเป็นสัญญาระหว่างคู่สัญญาสองฝ่ายที่มีความชำนาญ จึงน่าจะมีการคุ้มครองทางกฎหมายที่เกินไปจากเงื่อนไขสัญญาน้อยมาก
    ความเข้าใจกฎหมายของผมส่วนใหญ่ยึดตามอังกฤษ แต่เมื่อเหตุการณ์ที่ก่อให้เกิดความรับผิดเป็นประเด็นเรื่องความสุจริต/ความสามารถทั่วไปในการปฏิบัติตามสัญญา ไม่ใช่ด้านสุขภาพและความปลอดภัยหรือพื้นที่อื่นที่มีกฎหมายกำกับอย่างเข้มข้น ผมไม่ค่อยรู้จักกฎหมายที่จะทำให้ข้อจำกัดความรับผิดเป็นโมฆะ
    ดังนั้นผมจึงไม่มั่นใจเนื้อหาในบทความที่ว่าเรื่องนี้ไม่ใช่แค่ปัญหา “ระบบกฎหมายฝรั่งเศส” และอาจมีคำตัดสินแบบเดียวกันในเขตอำนาจศาลอื่นด้วย

    • อย่างที่บทความก็กล่าวไว้แล้ว ในเขตอำนาจศาลส่วนใหญ่ ไม่สามารถใช้สัญญาตัด ความรับผิดจากความประมาทเลินเล่ออย่างร้ายแรง ได้ ในเขตอำนาจศาลแบบนั้น สุดท้ายประเด็นนี้ก็จะกลายเป็นหัวข้อถกเถียง
      ถ้าไม่ได้ตั้งใจทำระบบปล่อยอัปเดตแบบเป็นขั้นเป็นตอน ในสายตาผมนั่นดูเหมือนความประมาท แต่ผมไม่ใช่ทนาย การฆ่านกคานารีมีเหตุผลของมัน
    • ก่อนอื่น เรื่องนี้ส่งผลกระทบต่อด้านสุขภาพและความปลอดภัยจริง ๆ โรงพยาบาลและบริการฉุกเฉินถูกลดทอนประสิทธิภาพลงอย่างรุนแรง และจะต้องมี การเสียชีวิตที่ป้องกันได้ ซึ่งติดตามโยงไปถึง CrowdStrike ได้โดยตรง
    • แนวคิดทั่วไปน่าจะเป็นว่า ความประมาทเลินเล่ออย่างร้ายแรงคือ การผิดสัญญา สัญญาทุกฉบับมีสมมติฐานโดยนัยว่าทั้งสองฝ่ายจะพยายามโดยสุจริตเพื่อปฏิบัติตามเงื่อนไขสัญญา
      หากไม่ทำเช่นนั้น ก็อาจเป็นการผิดสัญญา และข้อจำกัดความรับผิดอาจไม่สามารถใช้ได้อีกต่อไป
  • เรื่องนี้ไม่ได้เกิดเฉพาะในฝรั่งเศส
    ประเทศใน EU ส่วนใหญ่ หรืออาจทั้งหมด มีกฎหมายจำกัด การหลีกเลี่ยงความรับผิด ไม่ว่าจะเขียนอะไรไว้ในสัญญาก็ตาม
    ผมไม่รู้เส้นแบ่งที่แน่ชัดของแต่ละประเทศ แต่ค่อนข้างมั่นใจว่าอย่างน้อยโรงพยาบาล บริการแจ้งเหตุฉุกเฉิน ฯลฯ น่าจะฟ้องร้องได้สำหรับส่วนที่มีนัยสำคัญของความเสียหายที่เกิดจากการล่มโดยตรง
    บุคคลที่ได้รับความเสียหายเพราะไม่ได้รับการผ่าตัดทันเวลาก็มีแนวโน้มสูงที่จะฟ้องเรียกค่าเสียหายทั้งหมดที่เกิดกับตนได้เช่นกัน เพียงแต่การคำนวณความเสียหายทำได้ยาก และอาจต้องดำเนินทางอ้อม เช่น ฟ้องโรงพยาบาลก่อน แล้วให้โรงพยาบาลไปเรียกร้องค่าเสียหายก้อนใหญ่กว่าอีกทอดหนึ่ง
    ส่วนที่น่าจะฟ้องยากคือ ความสูญเสียจากต้นทุนค่าเสียโอกาส ค่าแรงคนที่ใช้ในการกู้คืน และเรื่องทำนองนี้
    อีกทั้งในหลายกรณีที่ไม่ได้ร้ายแรงเท่าการสูญเสียชีวิต และก็ไม่ได้อ้อมเท่าความสูญเสียจากต้นทุนค่าเสียโอกาส ปัจจัยสำคัญน่าจะอยู่ที่ผู้พิพากษามองระดับความประมาทอย่างไร โดย “ความประมาท” ในที่นี้ไม่ได้หมายถึงแค่การเปลี่ยนแปลงเฉพาะที่สร้างบั๊ก แต่ยังรวมถึงว่าได้ปฏิบัติหน้าที่ในการใช้ความระมัดระวังด้านการเลือกเครื่องมือ แนวทาง และกระบวนการทางธุรกิจ เพื่อลดความเสี่ยงอย่างสมเหตุสมผลหรือไม่ เช่น วิธีพาร์สการตั้งค่าไม่เหมาะสมหรือไม่ ได้ทำตามแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรมหรือไม่ ซึ่งในความเห็นผมดูเหมือนไม่ใช่ หรือการทำเครื่องหมายไดรเวอร์นั้นว่าเป็นสิ่งจำเป็นต่อการบูตเหมาะสมหรือไม่ เป็นต้น ถ้าไม่ใช่ Windows ก็คงปิดใช้งานโดยอัตโนมัติแล้วรีสตาร์ตไปแล้ว

  • ระบุว่า “CrowdStrike ได้เผยแพร่อัปเดตซอฟต์แวร์เมื่อวันที่ 19 กรกฎาคม 2019” แต่ดูเหมือนว่าปีที่หมายถึงคือ 2024

  • สำหรับส่วนที่ว่า “นี่ไม่ใช่เหตุการณ์ที่เกิดขึ้นอย่างโดดเดี่ยว ไม่กี่สัปดาห์ก่อนก็เกิดเรื่องเดียวกันกับเอเจนต์ CrowdStrike บน Linux จนทำให้ระบบพัง และก่อนหน้านั้นก็อาจมีกรณีอื่น ๆ อีก” มีลิงก์ของเหตุการณ์นี้ไหม?