引发全球Windows蓝屏，CrowdStrike获“史诗级失败”奖！

整理 | 苏宓

出品 | CSDN（ID：CSDNnews）

7 月 19 日，一场突如其来的 Windows 蓝屏事件让全球大部分互联网陷入瘫痪。无论是街边的自助饮料售卖机，还是银行、医院的设备都纷纷陷入蓝屏状态，甚至导致无数航班停飞。事件的幕后黑手——CrowdStrike，成为众矢之的，声誉也因此大幅受损。

然而，这家网络安全公司并未逃避外界的嘲讽，而是在上周末 DEF CON 黑客大会上“坦然”承认错误，接受了“史上最大失败”的网络安全耻辱奖。

CrowdStrike 总裁出席网络安全大会，上台“领奖”

简单介绍一下，DEF CON 黑客大会是全球最大的计算机安全会议之一，每年在美国拉斯维加斯举行。自 1993 年首次举办以来，DEF CON 已成为网络安全和黑客文化的盛会，吸引了来自世界各地的黑客、信息安全专家、政府机构人员、研究人员、程序员以及对信息安全感兴趣的个人。

这个大会上往往都有一个压轴环节——颁发一个年度奖项 Pwnie Awards（音译普尼奖），专门用来表彰网络安全领域中的卓越成就和最严重的失败。这些奖项既有严肃的一面，也带有一定的讽刺性，涵盖了网络安全领域中的各个方面。

第一届普尼奖创办于 2007 年，虽然此奖创立的时间不长，但是每年的黑帽大会上，颁发普尼奖已经成为网络安全界关注的焦点。

回顾过往，微软、美国运输安全管理局（TSA）和推特（Twitter）都曾是 “史诗级失败奖”的“得主”。2020 年，因为「打印机系统的噩梦」，这个史诗级失败奖颁给了微软，表彰其多次发布的打印机代码执行漏洞 Printnightmare (CVE-2021-34527) 。

在 Windows 的打印系统中，攻击者可以自由执行代码——最初，微软将问题标记为本地问题，但后来发现攻击者还可以远程执行代码。于是微软为此发布更新，在前后多达四次的更新中，微软每次更新都只关闭了一个特例（总共有四个），这使得研究人员在每次更新后都能找到新的攻击方式，导致微软不得不继续进行下一次更新。

今年，毫无疑问，CrowdStrike 获得了这个“史诗级失败奖”，其因为意外发布了一个错误的安全更新，导致数百万台 Windows PC 和服务器瘫痪。

尽管 CrowdStrike 本可以轻松回避这一尴尬的奖项，但公司总裁迈克尔·森托纳斯（Michael Sentonas）却亲自出面接受，自信地捧起具有讽刺意味的大奖杯，直面尴尬。

“把奖杯放在最显眼的位置，让每个人都能看到它”

森托纳斯发表获奖感言时表示：“这绝对不是一个值得骄傲的奖项。当我直接说我会来领奖时，团队成员都很惊讶，因为我们错得太离谱了。我们已经说过很多次了，当你把事情做好时，拥有它是非常重要的。当你把事情做错的时候，拥有它也是非常重要的，我们在这件事上就是这样做的。”

“我想要奖杯的原因是：我要回总部了。我要把奖杯带走。它将放在最显眼的位置，因为我希望每个来上班的 CrowdStriker 都能看到它，因为我们的目标是保护人们，而我们却做错了，我想确保每个人都明白这些事情不能发生，这就是这个社区的意义所在。所以，从这个角度来说，我会说谢谢，我会拿着奖杯，我们会把它放在合适的地方，确保每个人都能看到它。所以，谢谢你们。”森托纳斯说道。

语毕，森托纳斯的坦率赢得了现场热烈的掌声。

面临诉讼的 CrowdStrike 

虽然 DEF CON 的与会者或许会被这些话语所安抚，但在幕后，像达美航空这样的 CrowdStrike 客户依然愤怒不已，称此次事件让他们损失了 5 亿美元。

事实上，达美航空最近指责这家陷入困境的安全厂商试图“推卸”IT 故障的责任。在此之前，达美航空已与微软、CrowdStrike 展开了三方对峙，双方互相指责并威胁要诉诸法律。

微软和 CrowdStrike 对达美航空进行了反击。微软及其法律团队声称，在 7 月 19 日至 24 日期间，微软每天都向达美提供 IT 支持，但这些帮助都被忽视了，并指出达美的 IT 环境太落后了，亟需现代化。

CrowdStrike 也在达美航空指控其严重疏忽后发起攻势，坚决拒绝这些指控，并表示将积极为任何针对它的诉讼进行辩护。CrowdStrike 的律师在给达美航空的信中指出，达美的 IT 系统可能未达标，并表示如果达美航空继续诉讼，必须明确解释问题的根源所在。CrowdStrike 还声称，达美航空拒绝了他们提供的支持，而达美则抱怨这些支持来得太少、太晚。

不止达美航空公司，普利茅斯县退休协会也对 CrowdStrike 发起诉讼，指控 CrowdStrike、其首席执行官乔治·库尔茨 (George Kurtz) 和首席财务官伯特·波德贝雷 (Burt Podbere) 欺骗该协会和其他股东，对他们的 Falcon 端点防御软件做出虚假和误导性陈述。

该退休协会在德克萨斯州联邦法院提起的诉讼中指出，CrowdStrike 及其高管“反复宣扬 Falcon 平台的有效性，同时向投资者保证 CrowdStrike 的技术‘经过验证、测试和认证’” 。

但事实上，该诉讼称，这家安全公司对 Falcon 的更新控制和程序并不完善。其中包括在一次性向数千万客户推送反威胁更新之前没有对其进行适当的测试。

“软件测试不充分造成了重大风险，Falcon 的更新可能会导致该公司大量客户出现严重中断，”这家位于马萨诸塞州的协会声称，“此类中断可能会给 CrowdStrike 造成重大声誉损害和法律风险，事实上最终会造成此类损害。”

究竟谁要为这次事故负责？

那么，究竟谁要来为这次的损失担责，来自 HN 上的用户 chongli 认为：

我很欣赏我们在这场灾难中发现的幽默，但责任问题呢？我在 HN 上看到过几篇关于这次事件造成数十亿美元损失的报道，但到目前为止，诉讼案件并不多。

情况是怎样的？许可证是否如此严格，以至于客户没有追索权？我可以理解消费者的情况，因为他们的家用电脑几个小时/几天无法使用，可能会遭受轻微的不便，但对于行业来说，接受这种程度的风险暴露似乎是完全不可接受的。

这是土木工程被认为是一门严肃学科的重要原因之一。如果一座桥梁倒塌，不仅要承担经济责任，还可能承担刑事责任。土木工程专业的学生已经牢记，如果他们作为工程师行为不道德或冒不可接受的风险，他们就会面临牢狱之灾。软件工程师有没有办法达到这种责任水平和良好实践规范？

另一位开发者 Rick76 表示：

我认为他们正在承认自己的错误，而不是回避问题。不过，我仍然觉得如果他们做了正确的测试，就不该被责怪一切。IT 团队通常会避免自动更新，而是手动审核更新，特别是在像医疗、航空和政府这样的重要行业。例如，在我工作的地方，我们不允许自动更新 VSCode。

他们提到进行了测试，但不幸的是出现了误报。虽然他们确实可以更仔细一些，但受影响的公司没有做自己的检查，也有责任。

不过也有网友认为，在这样的公开场合承认错误是第一步，直面失败的勇气令人钦佩，但真正的任务是让 CrowdStrike 重写他们的软件。

对此，你怎么看？

来源：

https://news.ycombinator.com/item?id=41217037

https://www.pcmag.com/news/crowdstrike-exec-shows-up-to-accept-most-epic-fail-award-in-person

能学习到新知识、产生共鸣，解答久困于心的困惑，这是《新程序员》的核心价值。欢迎扫描下方二维码订阅纸书和电子书。