Getty Images/iStockphoto
Falha em software de segurança provoca caos internacional
Uma atualização do serviço Falcon da Crowdstrike fez com que muitos usuários do Windows não conseguissem trabalhar esta manhã. Microsoft 365 também é afetado. Aqui explicamos o que aconteceu e compartilhamos a opinião de especialistas no assunto.
Nesta sexta-feira, 19, um apagão cibernético de grande escala está causando atrasos significativos em voos e impactando serviços bancários e de comunicação ao redor do mundo. Diversos países, incluindo Estados Unidos, Reino Unido, Austrália, Espanha, e outros, estão enfrentando problemas técnicos que afetam redes de televisão, aeroportos, operadoras ferroviárias, bolsas de valores, entre outros serviços essenciais.
A extensão e a gravidade dos problemas permanecem significativas, com grandes companhias aéreas como American, United e Delta suspendendo todos os voos nos EUA. Problemas técnicos também foram reportados em aeroportos no Brasil, Europa, Índia, Hong Kong, Sydney, Berlim, Amsterdã e Singapura.
A BBC informou que a Sky News e várias companhias aéreas, incluindo a KLM, foram afetadas pela interrupção. Alguns serviços estão online novamente, mas outros ainda estão sendo consertados.
No Brasil, clientes de alguns bancos relataram que serviços e aplicativos estavam fora do ar. O site Downdetector, que monitora problemas em canais digitais, registrou reclamações em pelo menos quatro instituições financeiras. Bancos como Bradesco, Banco do Brasil, Neon, Next e Banco Pan estiveram fora do ar. Além dos bancos, houve atrasos de voos no Aeroporto de Viracopos, em Campinas. De acordo com a administradora do terminal, o problema global afetou o sistema da Azul Linhas Aéreas, que opera 95% dos voos em Viracopos.
A autoridade nacional de cibersegurança da Austrália confirmou que várias empresas foram impactadas por esse apagão técnico em larga escala.
O Microsoft 365 também ficou offline a partir das 22h da noite passada devido ao que a empresa disse ser “uma mudança de configuração”. O serviço foi restaurado, mas às 9h de hoje vários produtos da Microsoft ainda estavam afetados. Existem também vários relatos na internet de que usuários da Microsoft em todo o mundo, incluindo governos e companhias aéreas, sofreram interrupções.
Victor Rizzo, diretor de Inovação da E-Xyon, e especialista em inteligência artificial e segurança cibernética, destaca a dependência atual da sociedade em relação à internet e os impactos de uma pane dessa magnitude, como a queda da internet em larga escala. “Existe hoje uma enorme dependência, em todos os setores da economia, do acesso à internet. Embora a internet tenha sido criada para ser uma estrutura muito resiliente, na prática ela está se mostrando frágil e vulnerável”, afirma.
O que aconteceu?
A Microsoft identificou a causa raiz da interrupção como alterações de configuração feitas em uma parte de suas cargas de trabalho de back-end do Azure, que causaram interrupção entre recursos de armazenamento e computação, resultando em falhas de conectividade que afetaram os serviços downstream do Microsoft 365 dependentes dessas conexões.
Acredita-se que a mudança de configuração envolveu a segurança cibernética do CrowdStrike, que causou conflitos em máquinas que rodam Windows. Essas máquinas entraram em um loop de erro e reinicialização, resultando em interrupções de serviço.
Segundo Alberto Leite, especialista em cibersegurança e fundador do Grupo FS, aparentemente, é uma falha operacional. “A tese de falha é reforçada pelo fato dos sistemas voltarem a funcionar ao retornar para a versão anterior. Uma atualização de software emitida pela CrowdStrike parece ser a raiz do problema, resultando em falhas em máquinas que operam o Windows, da Microsoft”.
Enquanto isso, Thoran Rodrigues, especialista em tecnologia e CEO da BigDataCorp, indicou que a falha está relacionada a uma atualização problemática do software Falcon Sensor da CrowdStrike.
Umberto Rosti, CEO da Safeway, empresa do Grupo Stefanini, disse: “a falha na última versão da atualização deles para a plataforma Windows. Só afeta a plataforma Windows, não atinge outras plataformas. A falha faz com que o PC fique inoperante com a famosa tela azul. A solução de contorno já foi disponibilizada por eles. É preciso localmente, em cada estação, entrar no modo de segurança e aplicar a solução”, destaca.
Crowdstrike informou que a causa subjacente da interrupção em massa foi identificada e corrigida, mas que os impactos residuais continuam a afetar algumas áreas. “Os nossos serviços continuam observando melhorias contínuas enquanto seguimos adotando medidas de mitigação”, afirmaram.
Um usuário do X (anteriormente Twitter) postou uma captura de tela da solução alternativa de suporte do CrowdStrike, que a empresa disse estar relacionada ao seu sensor Falcon. A empresa também lançou uma atualização que está disponível online, mas alguns usuários podem descobrir que não conseguem fazer seus PCs carregarem o Windows. A solução alternativa recomendada pela CrowdStrike para fazer o Windows funcionar novamente envolve inicializar o PC no “modo de segurança” e excluir um arquivo de sistema da pasta CrowdStrike. Os usuários então precisam reiniciar o PC normalmente.
Mais tenha cuidado: Tom Henson, diretor administrativo da Emerge Digital, disse: “Se os sistemas ainda estiverem acessíveis, lançar uma nova atualização será suficiente. No entanto, se o software defeituoso fizer com que os sistemas fiquem totalmente off-line, a resolução poderá ser demorada, pois cada empresa precisará reverter manualmente, em vez de receber uma atualização do fornecedor. Os sistemas offline não podem ser atualizados.”
Para Leite, do Grupo FS, a solução para o problema pode ser simples, mas o mercado precisa entender como isso aconteceu. "A pergunta que fica é: como esse arquivo defeituoso, que não era nem para estar aí, foi parar lá? Pode ter havido um erro humano na hora de codificar e construir o drive, mas é pouco provável. Provavelmente nunca vamos saber a exata razão", comenta.
Fornecedores de segurança de TI avaliam as consequências do incidente
A interrupção destaca os riscos de haver um único ponto de falha. A Microsoft projetou o Windows de forma que os usuários do Windows recebam atualizações automáticas e patches de segurança. Embora isso seja benéfico para manter os PCs protegidos contra ataques cibernéticos, se tal atualização fizer com que o PC trave, como ocorreu com esta última interrupção, os administradores de PC terão um incidente grave para resolver.
Segundo Umberto Rosti, da Safeway, a “CrowdStrike é a ferramenta mais utilizada no ambiente empresarial e uma das líderes mundiais. Esse tipo de incidente já aconteceu com outras ferramentas de mercado. Por isso, como procedimento recomendamos que toda atualização seja testada em um ambiente controlado antes de disponibilizar no ambiente de produção. O importante é que as corporações tenham procedimentos de identificação e rescaldo de problemas, ou seja, medidas para conseguir recuperar e lidar com incidentes”.
Embora a CrowdStrike tenha afirmado não se tratar de um ataque, este incidente revela a fragilidade que ainda existe, mesmo entre as maiores empresas, quando se trata de segurança digital em plataformas.
“Se grandes corporações estão enfrentando dificuldades, podemos imaginar a vulnerabilidade das empresas menores, especialmente na América do Sul, onde os protocolos de segurança no local de trabalho ainda apresentam significativas deficiências”, diz eles do Zoho Corporation.
Uma pesquisa recente da Zoho, intitulada "Relatório de Conscientização sobre Segurança de E-mail 2023", destaca uma realidade preocupante: entre as Pequenas e Médias Empresas (PMEs) na América do Sul, as organizações brasileiras exibem um nível de conscientização alarmante de apenas 37,7%. Esse número coloca as empresas do Pais em uma desvantagem significativa em comparação com outras regiões mais desenvolvidas.
Mark Lloyd, gerente da unidade de negócios da Axians UK, disse: “a interrupção é um lembrete claro de como o mundo é dependente dos serviços em nuvem. Desde ferramentas de produtividade até infraestrutura crítica, uma grande parte da tecnologia é executada em plataformas de nuvem. Esta interrupção mostra o imenso poder e alcance que esses serviços mantêm. “Mesmo os maiores gigantes da tecnologia não estão imunes a interrupções, e a necessidade de redundância robusta e planos de recuperação de desastres em todos os níveis é mais crítica do que nunca.”
Thoran Rodrigues, da BigDataCorp, indicou que “o ocorrido evidencia os riscos inerentes à interação entre diferentes componentes de software nos sistemas que usamos no dia a dia. Atualmente, muitos programas são atualizados automaticamente, e uma atualização não testada adequadamente pode gerar impactos significativos, como foi o caso da atualização do software da CrowdStrike. É fundamental que empresas e governos revisem seus protocolos de segurança e planos de contingência para mitigar riscos semelhantes no futuro.”
Rodrigues também destacou a importância de adotar estratégias de atualização que minimizem riscos: “Há métodos que permitem a aplicação gradual e monitorada de atualizações, conhecidos como 'rolling updates'. Isso evita que falhas em sistemas críticos causem interrupções generalizadas.
Em um mundo cada vez mais hiperconectado, estamos cada mais suscetíveis a esses acontecimentos, que exigem, cada vez mais, investimentos em governança e planos de contingência. Por isso, Alberto Leite do FS ressalta a importância de também promover uma discussão em torno dos frequentes ciberataques que têm ocorrido ao redor do mundo.
Apagão cibernético mostra a importância de manter segurança atualizada em conformidade com a LGPD
A falha da CrowdStrike demonstra que mesmo empresas de grande porte não estão imunes a problemas de segurança. Para a especialista Marcia Ferreira, gerente do Núcleo de Privacidade e Proteção de Dados da Nelson Wilians Advogados, a falha levanta questões importantes sobre segurança da informação e conformidade com a Lei Geral de Proteção de Dados (LGPD).
“A CrowdStrike precisa demonstrar que tomou medidas adequadas para mitigar os danos causados e garantir a proteção dos dados dos seus clientes”, afirma. Para a especialista, o incidente serve como um lembrete da importância em manter as medidas de segurança da informação atualizadas e adequadas, em linha com os princípios da LGPD. “As empresas precisam investir em soluções confiáveis, realizar testes regulares de vulnerabilidade e ter planos de resposta a incidentes robustos para garantir a proteção dos dados pessoais sob sua responsabilidade”, adverte.
Cuidado com ameaças de phishing relacionadas
O caso tem sido utilizado por hackers para ataques de phishing e ransomware. Paulo Teixeira, CTO da Clear IT, aponta: “Alerto que diante desse caos, o cibercrime está disparando diversas mensagens com "dicas" de resolução de problemas, mas que na realidade, são ataques virtuais disfarçados. Logo, é importante não clicar em qualquer link ou mensagem que porventura estejam recebendo sobre o atual problema ou alguma coisa relacionada à ele, pois o usuário pode cair num phishing ou até mesmo ser vítima de um ataque de ransomware. O ideal, nestes casos, é entrar em contato direto com o suporte oficial de cada marca”.
Com informações do artigo de Cliff Saran.