Incidente da CrowdStrike oferece aos adversários um roteiro para expor as vulnerabilidades dos EUA
(nytimes.com)O que aconteceu com a resiliência digital?
-
Causa do desastre digital
- O colapso digital que afetou aeroportos, hospitais e emissoras de TV na sexta-feira foi causado por um bug em uma atualização de software
- Não foi obra de forças hostis, mas um incidente que expôs a vulnerabilidade dos Estados Unidos
-
Por que a recuperação é difícil
- O governo Biden vinha simulando cenários de ataque de hackers russos e chineses
- Mas este incidente foi causado por um simples erro humano
- Em sistemas de rede complexos, um pequeno erro pode provocar grandes problemas
-
Reação dos guerreiros cibernéticos
- Houve alívio pelo fato de o incidente não ter sido um ataque em nível estatal
- Malwares como o Volt Typhoon, da China, são difíceis de encontrar e ainda mais difíceis de remover
- O incidente voltou a expor os limites da resiliência cibernética
-
Cooperação entre governo e setor privado
- Nos últimos anos, os Estados Unidos começaram a tratar seriamente os problemas de cibersegurança
- Órgãos do governo como FBI, NSA e CISA cooperam com empresas privadas para compartilhar vulnerabilidades e alertar sobre hackers
- O presidente Biden criou um Conselho de Revisão de Segurança Cibernética para analisar grandes incidentes
Resumo do GN⁺
- Este incidente foi um colapso digital causado por um simples erro em uma atualização de software
- Ele expôs a vulnerabilidade de sistemas de rede complexos e mostrou os limites da resiliência cibernética
- A cooperação entre governo e setor privado é importante, e é necessário um sistema para revisar grandes incidentes
- Um produto ou projeto com funções semelhantes inclui softwares de cibersegurança como a CrowdStrike
1 comentários
Opiniões no Hacker News
É interessante que, entre as análises que vi na imprensa, quase ninguém diga que um SO que exige patches de segurança frequentes nem deveria ser usado em infraestrutura para começo de conversa
Vi também uma foto de uma tela azul aparecendo no painel de voos de um aeroporto, e fico me perguntando por que coisas assim não são construídas sobre Linux ou OpenBSD
Segurança não é um recurso que se acrescenta depois; ela precisa ser incorporada desde o início. Hoje surgiu toda uma indústria tentando sobrepor segurança ao Windows, mas isso ainda não funciona direito
Na prática, muitos começaram para DOS ou OS/2 e depois migraram para NT4; história, inércia, familiaridade, custo e facilidade de suporte entram todos na conta
Segurança não é um produto, é um processo, e as distribuições também precisam de atualizações frequentes, embora seja possível reduzir o escopo do software instalado
Um painel de aeroporto provavelmente não precisa de codecs como MPEG2 ou VP1
Nesses sistemas especializados também há muito software caseiro, então mesmo que você queira SAML/OIDC, eles só dão suporte a LDAP em texto puro ou, no melhor caso, Active Directory; e mesmo que você queira a versão mais recente do Apache Tomcat, o fornecedor não consegue resolver os problemas, então só “dá suporte” a uma versão vulnerável de três anos atrás
Se a hipótese de que a tela azul da CrowdStrike foi causada por um ponteiro nulo estiver correta, eles deveriam ter usado uma linguagem segura; nesse caso, acho fácil atribuir a responsabilidade à CrowdStrike
A Microsoft forneceu a espingarda; é responsabilidade do fornecedor não apontar o cano para si mesmo
https://news.ycombinator.com/item?id=41018029
Significa que problemas estão sendo levantados e riscos estão sendo mitigados
Segurança não é uma caixinha de seleção; como o ambiente está sempre mudando, ela é mais um processo sem fim. Um SO que não recebe atualizações, ou que não é atualizado com frequência, não é melhor
O que se quer são atualizações que não tornem o SO instável, e por trás disso há uma imensa camada de decisões acumuladas por cada organização ao operar esses equipamentos
Segurança precisa ser projetada em camadas e incorporada ao sistema
Em vez de “não funciona”, ela funcionou justamente porque ficou silenciosa por muito tempo; as pessoas só percebem claramente os casos de falha
A maioria sabe usar computadores Windows, equipes de suporte de TI de desktop estão acostumadas a administrar Windows, e até as equipes de facilities do prédio conseguem ajudar em alguma medida
A Microsoft torna mais fácil gerenciar conjuntos de computadores e oferece seu próprio treinamento e certificações, além de inúmeros treinamentos de terceiros
O Windows é, na prática, a máquina padrão para trabalho, e a maioria das empresas de sinalização também usa Windows
Não é fácil encontrar alguém que conheça BSD
Uma Big Brand é um bom alvo; um projeto open source como o OpenBSD, não
Mesmo que haja prejuízos de milhões de dólares, parece pouco provável que um CTO seja demitido por ter escolhido Windows+CrowdStrike em vez de Linux/BSD
A frase “ninguém nunca foi demitido por comprar IBM” ainda continua válida, pelo menos no mundo corporativo
Não sei se algum dia existiu “resiliência digital” e, se existiu, fico curioso para saber quando foi
Esta confusão não foi causada por um adversário, mas acabou fornecendo um mapa das vulnerabilidades dos EUA em um momento crítico
É bem provável que lados que não se dão bem com os EUA já estejam criando e acumulando mapas desse tipo de vulnerabilidade
É surpreendente, mas ao mesmo tempo óbvio, que os EUA e outros países tenham uma postura tão frouxa diante dessas ameaças e não reforcem mais suas vulnerabilidades
Custo é um fator, mas acho que o fator maior é a conveniência
Quando se fortalece um sistema contra vulnerabilidades, ele fica menos conveniente e menos fácil de usar, e as pessoas reagem imediatamente
Quando a Microsoft lançou o Windows, especialmente o Windows 95, tentou conquistar usuários não técnicos fazendo com que tudo fosse fácil com cliques, e a segurança não foi considerada o suficiente
Quando vírus, vulnerabilidades e invasões saíram do controle, restrições foram introduzidas, e os usuários passaram a ter menos da liberdade à qual haviam se acostumado
A Microsoft acostumou o mundo a um modo de operação frouxo, e as tentativas de reverter isso desde então continuaram esbarrando na resistência dos usuários
Estamos presos hoje a um grande problema que já era fácil de prever antes do lançamento do Windows 95, e corrigi-lo será extremamente difícil
As empresas não são recompensadas por operar sistemas de computação seguros, redundantes e confiáveis; são recompensadas por fazer o número na última linha da demonstração de resultados superar as expectativas definidas 90 dias antes por um analista em Lower Manhattan
Como nos EUA as empresas cuidam da maior parte das atividades da sociedade, os sistemas importantes também são projetados dessa forma
Isso pode acabar nos tribunais, e a CrowdStrike talvez precise ser adquirida para indenizar os danos que causou a seus clientes a partir de 19 de julho, mas isso levará anos, e os autores podem receber apenas indenizações simbólicas ou nada
Até lá, o mercado terá feito hedge, capturado os reguladores, cortado as perdas e simplesmente seguido em frente
Os ativos serão comprados a preço de banana por pessoas que veem isso como “destruição criativa”, sem se importar que vidas tenham sido colocadas em risco
E o ciclo continuará
Quase toda a infraestrutura crítica sofreu ciberataques por anos, e houve sistemas que caíram e falhas, mas eles se adaptaram
Às vezes voltando a soluções de baixa tecnologia, às vezes criando novos sistemas robustos e removendo os antigos
Quando o problema é concreto e imediato, também fica muito mais fácil justificá-lo politicamente
Lembro que, quando as tensões começaram a escalar, uma das primeiras medidas dos EUA foi enviar uma equipe de especialistas em cibersegurança da NSA para ajudar a fechar brechas e remover intrusões
Porque é fácil ganhar pontos e parecer que estão fazendo alguma coisa
Já a defesa é o trabalho tedioso de proteger inúmeros endpoints antigos ou convencer megacorporações altamente lucrativas a fazer coisas menos vulneráveis, porém menos lucrativas
A época em que as instalações de software ficavam dentro de redes privadas, as máquinas e topologias tinham estruturas fundamentalmente diferentes, e softwares diversos eram usados mesmo que de qualidade inferior era muito mais robusta do que hoje
Hoje, uma única falha de um serviço como a AWS pode paralisar muitas empresas, e uma atualização ruim como esta afeta todos imediatamente e gera efeito dominó
Antigamente isso não era comum
Concentramos nossa arquitetura coletiva em algumas ferramentas de melhores práticas, e isso se torna um ponto único de falha não só para ataques digitais, mas também para configurações incorretas, falhas de gestão, falências de empresas, engenheiros exaustos e mal pagos, otimizações e coisas do tipo
Não concordo que fortalecer sistemas necessariamente os torne menos convenientes
Na última década, o setor de segurança caminhou justamente na direção oposta e percebeu que segurança excessivamente rígida leva usuários a buscar atalhos simples e previsíveis, enfraquecendo a postura geral de segurança
Basta ver as mudanças nas recomendações do NIST sobre senhas
Se for preciso trocar a senha a cada 90 dias, ela tiver que ser diferente das 10 anteriores e ainda houver requisitos de complexidade, os usuários acabam usando o comprimento mínimo com padrões previsíveis e apenas incrementam um número no fim
Hashes de senhas antigas armazenados para verificar reutilização se tornam um passivo em caso de invasão, pois mostram aos atacantes o padrão de cada usuário
Hoje, há muito mais segurança usável implantada de forma quase ou totalmente transparente para o usuário final
CAPTCHAs de sites antigos eram comuns, péssimos e fáceis de contornar, mas as soluções de CAPTCHA da Cloudflare e do Google são bastante transparentes e muito mais eficazes
É verdade que a frouxidão ampla e contínua da Microsoft contribuiu para práticas ruins de segurança, mas esse ecossistema tinha aspectos estranhos por causa de seu ambiente inerentemente instável e, salvo um breve pico, quase nunca foi a base central da infraestrutura da internet
Infelizmente, ele era central na infraestrutura corporativa e parece nunca ter recebido o memorando sobre segurança usável ou transparente
Espero que agora estejam se esforçando, ainda que nos bastidores
De uma forma distorcida, a CrowdStrike acabou fazendo um teste forçado de recuperação de desastres e resiliência para a civilização ocidental
Um ataque real não seria revertido em menos de uma hora
A CrowdStrike não é a única empresa com acesso em larga escala a tantas empresas, governos e recursos
Se um único funcionário interno distribuísse um apagador de discos que destruísse não só computadores Windows, mas também Linux e macOS, os sistemas afetados talvez nunca fossem recuperados
Nesse caso, sistemas críticos poderiam levar meses para voltar a ficar online, e a economia mundial poderia parar de forma ainda pior do que durante a COVID
O ponto central também é “por que a CrowdStrike não fez melhor”, mas, em escala maior, é por que a tecnologia dos sistemas críticos não é mais robusta diante de um erro ou hack de um único fornecedor
Por exemplo, se em vez de um loop de boot um apagador de discos tivesse apagado todos os discos de inicialização, fico me perguntando se há algum motivo para servidores, ATMs, quiosques, POS etc. não terem sido previamente configurados com imagens de recuperação via PXE boot ou imagens de backup
Mesmo que UEFI e BIOS fossem apagados, não parece tecnicamente impossível implementar um mecanismo de recuperação automática
Se você nunca fez uma análise de causa raiz em resposta a incidentes de TI e segurança, é compreensível não pensar mais a fundo, mas, mesmo com ransomware, apagadores de disco e riscos de cadeia de suprimentos sendo disseminados há mais de 10 anos, a análise de causa raiz que faltava era exatamente desse tipo
É fácil procurar culpados e ficar com raiva, mas isso não resolve a causa raiz
Tomar decisões técnicas difíceis, não desperdiçar uma boa crise e impulsionar investimentos em tecnologia resiliente é o que de fato resolve a causa raiz deste problema e de problemas recorrentes
Em algum ponto é possível tornar essas coisas irrecuperáveis, mas esse não é o problema real a resolver
Indo um passo além, a ênfase em segurança está sacrificando a discussão sobre resiliência
Especialmente do ponto de vista financeiro, resiliência é muito mais importante do que segurança
Isso foi um segredo aberto por décadas
Há poucos grandes fornecedores de sistemas operacionais e navegadores, eles continuam lançando patches, e a cadeia de suprimentos da maior parte do software é tão vasta que é praticamente impossível auditar qualquer coisa e difícil certificar algo como realmente seguro
Software de “segurança” só aumenta a superfície de ataque
Todo mundo na indústria já sabia disso; é interessante ver o NYT chegando agora
Para uma empresa fora dos EUA, acho loucura usar esse serviço da CrowdStrike
O FBI pode, por meio de mandados secretos, obrigar a CrowdStrike a injetar DLLs na infraestrutura
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
Pelo que entendo, o governo dos EUA pode ordenar que uma empresa entregue dados, mas não pode obrigá-la a realmente executar trabalho
Esse também foi o ponto central da disputa entre o governo e a Apple após o tiroteio de San Bernardino, e a Apple tinha o direito legal de se recusar a fornecer assistência
https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
O fato de a NSA e a CIA terem chegado ao ponto de interceptar entregas de notebooks e celulares para fazer o trabalho elas mesmas também sugere que não podem forçar esse tipo de ação
Ontem eu disse à minha família que, se entrarmos em uma guerra de verdade, tudo vai parar de funcionar em até 8 horas
Vamos voltar ao dinheiro em espécie e à papelada, mas será doloroso e lento
https://cbr.ru/eng/press/event/?id=18776
https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
As interrupções ficaram, em sua maioria, limitadas à infraestrutura física atingida por ataques de mísseis, e a Rússia também não é exatamente fraca em guerra digital
Também não é por falta de hackers hostis
O que é necessário é “diversidade”, claro que não no sentido de diversidade de grupos marginalizados
Se mais equipamentos críticos rodassem sistemas operacionais diferentes, o dano teria sido limitado
O risco da “monocultura” costuma ser discutido em relação a plantas, mas o mesmo risco se aplica à infraestrutura de computação
O fato de a civilização não ter colapsado por si só é prova de que há muita infraestrutura que não usa Windows e CrowdStrike
Falando de forma um pouco dura, acho que as empresas afetadas pela CrowdStrike também compartilham parte da responsabilidade pelo que aconteceu ontem
A CrowdStrike nem é a empresa número 1 nessa área, mas isso aconteceu por causa dos efeitos de rede
O número de plataformas necessário para alcançar esse nível de segurança seria irrealisticamente grande
Em todo o mundo, empresas que rodam CrowdStrike em máquinas Windows sofreram falhas de computador em larga escala.
O CrowdStrike é vendido como software anti-hacking, mas, na prática, é um software popular usado por executivos de nível C para monitorar o comportamento dos funcionários.
Ele é instalado com privilégios muito elevados e, por projeto, é difícil de corrigir ou remover.
Fico curioso se isso realmente vai ensinar alguma lição a alguém.
A Microsoft anunciou que 8,5 milhões de máquinas foram afetadas, o que é difícil de acreditar, mas, olhando para o esforço que entrou na resposta até em uma organização relativamente média como a nossa, surgem perguntas muito simples, como: “com metade dos funcionários trabalhando remotamente, como diabos vamos acessar essas máquinas?”
A resposta sempre foi “quanto custa fazer isso?”, mas agora também existe o número do outro lado: “quanto custa não fazer?”
Seria bom ter capturas de tela.
Não concordo com a parte em que, dizendo que “não é que não haja esperança”, Kent Walker, do Google, afirma que a IA permite avanços significativos na identificação de vulnerabilidades, correção de brechas e melhoria da qualidade do código.
Se a única esperança são promessas vagas de IA, então, na prática, acho que não há esperança.
Isso é parecido com dizer que a melhor forma de impedir tiroteios em escolas é dar armas aos professores.
Não acho que a IA teria convencido melhor a diretoria da CrowdStrike de que uma estratégia de implantação gradual valia o custo.
Problemas como esse são causados por pessoas, não por tecnologia; portanto, colocar mais tecnologia não os resolve.