.jpg?w=730)
Foto: Depositphotos.
A CrowdStrike, responsável pelo "apagão cibernético" que derrubou mais de 8,5 milhões de máquinas Windows ao redor do mundo na última sexta-feira, 19, colocou a culpa em um teste de software que não teria conseguido identificar um arquivo defeituoso.
Em atualizações sobre a investigação interna do caso, divulgadas em seu site, a empresa detalhou o histórico que levou à falha na atualização do seu sistema Falcon Sensor.
Em fevereiro de 2024, a CrowdStrike lançou no software um sensor de conteúdo baseado na comunicação entre processos (IPC, na sigla em inglês). Na ocasião, os testes não apresentaram nenhum problema e o uso foi liberado em 5 de março.
Mais três instâncias foram implantadas nele entre 8 e 24 de abril. Todas rodaram no Windows sem falhas, mas foram detectados problemas no Falcon em algumas máquinas com Linux.
Em 19 de julho, a CrowdStrike implantou mais duas instâncias no modelo IPC e uma delas continha “dados de conteúdo problemáticos”. Segundo a empresa, um bug no "validador de conteúdo" permitiu que um arquivo defeituoso fosse liberado para os usuários.
Quando os computadores dos clientes eram reiniciados, o problema ocorria novamente, tornando os dispositivos inutilizáveis. Quase uma semana depois, muitos usuários ainda estão lidando com as consequências e tentando restaurar seus sistemas.
IPC E SENSOR DE CONTEÚDO
A companhia detalha que o Falcon Sensor tem integrado em seu código um sensor de conteúdo, que funciona como uma resposta rápida para detectar e lidar com malwares emergentes específicos e outras atividades indesejadas no sistema.
Através de modelos de códigos, o conteúdo de resposta rápida personaliza a ação desses modelos para que o software do sensor possa detectar, observar e prevenir atividades específicas do sistema. Seria um double-check realizado por ele no Falcon Sensor.
A ferramenta roda em um modelo de IPC, utilizado entre sistemas operacionais Windows e Linux.
Este modelo permite que dois ou mais processos realizem a troca de dados entre si, pois um processo possui sua própria região de memória localizada em um espaço onde outros processos não têm permissão para ar.
PRÓXIMOS OS
A empresa garantiu que está tomando medidas para evitar que isso aconteça novamente, incluindo testes mais rigorosos, lançamentos escalonados de atualizações e mais controle para os usuários sobre quando instalar essas atualizações.
Além disso, a CrowdStrike prometeu fornecer notas detalhadas sobre cada atualização e uma análise completa da causa do problema assim que a investigação for concluída.
Fagner Ramos 4c144o
Jornalista no Baguete Diário