1 pontos por GN⁺ 2024-07-22 | 1 comentários | Compartilhar no WhatsApp

O que aconteceu com a resiliência digital?

  • Causa do desastre digital

    • O colapso digital que afetou aeroportos, hospitais e emissoras de TV na sexta-feira foi causado por um bug em uma atualização de software
    • Não foi obra de forças hostis, mas um incidente que expôs a vulnerabilidade dos Estados Unidos
  • Por que a recuperação é difícil

    • O governo Biden vinha simulando cenários de ataque de hackers russos e chineses
    • Mas este incidente foi causado por um simples erro humano
    • Em sistemas de rede complexos, um pequeno erro pode provocar grandes problemas
  • Reação dos guerreiros cibernéticos

    • Houve alívio pelo fato de o incidente não ter sido um ataque em nível estatal
    • Malwares como o Volt Typhoon, da China, são difíceis de encontrar e ainda mais difíceis de remover
    • O incidente voltou a expor os limites da resiliência cibernética
  • Cooperação entre governo e setor privado

    • Nos últimos anos, os Estados Unidos começaram a tratar seriamente os problemas de cibersegurança
    • Órgãos do governo como FBI, NSA e CISA cooperam com empresas privadas para compartilhar vulnerabilidades e alertar sobre hackers
    • O presidente Biden criou um Conselho de Revisão de Segurança Cibernética para analisar grandes incidentes

Resumo do GN⁺

  • Este incidente foi um colapso digital causado por um simples erro em uma atualização de software
  • Ele expôs a vulnerabilidade de sistemas de rede complexos e mostrou os limites da resiliência cibernética
  • A cooperação entre governo e setor privado é importante, e é necessário um sistema para revisar grandes incidentes
  • Um produto ou projeto com funções semelhantes inclui softwares de cibersegurança como a CrowdStrike

1 comentários

 
GN⁺ 2024-07-22
Opiniões no Hacker News
  • É interessante que, entre as análises que vi na imprensa, quase ninguém diga que um SO que exige patches de segurança frequentes nem deveria ser usado em infraestrutura para começo de conversa
    Vi também uma foto de uma tela azul aparecendo no painel de voos de um aeroporto, e fico me perguntando por que coisas assim não são construídas sobre Linux ou OpenBSD
    Segurança não é um recurso que se acrescenta depois; ela precisa ser incorporada desde o início. Hoje surgiu toda uma indústria tentando sobrepor segurança ao Windows, mas isso ainda não funciona direito

    • Provavelmente porque o fornecedor que fez esse software sempre o criou apenas para Windows
      Na prática, muitos começaram para DOS ou OS/2 e depois migraram para NT4; história, inércia, familiaridade, custo e facilidade de suporte entram todos na conta
      Segurança não é um produto, é um processo, e as distribuições também precisam de atualizações frequentes, embora seja possível reduzir o escopo do software instalado
      Um painel de aeroporto provavelmente não precisa de codecs como MPEG2 ou VP1
      Nesses sistemas especializados também há muito software caseiro, então mesmo que você queira SAML/OIDC, eles só dão suporte a LDAP em texto puro ou, no melhor caso, Active Directory; e mesmo que você queira a versão mais recente do Apache Tomcat, o fornecedor não consegue resolver os problemas, então só “dá suporte” a uma versão vulnerável de três anos atrás
      Se a hipótese de que a tela azul da CrowdStrike foi causada por um ponteiro nulo estiver correta, eles deveriam ter usado uma linguagem segura; nesse caso, acho fácil atribuir a responsabilidade à CrowdStrike
      A Microsoft forneceu a espingarda; é responsabilidade do fornecedor não apontar o cano para si mesmo
    • Agora mesmo há um post na primeira página dizendo que a CrowdStrike quebrou o Debian e o Rocky Linux alguns meses atrás, mas ninguém ficou sabendo
      https://news.ycombinator.com/item?id=41018029
    • Um “SO que recebe atualizações de segurança frequentes” é, na verdade, um bom sinal
      Significa que problemas estão sendo levantados e riscos estão sendo mitigados
      Segurança não é uma caixinha de seleção; como o ambiente está sempre mudando, ela é mais um processo sem fim. Um SO que não recebe atualizações, ou que não é atualizado com frequência, não é melhor
      O que se quer são atualizações que não tornem o SO instável, e por trás disso há uma imensa camada de decisões acumuladas por cada organização ao operar esses equipamentos
      Segurança precisa ser projetada em camadas e incorporada ao sistema
      Em vez de “não funciona”, ela funcionou justamente porque ficou silenciosa por muito tempo; as pessoas só percebem claramente os casos de falha
    • Os funcionários do aeroporto precisam conseguir dar suporte; não pode ser algo que só o pessoal ao estilo HN consiga manejar
      A maioria sabe usar computadores Windows, equipes de suporte de TI de desktop estão acostumadas a administrar Windows, e até as equipes de facilities do prédio conseguem ajudar em alguma medida
      A Microsoft torna mais fácil gerenciar conjuntos de computadores e oferece seu próprio treinamento e certificações, além de inúmeros treinamentos de terceiros
      O Windows é, na prática, a máquina padrão para trabalho, e a maioria das empresas de sinalização também usa Windows
      Não é fácil encontrar alguém que conheça BSD
    • Para muitos CTOs/CISOs, mais importante do que um sistema estável e seguro é ter um bom alvo para quem transferir a culpa quando algo der errado
      Uma Big Brand é um bom alvo; um projeto open source como o OpenBSD, não
      Mesmo que haja prejuízos de milhões de dólares, parece pouco provável que um CTO seja demitido por ter escolhido Windows+CrowdStrike em vez de Linux/BSD
      A frase “ninguém nunca foi demitido por comprar IBM” ainda continua válida, pelo menos no mundo corporativo
  • Não sei se algum dia existiu “resiliência digital” e, se existiu, fico curioso para saber quando foi
    Esta confusão não foi causada por um adversário, mas acabou fornecendo um mapa das vulnerabilidades dos EUA em um momento crítico
    É bem provável que lados que não se dão bem com os EUA já estejam criando e acumulando mapas desse tipo de vulnerabilidade
    É surpreendente, mas ao mesmo tempo óbvio, que os EUA e outros países tenham uma postura tão frouxa diante dessas ameaças e não reforcem mais suas vulnerabilidades
    Custo é um fator, mas acho que o fator maior é a conveniência
    Quando se fortalece um sistema contra vulnerabilidades, ele fica menos conveniente e menos fácil de usar, e as pessoas reagem imediatamente
    Quando a Microsoft lançou o Windows, especialmente o Windows 95, tentou conquistar usuários não técnicos fazendo com que tudo fosse fácil com cliques, e a segurança não foi considerada o suficiente
    Quando vírus, vulnerabilidades e invasões saíram do controle, restrições foram introduzidas, e os usuários passaram a ter menos da liberdade à qual haviam se acostumado
    A Microsoft acostumou o mundo a um modo de operação frouxo, e as tentativas de reverter isso desde então continuaram esbarrando na resistência dos usuários
    Estamos presos hoje a um grande problema que já era fácil de prever antes do lançamento do Windows 95, e corrigi-lo será extremamente difícil

    • A frase de Charlie Munger, “mostre-me os incentivos e eu lhe mostrarei os resultados”, está certa
      As empresas não são recompensadas por operar sistemas de computação seguros, redundantes e confiáveis; são recompensadas por fazer o número na última linha da demonstração de resultados superar as expectativas definidas 90 dias antes por um analista em Lower Manhattan
      Como nos EUA as empresas cuidam da maior parte das atividades da sociedade, os sistemas importantes também são projetados dessa forma
      Isso pode acabar nos tribunais, e a CrowdStrike talvez precise ser adquirida para indenizar os danos que causou a seus clientes a partir de 19 de julho, mas isso levará anos, e os autores podem receber apenas indenizações simbólicas ou nada
      Até lá, o mercado terá feito hedge, capturado os reguladores, cortado as perdas e simplesmente seguido em frente
      Os ativos serão comprados a preço de banana por pessoas que veem isso como “destruição criativa”, sem se importar que vidas tenham sido colocadas em risco
      E o ciclo continuará
    • Estudar a experiência da Ucrânia seria muito útil, e é bem provável que já tenha sido
      Quase toda a infraestrutura crítica sofreu ciberataques por anos, e houve sistemas que caíram e falhas, mas eles se adaptaram
      Às vezes voltando a soluções de baixa tecnologia, às vezes criando novos sistemas robustos e removendo os antigos
      Quando o problema é concreto e imediato, também fica muito mais fácil justificá-lo politicamente
      Lembro que, quando as tensões começaram a escalar, uma das primeiras medidas dos EUA foi enviar uma equipe de especialistas em cibersegurança da NSA para ajudar a fechar brechas e remover intrusões
    • As “agências cibernéticas” se concentram no ataque
      Porque é fácil ganhar pontos e parecer que estão fazendo alguma coisa
      Já a defesa é o trabalho tedioso de proteger inúmeros endpoints antigos ou convencer megacorporações altamente lucrativas a fazer coisas menos vulneráveis, porém menos lucrativas
    • Pelo menos nos anos 90 e no início dos anos 2000, se você conectasse algo importante à internet, seria ridicularizado na sala de reunião e demitido imediatamente
    • Por muito tempo, a resiliência foi um objetivo, e acho que havia mais resiliência antes de SaaS em nuvem e atualizações automáticas dominarem tudo
      A época em que as instalações de software ficavam dentro de redes privadas, as máquinas e topologias tinham estruturas fundamentalmente diferentes, e softwares diversos eram usados mesmo que de qualidade inferior era muito mais robusta do que hoje
      Hoje, uma única falha de um serviço como a AWS pode paralisar muitas empresas, e uma atualização ruim como esta afeta todos imediatamente e gera efeito dominó
      Antigamente isso não era comum
      Concentramos nossa arquitetura coletiva em algumas ferramentas de melhores práticas, e isso se torna um ponto único de falha não só para ataques digitais, mas também para configurações incorretas, falhas de gestão, falências de empresas, engenheiros exaustos e mal pagos, otimizações e coisas do tipo
      Não concordo que fortalecer sistemas necessariamente os torne menos convenientes
      Na última década, o setor de segurança caminhou justamente na direção oposta e percebeu que segurança excessivamente rígida leva usuários a buscar atalhos simples e previsíveis, enfraquecendo a postura geral de segurança
      Basta ver as mudanças nas recomendações do NIST sobre senhas
      Se for preciso trocar a senha a cada 90 dias, ela tiver que ser diferente das 10 anteriores e ainda houver requisitos de complexidade, os usuários acabam usando o comprimento mínimo com padrões previsíveis e apenas incrementam um número no fim
      Hashes de senhas antigas armazenados para verificar reutilização se tornam um passivo em caso de invasão, pois mostram aos atacantes o padrão de cada usuário
      Hoje, há muito mais segurança usável implantada de forma quase ou totalmente transparente para o usuário final
      CAPTCHAs de sites antigos eram comuns, péssimos e fáceis de contornar, mas as soluções de CAPTCHA da Cloudflare e do Google são bastante transparentes e muito mais eficazes
      É verdade que a frouxidão ampla e contínua da Microsoft contribuiu para práticas ruins de segurança, mas esse ecossistema tinha aspectos estranhos por causa de seu ambiente inerentemente instável e, salvo um breve pico, quase nunca foi a base central da infraestrutura da internet
      Infelizmente, ele era central na infraestrutura corporativa e parece nunca ter recebido o memorando sobre segurança usável ou transparente
      Espero que agora estejam se esforçando, ainda que nos bastidores
  • De uma forma distorcida, a CrowdStrike acabou fazendo um teste forçado de recuperação de desastres e resiliência para a civilização ocidental
    Um ataque real não seria revertido em menos de uma hora
    A CrowdStrike não é a única empresa com acesso em larga escala a tantas empresas, governos e recursos
    Se um único funcionário interno distribuísse um apagador de discos que destruísse não só computadores Windows, mas também Linux e macOS, os sistemas afetados talvez nunca fossem recuperados
    Nesse caso, sistemas críticos poderiam levar meses para voltar a ficar online, e a economia mundial poderia parar de forma ainda pior do que durante a COVID
    O ponto central também é “por que a CrowdStrike não fez melhor”, mas, em escala maior, é por que a tecnologia dos sistemas críticos não é mais robusta diante de um erro ou hack de um único fornecedor
    Por exemplo, se em vez de um loop de boot um apagador de discos tivesse apagado todos os discos de inicialização, fico me perguntando se há algum motivo para servidores, ATMs, quiosques, POS etc. não terem sido previamente configurados com imagens de recuperação via PXE boot ou imagens de backup
    Mesmo que UEFI e BIOS fossem apagados, não parece tecnicamente impossível implementar um mecanismo de recuperação automática
    Se você nunca fez uma análise de causa raiz em resposta a incidentes de TI e segurança, é compreensível não pensar mais a fundo, mas, mesmo com ransomware, apagadores de disco e riscos de cadeia de suprimentos sendo disseminados há mais de 10 anos, a análise de causa raiz que faltava era exatamente desse tipo
    É fácil procurar culpados e ficar com raiva, mas isso não resolve a causa raiz
    Tomar decisões técnicas difíceis, não desperdiçar uma boa crise e impulsionar investimentos em tecnologia resiliente é o que de fato resolve a causa raiz deste problema e de problemas recorrentes

    • Se o firmware for completamente destruído, é preciso ter firmware de backup
      Em algum ponto é possível tornar essas coisas irrecuperáveis, mas esse não é o problema real a resolver
      Indo um passo além, a ênfase em segurança está sacrificando a discussão sobre resiliência
      Especialmente do ponto de vista financeiro, resiliência é muito mais importante do que segurança
  • Isso foi um segredo aberto por décadas
    Há poucos grandes fornecedores de sistemas operacionais e navegadores, eles continuam lançando patches, e a cadeia de suprimentos da maior parte do software é tão vasta que é praticamente impossível auditar qualquer coisa e difícil certificar algo como realmente seguro
    Software de “segurança” só aumenta a superfície de ataque
    Todo mundo na indústria já sabia disso; é interessante ver o NYT chegando agora

    • Talvez o NYT esteja cobrindo por causa do grande incidente que aconteceu ontem, e porque é uma empresa de notícias
  • Para uma empresa fora dos EUA, acho loucura usar esse serviço da CrowdStrike
    O FBI pode, por meio de mandados secretos, obrigar a CrowdStrike a injetar DLLs na infraestrutura
    https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

    • Não tenho certeza se isso está correto
      Pelo que entendo, o governo dos EUA pode ordenar que uma empresa entregue dados, mas não pode obrigá-la a realmente executar trabalho
      Esse também foi o ponto central da disputa entre o governo e a Apple após o tiroteio de San Bernardino, e a Apple tinha o direito legal de se recusar a fornecer assistência
      https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
      O fato de a NSA e a CIA terem chegado ao ponto de interceptar entregas de notebooks e celulares para fazer o trabalho elas mesmas também sugere que não podem forçar esse tipo de ação
    • Na prática, conformidade com PCI DSS é mais importante do que paranoia em relação ao FBI
    • Fico curioso se você acha que eles não podem, ou não iriam, obrigar a Microsoft a empurrar uma “atualização” que faça a mesma coisa
  • Ontem eu disse à minha família que, se entrarmos em uma guerra de verdade, tudo vai parar de funcionar em até 8 horas
    Vamos voltar ao dinheiro em espécie e à papelada, mas será doloroso e lento

  • O que é necessário é “diversidade”, claro que não no sentido de diversidade de grupos marginalizados
    Se mais equipamentos críticos rodassem sistemas operacionais diferentes, o dano teria sido limitado
    O risco da “monocultura” costuma ser discutido em relação a plantas, mas o mesmo risco se aplica à infraestrutura de computação

    • Isso já acontece em certa medida
      O fato de a civilização não ter colapsado por si só é prova de que há muita infraestrutura que não usa Windows e CrowdStrike
    • O que acho ainda mais incompreensível é que os responsáveis por organizações que operam sistemas altamente críticos tenham aceitado a ideia de que um fornecedor de software terceirizado possa enviar patches a qualquer momento
      Falando de forma um pouco dura, acho que as empresas afetadas pela CrowdStrike também compartilham parte da responsabilidade pelo que aconteceu ontem
    • Mesmo que mais equipamentos críticos usassem outros sistemas operacionais, se estivessem rodando a mesma CrowdStrike, o dano não teria sido limitado
    • Não necessariamente
      A CrowdStrike nem é a empresa número 1 nessa área, mas isso aconteceu por causa dos efeitos de rede
      O número de plataformas necessário para alcançar esse nível de segurança seria irrealisticamente grande
  • Em todo o mundo, empresas que rodam CrowdStrike em máquinas Windows sofreram falhas de computador em larga escala.
    O CrowdStrike é vendido como software anti-hacking, mas, na prática, é um software popular usado por executivos de nível C para monitorar o comportamento dos funcionários.
    Ele é instalado com privilégios muito elevados e, por projeto, é difícil de corrigir ou remover.
    Fico curioso se isso realmente vai ensinar alguma lição a alguém.

    • Acho que vai ensinar.
      A Microsoft anunciou que 8,5 milhões de máquinas foram afetadas, o que é difícil de acreditar, mas, olhando para o esforço que entrou na resposta até em uma organização relativamente média como a nossa, surgem perguntas muito simples, como: “com metade dos funcionários trabalhando remotamente, como diabos vamos acessar essas máquinas?”
      A resposta sempre foi “quanto custa fazer isso?”, mas agora também existe o número do outro lado: “quanto custa não fazer?”
    • Preciso de mais informações sobre a funcionalidade de monitoramento.
      Seria bom ter capturas de tela.
  • Não concordo com a parte em que, dizendo que “não é que não haja esperança”, Kent Walker, do Google, afirma que a IA permite avanços significativos na identificação de vulnerabilidades, correção de brechas e melhoria da qualidade do código.
    Se a única esperança são promessas vagas de IA, então, na prática, acho que não há esperança.

    • Exato.
      Isso é parecido com dizer que a melhor forma de impedir tiroteios em escolas é dar armas aos professores.
      Não acho que a IA teria convencido melhor a diretoria da CrowdStrike de que uma estratégia de implantação gradual valia o custo.
      Problemas como esse são causados por pessoas, não por tecnologia; portanto, colocar mais tecnologia não os resolve.