專家：CrowdStrike更新網安軟件沒經充分測試惹出大禍 | 聯合早報

（舊金山／華盛頓綜合電）安全專家稱，CrowdStrike這次引發的全球大範圍宕機，是更新文件代碼存在缺陷所導致的，相信是CrowdStrike在對網絡安全軟件進行例常更新時，沒有經過充分的測試所致。

專門研究操作系統威脅的安全研究員沃德爾表示，更新的問題出在包含配置信息或簽名的文件中，這些簽名是要防範特定類型的惡意代碼或惡意軟件的代碼。

沃德爾説，安全產品更新簽名很常見，比如每天更新一次，“這是因為他們要不斷監控新的惡意軟件，希望確保他們的客户免受最新威脅。就此看來，更新頻率可能是CrowdStrike沒有進行過多測試的原因。”

目前仍不清楚有缺陷的代碼是如何進入更新的軟件中，以及為什麼在發佈給客户之前沒有被檢測到。

美國網絡安全公司Huntress Labs的首席安全研究員哈蒙德説：“理想情況下，在推出給客户之前，應該首先進行小範圍的測試。這是避免出現大混亂的更安全方法。”

延伸閲讀

[大宕機主要影響企業設備 CrowdStrike總裁致歉

](https://www.bdggg.com/2024/zaobao/news_2024_07_20_695649) [楊莉明：全球大宕機提醒每個機構須有良好業務持續計劃和風險管理程序

](https://www.bdggg.com/2024/zaobao/news_2024_07_20_695723) 其他安全公司過去也曾發生過類似事件。2010年美國殺毒軟件製造商邁克菲（McAfee）推出了漏洞百出的防病毒更新軟件，進而錯誤地將一個Windows核心文件識別為受感染文件，導致全球客户的數十萬台電腦癱瘓。

由於全球銀行、航空公司、醫院和政府辦公室都受到干擾，專家認為要讓這些系統重新上線需要時間，修復成本可能高達數十億美元。

美墨邊界通關也因為斷網而延誤。在墨西哥邊界的華雷斯市（Ciudad Juarez）這邊，汽車排長龍等着通關進入美國。（路透社）

美國有線電視新聞網（CNN）分析指出，出問題的CrowdStrike軟件更新是在電腦的內核裏，比瀏覽器或視頻遊戲等一般應用程序運行的級別要深得多。內核級別的運行意味CrowdStrike的軟件可以做更多事來檢測網絡攻擊，對電腦及其組件具有更大的控制力。但這也意味當更新錯誤發生導致電腦宕機時，用户無法及時採取任何措施來糾正。

對於擁有數百或數千枱筆記本電腦、台式機和服務器運行CrowdStrike安全軟件的企業來説，它們必須依賴人工一遍又一遍地清除有缺陷的代碼。

安全研究員、前微軟網安威脅分析師博蒙特在社媒平台X上發文道：“你沒有辦法通過自動化來處理這些問題 。因此，對於CrowdStrike客户來説，那將是極其痛苦的。”

根據CrowdStrike星期五上載的博客貼文，蘋果Mac和開源碼操作系統Linux的操作系統不受影響，而且它們似乎都沒有允許CrowdStrike的軟件在電腦的內核級別裏運行。

另外，影響最大的全球航空服務逐漸恢復正常運作，但估計星期五（7月19日）延誤的航班有3萬多趟，5000多趟航班取消，要清除這些累積的航班仍需時間，預計週末仍會出現航班干擾情況。

全球最大航班追蹤平台Flight Aware的數據顯示，同天全美就累計8000多趟航班延誤和超過2500趟航班取消。

美國聯邦航空管理局（FAA）説，斷網問題可能會繼續影響整個週末的航班。航空業分析公司睿思譽（Cirium）則警告情況可能會進一步惡化，甚至可能與2022年12月的災難相當。當年由於冬季風暴導致航空旅遊癱瘓，單日就有多達5300趟航班被取消。

彭博社分析説，雖然航空系統通常可迅速重新啓動，但恢復正常服務可能需要幾天，這是因為飛機和機組人員將無法就位。而且，目前正值夏季旅遊高峯期，許多飛機已經滿員。