微软蓝屏,这事我也干过!全球Windows蓝屏危机:CrowdStrike安全软件引发系统崩溃,安全软件和操作系统之间的博弈

7 月 21

Luke Fan微软,还是老大 , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 微软蓝屏,这事我也干过!全球Windows蓝屏危机:CrowdStrike安全软件引发系统崩溃,安全软件和操作系统之间的博弈已关闭评论

微软Windows全世界蓝屏,这个事情以前我们也干过。大家好,欢迎收听老范讲故事的YouTube频道。今天,咱们来讲讲微软蓝屏到底是怎么回事。

到底什么叫蓝屏啊?咱们先讲一下。我们看到的各种照片,都是一个蓝色的屏幕。但是,现在这个蓝色要比以前好看啊。这个过程呢,其实叫dump。就是微软的Windows发生了不可逆的崩溃的时候,微软会把内存里边的所有数据写到硬盘上去。以便于什么呢?下一次重启的时候或者修复的时候,可以去查找原因。到底是什么原因造成的这一次崩溃啊?什么原因造成的这一次崩溃?以及呢,在下一次重启的时候,可以去恢复部分原来的运行状态啊。这是这样的一个功能。从Windows很早期,就有这样的这种淡薄功能。当然,那个时候的蓝色没有现在的好看啊。当时是一个很饱和的蓝色,现在应该是蓝、灰等各种颜色拼在一起的一个颜色。

软件崩溃,实际上这肯定软件还是有错误嘛。到底分几个层级呢?第一个层级啊,是软件可以自我修复。发现了错误,我们绕过去完事了啊。第二个层级呢,是系统可以隔离掉啊。这个软件坏了,但是我们系统可以把这个坏掉的软件隔离起来啊,不会影响其他的软件去运行。第三个层次,就是系统虽然隔离了这个故障的软件,但是呢,有部分的系统功能就无法工作了。比如说你没法联网了,或者没法去做一些打印啊,或者没法去调用某些数据了。这个也是有可能的啊,这就是更严重一些了。再然后是系统崩溃,就是我们刚才讲出蓝屏了啊。

但是,蓝屏你说还有没有比他更严重的?还有啊,这一次就是最严重的。是什么呢?就是蓝屏了以后没法恢复了。按道理说,Windows蓝屏了,我这重启一次,它是可以继续工作的。但是你如果一旦说,我蓝屏了,重启了以后依然蓝屏,那这个呢,就是属于叫最严重的,无法进行自我修复的这种崩溃了啊。再重启,接着蓝屏。这一次造成蓝屏的到底是谁?你说是不是微软,是Windows啊?不是啊。中国这么多人使Windows,这么多人使用微软的产品,全世界也有这么多人使用微软的产品,都没有蓝屏。这一次出事的主要是什么机场啊,医院啊,大的商超啊,都是这种企业单位出现,影响了他呢,才会说,造成了全世界的这种舆论的热点。你如果是普通个人家庭里头蓝屏了,蓝屏了以后恢复不了了,除非造成非常大的重量,才有可能会有舆论热点。像我们以前干过一次啊,也是Windows大量蓝屏。那一次我们影响的机器呢,肯定比这一次多,应该有上亿台电脑直接被干蓝屏,而且是恢复不了的那种。对吧,但是也没有这么大的动静,因为我们影响的都是个人电脑。这一次呢,什么医院,机场,超市啊,商店都被影响了。这一次的影响更多的是在企业端。造成这个事情的原因呢,是一个叫做CrowdStrike的公司。这是一个安全公司,像我们以前也是安全公司啊,猎豹移动,原来叫做金山网络,只要是做金山独霸的安全公司,确实有可能会造成这种叫不可修复的崩溃啊。崩溃了以后再启动还蓝屏。为什么呢?因为安全软件在系统中拥有极高的权限,一旦出现错误,就可能导致系统无法正常启动,进而造成连续的蓝屏现象。

安全公司想要解决所有的安全问题。我们要跟什么人对抗?要跟病毒,要跟黑客,要跟很多的这种非法访问啊。跟这些人去对抗,那么这些访问呢,它本身的权限是很高的,或者说,它会绕过Windows本身的各种安全机制。那么想要对抗这些系统,我们一定要取得比Windows本身的安全机制更高的权限。所以,我们以前经常干的一个活叫什么呢?叫访问Windows非公开接口。就是Windows本身有很多很多的接口,来供这些软件调用。但是呢,有很多接口是他给自己留的啊,这个是不对外开放的。甚至有很多的,根本就不是Windows留出来的接口,而是什么呢?是Windows的一些后门的漏洞。很多的安全软件会利用这些漏洞,给自己提权。

这个过程中说,我们来防范更厉害的一些非法入侵,造成这样的蓝屏的最核心的一个原因,就是啊,我们利用的某一个特定的漏洞,被Windows封掉了,或者把它的某一些未公开接口,它修改了。修改了以后呢,又没有跟大家去沟通说哎,我修改了什么东西啊,因为本来就不公开嘛。那么在这种情况下就会直接蓝屏。而且在重新启动的时候,我们这种安全系统,一定会在Windows启动的很早期,就是Windows各种的啊,什么安全系统都没有启动之前,我们要先启动,这样才能抢到最上面的c位嘛。那么在这种情况下再出现故障的话啊,Windows的各种补救措施就都无效,因为我们先来了,就会出现这种蓝屏之后。

重启依然蓝屏的现象,让人感到困扰。CrowdStrike公司,实际上是一家安全公司。它是由一群来自McAfee的高管创立的,McAfee是一家老牌的硅谷安全公司。这些高管离职后,纷纷创立了新的安全公司。在我们以前在猎豹的时候,也曾投资过McAfee的一位华人高管,他出来创办了类似的公司。

CrowdStrike具体从事哪块安全业务?他们并不是专注于杀病毒,因为在现今,病毒已不是主要威胁。现在的安全挑战是黑客攻击和各种网络非法访问。如果不小心,黑客可能会直接锁定你的数据后台,或窃取你的数据库,这是非常危险的。CrowdStrike主要应对的就是这类安全问题,他们提供的软件叫做EDR软件,即终端检测与响应软件,用于对所有客户端进行防护。

在EDR软件领域,CrowdStrike占据18%的市场份额,但并不是最大的。最大的市场份额被微软占据。主要是大企业会安装他们的软件,这个软件名为Falcon。Falcon系统能够满足许多企业特殊的安全需求,比如,企业可以通过服务器统一管理,监控哪些设备安装了软件,哪些数据被访问,哪些数据被移出网络。近期常有报道提及,中国人在美国偷取数据,将数据从系统中拷贝出来,正是这类软件会进行监控的。

当然,他们还提到,利用了AI技术来增强安全防护能力。

现在,不讲AI这个事,肯定混不过去了啊。他说,我们利用AI技术,然后把所有的网络攻击,各种的网络访问都进行了归纳总结。因为,为什么呢?就是网络会有各种各样的方式,来访问你的系统。但到底哪一个是危险访问,哪一个是非法访问,哪一个是合理的访问,这个事,你不通过AI去判断的话,是比较难以定性的啊。你不能说,搞个简单的黑名单白名单,就可以搞定这件事啊。那个,是很容易绕过的,也很容易误杀啊。这个问题,一定会有这样的困扰啊。

你说,微软自己就是最大的EDR软件的提供商,为什么大家还要在Windows上去装他们家的软件呢?很简单啊。这个软件不光是支持Windows,还支持Mac啊。在一些大的企业里头,可能有些高管说,我要用Mac。但是,你是不是可以统一的,由管理员来管理你的系统,说哎,谁家的这个网络节点,在什么地方,访问什么,有什么攻击,这个你就是需要使用它的软件了啊。还有一些其他的公司的软件啊,也是可以同时提供Windows和Mac的这种服务的。但是,微软自己的软件,就只提供Windows的版本。你说,我这个企业里头又有Windows又有Mac,这个事它就没法整了。

这件事,我们真的干过啊。这件事,是什么时候呢?是2013年啊。我们造成了大量的Windows蓝屏,而且无法重启恢复的。2013年的端午节,我们也是照例升级了,当时的金山独霸,也是调用了一些Windows的非公开接口。

但是,我们没想到是什么呢?微软这家公司,他在端午节的时候,他不放假呀。我们更新完了以后,微软在端午节的时候他又更新了一把。我们员工放假了,微软更新了,他把我们调用的一些非公开接口给关掉了。然后,系统就直接起不来了,而且再重启还是蓝屏啊,出现了这样的问题。那你说我们更新之前不测试吗?就像现在这个CrowdStrike啊,他肯定是更新之前测试。但是我们测试呢,一定是测试一些旧系统,最新的系统到底是什么样,我们是没法测试,因为微软还没更新呢,我们上哪去找新系统去?对吧。而且微软更新之前,他不会向这些安全厂商发公告的,说哎我要更新什么东西了啊,你们赶快去更新软件去先测试一下。特别是对这种非公开接口,他肯定不会公之于众,说我把哪个街口封了,我把哪个街口改了,他不干这事。那就只能是崩溃了。因为当时我们主要影响的是个人电脑,所以并没有造成这样的全球性的舆论热点啊。但是当时反正也是很多人说啊,微软蓝屏事件。但是呢啊,我们当时还有一个很强大的竞争对手,叫360。所以呢,360飞快的就把这个啊故 事给扭转了。他说这个不叫微软蓝屏事件啊,这个叫金山独霸蓝屏事件。然后呢,我给你们一个u盘啊,请你不要把这个某一个文件拷到u盘里,然后插上u盘重启,一重启我就给你修好了啊。然后重启了以后呢,他们就干了一个很简单的操作,把金山毒霸卸掉,然后把360的整套的杀毒软件装进去啊,就干了这么个事。这个事他就算修好了,那一次啊。

在这个修正后的文本中,我添加了适当的标点符号和换行,以改善文本的可读性和逻辑结构,但并没有改变原文的语言或添加额外的说明。

当时的猎豹移动还不叫猎豹移动,当时叫金山网络,差点没死啊。当时我们是有一点几亿月活的用户,然后大概是大几千万的日活。然后日活一下大概接近一半就丢了,而且这一半的用户,因为端午节期间,被360快速的洗掉了啊。导致我们最后再也没有重新把这些用户抢回来。也就是为什么后来我们不在国内继续跟360竞争,而跑去做海外的一个原因。国内被打死了,这就是当年我们干的事情啊,也是同样的问题。就是在更新的时候,后台的微软的某一些接口发生变化了,我们不知道啊,就出现了问题。那么这一次呢,CrowdStrike应该也是类似的情况。你说国内操作系统怎么就没事呢?其实也有可能出现同样的问题啊,这个是没有任何办法的。因为国内现在好多做自主替代的,这种操作系统,其实都是Linux。Linux上的这种EDR软件呢,大部分是从一个叫Open EDR的,这种开源软件上改的。

咱们比较一下这三个操作系统啊,最大的第一个是Mac,第二个Windows,第三个是Linux。先说Mac,Mac是最简单的,为什么?因为所有电脑都是苹果自己做的啊,它的型号比较少,它所有相关的驱动环境,相对来说要简单一些。Windows呢,要麻烦一些。Windows因为有各种兼容机,你是惠普的,你是联想的,它是戴尔的,那家是华硕的,非常多的这些硬件在一起。而且Windows上面的各种各样的配件也很多,你这个是英伟达的显卡。

它那是 AMD 的显卡。你这个里边还插了一些其他的,这种插接板卡。对吧,它这种的情况要比 Mac 要复杂非常非常多。然后再加上什么呢?再加上升级的问题。对吧,这个 Mac 基本上在每一次苹果公司升级的时候,大家的电脑都会自动跟着一起升级。所以呢,对于 Mac 系统的维护来说,相对要简单非常多了。大部分的用户都是最新的操作系统的版本。其他的可能就呃是比较少数的。就算是少数的话,它的版本本身也是相对来说没有那么多,没有那么分散。

Windows 呢,在这一块就会混乱很多。对吧,这个去进行更新维护的时候,你没法确定说到底有多少个 Windows 版本。然后这些版本上呢,到底哪些补丁打了,哪些补丁没打。然后到底你装了什么样的硬件,什么样的电脑。对吧,品牌,然后有什么样的配件,这事都搞不清楚。所以 Windows 本身的维护过程要比 Mac 要麻烦。

那么再讲 Linux,Linux 要比 Windows 更麻烦。为什么呢?Windows 好歹还都是微软硬件的。对吧,Linux 后头还有吴班图,有苏西,还有国内一大堆什么麒麟,华为的鸿蒙,等一大堆的 Linux 系统在里头。每家跟每家都不一样,每家使用的 kernel,就是它的 Linux 内核,再加上各种的驱动版本都不一样。所以 Linux 的这种系统维护要比 Windows 还要复杂。这个就是三个操作系统的系统维护难度之间的比较了啊。国产的这种操作系统,一旦出了事情以后啊。

它可能也不会出现这种特别大面积的情况:大家使用同样的东西,一旦一坏全坏。这种事不太容易出现。但是,它整个的维护成本是要比 Windows 加上 cloud trick 这种模式高非常多,而且出故障的几率也要大非常多。那么,国内有哪些主要的做 EDR 软件的公司呢?最大的是奇安信,这是从 360 里边分拆出来的,专门做企业安全的一个公司。然后是阿里云、亚信申信服务、腾讯、华为云,这些都是干这个行业的公司。

最终的结果会是什么样的?最终结果对于微软应该没有什么特别大的影响。大家不会说:“哎,出问题了,我们把 Windows 都换掉,换成其他公司的操作系统,比如换 Linux。”我看你那个真的是吃力不讨好。换 Mac,你整个的成本会上升很多,因为 Mac 的电脑就很贵。而且还有一个问题:就是 Mac 的电脑你没法说,“我去给你做个收音机,或者做一些这种嵌入式系统,做一些定制系统。”他做不了。苹果不给你干这事。所以你只能是用 Windows,这是唯一解。所以对于 Windows,对于微软来说应该没什么影响。

那么对于 Karl Strick 来说呢?他们肯定就是灭顶之灾了。Karl Strick 最大的竞争对手就是微软,在这个行业里头,老大就是微软。但是呢,后面可能就会有一些公司说:“我们也提供既支持 Windows 又支持苹果,可能还支持部分 Linux 版本的一点软件。啊,你们就买我的就行了。”

所以,这一块对于他来说是毁灭性的打击。现在,还有一些公司准备向 Girlstrike 进行索赔,对吧?你给我造成了这么大的损失,你得赔钱啊。在美国,有一些州是有类似于数据安全法这样的东西的,它是按照你造成的经济损失进行赔偿。而且,你想他都是由企业直接买单,签协议啊,去买 CrowdStrike 的这种服务。那么,他们的协议里头,可能也会有一定的这种责任与赔偿的约定。那么,在这种情况下的话,他可能后面还会有一些理赔的事情。

CrowdStrike 马上能够看到的结果是什么呢?就是明年续约率会下降。因为像他们这种公司啊,都是一年一年跟这些企业去续约啊,我去开展一个新用户啊,签约了然后每年续啊。到明年呢,一大堆人说我们就不续了啊,我就干脆甭费这个劲。既然我都是 Windows 啊,我想办法去用微软的算了啊,或者说我有一部分 Mac,我就干脆 Mac 这部分我虚拟的啊。我把这个呃 Windows 那部分我就只用微软的,我不跟你费劲了。对吧?因为微软自己提供这个软件,最大的好处是什么?他自己有各种非公开接口,或者有各种高级的权限,他自己知道啊。对吧?你微软自己更新的时候,一定要告诉自己的安全部门说哎,我改东西了,你自己注意一下啊,测试一下,然后再去更新。一定会出现这样的情况,对吧?所以,干脆 Windows 就别费劲了啊。

那么,还有一个影响是什么?就是未来类似这样的协议,再签约的时候啊,可能就会有一些新的格式化条款。

加进去,包括理赔啊,包括各种的责任的划分啊。所以,在未来,这个生意可能会变得越来越难做。这个生意本身也不是特别大,全世界这个生意,大概也就是100亿美金以内。所以呢,这么几家公司分一分,对于整个的Dr产业,可能都是有一定的打击。特别是微软如果把这块吃下来的话,那么大家日子都不太好过。主要操作系统还是Windows啊,其他的什么Mac啊,Linux,特别是作为桌面操作系统,或者作为这个客户端操作系统来说,比例还是很小的。

好,这就是这一次Windows蓝屏事件啊,给我们带来的一些故事吧。好,感谢大家收听,帮忙点赞,点小铃铛,参加discord讨论群。也欢迎有兴趣,有能力的朋友加入我们的付费频道。再见。

Comments are closed.