Küresel Bilişim Sıkıntısının Perde Gerisi: Crowdstrike ve Windows Sistemler

0

BEĞENDİM

ABONE OL

News

0

Takvim yaprakları 19 Temmuz 2024’ü gösterirken tüm dünyayı çalkalayan büyük ölçekli bilişim sıkıntıları yaşanıyor. Bu sorun o kadar büyük ki, dünya üzerindeki birçok ülkedeki dev şirketleri, havalimanlarını, bankalar, ödeme kuruluşları, gıda zincirleri, medya kuruluşları ve hatta borsalar dahil olmak üzere sayısız sektörü olumsuz etkileniyor. Baştan belirtelim, Mac ve Linux işletim sistemine sahip cihazlarda sorun yok. Sorunun kaynağı Microsoft’a siber güvenlik yazılımları sağlayan CrowdStrike ile alakalı ve Windows işletim sistemiyle çalışan aygıtlarda çökme problemleri baş gösteriyor.

Dünyanın dört bir yanındaki Windows makineler önyükleme yaparken mavi ekran yanlışlarıyla karşılaşmakta. Sorun, Falcon Sensor aracıyla ilgili bir problemle ilgili olduğunu doğrulayan güvenlik şirketi CrowdStrike’tan kaynaklanıyor.

Peki sorunun kaynağı ne? CrowdStrike tarafından yayınlanan yanlışlı bir siber güvenlik güncellemesi nedeniyle sayısız işletmenin işleri aksadı. Aksaklıklar dolayısıyla milyonlarca insanı da etkiliyor. Uçuşu olan bazı kişiler rötar nedeniyle beklemek zorunda kaldı, tren şirketlerinin ulaşımı aksadı, tıbbi tesisler hasta kaydı yapamadı, yayın şirketleri yayın yapamadı, acil çağrı merkezleri olumsuz etkilendi ve banka sistemleri hizmet veremedi. Ve daha sayısız şey..

Güvenlik yönetim uygulaması CrowdStrike’ı kullanan işletmeler, yapılan son güncelleme sonrasında sorunlarla müsabakaya başladı. Bu arada tüm sistemlerin etkilenmediği, güncellemeleri otomatik olarak alan sistemlerin etkilendiği belirtiliyor. Yayınlanan son sıkıntılı güncellemeyi yapan sistemler, mavi ekran yanlışlarıyla boğuşmaya başladı.

Özetle, yakın zamanda yapılan bir CrowdStrike kod güncellemesinin dünya genelinde Windows makinelerini bozduğu görülüyor. Sorun 18 Temmuz gecesi geç saatlerde meydana geldi ve her ölçekten şirketi etkiledi. Yıllardan beri bilgisayar kullanıcılarının aşina olduğu mavi ekran yanılgısı, şu son 2 günde sayısız kez kullanıcıların canını sıktı. Bunun nedeni, Crowdstrike Başkanı ve CEO’su George Kurtz’un da doğruladığı üzere, yakın zamanda yapılan bir CrowdStrike güncellemesiyle ilişkili.

Yayınlanan yanlışlı güncelleme, küresel ölçekli olarak bilgisayarlarda mavi ekran kusurlarına sebep oluyor ve sistemler önyükleme döngüsüne girerek “csagent.sys (PAGE_FAULT_IN_NONEPAGED_AREA)” hata mesajı vermeye başlıyor.

Mavi ekran sorunu yanlış yapılandırılmış bir yapılandırma meselesinden kaynaklanıyor. Maalesef ki kullanıcılar, sorunu potansiyel olarak çözmek için harekete geçmek zorunda. Çözüm için bir rehberlik sağlanmadı lakin internet üzerinde işe yaradığı söylenen geçici tahlilleri birazdan sizinle paylaşacağız.

BBC News web sitesine göre Microsoft, kendi hizmetleriyle ilgili sorunlar üzerindeki kuşkuları ortadan kaldıran bir açıklama yayınladı ve odak noktası CrowdStrike’ın hizmetlerine geçti.

Yazılım devi, yaptığı bir açıklamayla birlikte üçüncü taraf yazılım platformundan gelen bir güncelleme nedeniyle Windows cihazlarını etkileyen bir sorunun farkında olduğunu doğruladı. Şirket “Bir tahlilin yakında geleceğini tahmin ediyoruz” dedi.

Sonrasında Crowdstrike Başkanı ve CEO’su George Kurtz bir açıklama yaptı:

“CrowdStrike, Windows ana bilgisayarları için bir içerik güncellemesinde bulunan kusurdan etkilenen müşterilerle aktif olarak çalışmaktadır. Mac ve Linux ana bilgisayarları etkilenmemiştir. Bu bir güvenlik olayı ya da siber saldırı değildir. Sorun tespit edilmiş, izole edilmiş ve bir düzeltme yapılmıştır. Müşterilerimizi en son güncellemeler için destek portalına yönlendiriyoruz ve web sitemizde eksiksiz ve daima güncellemeler sunmaya devam edeceğiz. Ayrıca kuruluşların CrowdStrike temsilcileriyle resmi kanallar aracılığıyla iletişim kurduklarından emin olmalarını öneriyoruz. Takımımız CrowdStrike müşterilerinin güvenliğini ve istikrarını sağlamak için tamamen seferber olmuş durumdadır.”

Kısaca söyleyebiliriz ki kusurlar Microsoft değil, CrowdStrike kaynaklı. Sorunun kaynağı CrowdStrike’ın Falcon Sensor ürünü için bir içerik güncellemesi. Peki bu hizmet ne işe yarıyor? CrowdStrike web sitesine göre:

“Akıllı ve hafif CrowdStrike Falcon sensörü, başkalarından farklı olarak sistemlerinize yapılan saldırıları engellerken, tehditleri hızlı bir şekilde tespit etmek için etkinliği olduğu gibi yakalıyor ve kaydediyor.”

Biraz önce de söylediğimiz gibi, macOS ve Linux kullanıcıları hiçbir etki görmedi. Ancak Windows kullanan havaalanları, bankalar, borsalar, TV ağları ve tıbbi hizmetler dünya genelinde aksaklıklar yaşadı.

Ülkemizde Türk Hava Yolları, Pegasus, Trendyol, DenizBank, ve TÜVTÜRK gibi şirketler doğrudan etkilendi. Hizmet veren birçok ödeme kuruluşunda sorunlar yaşanıyor. Örneğin bazı ön ödeme hizmetleri hizmet veremiyor.  Türk Hava Yolları, yaşanan küresel sıkıntı nedeniyle 84 seferinin iptal edildiğini duyurdu. Türkiye’de kesintiden etkilenen kurumlar arasında yer alan DenizBank, müşterilerine yönelik bir açıklama yaptı:

“Kullandığımız küresel yazılım sisteminin dünya genelinde yaşadığı teknik aksaklık nedeniyle ülkemizde de birçok kurumu etkileyen kesintiler yaşanmaktadır. Bankamız, söz konusu aksaklığın giderilmesi ve tüm kanallarımızın en kısa sürede hizmete açılması için çalışmaktadır.”

THY, daha sonrasında ücretsiz rezervasyon değişikliği yapılabileceğini açıkladı:

“Dünyada farklı kesimlerden birçok şirketi etkileyen yazılım kaynaklı sorunun tahlili doğrultusunda operasyon yoğunluğumuzu düşürmek için çalışmalar yapmaktayız. Uçuşlarda aksama yaşanmaması adına bazı seferler iptal edilecek olup, uçuşlarımız en kısa sürede kademeli olarak normal seyrine dönecektir. Yaşanan aksaklıktan dolayı siz değerli konuklarımızdan özür dileriz.“

Bilgi Teknolojileri Kurumu (BTK) ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), ülkemizi de etkileyen küresel sorun hakkında çalışma başlattı. USOM’un açıklaması şu şekilde:

“Söz konusu kesintinin CrowdStrike ürününü kullanan kurum ve kuruluşlarda meydana geldiği tespit edilmekle birlikte çözüm önerileri SİP platformu üzerinden tüm SOME’lerimiz (Siber Olaylara Müdahale Merkezi) ile paylaşılmıştır. Ülkemizin siber sınırlarını korumak için yerli ve milli ürünlerimizle 7 gün 24 saat aralıksız çalışmaya devam ediyoruz.”

Ülkemizdeki şirketlerin yanı sıra, İngiltere’nin önde gelen televizyon haber kanallarından Sky News bugün yayın yapamadı. Yine İngiltere’nin en büyük tren şirketi, yolcuları önemli kesintiler beklemeleri konusunda uyardı. Londra Borsası da teknik problemlerle karşı karşıya.

ABD’deki bazı havalimanlarında çok sayıda aksaklık yaşanıyor. ABD Federal Havacılık Yönetimi, Delta, United ve American Airlines’tan gelen tüm uçuşların durdurulduğunu duyurdu. Acil yardım sistemleri çöktü. Avusturalya’nın başkenti Sdney’in havalı̇manı sözcüsü, “Uçuşlar yapılıyor ancak akşam boyunca bazı gecı̇kmeler olabı̇lı̇r” dedi. Danimarka’da acil servis ve alarm sistemleri düzgün çalışmıyor.

İspanya’da tüm havalimanları sorunlarla karşı karşıya kaldı. Berlin Havaalanı uçuşlarını askıya almayı tercih etti. Reuters, Paris’te yapılacak Olimpiyat Oyunları için IT sistemlerinin etkilendiğini ve organizatörlerin acil durum sürecine geçtiğini bildiriyor. Bir telekomünikasyon şirketi olan Avustralyalı Telstra Group da kesintilerle karşı karşıya. Hindistan’ın Delhi havalimanında yolcuların işlemleri manuel olarak yapılıyor ve uçuş saatleri beyaz tahta aracılığıyla bildiriliyor.

Hayır, bu bir siber saldırı değil. Şu anda bunun kötü niyetle düzenlenmiş bir saldırı olduğuna dair herhangi bir kanıt bulunmuyor. Hiçbir hack kümesinden açıklama gelmedi. Ayrıca saatler geçmesine rağmen herhangi bir kişisel veri kaybı ya da güvenlik sorunu olmadığına inanılıyor.

Sorun herhangi bir siber saldırı ile temaslı değil gibi görünüyor, sadece yanılgılı bir güncellemeden kaynaklı. Maalesef ki tek bir güncelleme bile milyonlarca ve hatta tahminen milyarlarca kişinin yaşamını olumsuz etkileyebiliyor.

CrowdStrike bir Amerikan siber güvenlik şirketi. Merkezi Austin, Teksas’ta bulunan CrowdStrike, “bulut iş yükü müdafaası ve uç nokta güvenliği” sağlamakta. Yazılımın amacı saldırıları ve kesintileri önlemek ve bu yazılımın şu anda yaşanan küresel bilişim sorunlarına neden olması epeyce ironik. Sorunun nedeni ise görünüşe Falcon Sensor isimli, kötü niyetli davranışlar için İnternet’e giden ve gelen ilişkileri analiz eden bir araç.

CrowdStrike’ın Tehdit Avlama Yöneticisi Brody Nisbet sorunun CrowdStrike’tan kaynaklandığını doğruladı. Sorunlar  “hatalı bir kanal dosyasından” kaynaklanıyor.

Maalesef şu anda geçici tahliller üzerinden gideceğiz. Kusurlu bir kanal evrakı var ve tam olarak bir güncelleme yapılmış değil. Mavi ekran yanlışlarına ilişkin hata söylediğimiz gibi csagent.sys (veya C-00000291*.sys) evrakı ile ilgili gibi görünüyor. Bu belgeyi silerseniz veya sürücü klasörünü yeniden adlandırırsanız sıkıntısız bir şekilde önyükleme yapabilirsiniz. Güvenli Mod’u aktif etmek için aşağıdaki rehberimizden faydalanabilirsiniz.

• Windows 10 Güvenli Mod Nasıl Açılır?

• Makale yardımıyla güvenli modu açın.
• C:WindowsSystem32driversCrowdStrike dizinine gidin
• Arama yapın ve “C-00000291*.sys” ismiyle eşleşen belgeyi bulun, silin.
• Eğer sonuca varamazsanız aşağıdaki yolu izleyin:
• Güvenli Mod’da Komut İstemi’ni açın. Bunun için arama kısmına “Komut İstemi” yazdıktan sonra sağ tıklayarak yönetici olarak çalıştırabilirsiniz.
• Aşağıdaki komutu tırnak işareti olmadan kullanarak Komut İstemi’nde sürücüler dizinine gidin:
  • “cd windowssystem32drivers”
• CrowdStrike klasörünü yeniden isimlendirmek için şu komutu kullanın:
  • “ren CrowdStrike CrowdStrike_old”

Yukarıdaki işlem C:WindowsSystem32driversCrowdStrike içindeki crowdstrike klasörünü CrowdStrike_old olarak yeniden isimlendirecek. Böylelikle sorun çözülecek ve bilgisayarınız meselesiz şekilde açılacak.

• Yukarıdaki yolu izleyerek belgeyi silmeyi deneyebilirsiniz. Aynı şekilde bilgisayarınızı Güvenli Mod ile başlatmanız gerekiyor.
• Güvenli modda Komut İstemi’ni (admin) veya Windows PowerShell’i (Admin) açın.
• Komut İstemi’nden CrowdStrike dizinine gitmek için aşağıdaki komutu tırnak işareti olmadan yazın:
  • “cd C:WindowsSystem32driversCrowdStrike“
• Etkilenen belgeyi silmek için, C-00000291*.sys ismiyle eşleşen belgeyi bulmanız gerek.
• İlk olarak aşağıdaki komutu çalıştırın:
  • “C-00000291*.sys“
• Örneğin, belgenin adı C-00000291abc.sys gibi bir şey olabilir. Belgeyi belirledikten sonra “del C-00000291.sys” komutunu kullanarak silin.

C-00000291.sys gibi bir dosya isminden bahsettik lakin sizin sisteminizde isimlendirme biraz farklı olabilir. Dosyayı doğru bir şekilde tanımlamak için, adımları takip ettiğinizden ve dir komutunu kullandığınızdan emin olun.

• Sistemi Güvenli Mod’da açtıktan sonra Windows Kayıt Defteri Düzenleyicisi’ni açın (Kayıt Defteri Düzenleyicisi’ni bulmak için Win+R tuşlarını kullanın).
• Kayıt Defteri Düzenleyicisi’nde aşağıdaki yola gidin:
  • “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSAgent“
• CSAgent anahtarında, sağ bölmede Start (Başlat) girişini bulun.
• Değerini düzenlemek için Başlat’a çift tıklayın.
• Değer bilgilerini 1 yerine (hizmetin otomatik olarak başlatılacağı anlamına geliyor) 4 olarak (hizmeti devre dışı bırakıyor) değiştirin.
• Değişiklikleri kaydetmek için Tamam’a tıklayın.

Öncelikle Başlat menüsünden Aç/Kapa butonuna tıklayın ve Shift tuşuna basılı kalarak Yeniden Başlat seçeneğine tıklayın.

Bilgisayar Açılmıyorsa Güvenli Moda Nasıl girilir?

Eğer bilgisayarınız hiç açılmadığı halde güvenli moda girmeniz gerekiyorsa:

• Sistemi birkaç sefer güç tuşuna basılı tutarak kapatın. Windows, bu durumda bir sonraki açılışta onarma ekranına geçecektir.
• Sistem yeniden başladığında normalde karşınıza çıkmayan bir menü belirecektir. Bu menüde yer alan Sorun gider seçeneğine tıklayın.

Açılan menüde Gelişmiş seçeneklere tıklayın.

Başlangıç Ayarları seçeneğine tıklayın.

Karşınıza çıkan ekrandaki Yeniden Başlat seçeneğine tıklayarak güvenli moda gireceğimiz menüyü başlatın.

Sistem yeniden başladıktan sonra baştan beri aradığımız menü karşımıza çıkacaktır.

Bu ekranda 4 veya F4 tuşlarına basarak güvenli moda girebilirsiniz. Güvenli mod ile işiniz bittiğinde sistemi yeniden başlatarak standart Windows kullanmaya geri dönebilirsiniz.

Diğer Teknoloji Haberleri İçin Tıklayın / Bursa Haber – Bursa Gündem – Bursa Gündem Haber – Bursa Haberleri – Bursa Son Dakika 

Bizi İnstagram’da Takip Edebilirsiniz / @BursaGündemHaber

Bizi X’de Takip Edebilirsiniz / @BursaGündemHbr

Bizi Facebook’da Takip Edebilirsiniz / @BursaGündemHaber

Bizi Youtube’da Takip Edebilirsiniz / @BursaGündemHaber

Bizi Linkedin’de Takip Edebilirsiniz / @BursaGündemHaber