专家：CrowdStrike更新网安软件没经充分测试惹出大祸 | 联合早报

（旧金山／华盛顿综合电）安全专家称，CrowdStrike这次引发的全球大范围宕机，是更新文件代码存在缺陷所导致的，相信是CrowdStrike在对网络安全软件进行例常更新时，没有经过充分的测试所致。

专门研究操作系统威胁的安全研究员沃德尔表示，更新的问题出在包含配置信息或签名的文件中，这些签名是要防范特定类型的恶意代码或恶意软件的代码。

沃德尔说，安全产品更新签名很常见，比如每天更新一次，“这是因为他们要不断监控新的恶意软件，希望确保他们的客户免受最新威胁。就此看来，更新频率可能是CrowdStrike没有进行过多测试的原因。”

目前仍不清楚有缺陷的代码是如何进入更新的软件中，以及为什么在发布给客户之前没有被检测到。

美国网络安全公司Huntress Labs的首席安全研究员哈蒙德说：“理想情况下，在推出给客户之前，应该首先进行小范围的测试。这是避免出现大混乱的更安全方法。”

延伸阅读

[大宕机主要影响企业设备 CrowdStrike总裁致歉

](https://www.bdggg.com/2024/zaobao/news_2024_07_20_695649) [杨莉明：全球大宕机提醒每个机构须有良好业务持续计划和风险管理程序

](https://www.bdggg.com/2024/zaobao/news_2024_07_20_695723) 其他安全公司过去也曾发生过类似事件。2010年美国杀毒软件制造商迈克菲（McAfee）推出了漏洞百出的防病毒更新软件，进而错误地将一个Windows核心文件识别为受感染文件，导致全球客户的数十万台电脑瘫痪。

由于全球银行、航空公司、医院和政府办公室都受到干扰，专家认为要让这些系统重新上线需要时间，修复成本可能高达数十亿美元。

美墨边界通关也因为断网而延误。在墨西哥边界的华雷斯市（Ciudad Juarez）这边，汽车排长龙等着通关进入美国。（路透社）

美国有线电视新闻网（CNN）分析指出，出问题的CrowdStrike软件更新是在电脑的内核里，比浏览器或视频游戏等一般应用程序运行的级别要深得多。内核级别的运行意味CrowdStrike的软件可以做更多事来检测网络攻击，对电脑及其组件具有更大的控制力。但这也意味当更新错误发生导致电脑宕机时，用户无法及时采取任何措施来纠正。

对于拥有数百或数千台笔记本电脑、台式机和服务器运行CrowdStrike安全软件的企业来说，它们必须依赖人工一遍又一遍地清除有缺陷的代码。

安全研究员、前微软网安威胁分析师博蒙特在社媒平台X上发文道：“你没有办法通过自动化来处理这些问题 。因此，对于CrowdStrike客户来说，那将是极其痛苦的。”

根据CrowdStrike星期五上载的博客贴文，苹果Mac和开源码操作系统Linux的操作系统不受影响，而且它们似乎都没有允许CrowdStrike的软件在电脑的内核级别里运行。

另外，影响最大的全球航空服务逐渐恢复正常运作，但估计星期五（7月19日）延误的航班有3万多趟，5000多趟航班取消，要清除这些累积的航班仍需时间，预计周末仍会出现航班干扰情况。

全球最大航班追踪平台Flight Aware的数据显示，同天全美就累计8000多趟航班延误和超过2500趟航班取消。

美国联邦航空管理局（FAA）说，断网问题可能会继续影响整个周末的航班。航空业分析公司睿思誉（Cirium）则警告情况可能会进一步恶化，甚至可能与2022年12月的灾难相当。当年由于冬季风暴导致航空旅游瘫痪，单日就有多达5300趟航班被取消。

彭博社分析说，虽然航空系统通常可迅速重新启动，但恢复正常服务可能需要几天，这是因为飞机和机组人员将无法就位。而且，目前正值夏季旅游高峰期，许多飞机已经满员。