O transporte aéreo global tem sido um dos setores mais impactados até agora. Filas enormes se formaram em aeroportos ao redor do mundo, com um aeroporto na Índia usando cartões de embarque manuscritos. Nos EUA, Delta, United e American Airlines suspenderam todos os voos pelo menos temporariamente, com um gráfico dramático mostrando tráfego aéreo despencando sobre os EUA.
A situação catastrófica reflete a fragilidade e a profunda interconexão da internet. Vários profissionais de segurança disseram à WIRED que anteciparam ou até mesmo trabalharam com clientes para tentar proteger contra um cenário em que o próprio software de defesa causou falhas em cascata como resultado de exploração maliciosa ou erro humano, como é o caso do CrowdStrike. “Esta é uma ilustração incrivelmente poderosa de nossas vulnerabilidades digitais globais e da fragilidade da infraestrutura central da internet”, diz Ciaran Martin, professor da Universidade de Oxford e ex-chefe do National Cyber Security Center do Reino Unido.
A capacidade de uma atualização desencadear uma interrupção tão grande ainda intriga Raiu. De acordo com a Gartner, uma empresa de pesquisa de mercado, a CrowdStrike responde por 14% do mercado de software de segurança por receita, o que significa que seu software está em uma ampla gama de sistemas. Raiu sugere que a atualização do Falcon deve ter desencadeado falhas em outras partes da infraestrutura da web, o que poderia ter multiplicado o desastre. “A CrowdStrike é grande, mas não pode ser tão grande”, diz Raiu. “Aeroportos, infraestrutura crítica, hospitais. Não pode ser apenas CrowdStrike em todos os lugares. Suspeito que estamos vendo uma combinação de fatores, um efeito cascata, uma reação em cadeia.”
Hyppönen, da WithSecure, diz que seu “palpite” é que os problemas podem ter acontecido devido a “erro humano” no processo de atualização. “Um engenheiro da CrowdStrike está tendo um dia muito ruim”, ele diz. Hyppönen sugere que a CrowdStrike pode ter enviado um software diferente do que eles estavam testando ou misturado arquivos, ou pode ter havido uma combinação de fatores diferentes. “Software como esse tem que passar por testes extensivos”, diz Hyppönen. “É isso que fazemos. É isso que a CrowdStrike, é claro, faz. Você tem que ter muito cuidado com o que você envia, o que é difícil de fazer porque o software de segurança é atualizado com muita frequência.”
Embora muitos dos impactos da interrupção estejam em andamento e ainda se desfazendo, a natureza do problema significa que máquinas impactadas individualmente podem precisar ser reinicializadas manualmente em vez de por meio de um processo automatizado. “Pode levar algum tempo para alguns sistemas que simplesmente não se recuperam automaticamente”, disse o CEO da CrowdStrike, Kurtz, à NBC.
A inicial da empresa “Gambiarra” a orientação para lidar com o incidente diz que as máquinas Windows devem ser inicializadas em um modo de segurança, um arquivo específico deve ser excluído e, em seguida, reinicializado. “As correções que vimos até agora significam que você tem que ir fisicamente a cada máquina, o que levará dias, porque são milhões de máquinas ao redor do mundo que estão tendo o problema agora”, diz Hyppönen da WithSecure.
À medida que os administradores de sistemas correm para conter as consequências, a questão existencial maior de como evitar outra crise semelhante se torna cada vez mais importante.
“As pessoas agora podem exigir mudanças neste modelo operacional”, diz Jake Williams, vice-presidente de pesquisa e desenvolvimento da consultoria de segurança cibernética Hunter Strategy. “Para o bem ou para o mal, a CrowdStrike acaba de mostrar por que forçar atualizações sem intervenção de TI é insustentável.”
Atualização em 19/07/2024, 11h ET: Comentário da Microsoft adicionado dizendo que a interrupção do Azure e o problema do driver do kernel do CrowdStrike não estão relacionados.
Atualização em 19/07/2024, 12h30 ET: Adicionado mais um comentário da Microsoft sobre sua falta de supervisão das atualizações do CrowdStrike.
Atualização 19/07/2024, 15h45 ET: Atualizado para esclarecer que a Amazon Web Services não foi impactado pela atualização do CrowdStrike, de acordo com a empresa.
