Atualização do CrowdStrike que causou interrupção global provavelmente ignorou verificações, dizem especialistas

Atualização do CrowdStrike que causou interrupção global provavelmente ignorou verificações, dizem especialistas

Mundo

SÃO FRANCISCO — Especialistas em segurança disseram que o CrowdStrike atualização de rotina do seu software de segurança cibernética amplamente utilizado, o que fez com que os sistemas de computador dos clientes acidente globalmente na sexta-feira, aparentemente não passou por verificações de qualidade adequadas antes de ser implantado.

A versão mais recente do software Falcon Sensor foi criada para tornar os sistemas dos clientes da CrowdStrike mais seguros contra hackers, atualizando as ameaças contra as quais ele se defende. Mas o código defeituoso nos arquivos de atualização resultou em uma das interrupções de tecnologia mais disseminadas nos últimos anos para empresas que usam o sistema operacional Windows da Microsoft.

Bancos globais, companhias aéreas, hospitais e escritórios governamentais foram interrompidos. A CrowdStrike divulgou informações para consertar os sistemas afetados, mas especialistas disseram que colocá-los de volta online levaria tempo, pois exigia a eliminação manual do código defeituoso.

Publicidade

“O que parece é, potencialmente, a verificação ou o sandbox que eles fazem quando olham o código, talvez de alguma forma esse arquivo não tenha sido incluído ou tenha passado despercebido”, disse Steve Cobb, diretor de segurança da Security Scorecard, que também teve alguns sistemas impactados pelo problema.

Os problemas vieram à tona rapidamente após a atualização ser lançada na sexta-feira, e os usuários postaram fotos nas mídias sociais de computadores com telas azuis exibindo mensagens de erro. Elas são conhecidas na indústria como “telas azuis da morte”.

Patrick Wardle, pesquisador de segurança especializado em estudar ameaças contra sistemas operacionais, disse que sua análise identificou o código responsável pela interrupção.

O problema da atualização estava “em um arquivo que contém informações de configuração ou assinaturas”, ele disse. Essas assinaturas são códigos que detectam tipos específicos de código malicioso ou malware.

“É muito comum que os produtos de segurança atualizem suas assinaturas, tipo, uma vez por dia… porque eles estão monitorando continuamente novos malwares e porque querem ter certeza de que seus clientes estejam protegidos contra as ameaças mais recentes”, disse ele.

A frequência das atualizações “é provavelmente a razão pela qual (o CrowdStrike) não o testou tanto”, disse ele.

Não está claro como esse código defeituoso entrou na atualização e por que não foi detectado antes de ser lançado aos clientes.

Publicidade

“Idealmente, isso teria sido implementado em um pool limitado primeiro”, disse John Hammond, pesquisador de segurança principal do Huntress Labs. “Essa é uma abordagem mais segura para evitar uma grande confusão como essa.”

Outras empresas de segurança tiveram episódios semelhantes no passado. A atualização de antivírus com bugs da McAfee em 2010 travou centenas de milhares de computadores.

Mas o impacto global dessa interrupção reflete o domínio da CrowdStrike. Mais da metade das empresas da Fortune 500 e muitos órgãos governamentais, como a principal agência de segurança cibernética dos EUA, a Cybersecurity and Infrastructure Security Agency, usam o software da empresa.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *