CrowdStrike um ano depois: o que aconteceu e o que mudou após o bug cibernético do século

Há um verão, na noite de 19 de julho, o mundo da tecnologia e outros setores foram abalados por um evento inequivocamente descrito como "Segunda-feira Negra" pela CrowdStrike, empresa americana especializada em soluções de segurança cibernética. Do que estamos falando? De uma falha massiva de TI atribuída a uma atualização defeituosa do software de proteção de endpoint "Falcon", que afetou milhões de dispositivos Windows e paralisou milhares de empresas em todo o mundo. Hoje, doze meses depois, é hora de fazer um balanço: o que exatamente aconteceu e, acima de tudo, mudou alguma coisa (e por quê) no cenário da segurança cibernética?

PCs pararam de funcionar repentinamente, impressoras ficaram inutilizáveis e servidores travaram, tudo em poucas horas. Foi exatamente isso que aconteceu devido a um erro durante uma atualização do banco de dados de ameaças, que desencadeou uma onda de falsos positivos. Em outras palavras, o software projetado para proteger os sistemas contra ataques identificou incorretamente arquivos legítimos e componentes críticos de computadores Windows e máquinas virtuais como ameaças, bloqueando sua execução. Tecnicamente, ocorreu uma BSOD (Tela Azul da Morte), e o impacto foi imediato e devastador, com empresas de todos os portes e em vários setores (incluindo bancos, hospitais e transporte) encontrando suas infraestruturas de TI (quase) completamente paralisadas. Dezenas de milhares de organizações foram afetadas, com perdas econômicas estimadas em milhões e milhões de dólares, mesmo nas primeiras horas após o incidente, devido à suspensão forçada das operações. Da Europa aos Estados Unidos, onde também houve problemas com as linhas conectadas ao 911, o número de telefone dedicado a emergências, houve uma sucessão de interrupções no serviço e entre as imagens mais emblemáticas do desastre estão as dos aeroportos, com enormes filas nos portões de embarque e balcões de check-in.

Desde o início, diversos veículos de comunicação de tecnologia destacaram, mesmo de forma dramática, um fator "desconhecido" ou quase desconhecido do público em geral: a dependência excessiva das infraestruturas digitais modernas em relação a poucos fornecedores de segurança cibernética (a Crodstrike detinha cerca de 15% do valor de mercado do setor há um ano). Afinal, uma vulnerabilidade tão disseminada quanto a que afeta o software de monitoramento de ameaças da empresa texana ocorreu muito raramente, como em 2003 com o ransomware WannaCry. Mas, diferentemente desses dois incidentes, a falha não foi desencadeada por código malicioso distribuído por cibercriminosos, mas sim por uma plataforma antivírus que utiliza acesso profundo aos sistemas de endpoint (laptops, servidores e roteadores) para detectar malware e atividades suspeitas que possam indicar um comprometimento. Mas é justamente esse nível de acesso constante, extenso e altamente sensível exigido pelo software de segurança para intervir antes que qualquer programa malicioso seja instalado no sistema (acessando as áreas onde os invasores podem tentar inserir código malicioso) que aumenta as chances de que o próprio software e suas atualizações possam travar toda a arquitetura de TI. E foi isso que aconteceu em 19 de julho, há um ano. O próprio CEO da Crowdstrike, George Kurtz, explicou publicamente que a falha foi causada por um "defeito" no código do software, descartando a possibilidade de um ataque cibernético e efetivamente confirmando que se tratava de uma atualização marcada por um bug (um "erro de lógica", como foi classificado) em um dos produtos de sua empresa, o Falcon. A Microsoft, por sua vez, reiterou em um comunicado que "a atualização do software foi responsável pela interrupção de vários sistemas de computador em todo o mundo", embora admitisse que a empresa não tinha supervisão das atualizações realizadas pela Crowdstrike em seus sistemas.

A resposta da CrowdStrike ao problema foi imediata, embora prejudicada pela comunicação inicialmente fragmentada com as empresas clientes, dada a escala do desastre. Isso resultou no lançamento de atualizações corretivas em poucas horas para mitigar os danos. O incidente, como era de se esperar, abriu caminho para discussões intensas sobre uma questão fundamental de segurança cibernética: metodologias de teste e lançamento de atualizações de software. O que o incidente de doze meses atrás destacou claramente, segundo vários especialistas, é a extrema sensibilidade de qualquer modificação feita em sistemas de proteção que operam em um nível tão profundo da infraestrutura de TI, potencialmente comprometendo sua funcionalidade. A necessidade de ambientes de preparação mais robustos (espaços digitais protegidos para testar um novo site ou atualizações de software) e estratégias de reversão mais eficazes (planos que definem como restaurar um sistema ou aplicativo após uma operação indesejada) ascendeu, compreensivelmente, ao status de prioridade indiscutível, levando muitas empresas a reexaminar seus processos internos. No entanto, é difícil extrair uma "lição aprendida" que resolva radicalmente esse tipo de problema, porque falhas de TI semelhantes continuarão a ocorrer, especialmente devido à digitalização e à interconexão contínuas que afetam todos os setores e indústrias. Muitos ainda estão convencidos de que a CrowdStrike poderia ter evitado o incidente, mas nunca antes o programa Falcon havia encontrado problemas, e a distribuição de atualizações com falhas durou apenas cerca de uma hora e meia — tempo suficiente para desativar milhões de computadores em todo o mundo. Alguns, poucas horas após a "Segunda-feira Negra", enfatizaram a possibilidade de implementar atualizações gradualmente ou mesmo após aprovação manual. No entanto, a necessidade de responder rapidamente a vulnerabilidades e ameaças emergentes (pense particularmente em malwares de alto impacto como o WannaCry) tornou essa prática gradualmente menos rotineira. A questão de conceder acesso ao kernel do Windows (o programa central do sistema operacional que geralmente tem controle total sobre todo o sistema) a um parceiro externo como a Crowdstrike também foi alvo de controvérsia. No entanto, a própria Microsoft destacou que essa autorização era, na verdade, resultado de um acordo firmado com a Comissão Europeia em 2009, como parte das medidas tomadas por Bruxelas para combater a posição então monopolista de Redmond em navegadores da web com seu Internet Explorer.

Um ano depois, as consequências do bug da CrowdStrike ainda são visíveis, visto que o tema da resiliência da infraestrutura de TI continua sendo uma preocupação urgente para CIOs e gestores corporativos. Nos últimos meses, os efeitos de uma conscientização renovada entre as empresas em relação à segurança cibernética foram observados, por exemplo, em uma maior propensão a uma abordagem multifornecedor, baseada em uma diversificação direcionada de provedores de segurança para evitar perigosos "pontos únicos de falha". Ao mesmo tempo, os investimentos em recuperação de desastres e planos de continuidade de negócios aumentaram, com foco maior na capacidade de manter as operações mesmo em caso de interrupções críticas em serviços externos. Dada a natureza específica do incidente, a atenção dos profissionais do setor também se voltou para a robustez e a previsibilidade dos lançamentos de software, ressaltando a necessidade de padrões de teste mais rigorosos e processos de validação e lançamento muito mais rigorosos para atualizações de software. O plano que une todo o setor de tecnologia, incluindo a CrowdStrike, é construir uma infraestrutura digital cada vez mais robusta, inteligente o suficiente para interceptar e prevenir erros que, mesmo que apenas uma vez, podem não vir de fora.