Recuperação do apagão global pode ser processo longo e árduo, dizem especialistas

A empresa que causou uma grande interrupção de computadores em todo o mundo afirma que uma atualização defeituosa foi revertida – mas isso não necessariamente ajuda as milhares de empresas que foram afetadas pela falha.

O problema de software CrowdStrike que está no centro da interrupção ocorre em um nível tão profundo nos computadores e sistemas afetados que colocá-los em funcionamento apenas para serem consertados será, em muitos casos, um enorme desafio.

Isso é agravado pelo fato de que muitos dos servidores que podem conter informações necessárias para que esses sistemas voltem a funcionar estão presos em um ciclo de travamentos e reinicializações.

E alguns computadores afetados podem até não ser facilmente acessíveis, configurados em locais remotos e destinados a funcionar sem intervenção humana.

“Não acho que seja cedo para dizer: esta será a maior interrupção de TI da história”, disse o especialista em segurança Troy Hunt em um post no X.

O software CrowdStrike culpado opera no que é chamado de nível de kernel de um computador, um nível muito mais profundo do que os aplicativos mais comuns, como navegadores ou videogames. Esta parte de um dispositivo tem muito maior visibilidade e controle sobre um computador e seus componentes, tornando-a crítica para a operação de todos os outros sistemas — e muito mais sensível.

A execução no nível do kernel significa que o software CrowdStrike pode fazer mais para detectar ataques cibernéticos, mas também significa que o bug atual está fazendo com que os computadores Windows travem em uma Tela Azul da Morte antes que os usuários possam tomar qualquer ação para corrigi-lo.

O problema parece ser recuperável, disse CrowdStrike, mas em muitos casos requer um trabalho meticuloso: cada dispositivo afetado deve ser acessado por um administrador e reiniciado manualmente no modo de segurança. Em seguida, o arquivo CrowdStrike incorreto deve ser excluído manualmente.

Para empresas com centenas ou milhares de laptops, desktops e servidores que executam o software de segurança da CrowdStrike, um indivíduo pode ter que realizar esse processo repetidamente.

“Você não pode automatizar isso”, disse Kevin Beaumont, pesquisador de segurança e ex-analista de ameaças da Microsoft, em uma postagem no X. “Portanto, isso será extremamente doloroso para os clientes do CrowdStrike”.

Nesta sexta-feira (19), uma página de status da Microsoft relatou que alguns usuários de máquinas virtuais Windows se recuperaram do problema com sucesso reinicializando repetidamente, em algumas situações até 15 vezes consecutivas.

“Recebemos feedback de clientes de que várias reinicializações (até 15 foram relatadas) podem ser necessárias, mas o feedback geral é que as reinicializações são uma etapa eficaz de solução de problemas neste estágio”, disse a Microsoft na página. A empresa não especulou por que a técnica parece funcionar.

As organizações afetadas também podem tentar restaurar suas máquinas para um estado anterior, revertendo para um backup anterior do sistema, acrescentou a Microsoft, embora reconheça que isso pode não ser possível em todos os casos.

“As empresas que não investiram em soluções de backup rápido estão presas em um beco sem saída”, disse Eric O’Neill, especialista em segurança cibernética e ex-funcionário da contra inteligência do FBI.

O cenário fica pior.

As organizações que levam a segurança a sério provavelmente terão criptografado os discos rígidos de seus computadores, tornando ainda mais desafiador o acesso ao arquivo que precisa ser excluído.

Para essas organizações, “você precisa descriptografar manualmente o disco com uma chave de recuperação do BitLocker, que provavelmente – para a maioria das empresas – é armazenada digitalmente em um dos servidores que está inicializando continuamente”, disse Ira Bailey, pesquisador de segurança, em uma postagem no BlueSky.

Cada computador afetado criptografado pelo BitLocker precisará ser desbloqueado com uma chave de recuperação antes que as organizações possam iniciar o processo de exclusão do arquivo CrowdStrike corrompido e restaurar a operação normal, disse o especialista em segurança cibernética que atende pelo pseudônimo SwiftOnSecurity em uma postagem no X .

A recuperação será extremamente cara para empresas da Fortune 500 com grandes equipes de TI e provavelmente ainda mais desafiadora para empresas menores, disse Kenn White, pesquisador de segurança independente especializado em segurança de rede, à CNN.

“Se você não tiver uma equipe física que possa realmente tocá-lo, isso levará muitos, muitos dias para que grande parte das empresas americanas se recupere”, disse White. “É apenas uma tonelada de trabalho manual intensivo”, acrescentou.

“É um procedimento bastante complicado para pessoas não técnicas”, o pesquisador afirmou, “e mesmo muitos profissionais de TI qualificados terão dificuldade em fazer isso na escala que será necessária, dado o número de máquinas afetadas”.

Como o bug CrowdStrike levou a efeitos tão generalizados?

Como o software de segurança da CrowdStrike está sendo executado em inúmeros computadores individuais em todo o mundo, a atualização enviada para esses dispositivos fez com que todos fossem desligados, praticamente simultaneamente.

E na economia em rede de hoje, uma interrupção numa parte da cadeia de abastecimento pode causar efeitos dominó ao longo da linha. Quando várias partes de uma cadeia de abastecimento falham, isso desencadeia uma cascata de problemas.

Imagine uma pessoa tentando comprar um café, disse Andrew Peck, especialista em segurança cibernética da Universidade de Loughborough, no Reino Unido. O que pode parecer uma transação simples depende de vários computadores trabalhando em conjunto, desde o ponto de venda da cafeteria até os próprios sistemas “back-end” do processador de pagamentos.

“Há muitos computadores nesta cadeia e, geralmente, quanto maior o negócio, maior a cadeia”, disse Peck. “Se algum dos computadores estiver inativo na cadeia, a transação não será concluída.”, ele acrescentou.

Poderiam ser necessárias milhões de horas de trabalho de profissionais de TI corporativos para consertar todos os computadores afetados, disse O’Neill, ex-agente de contra espionagem do FBI. Mas, ele disse, é difícil chegar a uma estimativa firme porque não se sabe quantos computadores foram afetados.

Imagine algo como a enorme indústria da aviação, o setor crítico dos serviços financeiros ou as operações de vida ou morte de um prestador de cuidados de saúde, e a dimensão do desastre torna-se totalmente clara.

Com muitas pessoas trabalhando em casa, explicou, os profissionais de TI não podem simplesmente ir de mesa em mesa para consertar computadores diferentes. Em vez disso, eles terão que se comunicar com funcionários individuais e orientá-los remotamente sobre o processo.

“Isso amplia a questão”, disse ele. “Algo que poderia ter sido consertado em horas levará dias.”, acrescentou.

Algumas máquinas afetadas podem raramente receber manutenção humana ou estar localizadas em áreas remotas. Outros podem nem ter monitores ou teclados conectados, porque não exigem regularmente que as pessoas interajam diretamente com eles.

Os exemplos mais extremos podem incluir sensores de monitoramento meteorológico ou dispositivos em caixas de sinalização ferroviária, disse Peck, o que poderia exigir que os técnicos visitassem fisicamente potencialmente centenas de milhares de máquinas para realizar o processo de recuperação.

A recuperação custará ao mundo “milhares de horas e milhões, potencialmente bilhões de dólares”, explicou o especialista, o que rapidamente resulta em “algumas equipes de suporte de TI muito exaustas queimando orçamentos que não tinham”.

Qual é o papel da Microsoft em tudo isso?

Um problema separado anteriormente, na quinta-feira (18), levou a impactos significativos em muitos dos próprios clientes de nuvem da Microsoft, mas foi resolvido da noite para o dia e não estava relacionado ao problema CrowdStrike, disseram a empresa e vários especialistas em segurança cibernética à CNN.

O bug CrowdStrike pode ter sido inicialmente confundido com o problema da Microsoft porque o erro do CrowdStrike afetou apenas máquinas Windows.

“Ambos estão relacionados à Microsoft, mas a Microsoft não teve nada a ver com o segundo incidente”, disse White à CNN.

Isso parece ser apoiado pela própria conta de status da Microsoft no X, que na quinta-feira (18) anunciou um problema que afetava “aplicativos e serviços do Microsoft 365” e um anúncio separado nesta sexta-feira (19) abordando a interrupção do CrowdStrike. Os dois problemas estão sendo rastreados usando números de referência diferentes.

Na manhã desta sexta-feira (19), a Microsoft disse que o problema com o Microsoft 365 foi resolvido e que a situação estava melhorando.

“O problema contínuo do CrowdStrike não está relacionado a uma interrupção anterior na região central do Azure nos EUA em 18 de julho, impactando os clientes do Azure que usam essa região, bem como alguns serviços do Microsoft 365”, disse a Microsoft.

O CEO da Microsoft, Satya Nadella, reconheceu o problema do CrowdStrike em uma postagem na manhã desta sexta-feira (19), dizendo que a Microsoft está “trabalhando em estreita colaboração com o CrowdStrike e em toda a indústria para fornecer aos clientes orientação técnica e suporte para colocar seus sistemas online novamente com segurança”.

Como a atualização do software CrowdStrike foi entregue pelos próprios sistemas da empresa, parece improvável que a Microsoft tenha responsabilidade direta pelas interrupções desta sexta-feira, disse Beaumont, que afirmou ter revisado uma cópia da atualização defeituosa do CrowdStrike.

O problema com a atualização do CrowdStrike era que ela não estava formatada corretamente “e fazia com que o Windows travasse todas as vezes”, postou o ex-analista de ameaças da Microsoft no X.

Olesya Dmitracova e Chris Isidore da CNN contribuíram com reportagens.

Entenda a falha cibernética global que afetou voos, bancos e hospitais

Este conteúdo foi criado originalmente emVer original