ملخص

  • انتهت صلاحية شهادة أمان في نسختين من برنامج Ericsson SGSN-MME في الساعة 04:30 بتوقيت المملكة المتحدة في 6 ديسمبر 2018، مما عطل العديد من المشغلين والدول من خلال تبعية نواة محمولة مشتركة.
  • تدعم السجلات العامة تقسيمًا واضحًا للتحكم العملي: Ericsson تتحكم في الشهادة المضمنة ودورة حياة البرنامج؛ المشغلون يتحكمون في بنية النشر، الاستجابة للحوادث، اتصالات العملاء واستعادة الخدمة؛ الجهات التنظيمية تتحكم في التقييم القانوني وتوقعات الضمان المستقبلية.
  • وجدت Ofcom أن O2 اتخذت التدابير المناسبة ولم تخالف واجب الأمن البريطاني المطبق. هذا النتيجة لم تمح الدرس الأوسع بأن المزود لا يمكنه التعاقد من المسؤولية القانونية أو معالجة شهادة غير معلنة من المورد كمشكلة استمرارية لشخص آخر.
  • تعامل المنظم الياباني مع انقطاع SoftBank كحادث كبير يؤثر على حوالي 30.6 مليون مستخدم وأصدر تحذيرًا وتوجيهًا إداريًا كتابيًا. وصفت SoftBank علنًا إجراءات التراجع، الجرد، استرداد التشغيل وتعدد البائعين.
  • سجل الإصلاح العام مادي لكنه غير كامل. لا يتضمن تقرير Ericsson النهائي عن السبب الجذري، هوية الشهادة وتاريخ ملكيتها، التحقق المستقل من البرنامج المتغير، أو دليل على أن كل تثبيت معرض تم علاجه.
  • المساءلة الدائمة تتطلب جردًا لانتهاء الصلاحية، ملكية مسماة، ضوابط دورة حياة مستقلة مع إنذار، تنوع في نطاق الفشل، استرداد ممارس، إشعار عملاء يعتمد على التبعيات، ودليل يبقى بعد تأكيدات الإدارة.

الحادث كان مجدولًا بتاريخ، لكن عواقبه كانت معمارية

في الساعة 04:30 في المملكة المتحدة في 6 ديسمبر 2018، وصلت شهادة أمان مضمنة إلى وقت انتهاء صلاحيتها. بدأت شبكة O2 للجوال تفقد الخدمة. في اليابان، حيث كانت نفس اللحظة الساعة 13:30، فشلت شبكة SoftBank بعد دقائق. قالت Ericsson لاحقًا أن الاضطرابات تتعلق بعقد نواة معينة تستخدمها مجموعة محدودة من العملاء في عدة دول، وأن نسختين محددتين من برنامج Serving GPRS Support Node وMobility Management الكيان الخاص بها كانت متورطة، وأن شهادة منتهية الصلاحية كانت المشكلة الرئيسية التي تم تحديدها في تحليل السبب الجذري الأولي. تحديثها الرسمي الموزع عبر Cision قال أن البرنامج المعطل كان قيد الإيقاف وأن معظم الخدمات المتأثرة تم استعادتها خلال اليوم.

هذا الوصف يحدد المحفز، لكنه لا يشرح بالكامل مشكلة المساءلة. الشهادات هي بيانات اعتماد زمنية. وفقًا لملف تعريف شهادة X.509 وإلغاء الشهادة من Internet Engineering Task Force، RFC 5280، تحمل الشهادة فترة صلاحية محددة بـ notBefore و notAfter؛ يجب أن يكون النظام المعتمد قادرًا على تحديد ما إذا كانت الشهادة صالحة في الوقت ذي الصلة. الدور الدقيق لشهادة Ericsson لم يتم توثيقه علنًا بتفاصيل كافية لإعادة بناء مسار التحقق منها. ما تم تأكيده هو أن انتهاء صلاحيتها تفاعل مع البرنامج بطريقة أوقفت وظائف النواة. كانت لحظة انتهاء الصلاحية حتمية. العواقب الوطنية وعبر الحدود كانت نتائج لمكان وجود البرنامج، ومدى تكرار نشره، وخيارات الاسترداد المتاحة بعد الفشل.

SGSN-MME المتأثر لم يكن تطبيقًا اختياريًا موجهًا للعملاء عند حافة الشبكة. يصف الوصف الحالي للمنتج من Ericsson لـ SGSN-MME وظيفة تحكم في النواة الحزمية تدعم إدارة التنقل والجلسة عبر GSM وWCDMA وLTE. هذا الوصف الحالي لا يمكنه بمفرده تحديد كل تفصيلة لتصميم مشغل في 2018. لكنه يشرح لماذا يمكن أن يكون للفشل في هذا النوع من المكونات تأثيرات تتجاوز خادمًا واحدًا: الوظيفة تساعد الأجهزة على الاتصال، البقاء قابلة للوصول وإنشاء جلسات بيانات. عيب برمجي شائع مكرر عبر العقد المخصصة لتوفير السعة أو المرونة الجغرافية يمكنه بالتالي هزيمة التكرار المادي في نفس اللحظة.

هذا التمييز مهم. انتهاء صلاحية الشهادة يُعتبر أحيانًا إغفالًا إداريًا: جدد الشهادة، أعد تشغيل الخدمة، استمر. في نواة جوال وطنية، لكن، وحدة التحكم المعنية ليست الشهادة وحدها. إنها النظام المشترك لحوكمة إصدار البرنامج، جرد الشهادة، استقلال الإنذار، قبول المشغل، تنوع النشر، جاهزية التراجع، إعادة اتصال المشتركين والاتصالات. اختبر حدث ديسمبر 2018 هذا النظام بأكمله. تكمن قيمته كحالة مساءلة في الطريقة التي كشف بها شرط صغير مجدول عن نطاق فشل مشترك كبير.