CrowdStrike e WannaCry: como um bug conseguiu ser pior que um ransomware? – EERBONUS
TESTE DO NOVO ANUNCIO

CrowdStrike e WannaCry: como um bug conseguiu ser pior que um ransomware?

O apagão cibernético da última sexta-feira (19) pegou o mundo de surpresa e gerou um pânico generalizado, mas não foi a primeira vez que um evento desse escopo atingiu o mundo. Em 2017, a rede mundial de computadores foi infectada pelo ransomware WannaCry, que interrompeu serviços de telecomunicações, transporte, governo, bancos e universidades no mundo inteiro.

Em 12 de maio de 2017, o WannaCry se espalhou por mais de 200 mil computadores distribuídos em 150 países. O malware atingiu usuários e instituições, incluindo FedEx, Honda, Nissan e Serviço Nacional de Saúde (NHS) do Reino Unido.

O WannaCry aproveitava vulnerabilidades no protocolo SMB (Server Message Block) no Windows para se disseminar dentro de uma rede. Com os privilégios do protocolo, o malware conseguiu executar código arbitrário, se espalhar para mais computadores e impactar mais serviços.

O erro gerado pela atualização do CrowdStrike Falcon interrompeu inúmeros serviços pelo mundo.Fonte:  GettyImages 

Contudo, a disrupção global é a única semelhança entre o caso de 2017 e o apagão de 2024. No caso da pane da CrowdStrike, não só o problema não foi causado por um ataque cibernético ou malware, como também teve proporção muito maior, atingindo cerca 8,5 milhões de computadores — todos com Windows.

Problemas diferentes, mesma consequência

Enquanto o WannaCry utilizou uma vulnerabilidade na rede mundial de computadores para infectar o máximo de máquinas possível, o problema do CrowdStrike foi o domínio da empresa sobre o mercado de segurança. Na pane recente, o apagão foi gerado pela distribuição de uma atualização problemática para o sistema Falcon, uma espécie de antivírus corporativo integrado à Azure, da Microsoft.

“São justamente aplicações como CrowdStrike Falcon que tentam proteger computadores desse tipo de malware [WannaCry]”, explicou o diretor de tecnologia da Sage Networks, Thiago Ayub, ao TecMundo. “É um caso em que o efeito colateral do remédio matou o paciente em vez de prevenir a doença”, comparou.

Em 2017, a crise internacional foi gerada pelo malware ransomware WannaCry.Em 2017, a crise internacional foi gerada pelo malware ransomware WannaCry.Fonte:  GettyImages 

A principal função do Falcon é impedir que malwares se espalhem dentro de uma rede corporativa. O sistema monitora e, se detectada alguma ameaça, interrompe a comunicação com aquele terminal, isolando o dispositivo do resto dos computadores.

Ainda que o golpe não tenha vindo de fora, mas de dentro dos mecanismos de segurança, a consequência da pane foi grave. “Nas guerras, há a expressão ‘fogo-amigo’ para designar os tiros vindo de aliados, não do inimigo. Apesar do amargor que as equipes de TI sentiram ao terem uma pane generalizada causada por um produto caro que deveria protegê-las justamente desse tipo de incidente, a consequência prática é a mesma: o transtorno da indisponibilidade dos sistemas”, pontuou Ayub.

Segundo a CrowdStrike, um bug na etapa de controle de qualidade de updates fez com que a compilação fosse entregue em massa para os sistemas embarcados com o Falcon. Dentro do pacote, havia uma referência para um endereço de memória inutilizado e fora dos limites do programa, gerando o que é conhecido na computação como “Exceção”.

O erro do sistema Falcon foi causado pela ocorrência de uma exceção não devidamente tratada.O erro do sistema Falcon foi causado pela ocorrência de uma exceção não devidamente tratada.Fonte:  GettyImages 

Como consequência do erro, o Windows não permitia a reinicialização do computador. Assim, vários dispositivos de serviços como bancos, servidores e aeroportos ficaram inoperantes ao mesmo tempo.

WannaCry foi malware, CrowdStrike foi monopólio

Diferentemente do WannaCry, a solução não foi alcançada com engenharia reversa, mas o isolamento do problema e a distribuição agressiva de uma correção urgente. Dado o alcance do problema, os efeitos dele perduraram por dias, e a Microsoft e a CrowdStrike tiveram que cooperar com seus clientes para restabelecer serviços.

Ainda que os motivos sejam distintos, a disseminação massiva do problema reforça: a internet conecta praticamente o mundo inteiro. Os problemas gerados pela atualização corrompida da CrowdStrike gerou problemas em inúmeros sistemas integrados através da Azure, enquanto a interconexão entre dispositivos possibilitou que o WannaCry se espalhasse e fizesse ainda mais vítimas.

Enquanto o WannaCry foi um ataque cibernético, a crise do CrowdStrike foi uma consequência do mercado.Enquanto o WannaCry foi um ataque cibernético, a crise do CrowdStrike foi uma consequência do mercado.Fonte:  GettyImages 

No caso do CrowdStrike, a solução não é para a tecnologia, mas para o mercado. “Para praticamente tudo há alternativas para redundância, um plano B, mas os compradores (sejam empresas ou usuários) não costumam dar atenção a isso ou estão indispostos a arcar com o investimento”, disse Ayub.

Ter uma alternativa disponível para emergências no mundo corporativo é tão importante quanto para o consumidor final. Ayub lembra que apagões de serviços acontecem de tempos em tempos, como já ocorreu nas plataformas da Meta, mas que pessoas e organizações não tomaram providências para se proteger de reincidências.

É importante considerar soluções alternativas

Segundo Ayub, é importante elaborar planos alternativos para operar durante a indisponibilidade de sistemas digitais. Na entrevista, ele menciona que algumas companhias aéreas na Índia embarcaram passageiros usando papel e caneta — uma solução básica, mas eficiente para contornar emergências como a pane do CrowdStrike Falcon.

No Chrome, o sistema não recebe atualizações em sua partição crítica, mas na sua versão "espelhada".No Chrome, o sistema não recebe atualizações em sua partição crítica, mas na sua versão “espelhada”.Fonte:  GettyImages 

Ele reforça que o departamento de TI precisa ser considerado uma parte essencial de empresas, sendo incluído na tomada de decisões em reuniões estratégicas e considerado um investimento. “Há ainda uma diferença cultural e tecnológica grande entre as empresas comuns e aquelas que possuem TI como atividade fim”, pontuou o executivo.

Uma possibilidade para remediar situações como a crise de sexta-feira (19) é a redundância estruturada em sistemas como o ChromeOS, o sistema para PCs do Google. Nele, qualquer atualização é feita em uma instância separada da versão em uso do SO, como uma espécie de espelho.

Se o sistema não inicializar quando o boot acontecer no estado B, ele automaticamente volta para a instância A, assim retrocedendo a compilação problemática e voltando a funcionar normalmente — e essa é uma solução voltada para o consumidor final.

Diante da crise mais recente, é possível que corporações agora se atentem para a implementação de mecanismos emergenciais, mas só o tempo dirá se essas soluções realmente serão integradas.

FONTE

Deixe um comentário