Me responda uma coisa: 1% de milhões… é muita coisa para você? E quando esses 1% incluem apenas os itens mais relevantes de alguma coisa?
O mundo ainda está se recuperando do caótico incidente causado pela falha na atualização do CrowdStrike na última sexta-feira (19). O impacto global foi inédito, mas a Microsoft está relativizando os números.
Para a gigante de Redmond, está claro que, neste caso, não importa tanto a quantidade de sistemas afetados, mas sua relevância na indústria. Até porque 1% dos computadores mais importantes do planeta pode causar um cenário de caos, tal e como testemunhamos.
Número de dispositivos Windows afetados
De acordo com estimativas da Microsoft, o problema com a atualização do CrowdStrike “afetou 8,5 milhões de dispositivos Windows, menos de 1% de todas as máquinas com o sistema operacional”, conforme revelado em um artigo no blog oficial da empresa.
De novo: o baixo percentual de equipamentos afetados não é a parte mais importante dessa equação. A própria Microsoft destacou que “os amplos impactos econômicos e sociais refletem o uso do CrowdStrike por empresas que executam muitos serviços críticos”.
Aqui, devemos considerar que sistemas bancários, aeroportos e hospitais foram os mais impactados pela falha na atualização do sistema da CrowdStrike.
E se apenas 1% dos computadores com Windows causaram esse impacto todo no mundo real, imagine se isso acontece em uma escala maior, ou em um ataque de malware.
Funcionamento dos “Channel Files” do CrowdStrike
Os responsáveis pelo CrowdStrike publicaram mais detalhes sobre o problema, explicando melhor o funcionamento dos chamados “Channel Files”, um tipo de arquivo usado para atualizar os mecanismos de proteção do software de segurança Falcon.
As atualizações desses Channel Files são frequentes e “ocorrem várias vezes ao dia em resposta a novas táticas, técnicas e procedimentos descobertos pelo CrowdStrike”, conforme afirmado pela empresa.
Analistas de segurança explicaram que o erro parecia ser devido a uma referência a um endereço de memória inválido, causando o travamento dos sistemas operacionais.
O post do CrowdStrike confirmava essa teoria, indicando que a “atualização da configuração ativou um erro lógico que resultava em um travamento do sistema e em uma tela azul (BSOD) nos sistemas afetados”.
Em termos práticos, os equipamentos afetados entraram em looping de reinicialização, causando a famigerada tela azul da morte nos equipamentos afetados.
Muitos se perguntam por que os computadores domésticos não sofreram da falha da última sexta-feira. O motivo é bem simples: não contavam com o software da CrowdStrike em suas entranhas.
O Falcon Security é mais pensado nas grandes redes estruturadas, que precisam de uma proteção na nuvem para se tornar viável.
É só pensar em toda a demanda logística e financeira para atualizar cada máquina instalada ao redor do mundo, e fica fácil entender por que uma proteção na nuvem foi adotada.
O problema está resolvido?
Mais ou menos.
A atualização contornou os controles das empresas ao instalar atualizações com políticas “staging” (primeiro em servidores de teste, depois em pré-produção e, finalmente, em produção) e foi instalada em todos os lugares diretamente.
Se o mesmo acontece com a injeção de um malware no sistema da CrowdStrike, o estrago seria muito maior, com um roubo de dados em massa que afetaria milhões de computadores ao redor do mundo.
O mesmo tipo de problema aconteceu no passado com outras plataformas de caráter crítico, como a AWS: se os serviços na nuvem da Amazon caírem, a queda afeta uma infinidade de serviços online.
Tudo isso desperta reflexões sobre como a nossa dependência de alguns “poucos” sistemas críticos – poucos em comparação com as centenas de milhões de PCs com Windows, por exemplo – é absoluta, e a falha com o CrowdStrike demonstra isso.
Será que não está na hora de repensarmos essa ideia (agora, claramente infeliz) em deixar todos os nossos dados e sistemas mais importantes em poucas cestas?