Uma grande interrupção de TI está afetando sistemas de computadores no mundo todo. Na Austrália e Aotearoa, Nova Zelândia, relatórios indicam que computadores em bancos, organizações de mídia, hospitais, serviços de transporte, caixas de lojas, aeroportos e muito mais foram impactados.
A indisponibilidade de hoje não tem precedentes em sua escala e gravidade. O termo técnico para o que aconteceu com os computadores afetados é que eles foram “brickados”. Esta palavra se refere a esses computadores que ficaram tão inúteis por esta indisponibilidade que – pelo menos por enquanto – eles podem muito bem ser tijolos.
A indisponibilidade generalizada foi vinculada a um pedaço de software chamado CrowdStrike Falcon. O que é isso e por que causou uma interrupção tão generalizada?
O que é CrowdStrike Falcon?
CrowdStrike é uma empresa de segurança cibernética dos EUA com uma grande participação global no mercado de tecnologia. Falcon é um de seus produtos de software que as organizações instalam em seus computadores para mantê-los seguros contra ataques cibernéticos e malware.
Falcon é o que é conhecido como software de “detecção e resposta de endpoint” (EDR). Sua função é monitorar o que está acontecendo nos computadores em que está instalado, procurando por sinais de atividade nefasta (como malware). Quando detecta algo suspeito, ajuda a bloquear a ameaça.
Isso significa que Falcon é o que chamamos software privilegiado. Para detectar sinais de ataque, o Falcon precisa monitorar computadores em muitos detalhes, para que ele tenha acesso a muitos sistemas internos. Isso inclui quais comunicações os computadores estão enviando pela internet, bem como quais programas estão sendo executados, quais arquivos estão sendo abertos e muito mais.
Nesse sentido, o Falcon é um pouco como um software antivírus tradicional, mas com esteroides.
Mais do que isso, no entanto, ele também precisa ser capaz de bloquear ameaças. Por exemplo, se ele detectar que um computador que ele está monitorando está se comunicando com um hacker em potencial, o Falcon precisa ser capaz de desligar essa comunicação. Isso significa que o Falcon é firmemente integrado ao software principal dos computadores em que ele roda – Microsoft Windows.
Por que o Falcon causou esse problema?
Esse privilégio e integração estreita tornam o Falcon poderoso. Mas isso também significa que, quando o Falcon não funciona bem, ele pode causar problemas sérios. A interrupção de hoje é o pior cenário possível.
O que sabemos atualmente é que uma atualização do Falcon causou um mau funcionamento que fez com que computadores com Windows 10 travassem e não reiniciassem, levando à temida “tela azul da morte” (BSOD).
Este é o termo carinhoso usado para se referir à tela que é exibida quando os computadores Windows travam e precisam ser reiniciados – só que, neste caso, o problema do Falcon significa que os computadores não conseguem reiniciar sem encontrar o BSOD novamente.
Por que o Falcon é tão amplamente utilizado?
A CrowdStrike é líder de mercado em soluções EDR. Isso significa que seus produtos – como o Falcon – são comuns e provavelmente a escolha do grupo para organizações conscientes de sua segurança cibernética.
Como a interrupção de hoje mostrou, isso inclui hospitais, empresas de mídia, universidades, grandes supermercados e muitos mais. A escala total do impacto ainda não foi determinada, mas certamente é global.
Por que os PCs domésticos não são afetados?
Embora os produtos da CrowdStrike sejam amplamente implantados em grandes organizações que precisam se proteger de ataques cibernéticos, eles são muito menos usados em PCs domésticos.
Isso ocorre porque os produtos da CrowdStrike são personalizados para grandes organizações nas quais as ferramentas da CrowdStrike as ajudam a monitorar suas redes em busca de sinais de ataque e fornecem as informações necessárias para responder a intrusões em tempo hábil.
Para usuários domésticos, software antivírus integrado ou produtos de segurança oferecidos por empresas como Norton e McAfee são muito mais populares.
Quanto tempo levará para consertar isso?
Nesta fase, a CrowdStrike forneceu instruções manuais sobre como as pessoas podem corrigir o problema em computadores afetados individualmente.
No entanto, no momento em que este artigo foi escrito, ainda não parece haver uma correção automática para o problema. As equipes de TI em algumas organizações podem ser capazes de corrigir esse problema rapidamente, simplesmente limpando os computadores afetados e restaurando-os de backups ou similares.
Algumas equipes de TI também podem ser capazes de “reverter” (reverter para uma versão anterior) a versão afetada do Falcon nos computadores de suas organizações. Também é possível que algumas equipes de TI tenham que corrigir manualmente o problema nos computadores de suas organizações, um de cada vez.
Devemos esperar que em muitas organizações possa levar algum tempo até que o problema possa ser resolvido completamente.
O irônico sobre esse incidente é que profissionais de segurança têm encorajado organizações a implantar tecnologia de segurança avançada como EDR por anos. No entanto, essa mesma tecnologia agora resultou em uma grande interrupção como não víamos há anos.
Para empresas como a CrowdStrike, que vendem software de segurança altamente privilegiado, este é um lembrete oportuno para serem extremamente cuidadosos ao implantar atualizações automáticas em seus produtos.
Olá! Eu sou Renato Lopes, editor de blog com mais de 20 anos de experiência. Ao longo da minha carreira, tive a oportunidade de explorar diversos nichos, incluindo filmes, tecnologia e moda, sempre com o objetivo de fornecer conteúdo relevante e de qualidade para os leitores.