/cdn.vox-cdn.com/uploads/chorus_asset/file/25623451/DSCF0036.jpg?w=120&resize=120,86&ssl=1)
Enquanto as telas dos computadores em todo o mundo ficavam azuis na sexta-feira, os voos eram cancelados, o check-in nos hotéis era impossível e as entregas de carga eram interrompidas. As empresas recorreram à caneta e ao papel. E a primeira suspeita recaiu sobre algum tipo de ataque ciberterrorista. Mas a realidade era muito mais mundana: uma atualização de software malfeita da empresa de segurança cibernética CrowdStrike.
“Neste caso, foi uma atualização de conteúdo”, disse Nick Hyatt, diretor de inteligência de ameaças da empresa de segurança Blackpoint Cyber.
E como a CrowdStrike tem uma base de clientes tão ampla, a atualização de conteúdo foi sentida em todo o mundo.
“Um erro teve consequências catastróficas. “Este é um excelente exemplo de como a nossa sociedade moderna está interligada com a TI – desde cafés a hospitais e aeroportos, um erro como este tem um impacto enorme”, disse Hyatt.
Neste caso, a atualização de conteúdo estava vinculada ao software de monitoramento CrowdStrike Falcon. O Falcon, disse Hyatt, tem conexões profundas para monitorar endpoints – neste caso laptops, desktops e servidores – em busca de malware e outros comportamentos maliciosos. O Falcon se atualiza automaticamente para refletir novas ameaças.
“O código do bug foi lançado por meio do recurso de atualização automática e agora aqui estamos”, disse Hyatt. O recurso de atualização automática é padrão em muitos aplicativos de software e não é exclusivo do CrowdStrike. “Acontece que por causa do que a CrowdStrike está fazendo, as consequências são catastróficas”, acrescentou Hyatt.
Erros de tela azul aparecem nas telas dos computadores devido à interrupção global das comunicações causada pela CrowdStrike, que fornece serviços de segurança cibernética à empresa de tecnologia norte-americana Microsoft, em 19 de julho de 2024 em Ancara, Turquia.
Harun Ozalp | Anadolú | Imagens Getty
Embora a CrowdStrike tenha identificado rapidamente o problema e muitos sistemas tenham voltado a funcionar em poucas horas, a cascata global de danos às empresas com sistemas complexos não pode ser facilmente revertida.
“Esperamos que levará de três a cinco dias para resolver a situação”, disse Eric O’Neill, ex-agente de contraterrorismo e contrainteligência do FBI e especialista em segurança cibernética. “Isso significa muito tempo de inatividade para as empresas.”
O fato de a interrupção ter acontecido numa sexta-feira do verão, quando muitos escritórios estavam vazios e havia falta de recursos de TI para resolver o problema, não ajudou, disse O’Neill.
As atualizações de software devem ser implementadas gradualmente
Uma lição da interrupção global de TI é que a atualização do CrowdStrike deveria ter sido implementada gradualmente, disse O’Neill.
“A Crowdstrike distribuiu suas atualizações para todos de uma vez. Essa não é a melhor ideia. Envie para um grupo e teste. Existem diferentes níveis de controle de qualidade pelos quais ele deve passar”, disse O’Neill.
“Ele deveria ter sido testado em muitos ambientes antes de ser lançado em sandboxes”, disse Peter Avery, vice-presidente de segurança e conformidade da Visual Edge IT.
Ele acredita que são necessárias mais medidas de segurança para evitar futuros incidentes onde erros deste tipo se repitam.
“As empresas precisam dos mecanismos de controle corretos. Pode ter sido uma única pessoa que decidiu lançar esta atualização ou alguém selecionou o arquivo errado para executar”, disse Avery.
Na indústria de TI, isso é chamado de falha de ponto único – uma falha em uma parte do sistema que causa um desastre técnico em todos os setores, funções e redes de comunicação interconectadas; um enorme efeito dominó.
Apelo à construção de redundância em sistemas de TI
Os eventos de sexta-feira poderão levar as empresas e os indivíduos a aumentar a sua preparação cibernética.
“O quadro geral mostra quão frágil é o mundo; não é apenas um problema cibernético ou técnico. Existem muitos fenómenos diferentes que podem causar uma interrupção, como explosões solares que podem prejudicar as nossas comunicações e electrónica”, disse Avery.
Em última análise, o colapso de sexta-feira não é uma acusação à Crowdstrike ou à Microsoft, mas à forma como as empresas veem a segurança cibernética, disse Javed Abed, professor assistente de sistemas de informação na Johns Hopkins Carey Business School. “Os proprietários de empresas devem parar de ver os serviços de segurança cibernética apenas como um custo, mas sim como um investimento essencial no futuro dos seus negócios”, disse Abed.
As empresas deveriam fazer isso incorporando redundância em seus sistemas.
“Um único ponto de falha não deveria ser capaz de paralisar um negócio, e foi exatamente isso que aconteceu”, disse Abed. “Você não pode confiar em apenas uma ferramenta de segurança cibernética, a cibersegurança 101”, disse Abed.
Embora a criação de redundância em sistemas empresariais seja dispendiosa, o que aconteceu na sexta-feira foi ainda mais dispendioso.
“Espero que este seja um alerta e que leve a uma mudança de pensamento entre os empresários e as organizações, para que repensem as suas estratégias de segurança cibernética”, disse Abed.
O que fazer com o código em nível de kernel?
A um nível macro, a culpa sistémica pode certamente ser atribuída às TI corporativas, uma vez que a cibersegurança, a segurança dos dados e a cadeia de abastecimento técnica são frequentemente vistas como “bons de ter”, em vez de essenciais. As empresas também carecem de liderança geral em segurança cibernética, diz Nicholas Reese, ex-funcionário do Departamento de Segurança Interna e professor do Centro SPS para Assuntos Globais da Universidade de Nova York.
No nível micro, disse Reese, o código que causou essa interrupção foi o código no nível do kernel que afetou todos os aspectos da comunicação de hardware e software do computador. “O código em nível de kernel deve estar sujeito ao mais alto nível de escrutínio”, disse Reese, sendo a aprovação e a implementação processos totalmente separados com responsabilidade.
Esse problema persistirá em todo o ecossistema, que está repleto de produtos de terceiros, todos com vulnerabilidades.
“Como podemos olhar para o ecossistema de terceiros e ver onde estará a próxima vulnerabilidade? “É quase impossível, mas temos que tentar”, disse Reese. “Não é um talvez, mas uma certeza até lidarmos com o número de vulnerabilidades potenciais. Precisamos de nos concentrar e investir em backup e redundância, mas as empresas dizem que não podem dar-se ao luxo de pagar por coisas que poderão nunca acontecer. Isso é difícil de justificar”, disse ele.
&w=120&resize=120,86&ssl=1)
