Crowdstrike ทำคอมพ์พังและทำให้ไฟล์ทบินหยุดทั้งโลก

วันที่ 18 กรกฎาคม 2024 นี้น่าจะเป็นวันประวัติศาสตร์ของโลกใบนี้ที่ต้องจดจำเอาไว้เลยเพราะว่าเป็นวันที่ระบบต่างๆ บนโลกล่มเยอะที่สุดในโลกตั้งแต่เคยมี internet มาเลยละครับ แล้วที่พีคกว่านั้นคือการล่มของระบบครั้งนี้ไม่ได้มาจากฝีมือ hacker แต่มาจากบริษัท Cyber security อันดับต้นๆ ของโลกที่มีนามว่า Crowdstrike เดี๋ยวผมจะเล่าเหตุทุกอย่างให้ละเอียดว่าปัญหาคืออะไร, ใครได้รับผลกระทบบ้าง?, และการแก้ไขไปถึงไหนแล้ว แต่บอกเลยว่ายังไม่มี solution ที่แก้ไขได้ 100% ครับ

BSoD’ing (Blue Screen of Death)

เหตุการณ์ที่คนเกือบทั้งโลกเจออยู่ตอนนี้คือ จอฟ้าหรือต่างประเทศเรียกว่า BSoD’ing (Blue Screen of Death)

เอาจริงๆ ผมจะเล่าให้ฟังถึงความ Chip หายของเคสนี้แบบลึกๆคือ ปกติแล้ว Window OS นั้นจะทำการ update ผ่าน Window Update ซึ่ง User หรือบุคคลทั่วไปนั้นจะเป็นคนกด ok เพื่ออนุญาติให้ Window ทำการ update แบบภาพด้านล่างนี้

แต่ Crowdstrike นั้นได้รับสิทธิพิเศษจาก Microsoft ครับ คือที่ผ่านมานั้นบริษัท Crowdstrike สามารถ update patch โดยไม่ให้ user รู้ตัวได้เลยครับเรียกได้ว่า มีกุญแจเข้ามาบ้านเรา(window os) เมื่อไหร่ก็ได้ พอ update เสร็จ user ยังไม่รู้เลยว่า update เสร็จแล้ว เพราะความเชื่อใจจาก Microsoft ที่มีให้ Crowdstrike นี้แหละครับ ทำให้เกิดความโกลาหลทั้งโลกแบบ Chip หายกันไปเลยครับ

สาเหตุหลักที่ Crowdstrike ต้องทำการ bypass การ update แบบที่ให้มนุษย์เป็นคนอนุมัตินั้น เค้าให้เหตุผลว่า virus สมัยนี้มันร้ายและพัฒนาเร็วมาก ถ้าจะต้องให้ User มากด accept ทุกครั้งดูเหมือนจะไม่ทันกาลเอาครับ โดนไวรัสกินทั้งเครื่องพอดี เค้าเลยทำตัวเป็นโจรที่ดี เอ้ยตำรวจที่ดีโดยเอากุญแจบ้านของบ้านทุกหลัง(คอมพ์ทุกเครื่อง)มาเก็บเอาไว้กับตัวเองครับ

ถ้าจะให้เจาะลึกจริงๆคือ Crowdstrike นั้นมี product ตัวนึงชื่อว่า Falcon โดยจะฝังตัวเป็นยามเฝ้าบ้านให้เราในคอมพ์ทุกเครื่องครับ หน้าที่ของ Falcon คือกำจัด Virus, ไล่ Malware, หรือตรวจจับ Trojan ในเครื่อง คอมพ์ทุกเครื่องบนโลกไม่ว่าจะเป็น Mac OS, Linux OS, หรือ Window OS ได้ติดตั้ง Crowdstrike ลงไปทั้งสิ้น แต่สิ่งที่ Window แตกต่างจาก Linux หรือ Mac คือ Window ให้สิทธิการเข้าถึงอุปกรณ์มากกว่าค่ายอื่นไปจนถึงระดับ driver ของ hardware ในเครื่องเลยครับ

ที่ผ่านมาเราไม่เคยเจอปัญหานี้เพราะ Crowdstrike ก็แก้ไขปัญหามาดีโดยตลอดจนมาเจอต้นเหตุของความหายนะนี้มาจากไฟล์ที่ชื่อ “C-00000291*.sys” ครับ ไฟล์ตัวนี้มันถูกสร้างขึ้นมาโดยมีแต่ 0 อยู่ในไฟล์นั้นครับ

You're correct.

Full of zeros at least. pic.twitter.com/PJcCsUb9Vc

— christian_taillon (@christian_tail) July 19, 2024

ในทางภาษาไอทีนั้น เค้าเรียกว่า NULL Bytes ซึ่งถ้าปล่อยออกไปให้ system ไหนรันแล้วก็พังทั้งระบบครับ เพราะมันจะทำให้เกิด Memory Corruption หรือการที่ RAM (Random Access Memory)ไม่สามารถเข้าถึง memory address(ที่อยู่ของ memory)ที่ถูกต้องได้ ถ้าพูดภาษาบ้านๆ คือ อารมณ์เหมือนเติมน้ำเปล่าลงไปในเครื่องยนต์ครับ

ตัวไฟล์ตัวนี้มันฝังลึกถึงขั้น Driver hardware ภายใน computer ที่ลง Window เอาไว้ครับ ทำให้พวกเราไม่สามารถแม้กระทั่ง boot window ขึ้นมาได้เลย อันนี้คือสิ่งที่โค-ตะ-ระ มหัศจรรย์ที่สุดในโลกตั้งแต่ผมเกิดมาเลยครับ เพราะว่า ส่วนใหญ่การ update ของพวกนี้จะต้องมีทดสอบบน staging server (เซอร์เวอร์สำหรับทดสอบ product) ก่อนส่งลง production server หรือ server การใช้งานจริง แปลกใจมากๆ ที่ bug ตัวนี้หลุดทะลุการทดสอบจนมากระจายลงคอมพ์ทั่วโลกแบบนี้ครับ

วิธีการแก้ไขนั้นเดี๋ยวผมจะโพสเอาไว้ด้านล่างแต่บอกเลยว่า ฝรั่งเค้ายังแก้ไขกันไม่ได้เลย(เดี๋ยวเล่าให้ฟังว่าทำไมมันแก้ไขยากขนาดนั้น)

ผลกระทบนี้ไปโดนใครบ้าง?

ความเสียหายจากเหตุการณ์นี้ยังไม่สามารถประเมินค่าได้นะครับ โดยธุรกิจที่โดนผลกระทบโดยตรงตอนนี้คือ

1. Airlines(สายการบิน) : ไฟล์ทเครื่องบินต่างๆ โดน cancel (ยกเลิก) หรือ delay (เลื่อน)เพราะว่าระบบต่างๆ ของสายการบินนั้นรันบนระบบปฏิบัติการ window นะครับ

ยกตัวอย่างที่หนักสุดๆคือสายการบินอินเดีย(goindigo), สายการบินญี่ปุ่น(jetstar), และสายการบินอเมริกา(spirit) นั้นประสบปัญหาการ print boarding pass หรือตั๋วขึ้นเครื่องนะครับ ทำให้พวกเค้าต้องใช้วิธีการเขียนแบบนี้ลงไปให้นะครับ

In the era of too much High tech technology n AI, this is still unshakeable. A boarding pass, handwriting by aviation staff just because of @Microsoft outage all across the globe.#Microsoftoutage #Aviation#Boardingpass pic.twitter.com/Sj4DqEaoQk

— Allen Victor🇮🇳 (@TheAllenVictor) July 19, 2024

Handwritten boarding pass and that is in Japan. I should keep this as memento 😆😆. Last time I think I received once from Deccan Air in Chennai maybe 20yrs back. This time it all thanks to Microsoft 😀. pic.twitter.com/dlue98KmEh

— Deepayan Bhowmik (@ditunilu) July 19, 2024

ยังมีอีกคนใน X.com เอาข้อมูล flightradar ของเครื่องบินต่างๆ ที่บิน 12 ชั่วโมงหลังจากที่ Crowdstrike outage จะเห็นได้ว่าเครื่องบินเกือบทุกลำในอเมริกาแทบหยุดบินเพราะระบบล่มทำให้สายการบินต่างๆ เช่น American Airline, Delta, และ United ไม่สามารถขึ้นบินได้(เพราะไม่สามารถเชคชื่อผู้โดยสารได้)

12-hour timelapse of American Airlines, Delta, and United plane traffic after what was likely the biggest IT outage in history forced a nationwide ground stop of the three airlines. pic.twitter.com/wwcQeiEtVe

— Colin McCarthy (@US_Stormwatch) July 19, 2024

Delta Airline (หนึ่งในสายการบินของอเมริกา) ประกาศยกเลิกการโหลดกระเป๋าเพราะระบบล่มทั้งหมดครับ

🚨GLOBAL IT OUTAGE

– Caused by cybersecurity firm CrowdStrike
– Faulty update crashes Windows
– Affecting companies and organizations
– PCs show 'Blue Screen of Death'
– Banks, airlines, media also impacted
– Many PCs require individual fixes pic.twitter.com/vfyXTQxQFm

— Anonymous TV 🇺🇦 (@YourAnonTV) July 19, 2024

2. Banks(ธนาคาร) : จริงๆ ปัญหาครั้งนี้ก็ไม่ได้ทำให้เงินในบัญชีของพวกเราหายไปนะครับ แต่คนทั่วไปไม่สามารถถอนเงินจาก ATM ได้นะครับ บาง supermarket ไม่สามารถรับบัตร credit card ได้ คราวนี้จะจ่ายเงินสดก็ไม่มีเงินเพราะสังคมอเมริกานั้นเป็นกึ่ง cashless ไปแล้ว (ปล. ทุกวันนี้ผมออกจากบ้านพร้อมกับบัตร credit card แทนเงินสดเหมือนกันครับ)

ยกตัวอย่าง Waitrose & Partners ในประเทศอังกฤษบอกลูกค้าให้เอาเงินสดเข้าร้านด้วยเพราะระบบรวน ไม่สามารถชำระเงินผ่าน credit card ได้นะครับ

Petersfield @waitrose is among the stores unable to process card payments this morning. It's linked to the global IT outage. People have been queuing at nearby Santander for cash. pic.twitter.com/kg7v9rZwp4

— Petersfield's Shine Radio (@shineradio) July 19, 2024

3. Hospitals: โรงพยาบาลก็ได้รับผลกระทบจากเหตุการณ์ครั้งนี้โดยตรงเช่นกันคือ พยาบาลหรือแพทย์ไม่สามารถใช้งานคอมพ์เพื่อเข้าถึงประวัติคนไข้เพื่อสั่งจ่ายยาหรือรักษาได้ครับ

Microsoft Outage: Doctor Explains How Hospital in California Is Affected by the Global CrowdStrike Outage Affecting Microsoft Computers,

"We don't have access to patient charts" pic.twitter.com/PBWfy9ql1w

— Los Angeles Magazine (@LAmag) July 19, 2024

4. ตำรวจ : ตำรวจก็โดนร่างแหไปด้วยเพราะระบบ 911 ที่เอาไว้สำหรับโทรรับแจ้งความนั้นรันอยู่บน window ครับ พอระบบ window ล่มปุ๊บกลายเป็นว่าคนทั่วไปโทรหาตำรวจไม่ได้ อันนี้คือเรื่องใหญ่มากๆ เพราะในอเมริกามีอาชญากรรมเยอะมากๆ ถ้าโจรมันรู้ว่าระบบล่มนานๆ แบบนี้ มีโอกาสที่ประชาชนจะโดนทุบบ้าน, หรือห้างฯร้านจะโดนปล้นนะครับ(แบบ GTA เลยครับ)

Crowdstrike outage has taken down entire hospital systems for the last few hours pic.twitter.com/o9LzCfXdUU

— Anjney Midha 🇺🇸 (@AnjneyMidha) July 19, 2024

5. Media outlets หรือ สำนักข่าวที่ใช้งานหน้าจอสำหรับเผยแพร่ภาพนั้นก็โดนไปด้วยครับ อย่าง skynews ข้างล่างนี้คือตัวอย่างที่ดีเลยคือทั้ง studio ไม่มีใครสามารถใช้งานคอมพ์ที่เป็น window ได้ครับ

CrowdStrike cooked SkyNews. They're trying to do the news with no computers. pic.twitter.com/JhV3khULV2

— vx-underground (@vxunderground) July 19, 2024

5. คอมพ์บริษัทต่างๆ รวมไปถึงคอมพ์ทั่วไปด้วย กลายเป็นว่า บริษัทต่างๆ ทั่วโลกตอนนี้ได้รับผลกระทบรุนแรงอย่างมาก จนไม่สามารถแม้กระทั่งประชุมกันใน office ได้เพราะคอมพ์พังกันทั้ง office นะครับ จะเอา presentation หรือสไลด์ไหนมาเปิดให้หัวหน้าได้ครับ ในเมื่อคอมพ์พังแบบนี้แหละครับ

Full technical breakdown as to why Crowdstrike's update caused a worldwide BSOD – crashing computers at Airports, Banks, Casinos, 911, Hospitals and more. 🧵
(1/n) pic.twitter.com/vgYXyHaQbT

— Ananay (@ananayarora) July 19, 2024

CEO ยังไม่สามารถแก้ไขได้เลย(ตอนนี้)

Quick rewrite:

I’m the CEO of CrowdStrike. I’m devastated to see the scale of today’s outage and will be personally working on it together with our team until it’s fully fixed for every single user.

But I wanted to take a moment to come here and tell you that I am sorry. People… pic.twitter.com/pMHTsqCE4T

— Lulu Cheng Meservey (@lulumeservey) July 19, 2024

สรุปและแปลเป็นไทยสั้นๆ ว่า CEO ของ CrowdStrike บอกว่า พวกเราเจอปัญหาแล้วในระบบ window (ไม่ได้บอกด้วยว่าเป็นความผิดของบริษัทที่ปล่อย patch ออกมา)และการแก้ไขปัญหาได้แก้แล้ว(ซึ่งจริงๆ ยังไม่ได้แก้ โดยการแก้ไขของเรานั้นคือจะส่ง update ไปยังเครื่องคอมพ์ต่างๆ เพื่อแก้ไขปัญหาซึ่งฟังดูแล้วมันขัดแย้งกับปัญหาที่เกิดขึ้นครับเพราะไอ่ไฟล์ C-00000291-00000000-00000032.sys มันทำเครื่องพังแบบเปิดเครื่องไม่ติดเลยนะครับ แต่ CEO บอกว่า จะ push update ไปให้เครื่องที่พัง

อารมณ์เหมือนกับเรื่องที่มีคนเอาน้ำเปล่าเติมเข้าไปในรถของคุณครับ แล้วตอนนี้รถมันพัง วิธีแก้ไขคือต้องเอาช่างมาถ่ายน้ำมันเครื่องที่ปนน้ำออก(manual recovery ผ่านช่าง IT) แทนที่จะส่งน้ำมันเครื่องใหม่มาให้ลูกค้าเติมเอง(software OTA) ครับ

แล้วเค้าบอกอีกว่า ใครมีปัญหาก็ติดต่อมาแล้วกันนะ(ไม่ได้ให้ฟอร์มสำหรับกรอกร้องเรียน) และเติมคำว่า “Our team” (ทีมงานเรา)จะแก้ไขปัญหาให้พวกคุณเอง

เห้ย อันนี้ก็ผิดแล้วครับ เคสนี้ ไอทีทั่วโลกต่างให้ความเห็นแบบข้อมูลที่ผมชี้แจงด้านบนนี้แหละครับว่าปัญหานี้มันแก้ไขผ่าน internet ไม่ได้ แล้วการที่คุณบอกว่าจะรับผิดชอบทุกคนโดยนั่นหมายความว่าคุณจะต้องแก้ไขโดยการไปทุกบริษัททั่วโลก

คุณจะส่งทีมงานไปทั่วโลกไม่ได้ครับและบริษัทนึงไม่ได้มีคอมพ์แค่เครื่องเดียวครับ งานนี้บอกเลยว่า ไอทีทำงานโอทีถึงปลายปีแน่นนอครับ (ถ้าเค้ายังไม่สามารถหา solution ในการแก้ไขปัญหาได้นะครับ)

การประกาศ message แบบนี้ออกมาทำให้หลายคนไม่พอใจอย่างมาก จนมีผู้หญิงนามว่า Lulu ออกมาบอกว่า เดี๋ยวชั้นแก้ไขจดหมาของคุณให้นะ

I’m the CEO of CrowdStrike. I’m devastated to see the scale of today’s outage and will be personally working on it together with our team until it’s fully fixed for every single user.

แปล – ชั้นเป็น CEO CrowdStrike เอง ชั้นเห็นความผิดพลาดและความ chip หายที่เกิดขึ้นวันนี้แล้ว ชั้นได้เรียกพนักงานทุกคนเข้า office เพื่อวางแผนที่จะแก้ไขให้กับ user ทุกคน

But I wanted to take a moment to come here and tell you that I am sorry. People around the world rely on us, and incidents like this can’t happen. This came from an error that ultimately is my responsibility.

แปล – แต่ชั้นอยากจะแสดงความเสียใจอย่างสุดซึ้งและความผิดทุกอย่างนี้ชั้นขอยอมรับผิดแต่เพียงผู้เดียว

Here’s what we know: [brief synopsis of what went wrong and how it wasn’t a cyberattack etc.]

แปล – นี่คือสิ่งที่เราทราบตอนนี้ [บอกปัญหาเค้าไปว่าพวกเราเจออะไรอยู่และนี่ไม่ใช่ cyberattack]

Our entire team will be working all day, all night, all weekend, and however long it takes to resolve this and make sure it doesn’t happen again.

แปล – พวกเราทำงานอย่างหนักทั้งวันทั้งคืนเพื่อจะกู้ระบบคืนมาให้ได้ ดังนั้นช่วยอดทนรออีกซักหน่อยนะ

We’ll be sharing updates as often as possible, which you can find here [link]. If you need to contact us, the quickest way is to go here [link].

แปล – พวกเราจะทำการแชร์ข้อมูล update ให้อ่านตามลิงค์นี้ และถ้าใครเจอปัญหาอะไรก็ติดตามมาได้ที่ลิงค์นี้

ทำไมถึงแก้ไขไม่ได้?

จริงวิธีแก้ไขนั้นมันก็มีครับ ตามนี้คือ

1. เข้า window Safe Mode หรือ Recovery Mode
2. เข้าไปใน folder %WINDIR%\System32\drivers\CrowdStrike
3. ทำการลบไฟล์ C-00000291*.sys
4. restart คอมพ์ กลับมาใช้งานได้ปกติ

คนอ่าน : อ้าวฟังดูก็ง่ายดีนิครับ แล้วทำไม Blink Drive ถึงบอกว่า แก้ไขไม่ได้ล่ะ?

ใจเย็นๆ ครับ วิธีที่ผมบอกมานั้นคือวิธีสำหรับคอมพ์บ้านที่ใช้งานบ้านๆ ทั่วไปครับ ถ้าเป็น public cloud server หรือ Server ของบริษัทหรือแม้กระทั่ง notebook บริษัท คุณคิดหรอครับว่าเค้าจะเปิด safemode หรือ recovery mode ให้เข้ากันง่ายๆ แบบนี้ครับ อย่างน้อยๆ ก็โดน BitLocker บังเอาไว้ครับ ตามมาตราฐานความปลอดภัยทั่วไป คอมพ์บริษัททุกเครื่องจะต้องติดตั้ง Bit Locker เอาไว้เพื่อป้องกันการโจรกรรมข้อมูลหรือการทำลายข้อมูลจากไวรัสครับ

ซึ่งเจ้า Bitlocker นี้มันก็เหมือนกุญแจบ้านสำหรับเข้า Harddisk นะครับ ถ้าคุณไม่ปลดล๊อคมันก็ encryption (เข้ารหัส)ข้อมูลเอาไว้ครับ ทำให้เราไม่สามารถเข้าไปถึงตัวไฟล์ C-00000291*.sys ถ้ายังไม่ปลดล๊อค Bitlocker ยังไงละครับ

คนอ่าน : อ้าวก็ปลดล๊อคซะสิจะไปยากอะไร?

BitLocker ก็เป็น security (ระบบความปลอดภัย)ที่แน่นหนาอีกขั้นคือ มันต้อง boot เข้า window แล้วก็เปิด Bit Locker ขึ้นมา จากนั้นก็กด Unlock Drive ครับ จริงๆ จะพิมพ์ cmd แบบนี้ manage-bde -unlock X: -password เพื่อปลดล๊อคก็ได้ครับ แต่เงื่อนไขคือว่า จะต้องเข้าไปทำใน window ไม่ใช่ safemode

คราวนี้มันก็มาถึงโจทย์ที่ว่าไก่กับไข่อันไหนเกิดก่อนกัน ถ้าจะให้เปรียบเทียบให้เข้าใจภาพง่ายๆ เลยก็คือว่า

เราลืมกุญแจบ้านเอาไว้ในบ้านพร้อมกับเครื่องมือสำหรับงัดบ้านครับ กุญแจ(BitLocker Unlock)มันอยู่ในบ้านพร้อมกับเครื่องมือ (harddisk access permission) ครับ คราวนี้จะเข้าบ้านก็ไม่ได้เพราะไม่มีทั้งกุญแจและอุปกรณ์แงะบ้านครับ จะเปิดบ้าน(safe mode)เพื่อไปเอาอุปกรณ์(ลบไฟล์ C-00000291*.sys)ก็ไม่ได้เพราะติดที่ว่าไม่มีเครื่องมือหรือกุญแจที่จะเข้าบ้านครับ มันก็วนลูปกันอยู่อย่างนี้แหละครับ ถ้าจะทุบบ้านทิ้งไปเลย(format คอมพ์ทิ้ง) ก็เสียดายข้อมุลในเครื่องซึ่งราคาแพงกว่าคอมพ์มากๆ

แต่อย่างไรก็ตาม Bitlocker สามารถปลดล๊อคได้ด้วย Recovery Key ครับ ซึ่งทุกบริษัทที่ซื้อ software BitLocker เอาไว้นั้นสามารถเอา Recovery Key มาปลดล๊อคได้ครับ

คราวนี้ปัญหาคือ Recovery key จะถูกกุมเอาไว้ที่ไอทีเท่านั้นครับ อารมณ์เหมือนเจ้าของกุญแจ(master key) ไม่สามารถเอาให้ user เพื่อใช้งานได้ ดังนั้น แปลว่า เจ้าหน้าที่ไอทีจะต้องทำการใส่ recovery key และทำการลบลบไฟล์ C-00000291*.sysให้กับคอมพ์ทุกเครื่องในบริษัทครับ

นโยบายไอทีทั่วโลกนั้นรู้กันอยู่แล้วว่า Recovery key จะไม่สามารถแชร์ให้กับ User ได้ครับ คราวนี้ก็มันส์อีกเพราะว่าบริษัทนึงมีพนักงาน 10,000 คน(สมมุติตัวเลขต่ำๆ) แปลว่า ไอทีจะต้องแก้ bug ประมาณ 10,000 เครื่องครับ

ส่วน server นั้นก็เป็นเรื่องที่ปวดหัวเช่นกันเพราะไอทีไม่สามารถ remote ไปยัง server เพื่อแก้ไข bug ได้ครับ เค้าจะต้องเดินทางไปที่ server location จะเป็น data center อีกเมืองหรือที่ไหนก็ตาม ถ้าบริษัทใหญ่หน่อยก็มี server backup เอาไว้ประมาณ 3 -4 ที่ในอเมริกา (เดินทางกันมันส์ครับ)

ผมแปลข้อมูลทุกอย่างจากวิดีโอคนนี้ครับ รวบรวมข้อมูลออกมาได้ดีที่สุดใน internet ตอนนี้แล้วครับ

BLINK DRIVE TAKE

พอจะเห็นภาพไหมครับว่า มันจะ Chipหายแค่ไหน หลังจากนี้ไป ถ้า CrowdStrike ไม่สามารถหา solution แก้ไขมาได้นั้น ไอทีทุกบริษัทได้กรีดร้องกันเป็นแน่แท้ครับ

Stay tune, stay with BLINK DRIVE