Pada Jumat pagi, sesaat setelah tengah malam di New York, bencana mulai terjadi di seluruh dunia. Di Australia, pembeli disambut dengan pesan Blue Screen of Death (BSOD) di lorong kasir mandiri. Di Inggris, Sky News harus menghentikan siarannya setelah server dan PC mulai mogok. Di Hong Kong dan India, meja check-in bandara mulai rusak. Saat pagi tiba di New York, jutaan komputer Windows mengalami kerusakandan bencana teknologi global sedang terjadi.
Pada jam-jam awal pemadaman, ada kebingungan mengenai apa yang sedang terjadi. Bagaimana bisa begitu banyak komputer Windows tiba-tiba menampilkan layar biru yang rusak? “Sesuatu yang sangat aneh sedang terjadi sekarang,” tulis pakar keamanan siber Australia, Troy Hunt, dalam sebuah artikel posting di X. Di Reddit, admin TI membunyikan alarm di dalam sebuah benang berjudul “Kesalahan BSOD pada pembaruan CrowdStrike terbaru” yang telah mengumpulkan lebih dari 20.000 balasan.
Masalah tersebut menyebabkan sejumlah maskapai penerbangan besar di AS menghentikan operasional armadanya dan para pekerja di Eropa di bank, rumah sakit, dan lembaga besar lainnya tidak dapat masuk ke sistem mereka. Dan segera menjadi jelas bahwa semua itu disebabkan oleh satu berkas kecil.
Pada pukul 12:09 ET tanggal 19 Juli, perusahaan keamanan siber CrowdStrike merilis pembaruan yang salah pada perangkat lunak keamanan Falcon yang dijualnya untuk membantu perusahaan mencegah malware, ransomware, dan ancaman siber lainnya agar tidak melumpuhkan komputer mereka. Pembaruan ini banyak digunakan oleh perusahaan untuk sistem Windows yang penting, itulah sebabnya dampak pembaruan yang salah tersebut begitu cepat dan terasa secara luas.
Pembaruan CrowdStrike seharusnya seperti pembaruan diam lainnya, secara otomatis memberikan perlindungan terbaru bagi pelanggannya dalam file kecil (hanya 40KB) yang didistribusikan melalui web. CrowdStrike mengeluarkannya secara berkala tanpa insiden, dan cukup umum untuk perangkat lunak keamanan. Namun, yang ini berbeda. Ini mengungkap kelemahan besar dalam produk keamanan siber perusahaan, bencana yang hanya berjarak satu pembaruan yang buruk — dan yang dapat dengan mudah dihindari.
Bagaimana ini terjadi?
Perangkat lunak perlindungan Falcon CrowdStrike beroperasi di Windows pada level kernel, bagian inti dari sistem operasi yang memiliki akses tak terbatas ke memori sistem dan perangkat keras. Sebagian besar aplikasi lain berjalan pada level mode pengguna dan tidak memerlukan atau mendapatkan akses khusus ke kernel. Perangkat lunak Falcon CrowdStrike menggunakan driver khusus yang memungkinkannya berjalan pada level yang lebih rendah daripada sebagian besar aplikasi sehingga dapat mendeteksi ancaman di seluruh sistem Windows.
Berjalan di kernel membuat perangkat lunak CrowdStrike jauh lebih mampu sebagai garis pertahanan — tetapi juga jauh lebih mampu menimbulkan masalah. “Itu bisa sangat bermasalah, karena ketika pembaruan muncul yang tidak diformat dengan benar atau memiliki beberapa malformasi di dalamnya, driver dapat mencernanya dan secara membabi buta mempercayai data tersebut,” Patrick Wardle, CEO DoubleYou dan pendiri Objective-See Foundation, memberi tahu The Verge.
Akses kernel memungkinkan driver untuk membuat masalah kerusakan memori, yang terjadi pada Jumat pagi. “Kerusakan terjadi pada instruksi saat mencoba mengakses beberapa memori yang tidak valid,” kata Wardle. “Jika Anda menjalankan kernel dan mencoba mengakses memori yang tidak valid, itu akan menyebabkan kesalahan dan menyebabkan sistem mogok.”
CrowdStrike segera menemukan masalah tersebut, tetapi kerusakan sudah terjadi. Perusahaan mengeluarkan perbaikan 78 menit setelah pembaruan asli dirilis. Admin TI mencoba me-reboot komputer berulang kali dan berhasil membuat beberapa komputer kembali online jika jaringan mengambil pembaruan sebelum driver CrowdStrike mematikan server atau PC, tetapi bagi banyak pekerja dukungan, perbaikan tersebut melibatkan mengunjungi mesin yang terkena dampak secara manual dan menghapus pembaruan konten CrowdStrike yang salah.
Sementara penyelidikan atas insiden CrowdStrike terus berlanjut, teori yang paling kuat adalah kemungkinan ada bug pada driver yang telah lama tidak aktif. Mungkin saja driver tersebut tidak memvalidasi data yang dibacanya dari berkas pembaruan konten dengan benar, tetapi hal itu tidak pernah menjadi masalah hingga pembaruan konten bermasalah pada hari Jumat.
“Driver mungkin harus diperbarui untuk melakukan pemeriksaan kesalahan tambahan, untuk memastikan bahwa meskipun konfigurasi yang bermasalah muncul di masa mendatang, driver akan memiliki pertahanan untuk memeriksa dan mendeteksi… dibandingkan bertindak membabi buta dan mengalami crash,” kata Wardle. “Saya akan terkejut jika kita tidak melihat versi driver baru yang memiliki pemeriksaan kewarasan dan pemeriksaan kesalahan tambahan.”
CrowdStrike seharusnya mendeteksi masalah ini lebih awal. Merupakan praktik yang cukup standar untuk meluncurkan pembaruan secara bertahap, yang memungkinkan pengembang menguji masalah utama apa pun sebelum pembaruan menjangkau seluruh basis pengguna mereka. Jika CrowdStrike menguji pembaruan kontennya dengan benar dengan sekelompok kecil pengguna, maka hari Jumat akan menjadi peringatan untuk memperbaiki masalah driver yang mendasarinya, bukan bencana teknologi yang melanda seluruh dunia.
Microsoft tidak menyebabkan bencana hari Jumat, tetapi cara Windows beroperasi memungkinkan seluruh OS tersebut tumbang. Pesan Blue Screen of Death yang tersebar luas sangat identik dengan kesalahan Windows sejak tahun 90-an dan seterusnya sehingga banyak tajuk berita awalnya berbunyi “gangguan Microsoft” sebelum jelas bahwa CrowdStrike yang bersalah. Sekarang, muncul pertanyaan yang tak terelakkan tentang cara mencegah situasi CrowdStrike lainnya di masa mendatang — dan jawaban itu hanya bisa datang dari Microsoft.
Apa yang dapat dilakukan untuk mencegah hal ini?
Meskipun tidak terlibat langsung, Microsoft masih mengendalikan pengalaman Windows, dan ada banyak ruang untuk perbaikan dalam cara Windows menangani masalah seperti ini.
Sederhananya, Windows dapat menonaktifkan driver yang bermasalah. Jika Windows menentukan bahwa driver tersebut menyebabkan sistem mogok saat boot dan memaksanya masuk ke mode pemulihan, Microsoft dapat membangun logika yang lebih cerdas yang memungkinkan sistem untuk melakukan boot tanpa driver yang bermasalah setelah beberapa kali kegagalan boot.
Namun, perubahan yang lebih besar adalah mengunci akses kernel Windows untuk mencegah driver pihak ketiga merusak seluruh PC. Ironisnya, Microsoft mencoba melakukan hal ini dengan Windows Vista tetapi mendapat penolakan dari vendor keamanan siber dan regulator Uni Eropa.
Microsoft mencoba menerapkan fitur yang saat itu dikenal sebagai PatchGuard di Windows Vista pada tahun 2006, yang membatasi pihak ketiga untuk mengakses kernel. McAfee dan Symantec, dua perusahaan antivirus besar saat itu, menentang perubahan Microsoft, dan Symantec bahkan mengeluh ke Komisi Eropa. Microsoft akhirnya munduryang memungkinkan vendor keamanan mengakses kernel sekali lagi untuk tujuan pemantauan keamanan.
Apple akhirnya mengambil langkah yang sama, mengunci sistem operasi macOS-nya pada tahun 2020 sehingga pengembang tidak bisa lagi mendapatkan akses ke kernel. “Itu jelas merupakan keputusan yang tepat oleh Apple untuk menghentikan ekstensi kernel pihak ketiga,” kata Wardle. “Namun jalan untuk benar-benar mencapainya penuh dengan masalah.” Apple memiliki beberapa bug kernel di mana alat keamanan yang berjalan dalam mode pengguna masih bisa memicu kecelakaan (kernel panic), dan Wardle mengatakan Apple “juga telah memperkenalkan beberapa kerentanan eksekusi hak istimewa, dan masih ada beberapa bug lain yang dapat memungkinkan alat keamanan di Mac dibongkar oleh malware.”
Tekanan regulasi mungkin masih menghentikan Microsoft untuk mengambil tindakan di sini. Jurnal Wall Street dilaporkan pada akhir pekan lalu bahwa “seorang juru bicara Microsoft mengatakan bahwa mereka tidak dapat secara hukum menutup sistem operasinya dengan cara yang sama seperti yang dilakukan Apple karena adanya kesepahaman yang dicapai dengan Komisi Eropa setelah adanya pengaduan.” Jurnal mengutip juru bicara anonim itu dan juga menyebutkan perjanjian tahun 2009 untuk memberikan vendor keamanan tingkat akses yang sama ke Windows seperti Microsoft.
Microsoft mencapai sebuah perjanjian interoperabilitas dengan Komisi Eropa pada tahun 2009 yang merupakan “usaha publik” untuk memungkinkan pengembang memperoleh akses ke dokumentasi teknis untuk membangun aplikasi di atas Windows. Perjanjian tersebut dibentuk sebagai bagian dari kesepakatan yang mencakup penerapan layar pilihan peramban di Windows dan menawarkan versi khusus Windows tanpa Internet Explorer yang dibundel ke dalam OS.
Kesepakatan untuk memaksa Microsoft menawarkan pilihan peramban berakhir lima tahun kemudian pada tahun 2014, dan Microsoft juga berhenti memproduksi versi khusus Windows untuk Eropa. Microsoft kini menggabungkan peramban Edge-nya di Windows 11, tanpa ditentang oleh regulator Eropa.
Tidak jelas berapa lama perjanjian interoperabilitas ini berlaku, tetapi Komisi Eropa tampaknya tidak percaya bahwa hal itu menghalangi Microsoft untuk merombak keamanan Windows. “Microsoft bebas untuk memutuskan model bisnisnya dan untuk mengadaptasi infrastruktur keamanannya untuk menanggapi ancaman asalkan hal ini dilakukan sesuai dengan hukum persaingan Uni Eropa,” kata juru bicara Komisi Eropa Lea Zuber dalam sebuah pernyataan kepada The Verge“Microsoft tidak pernah menyampaikan kekhawatiran tentang keamanan kepada Komisi, baik sebelum insiden baru-baru ini maupun sejak itu.”
Reaksi keras terhadap lockdown Windows
Microsoft dapat mencoba mengikuti jejak Apple, tetapi penolakan dari vendor keamanan seperti CrowdStrike akan kuat. Tidak seperti Apple, Microsoft juga bersaing dengan CrowdStrike dan vendor keamanan lain yang menjadikan perlindungan Windows sebagai bisnis. Microsoft memiliki Pembela untuk Titik Akhir layanan berbayar, yang menyediakan perlindungan serupa pada mesin Windows.
CEO CrowdStrike George Kurtz juga secara teratur mengkritik Microsoft dan catatan keamanannya dan membanggakan memenangkan pelanggan pergi dari perangkat lunak keamanan Microsoft sendiri. Microsoft telah memiliki serangkaian kecelakaan keamanan dalam beberapa tahun terakhir, sehingga mudah dan efektif bagi pesaing untuk menggunakannya guna menjual alternatif.
Setiap kali Microsoft mencoba mengunci Windows atas nama keamanan, mereka juga menghadapi serangan balik. Mode khusus di Windows 10 yang membatasi komputer ke aplikasi Windows Store untuk menghindari malware membingungkan dan tidak populerMicrosoft juga meninggalkan jutaan PC dengan peluncuran Windows 11 dan persyaratan perangkat keras yang dirancang untuk meningkatkan keamanan PC Windows.
CEO Cloudflare Matthew Prince adalah sudah memperingatkan tentang dampak Microsoft yang mengunci Windows lebih jauh, dibingkai sedemikian rupa sehingga Microsoft akan mengutamakan produk keamanannya sendiri jika skenario seperti itu terjadi. Semua penolakan ini berarti Microsoft harus menempuh jalan yang sulit di sini jika ingin menghindari Windows menjadi pusat insiden seperti CrowdStrike lagi.
Microsoft terjebak di tengah, dengan tekanan dari kedua belah pihak. Namun pada saat Microsoft merombak keamananharus ada ruang bagi vendor keamanan dan Microsoft untuk menyepakati sistem yang lebih baik yang akan menghindari munculnya kembali gangguan layar biru.
