Após a divulgação de uma Revisão Pós-Incidente (RPI) preliminar, a Crowdstrike por fim apresentou um relatório aprofundado sobre as causas do apagão cibernético ocorrido em julho, evento que afetou milhões de dispositivos com sistema operacional Windows e paralisou uma série de serviços em todo o mundo, gerando prejuízo de bilhões de dólares, além de corroer a reputação da empresa.
De acordo com o documento, em fevereiro deste ano foi lançada uma nova capacidade do sensor de segurança CrowdStrike Falcon para identificar possíveis novas técnicas de ataque em mecanismos do Windows. Após testes e lançamentos bem-sucedidos, uma atualização em 19 de julho de 2024 trouxe uma incompatibilidade ao fornecer um campo extra não esperado pelo sensor, causando uma falha no sistema. Ainda segundo o relatório, análises internas e de terceiros confirmaram que o bug não poderia ser explorado por um agente de ameaça.
No entanto, ainda que não tenha havido envolvimento de um agente de ameaça, o episódio teve consequências análogas a dos maiores ciberataques já registrados. A verdade é que um incidente como esse, mesmo sem a participação de um atacante, afeta diretamente os princípios fundamentais de segurança descritos na Tríade da CIA: disponibilidade, integridade e confidencialidade.
Quando qualquer um desses princípios é comprometido, a segurança global do sistema é impactada. Neste caso específico, o incidente afetou principalmente a disponibilidade dos sistemas, causando interrupções generalizadas em grandes companhias aéreas, bancos, varejistas e outras organizações de todos os tamanhos. Somente a Delta Airlines cobra da CrowdStrike e da Microsoft reparo de danos em torno de US$ 500 milhões.
Desde os primeiros momentos da crise, quando as causas ainda não estavam claras, uma coisa era certa: os adversários sabem que esse tipo de interrupção pode ocorrer ao se direcionar atualizações do sistema para pontos únicos de falha em nossa infraestrutura crítica. Isso estimula os cibercriminosos a lançar ataques parecidos e a tirar vantagem das circunstâncias. Imediatamente após o ocorrido, eclodiram dezenas de sites de phishing se passando por help desk e centro de suporte da CrowdStrike, e muitos ainda estão agindo, o que tem gerado alertas de órgãos como a Agência de Defesa Cibernética dos Estados Unidos, o Centro Nacional de Segurança Cibernética do Reino Unido e o Centro Nacional Anti-Fraude da Austrália.
O fato é que, mesmo a CrowdStrike tendo assumido a responsabilidade pelo erro, e o presidente Michael Sentonas aceitado receber pessoalmente o prêmio de “falha mais épica” durante a última Def Con, em Las Vegas, prometendo novas práticas de controle de atualizações, a interrupção envolvendo a companhia é um importante lembrete dos perigos que as organizações enfrentam diante do processo de “plataformização”, um movimento crescente que estamos vendo em todo o setor. A consolidação de ferramentas de segurança de um fornecedor dominante pode levar à estagnação tecnológica e a uma dependência excessiva desses monopólios, o que se mostrou desastroso neste caso e pode se repetir em um futuro não muito distante.
*Por Germán Patiño, vice-presidente de Vendas para a América Latina da Lumu Technologies.
