सूचना विंडोज़ पर हालिया क्राउडस्ट्राइक पराजय निश्चित रूप से प्रमुख तकनीकी विफलताओं के इतिहास में गर्व का स्थान पाने की हकदार होगी। 19 जुलाई को, साइबर सुरक्षा दिग्गज ने वह हासिल किया जो कई हैकर केवल सपना देख सकते थे: एक ही असफल अपडेट के साथ दुनिया भर में लाखों विंडोज सिस्टम को अपने घुटनों पर ला दिया।
एक प्रौद्योगिकी पत्रकार के रूप में, मैंने कुछ सॉफ्टवेयर युगल देखे हैं। मैंने सभी नेटवर्क विफलताओं के पितामह के साथ भी कंधे से कंधा मिलाया: मॉरिस वर्म – 1988 में, जब मैं एक सिस्टम प्रशासक था। फिर भी, मैं इस गलती के पैमाने और प्रभाव पर आश्चर्यचकित हुए बिना नहीं रह सकता। भीड़ का हमलाएक कंपनी जिसकी कीमत 70 अरब डॉलर से अधिक है और अनगिनत संगठनों द्वारा अपनी डिजिटल संपत्तियों की सुरक्षा के लिए उस पर भरोसा किया जाता है, अनजाने में इतिहास में सबसे बड़े आईटी आउटेज में से एक का स्रोत बन गई।
इस पराजय के परिणाम चौंका देने वाले थे: हजारों उड़ानें रद्द कर दी गईं, स्वास्थ्य सेवाएं बाधित हो गईं और आपातकालीन प्रणालियां सेवा से बाहर हो गईं। यह इस बात की स्पष्ट याद दिलाता है कि हमारे डिजिटल बुनियादी ढांचे कितनी गहराई से जुड़े हुए हैं और विफलता के एक बिंदु पर वे कितने कमजोर हैं।
आइए त्रुटियों के उस सिलसिले को तोड़ें जिसके कारण यह असफलता हुई।
प्रारंभ में, माइक्रोसॉफ्ट ने क्राउडस्ट्राइक के फाल्कन सुरक्षा सॉफ़्टवेयर को विंडोज़ कर्नेल के शून्य स्तर पर चलने की अनुमति दी। इस निम्न स्तर पर एक समस्या संभवतः ब्लू स्क्रीन ऑफ डेथ (बीएसओडी) का कारण बनेगा। के लिए इंतजार, माइक्रोसॉफ्ट यूरोपीय आयोग पर आरोप लगाना चाहेगा – नहीं, वास्तव में – इसे तृतीय-पक्ष सॉफ़्टवेयर प्रदाताओं को इस स्तर की पहुंच प्रदान करने के लिए बाध्य करना।
आप जानते हैं, मुझे लगता है कि माइक्रोसॉफ्ट के सभी डेवलपर्स और वकीलों की मदद से, वे इस तरह की समस्या से बचने के लिए एक अधिक कानूनी तरीका ढूंढ सकते हैं और सॉफ्टवेयर कंपनियों को समान स्तर पर प्रतिस्पर्धा करने की अनुमति दे सकते हैं। यह कोई रॉकेट साईंस नहीं है।
माइक्रोसॉफ्ट खुद को जिम्मेदार नहीं ठहराना चाहता, लेकिन वह इसका हकदार है। बहुत लंबे समय से हमने विंडोज़ बास्केट में बहुत सारे अंडे डाल दिए हैं। जब वह टोकरी गिरती है, तो अर्थव्यवस्था का एक बड़ा हिस्सा गिर जाता है।
क्राउडस्ट्राइक पर वापस आते हुए, कंपनी का दावा है कि नियमित सेंसर कॉन्फ़िगरेशन अपडेट में “तार्किक त्रुटि” के कारण आउटेज हुआ। लेकिन क्राउडस्ट्राइक के पैमाने की कंपनी के लिए, ऐसी मूलभूत त्रुटि अक्षम्य है। यह कोई अस्पष्ट पृथक मामला नहीं था, बल्कि इसकी मुख्य कार्यक्षमता की गंभीर विफलता थी।
यह कोई कोड मुद्दा भी नहीं था. यह स्वयं कोई सॉफ़्टवेयर अद्यतन नहीं था। इस टुकड़े का खलनायक एक फाल्कन कॉन्फ़िगरेशन फ़ाइल थी जिसे चैनल फ़ाइल कहा जाता था। एक साधारण फ़ाइल जिसमें सुरक्षा सेटिंग को अद्यतन करने के लिए डेटा होना चाहिए था, एक के बाद एक बीएसओडी का झरना पैदा कर रहा था।
इतना भयावह बग गुणवत्ता आश्वासन से कैसे गुजर गया? क्राउडस्ट्राइक ने स्वीकार किया: “सामग्री सत्यापनकर्ता में एक बग के कारण, दोनों में से एक समस्याग्रस्त सामग्री डेटा होने के बावजूद मॉडल उदाहरणों ने सत्यापन पारित कर दिया (और) को उत्पादन में तैनात किया गया है। »जब आपका सॉफ़्टवेयर लाखों विंडोज़ सिस्टमों में गहराई से समाया हुआ है, तो आपके परीक्षण को ठोस होना चाहिए। स्पष्ट रूप से, क्राउडस्ट्राइक के परीक्षण प्रोटोकॉल में बड़े पैमाने पर बदलाव की आवश्यकता है।
अब हम यह भी जानते हैं, जैसा कि सुरक्षा विशेषज्ञ केविन ब्यूमोंट ने मास्टोडॉन पर बताया है: “मुख्य उपाय – चैनल अपडेट वर्तमान में विश्व स्तर पर तुरंत उपलब्ध हो रहे हैं“मैं हमेशा अपने सभी ग्राहकों को एक साथ प्रमुख सुधार भेजता हूं और यह देखने के लिए इंतजार करता हूं कि आगे क्या होता है। क्या ऐसा हर किसी के लिए नहीं है? ये लोग कौन हैं और कोई इन्हें सुरक्षा कार्य क्यों करने दे रहा है? »
एक सरल अवधारणा है जिसका नाम है कैनरी परीक्षण. आपने इसके बारे में सुना होगा। कोयला खदान में कैनरी की तरह, आप पहले यह जांचते हैं कि कोई नया स्थान – या प्रोग्राम – कैनरी – या उपयोगकर्ताओं के छोटे समूह पर आज़माकर सुरक्षित है या नहीं – और फिर, यदि सब कुछ ठीक रहता है, तो आप सभी को अंदर आने देते हैं।
आइए यह न भूलें कि क्राउडस्ट्राइक की प्रारंभिक प्रतिक्रिया धीमी और अपर्याप्त थी। उपयोगकर्ताओं को उत्तर खोजने के लिए संघर्ष करना पड़ा, जबकि महत्वपूर्ण बुनियादी ढांचा लड़खड़ा गया। आज भी, लगभग एक सप्ताह बाद, मेरे पास अभी भी ऐसे दोस्त हैं जो उनकी डेल्टा उड़ानों में समस्याएँ.
यह तकनीकी उद्योग में हममें से बाकी लोगों के लिए एक चेतावनी है। जैसे ही हम अपने सिस्टम को बाहरी खतरों से सुरक्षित करने की कोशिश करते हैं, हमें खुद को लगने वाली चोट के जोखिम को नजरअंदाज नहीं करना चाहिए। महत्वपूर्ण प्रणालियों से निपटते समय कठोर परीक्षण, सुरक्षा तंत्र और विनम्रता की स्वस्थ खुराक आवश्यक है।
अंततः, क्राउडस्ट्राइक विंडोज़ विफलता मर्फी के नियम की क्रियाशीलता का एक प्रमुख उदाहरण है: जो कुछ भी गलत हो सकता है वह गलत ही होगा। यह एक दर्दनाक सबक है, लेकिन बेहतर होगा कि हम सभी इससे सीखें। आख़िरकार, जब साइबर सुरक्षा की बात आती है, तो आपका अगला बड़ा खतरा आपकी पहुंच के भीतर ही हो सकता है। ®