A solução da falha tecnológica que levou à paralisação de sistemas em quase todo o mundo será difícil, demora e cara, adverte Fabio Assolini, diretor da equipe de pesquisa e análise para a América Latina da Kaspersky. De certa forma, a Kaspersky é uma concorrente da CloudStrike, onde o problema se originou, mas nesse momento a sensação é mais de solidariedade do que de acusação, embora a empresa de Assolini já adote uma forma de prevenir problemas como o que ocorreu nesta sexta-feira (19).

Qual foi a origem do problema?

A Microsoft tem uma divisão de computação em nuvem que se chama Azure, competidora da Google Cloud e outras, que usa algum serviço da CloudStrike, causa efetiva da falha. Para funcionar, os softwares de segurança precisam estar no coração do sistema operacional, o kernel. Por isso, tem acesso privilegiado. Quando algo dá errado, vemos o que está ocorrendo agora, que é um apocalipse para qualquer sistema de segurança.

Seria possível evitar?

Os fabricantes de software devem adotar medidas para evitar chegar a isso. Na Kaspersky, todas nossas atualizações são testadas antes em diferentes sistemas, com diferentes combinações. Fazemos um teste fechado, se tudo der certo passamos primeiro para uma parcela de pequenos clientes. Se for identificado qualquer problema, abortamos na hora. Chamamos isso de atualização granular. Não distribuímos em nível global.

Já se tem alguma ideia dos prejuízos?

Ainda cedo para mensurar, mas com certeza é grande. Imagine o prejuízo de um banco sem acesso ao sistema por mais de 12 horas. Sou cliente de um banco americano, consigo ver minha conta e meu saldo, mas não posso movimentar. Será na casa de bilhões de dólares, falta saber quantos. Vai gerar ações contra a empresa. Como fabricantes de softawes de segurança, nos solidarizamos. Todos têm algum telhado de vidro, ninguém gostaria de estar nessa situação.

Além de bancos ainda com indisponibilidade, clientes da Localiza não conseguem locar carro pelo site e a XP avisou que partes do seu sistema estão inoperantes.

Por que o Brasil parece ter sido menos afetado?

O problema no Azure parece mais restrito a clientes atendidos com uso do software da CrowdStrike, mas aqui há impactos também. Além de bancos ainda com indisponibilidade, clientes da Localiza não conseguem locar carro pelo site e a XP avisou que partes do seu sistema estão inoperantes.

A solução será rápida?

Não é simples. Será preciso resolver manualmente, computador por computador. O primeiro passo é reiniciar em modo seguro, que carrega só o mínimo necessário,  encontrar o driver da CloudStrike e deletar. Parece simples, mas não é. Em muitos computadores corporativos, o modo seguro é bloqueado por segurança, então o usuário não vai conseguir fazer sozinho, sem uma chave de segurança. Imagine uma empresa com 5 mil computadores usados de forma remota. O final de semana do pessoal de TI foi estragado.

É complexo porque hoje alguns softwares críticos recebem atualizações de forma automática. Precisarão ser reconfigurados para receber apenas atualizações manuais.

Quais serão as configurações de segurança que devem ser adotadas a partir de agora?

As empresas devem adotar essa boa prática, ainda pouco empregada, de instalação granular das atualizações, de testar em ambiente isolado, depois pequeno, para só depois expandir. Mesmo grandes empresas do segmento não usam hoje. É complexo porque hoje alguns softwares críticos recebem atualizações de forma automática. Precisarão ser reconfigurados para receber apenas atualizações manuais.

Vai aumentar o custo?

Não é tão caro, mas vai precisar ter técnicos para configurar esse ambiente, fazer testes regulares. Isso não é só fazer uma vez e acabou. Vai gerar custos, mas é preciso fazer o cálculo do que vai sair mais caro: pagar todas as indenizações que um episódio como esse vai gerar ou implementar uma boa prática.

Em tese, quem tem um serviço crítico que roda na nuvem precisa de mais de um provedor. Se um cai, outro segura.

As ações da Microsoft caíram pouco, a empresa não poderá ser responsabilizada pelos serviços que contratou?

Vai depender de cada contrato. Os do Azure, como todas as empresas do segmento, têm uma cláusula que prevê um determinado número de horas por mês com serviço fora do ar. Em tese, quem tem um serviço crítico que roda na nuvem precisa de mais de um provedor. Se um cai, outro segura. Quem depende de serviço em nuvem adota geralmente uma estratégia multicloud. Então, vai ser uma negociação caso a caso.

Será preciso manter o alerta por alguns dias?

Já estamos vendo ciberataques usando esse episódio como isca. Envolve sobretudo registro de domínios de internet. Detectamos, desde o início da manhã, duas dezenas de domínios maliciosos, a maioria com o nome da CrowdStrike. Uns prometem correção rapida desde que se pague uma quantia, outros promentendo alguma coin (criptomoeda). Aparecem aproveitadores de todo o tipo. É importante que os administradores de empresas comprometidas não busquem solução em canais não oficiais.

Leia mais na coluna de Marta Sfredo