Quando os ecrãs dos computadores ficaram azuis em todo o mundo na sexta-feira, os voos foram suspensos, os check-ins nos hotéis tornaram-se impossíveis e as entregas de carga foram paralisadas. As empresas recorreram ao papel e à caneta. E as suspeitas iniciais recaíram sobre algum tipo de ataque ciberterrorista. A realidade, porém, era muito mais mundana: uma atualização de software malfeita da empresa de segurança cibernética CrowdStrike.
“Neste caso, foi uma atualização de conteúdo”, disse Nick Hyatt, diretor de inteligência de ameaças da empresa de segurança Blackpoint Cyber.
E como a CrowdStrike tem uma base tão ampla de clientes, foi a atualização de conteúdo sentida em todo o mundo.
“Um erro teve resultados catastróficos. Este é um grande exemplo de quão intimamente ligada à TI está a nossa sociedade moderna – desde cafés a hospitais e aeroportos, um erro como este tem enormes ramificações”, disse Hyatt.
Neste caso, a atualização de conteúdo estava vinculada ao software de monitoramento CrowdStrike Falcon. O Falcon, diz Hyatt, tem conexões profundas para monitorar malware e outros comportamentos maliciosos em endpoints, neste caso, laptops, desktops e servidores. O Falcon se atualiza automaticamente para dar conta de novas ameaças.
“O código com erros foi lançado por meio do recurso de atualização automática e, bem, aqui estamos”, disse Hyatt. A capacidade de atualização automática é padrão em muitos aplicativos de software e não é exclusiva do CrowdStrike. “Acontece que, devido ao que o CrowdStrike faz, as consequências aqui são catastróficas”, acrescentou Hyatt.
A tela azul dos erros mortais nas telas dos computadores é visualizada devido à interrupção global das comunicações causada pela CrowdStrike, que fornece serviços de segurança cibernética para a empresa de tecnologia norte-americana Microsoft, em 19 de julho de 2024 em Ancara, Turquia.
Harun Ozalp | Anadolú | Imagens Getty
Embora a CrowdStrike tenha identificado rapidamente o problema e muitos sistemas tenham voltado a funcionar em poucas horas, a cascata global de danos não é facilmente revertida para organizações com sistemas complexos.
“Acreditamos que de três a cinco dias antes que as coisas sejam resolvidas”, disse Eric O’Neill, ex-agente de contraterrorismo e contrainteligência do FBI e especialista em segurança cibernética. “Este é um monte de tempo de inatividade para as organizações.”
Não ajudou, disse O’Neill, o fato de a interrupção ter acontecido em uma sexta-feira de verão, com muitos escritórios vazios e com falta de TI para ajudar a resolver o problema.
As atualizações de software devem ser implementadas de forma incremental
Uma lição da interrupção global de TI, disse O’Neill, é que a atualização do CrowdStrike deveria ter sido implementada de forma incremental.
“O que a Crowdstrike estava fazendo era lançar suas atualizações para todos de uma vez. Essa não é a melhor ideia. Envie para um grupo e teste. Existem níveis de controle de qualidade pelos quais ele deve passar”, disse O’Neill.
“Ele deveria ter sido testado em sandboxes, em muitos ambientes antes de ser lançado”, disse Peter Avery, vice-presidente de segurança e conformidade da Visual Edge IT.
Ele espera que sejam necessárias mais salvaguardas para evitar futuros incidentes que repitam este tipo de falha.
“Você precisa de freios e contrapesos corretos nas empresas. Pode ter sido uma única pessoa que decidiu enviar esta atualização ou alguém escolheu o arquivo errado para executar”, disse Avery.
A indústria de TI chama isso de falha pontual – um erro em uma parte de um sistema que cria um desastre técnico em todos os setores, funções e redes de comunicações interconectadas; um enorme efeito dominó.
Chamada para criar redundância em sistemas de TI

O evento de sexta-feira poderá fazer com que empresas e indivíduos aumentem o seu nível de preparação cibernética.
“O quadro geral é o quão frágil o mundo é; não é apenas uma questão cibernética ou técnica. Há uma série de fenômenos diferentes que podem causar uma interrupção, como explosões solares que podem prejudicar nossas comunicações e eletrônicos”, disse Avery.
Em última análise, o colapso de sexta-feira não foi uma acusação à Crowdstrike ou à Microsoft, mas à forma como as empresas veem a segurança cibernética, disse Javad Abed é professor assistente de sistemas de informação na Johns Hopkins Carey Business School. “Os proprietários de empresas precisam parar de ver os serviços de segurança cibernética apenas como um custo e, em vez disso, como um investimento essencial para o futuro da sua empresa”, disse Abed.
As empresas deveriam fazer isso criando redundância em seus sistemas.
“Um único ponto de falha não deveria ser capaz de parar um negócio, e foi isso que aconteceu”, disse Abed. “Você não pode confiar em apenas uma ferramenta de segurança cibernética, a cibersegurança 101”, disse Abed.
Embora a criação de redundância em sistemas empresariais seja dispendiosa, o que aconteceu na sexta-feira é mais caro.
“Espero que este seja um alerta e que provoque algumas mudanças nas mentalidades dos proprietários de empresas e organizações para revisarem suas estratégias de segurança cibernética”, disse Abed.
O que fazer com o código no ‘nível do kernel’
Em um nível macro, é justo atribuir alguma culpa sistêmica dentro de um mundo de TI empresarial que muitas vezes vê a segurança cibernética, a segurança de dados e a cadeia de fornecimento de tecnologia como “coisas boas de se ter” em vez de essenciais, e uma falta geral de liderança em segurança cibernética dentro das organizações, disse Nicholas Reese, ex-funcionário do Departamento de Segurança Interna e instrutor do Centro SPS para Assuntos Globais da Universidade de Nova York.
Em um nível micro, Reese disse que o código que causou essa interrupção foi o código no nível do kernel, impactando todos os aspectos de comunicação de hardware e software do computador. “O código em nível de kernel deve receber o mais alto nível de escrutínio”, disse Reese, com aprovação e implementação precisando ser processos totalmente separados com responsabilidade.
Esse é um problema que continuará em todo o ecossistema, inundado de produtos de fornecedores terceirizados, todos com vulnerabilidades.
“Como podemos observar o ecossistema de fornecedores terceirizados e ver onde estará a próxima vulnerabilidade? É quase impossível, mas temos que tentar”, disse Reese. “Não é um talvez, mas uma certeza até que enfrentemos o número de vulnerabilidades potenciais. Precisamos de nos concentrar no backup e na redundância e investir nisso, mas as empresas dizem que não podem pagar por coisas que poderão nunca acontecer. É um caso difícil de ser feito”, disse ele.