CrowdStrike: el piloto Kurtz se fue de pista, colapso C-00000291*.sys y acecha Microsoft

La "pantalla azul de la muerte" de Microsoft provocó interrupciones en los sistemas de aviación civil, ferrocarriles y banca en muchos países. Entre los afectados se encuentran la Bolsa de Londres, la West Japan Railway Company y al menos cuatro bancos australianos. Varias aerolíneas estadounidenses tuvieron que suspender vuelos en todo el mundo como consecuencia de ello.

CrowdStrike Holdings, Inc. es una empresa estadounidense de tecnología de ciberseguridad con sede en Austin, Texas. Fue cofundada en 2011 por George Kurtz (director ejecutivo, ex McAfee), Dmitri Alperovitch (exdirector de Tecnología) y Gregg Marston (exdirector financiero). Luego ingresó Shawn Henry, exfuncionario del FBI.

• En mayo de 2014, los informes de CrowdStrike ayudaron al Departamento de Justicia a USA a acusar a 5 piratas informáticos militares chinos de espionaje cibernético económico contra corporaciones estadounidenses.
• Luego, CrowdStrike descubrió las actividades de Energetic Bear, vinculado al Servicio Federal de Seguridad de Rusia.
• Después del hackeo a Sony Pictures, CrowdStrike descubrió evidencia que implicaba al gobierno de Corea del Norte.
• Más tarde, CrowdStrike ayudó a identificar a miembros de Putter Panda, el grupo chino de hackers también conocido como PLA Unit 61486.
• En mayo de 2015, la compañía descubrió VENOM, una falla crítica en un hipervisor de código abierto llamado Quick Emulator (QEMU) que permitía a los atacantes acceder a información personal confidencial.
• Entonces, volvió a identificar a piratas informáticos chinos que atacaban a empresas tecnológicas y farmacéuticas.

Google invirtió en la ronda de financiación de Serie C de la empresa. Más tarde los inversionistas incluyeron a Telstra, March Capital Partners, Rackspace, Accel Partners y Warburg Pincus.

En junio de 2019, la empresa realizó una oferta pública inicial en el Nasdaq.

Más tarde compró Preempt Security; la plataforma de gestión de registros danesa Humio; SecureCircle; y las startups israelíes de ciberseguridad Bionic.ai y Flow Security.

También acordó una colaboración con Cribl.io. Y comenzó a vender sus servicios a agencias gubernamentales de USA.

La Gran Falla

Ahora, la investigación de Jordan Robertson y Ryan Gallagher para Bloomberg:

Cuando Brendan Delaney, un médico del Servicio Nacional de Salud del Reino Unido, llegó a su clínica de Londres el viernes, esperaba un día muy ocupado atendiendo pacientes.

Habían pasado dos meses desde que un ciberataque devastador había afectado a hospitales y clínicas en el sureste de Londres. Y los médicos como Delaney, que también es profesor en el Imperial College de Londres, finalmente estaban empezando a sentir que la situación volvía a la normalidad. Podían volver a enviar análisis de sangre urgentes y los expertos en ciberseguridad estaban haciendo progresos en la reparación y reemplazo de sistemas de tecnología de la información que habían sido bloqueados previamente por una banda de piratas informáticos criminales.

Pero justo cuando llegó, vio que la recepcionista estaba reuniendo apresuradamente cuadernos de notas y buscando un plan de continuidad comercial. Un sistema que los médicos de toda Inglaterra usan para ver los historiales de los pacientes de repente dejó de funcionar.

Esta vez, el problema no fue una banda de ransomware, sino una empresa creada para proteger a las personas de los piratas informáticos. CrowdStrike Holdings Inc., uno de los mayores fabricantes de software de ciberseguridad, había lanzado una actualización defectuosa y había provocado un colapso informático global , paralizando aeropuertos, bancos, bolsas de valores y empresas de todo el mundo.

Increíblemente, un archivo diminuto (lo suficientemente grande como para contener una sola imagen de página web, según los expertos) fue el responsable de la mayor interrupción de TI del mundo. Se denominó “C-00000291*.sys” y estaba enterrado en una actualización del sensor Falcon, de CrowdStrike. El archivo dañado provocó un error en el sistema operativo Windows de Microsoft Corp., lo que dejó a los equipos inoperativos y activó la temida “pantalla azul de la muerte”.

El desastre

El incidente expuso la fragilidad del sistema informático global a una escala sin precedentes y puso de relieve los peligros de que tantas organizaciones e individuos se vuelvan dependientes de un puñado de empresas tecnológicas. Si una de ellas sufre una interrupción del servicio o es atacada por piratas informáticos, las consecuencias pueden extenderse a amplios sectores de la economía mundial. Microsoft domina el negocio de la informática personal con su sistema operativo Windows, mientras que CrowdStrike se ha convertido en el proveedor de referencia para miles de empresas y organizaciones que buscan proteger sus sistemas más importantes de los ciberataques.

Según la firma de investigación IDC, CrowdStrike es el segundo mayor fabricante de software de “protección moderna de puntos finales” después de Microsoft y controla el 18% del mercado, que asciende a 12.600 millones de dólares. La empresa, con sede en Austin, vende sus productos a 29.000 organizaciones de todo el mundo, por lo que la interrupción probablemente afectó a millones de computadoras que podrían tardar semanas o más en volver a funcionar porque deben repararse manualmente.

“Es un verdadero desastre”, dijo Saif Abed, exmédico del NHS y experto en ciberseguridad y salud pública. “Crowdstrike ha afectado a Microsoft, y todo el NHS depende de Microsoft. Es un efecto dominó de posibles fallas”.

El viernes, cuando las interrupciones se extendieron desde Asia y Australia a Europa y Estados Unidos, George Kurtz , cofundador y director ejecutivo de CrowdStrike, se disculpó por el error. “No se trata de un incidente de seguridad ni de un ciberataque”, afirmó. “Se ha identificado el problema, se ha aislado y se ha implementado una solución”.

Kurtz no especificó cómo se introdujo la falla en la actualización, pero algunos críticos veteranos de su sector ya tienen una teoría al respecto. Dicen que CrowdStrike y otras empresas de ciberseguridad han sacrificado principios básicos y aburridos de seguridad en pos de mayores beneficios y de tratar de apaciguar a los accionistas.

“Es hora de que la industria crezca y tal vez se desacelere un poco”, dijo Federico “Fede” Charosky, fundador y CEO de la empresa de servicios de seguridad Quorum Cyber, con sede en Edimburgo. “Algún desarrollador en algún lugar hizo un cambio y no hubo ningún análisis del impacto que tendría ese cambio. Claramente hay una falta de control de calidad y de pruebas y de atajos en pos de la velocidad. Lo que esto demuestra es que nos engañamos en nuestra confianza total en las tecnologías que son tan intrínsecas al funcionamiento de todo”.

McAfee

Lo que ocurrió el viernes es extremadamente raro, pero Kurtz, de CrowdStrike, ya ha pasado por esto antes. En 2010, era el director de tecnología de McAfee, la empresa pionera en software antivirus. En abril de ese año, McAfee publicó una actualización que etiquetaba por error un archivo legítimo de Windows como infectado y paralizaba computadoras en hospitales, escuelas y agencias gubernamentales de todo el mundo.

La compañía retiró la actualización defectuosa apenas 16 minutos después, pero para entonces ya se había instalado en las computadoras de más de 1.600 clientes, según Dave DeWalt , quien era el CEO de McAfee en ese momento y ahora dirige una empresa de capital de riesgo enfocada en la ciberseguridad. "Perdimos alrededor del 40% de nuestra capitalización de mercado ese día", dijo DeWalt en una entrevista, y agregó que la compañía envió a cerca de 4.000 empleados en aviones para ayudar a los clientes afectados a recuperarse del incidente.

McAfee finalmente se recuperó de la crisis, pero los empleados de la época la describieron como extremadamente traumática y humillante. Cuatro meses después, Intel Corp. anunció que compraría la empresa.

Los observadores de la industria cibernética se preguntan si CrowdStrike aprenderá de su propio error. Algunos ya están diciendo que la empresa se estaba buscando problemas. Durante años, CrowdStrike ha atacado a Microsoft por permitir que los piratas informáticos penetren en sus sistemas, y Kurtz ha utilizado esos errores como argumento de venta para sus propios productos.

Microsoft

Poco después de que el gobierno de Estados Unidos publicara un informe en el que criticaba a Microsoft por una “cascada de fallos de seguridad”, Kurtz se abalanzó sobre el asunto, citando sus hallazgos a los inversores en una conferencia telefónica sobre los resultados y diciendo que los problemas de Microsoft provocaron una “oleada de solicitudes” de clientes potenciales. “Hay una crisis generalizada de confianza entre los equipos de seguridad y TI dentro de la base de clientes de seguridad de Microsoft”, dijo.

CrowdStrike ha intentado atacar a Microsoft tanto como ha podido y ha tratado de sacar provecho de ello”, dijo Charosky. “Pero nadie escapa cuando su empresa es una parte tan importante de la infraestructura mundial. Esto es karma. Cuando una empresa pasa de ser una startup a ser una infraestructura nacional crítica, necesita comportarse de manera diferente, y no sé si CrowdStrike ha pasado por esa transición. CrowdStrike ha intentado atacar a Microsoft tanto como ha podido y ha tratado de sacar provecho de ello”, dijo Charosky. “Pero nadie escapa cuando su empresa es una parte tan importante de la infraestructura mundial. Esto es karma. Cuando una empresa pasa de ser una startup a ser una infraestructura nacional crítica, necesita comportarse de manera diferente, y no sé si CrowdStrike ha pasado por esa transición.

Algunos comentaristas en línea han descrito la actualización defectuosa de CrowdStrike como el "malware del año", debido al nivel de destrucción que ha provocado. La comparación jocosa con el código de ataque de los piratas informáticos tiene cierta base en la realidad. El tiempo de recuperación para las organizaciones afectadas podría ser de semanas o más, aproximadamente similar al tiempo que le toma a una gran organización reconstruir su red después de un ataque de ransomware, dijeron los expertos en ciberseguridad.

El mayor desafío para restablecer el funcionamiento de las computadoras es que la solución de CrowdStrike debe aplicarse manualmente, computadora por computadora, por alguien con privilegios administrativos, un proceso que consume mucho tiempo y es particularmente difícil en una era de trabajo remoto.

¿Cómo ocurrió esto?

Michael Henry, cofundador y presidente de la empresa de servicios de ciberseguridad Accelerynt Inc., con sede en Plano (Texas), afirma que un cliente, un importante minorista estadounidense, tuvo que llamar a todo su personal de TI y lo tuvo trabajando las 24 horas del día para actualizar manualmente unos 6.000 servidores afectados. La empresa esperaba que se necesitara todo el fin de semana para restaurar los sistemas críticos, afirmó, y hasta tres semanas antes de que todos los sistemas volvieran a estar en línea por completo.

"Es una locura. Están haciendo un triaje y se están centrando primero en los sistemas críticos", dijo Henry. "Es una operación minorista, así que se están asegurando de que las tiendas puedan volver a funcionar".

Henry tiene una pregunta que mucha gente se está haciendo a raíz del apagón: ¿Cómo ocurrió esto?

“CrowdStrike ha hecho más por perturbar el comercio mundial que todos los operadores de ransomware juntos”, afirmó. “Esto demuestra el riesgo que corremos con este software que hemos implementado para protegernos: si estos tipos se equivocan, pueden acabar con su negocio”.

En un comunicado emitido el viernes por la noche, Kurtz dijo: “Una vez que se resuelva este incidente, tienen mi compromiso de brindar total transparencia sobre cómo ocurrió y las medidas que estamos tomando para evitar que vuelva a suceder algo así. Estamos trabajando en una actualización técnica y un análisis de la causa raíz que también compartiremos con todos”.

Las demandas

Los expertos legales y en ciberseguridad afirman que es casi seguro que CrowdStrike será objeto de demandas judiciales, costos financieros y otras sanciones. El incidente también seguramente provocará un nuevo debate sobre la creciente concentración de poder (y riesgo) en manos de unas pocas empresas de ciberseguridad.

Según los estándares de Silicon Valley, la industria de la ciberseguridad es relativamente joven, alcanzó su madurez en la era de los gusanos y los virus de disquete y hace dos décadas estaba dominada por dos empresas –Symantec y McAfee– cuyos productos antivirus se centraban en una estrategia que ahora parece pintoresca: escribir “firmas” para bloquear cepas conocidas de malware.

En la actualidad, los atacantes se han vuelto más avanzados y el software antivirus tradicional ha caído en desuso, desplazando a los fabricantes de seguridad tradicionales del escenario. En su lugar, existe una demanda de productos que puedan detectar una variedad de amenazas en los equipos y automatizar su reparación.

El problema es que estas tecnologías están controladas en gran medida por Microsoft y CrowdStrike. Algunos expertos, entre ellos Justin Cappos, profesor de informática de la Universidad de Nueva York, afirman que han estado advirtiendo que esa consolidación en la industria de la seguridad (y la toma de decisiones centralizada que conlleva) puede conducir a grandes problemas, un debate que ha ocurrido en otras partes del sector tecnológico.

“Las grandes empresas cometen grandes errores en el ámbito tecnológico”, afirmó en una entrevista. “Muchos de los diseños de seguridad realmente malos que hemos visto han surgido de iniciativas de grandes empresas.

--------------------------------------------------------------

Más contenido en Urgente24

Quentin Tarantino se despide del cine reusando un truco genial: De cuál se trata

La impactante miniserie de Netflix que arrasa con solo 6 capítulos

Inesperado: se reveló quiénes son estos dos actores en 'Deadpool y Wolverine'

Netflix sorprende con millones de nuevos suscriptores y apuesta por la inteligencia artificial