Matéria traduzida e adaptada do inglês, publicada pela matriz americana do Epoch Times.
À medida que empresas e órgãos governamentais de todo o mundo se esforçam para restaurar seus sistemas de computador após a interrupção global da semana passada causada por uma atualização de software defeituosa, estão sendo levantadas questões sobre se os protocolos adequados para atualizações foram seguidos.
Simultaneamente, os analistas de tecnologia estão levantando preocupações sobre a extensão da crescente dependência dos Estados Unidos em relação a um oligopólio de empresas de computação em nuvem.
Uma atualização de software antivírus emitida em 19 de julho pela CrowdStrike, uma das maiores empresas de segurança cibernética, causou o travamento de mais de um bilhão de computadores baseados no Windows, interrompendo operações essenciais em aeroportos, hospitais, centros de emergência, departamentos de polícia, trens, prisões e outros serviços municipais, bem como operações corporativas.
A empresa emitiu várias desculpas desde o evento e se comprometeu a resolver os problemas, muitos dos quais não podem ser feitos por meio de atualizações em todo o sistema, mas exigem correções em computadores individuais.
O diretor de segurança da CrowdStrike, Shawn Henry, declarou em um post no LinkedIn: “Na sexta-feira, falhamos com vocês e, por isso, lamento profundamente.
“A confiança que construímos em gotas ao longo dos anos foi perdida em baldes em poucas horas, e foi um soco no estômago”, escreveu Henry. “Mas isso não é nada em comparação com a dor que causamos aos nossos clientes e parceiros”.
Especialistas em segurança cibernética levantaram questões sobre se a CrowdStrike pode ter contornado os procedimentos de práticas recomendadas ao circular a atualização de 19 de julho.
“Para mim, a advertência é o básico: patches, atualizações e, em sistemas comerciais essenciais, reservar 10 minutos para testá-los”, disse Robert Thomas, proprietário da 180A Consulting, uma empresa de segurança cibernética, e ex-funcionário do Departamento de Defesa, ao Epoch Times.
“Em um minuto, você faz o download do patch; em outro minuto, você instala o patch em um sistema de teste; em mais um minuto, você reinicia o sistema e, em seguida, executa testes em seus aplicativos de software essenciais para os negócios”.
O Center for Internet Security (CIS) e o National Institute of Standards and Technology (NIST) criaram protocolos padrão sobre como as atualizações de software devem ser conduzidas. Se eles tivessem sido seguidos, disse Thomas, as falhas na atualização deveriam ter se tornado aparentes antes de ela ser distribuída aos usuários.
“As atualizações de software, de acordo com as práticas recomendadas/protocolo, devem passar por vários estágios de teste antes de chegar ao cliente”, disse Tom Marsland, gerente de treinamento e projetos da Cloud Range e autor de “Unveiling the NIST Risk Management Framework”, ao Epoch Times.
“Isso incluiria testes unitários automatizados no código, revisões de segurança e testes dentro da equipe da CrowdStrike [e] somente depois que essas ações forem concluídas é que um patch deve ser implementado para os clientes”, afirmou Marsland. Além disso, as atualizações devem ser lançadas inicialmente para um grupo menor de clientes e depois expandidas, em vez de serem enviadas amplamente de uma só vez.
“No caso da atualização do CrowdStrike na sexta-feira, não parece que essas práticas tenham sido seguidas”, disse Marsland.
Em sua análise pós-incidente publicada em 24 de julho, a CrowdStrike disse: “Devido a um bug no Validador de Conteúdo, uma das duas [atualizações] passou na validação apesar de conter dados de conteúdo problemáticos”.
Os “efeitos em cascata” da atualização defeituosa
De acordo com uma avaliação do CIS, os efeitos da atualização defeituosa se tornaram aparentes logo após a meia-noite do dia 19 de julho, horário da costa leste dos EUA, quando os computadores que operavam com o software Windows da Microsoft que implementavam atualizações do software de segurança Falcon da CrowdStrike ficaram inoperantes.
A atualização circulou por cerca de uma hora e meia até que a falha foi descoberta e a atualização foi “revertida”, afirmou o CIS. “Desde então, a CrowdStrike emitiu uma solução alternativa que requer correção manual para cada dispositivo afetado”.
A CrowdStrike rapidamente garantiu aos clientes que a interrupção não foi um ataque de segurança cibernética, mas os analistas de tecnologia apontaram a ironia do dano causado por uma empresa que havia sido contratada para proteger os clientes de tais ataques.
“Se você observar a infraestrutura essencial que está sendo afetada, isso realmente causará danos.” Rex Lee, consultor e segurança,
“Estão dizendo que não se trata de um ataque à segurança cibernética, mas o resultado líquido foi o mesmo de um ataque à segurança cibernética”, disse Rex Lee, consultor de segurança para empresas e governos, à NTD News, uma afiliada do Epoch Times. “Estamos falando de agências governamentais, estamos falando de empresas da Fortune 500, companhias aéreas… os efeitos em cascata disso são inacreditáveis.
“Se você observar a infraestrutura essencial que está sendo afetada, isso realmente causará danos e as pessoas podem estar morrendo como resultado disso, porque os socorristas estão sendo afetados, os hospitais estão sendo afetados”, disse Lee. “Não saberemos o dano total de tudo isso, mas entrará para a história como o maior erro e/ou interrupção na história da Internet”.
A mudança de empresas e órgãos governamentais para a computação em nuvem tem sido rápida e continua a se acelerar.
Os gastos globais com serviços em nuvem devem crescer mais de 20% em 2024, atingindo um total de US$ 678,8 bilhões, acima dos US$ 563,6 bilhões em 2023, de acordo com uma previsão de novembro de 2023 da Gartner, Inc., uma empresa de análise tecnológica.
“A nuvem se tornou essencialmente indispensável”, afirmou Sid Nag, analista vice-presidente da Gartner, no relatório.
Mas a interrupção da semana passada destacou a questão das vulnerabilidades da empresa e da sociedade, devido ao fato de os serviços de computação em nuvem serem controlados por um pequeno número de provedores.
Um relatório de janeiro de Stephan von Watzdorf, especialista em segurança cibernética da Swiss Re, uma seguradora global, destacou que as vulnerabilidades dos serviços em nuvem estão concentradas essencialmente em três empresas.
“Há uma década, as empresas não tinham certeza se a expansão da computação em nuvem por gigantes da tecnologia como Google, Microsoft e Amazon era apenas uma tendência passageira ou uma mudança duradoura”, afirmou Von Watzdorf. “Hoje, empresas de todo o mundo adotaram a nuvem em massa, reconhecendo-a como um componente vital da transformação digital bem-sucedida”.
“No entanto, a concentração de serviços em três provedores dominantes criou novos riscos, que são relevantes para o setor de resseguros”, afirmou. “Se os serviços em nuvem caírem, o risco de acumulação recairá sobre as resseguradoras que oferecem produtos de seguro cibernético comercial”.
Riscos sociais e de segurança nacional
As agências governamentais também estão avaliando os riscos da computação em nuvem e da consolidação tecnológica.
No dia da interrupção, um funcionário sênior da Casa Branca declarou que “a Casa Branca tem reunido agências para avaliar os impactos nas operações e entidades do governo dos EUA em todo o país”.
Em meio à pressa de transferir as operações para a nuvem, a interrupção do CrowdStrike provavelmente estimulará os usuários a reavaliar a extensão de sua dependência de um ou poucos provedores de serviços e sua capacidade de resistir aos erros dos provedores.
“Estamos chegando a um ponto em que a centralização excessiva nos torna menos ‘curáveis’ e menos resilientes”, disse Thomas. “Estamos perdendo nossa resiliência como nação”.
“Os benefícios da nuvem versus os riscos é algo que cada organização deve responder por si mesma.” Tom Marsland, gerente de treinamento e projetos da Cloud Range.
Após a interrupção do CrowdStrike, as empresas e os governos agora estão percebendo os riscos, bem como os benefícios.
“Existem riscos sociais e de segurança nacional absolutos em colocar todos os ovos em uma única cesta de fornecedores, e acho que isso foi claramente indicado nas últimas 72 horas, quando suspendemos a maioria dos voos em todo o país”, disse Marsland.
“Os benefícios da nuvem versus os riscos é algo que cada organização deve responder por si mesma”, disse Marsland. “Para as organizações que buscam uma base de clientes mais ampla, os benefícios superam de fato os riscos, mas essas organizações podem se dar ao luxo de contratar especialistas em segurança na nuvem”.
Em um nível pessoal, as pessoas que armazenam seus dados na nuvem também enfrentam riscos.
De acordo com um relatório de 2023 do Escritório de Segurança da Informação da Universidade do Texas, esses riscos incluem riscos de segurança, riscos de privacidade e riscos de confiabilidade.
Os riscos de segurança incluem a exposição de dados pessoais “por meio de uma violação de segurança ou incompetência por parte do provedor de serviços em nuvem”, afirma o relatório, bem como o compartilhamento de suas informações pessoais com outras empresas, órgãos governamentais ou funcionários do provedor de serviços em nuvem, além de malware ou phishing que poderiam obter acesso às suas informações.
As políticas de privacidade dos fornecedores de serviços em nuvem “revelam que o fornecedor, independentemente de qualquer alegação em contrário ou do uso de criptografia, tem a capacidade de descriptografar e acessar quaisquer dados armazenados sempre que julgar necessário”, afirma o relatório.
Para as empresas que agora estão tentando colocar seus sistemas de computador novamente on-line, surgiram novos riscos de hackers que procuram aproveitar a oportunidade que a interrupção abriu para eles.
“Ao corrigir os sistemas afetados, as organizações devem estar cientes de que o CIS detectou várias campanhas de phishing e domínios falsificados criados por agentes de ameaças em uma tentativa de engenharia social e comprometimento das organizações afetadas pela interrupção”, declarou o CIS.
A CrowdStrike supostamente representa cerca de 15% do mercado de segurança cibernética, atendendo a organizações maiores e ficando atrás apenas da Microsoft, que tem uma participação de mercado de aproximadamente 40%, de acordo com a Gartner. O preço de suas ações caiu mais de 25% desde a interrupção.
As especulações têm se concentrado na capacidade da empresa de enfrentar a crise atual, reter clientes e continuar a expandir seus negócios. Mas, além disso, a CrowdStrike pode estar enfrentando contas substanciais de sua clientela.
Escritórios de advocacia de todo o país já anunciaram investigações sobre os danos causados pela interrupção, um provável prelúdio para ações judiciais coletivas.
A CrowdStrike perdeu um quinto do valor de suas ações após o desastre. Em 24 de julho, a empresa prometeu reformar a maneira como emite atualizações de conteúdo crítico.
Especificamente, a empresa disse que está planejando implementar uma “estratégia de implementação escalonada” para futuras atualizações, enviando-as primeiro para apenas um punhado de máquinas antes de uma implementação global. Esse método é conhecido no setor como “implantação canário”.
A CrowdStrike também “aprimorará o tratamento de erros existente no Content Interpreter”, que faz parte do Falcon Sensor.
A CrowdStrike também prometeu usar seres humanos para testar seu Rapid Response Content, adicionar verificações de validação extras ao validador de conteúdo e dar aos clientes a opção de decidir quando e onde essas atualizações serão implantadas.
