By admin 
Un alto ejecutivo de CrowdStrike se disculpó ante un comité del gobierno de Estados Unidos por la interrupción del servicio del 19 de julio que provocó que los sistemas informáticos de todo el mundo colapsaran y mostraran la temida pantalla azul de la muerte después de que la compañía lanzara una actualización defectuosa.
El incidente, que tuvo lugar temprano en la mañana en el Reino Unido, comenzó cuando CrowdStrike emitió una actualización de su plataforma de detección de amenazas Falcon, pero debido a un error en su herramienta de validación de contenido automatizada, la plantilla que contenía datos de contenido “problemático” fue autorizada para su implementación.
Esto, a su vez, generó una condición de memoria fuera de límites que provocó que las computadoras Windows que recibían la actualización ingresaran en un bucle de arranque. Esto significa que los dispositivos afectados se reiniciaron sin previo aviso durante el proceso de inicio, lo que los dejó incapaces de completar un ciclo de arranque.
El caos resultante paralizó 8,5 millones de computadoras durante un breve período de tiempo y afectó a organizaciones de todo el mundo, siendo el impacto particularmente sentido en los sectores del transporte y la aviación.
En sus comentarios de apertura ante el Comité de Seguridad Nacional de la Cámara de Representantes en Washington DC, Adam Meyers, vicepresidente senior de operaciones de contraataque de CrowdStrike, dijo que la organización decepcionó a sus clientes cuando lanzó la actualización defectuosa.
“En nombre de todos en CrowdStrike, quiero disculparme. Lamentamos profundamente que esto haya sucedido y estamos decididos a evitar que vuelva a suceder”, afirmó Meyers.
“Agradecemos el increíble esfuerzo que han hecho nuestros clientes y socios durante todo el día, quienes, trabajando junto a nuestros equipos, se movilizaron de inmediato para restaurar los sistemas y poner en funcionamiento muchos de ellos en cuestión de horas. Puedo asegurarles que seguimos abordando esta situación con un gran sentido de urgencia”.
Continuó: “En términos más generales, quiero subrayar que no se trató de un ciberataque de actores de amenazas extranjeros. El incidente fue causado por una actualización de contenido de respuesta rápida de CrowdStrike. Hemos tomado medidas para ayudar a garantizar que este problema no vuelva a ocurrir y nos complace informar que, al 29 de julio, aproximadamente el 99 % de los sensores de Windows volvieron a estar en línea.
“Desde que esto ocurrió, nos hemos esforzado por ser transparentes y nos hemos comprometido a aprender de lo que sucedió”, dijo Meyers. “Hemos llevado a cabo una revisión completa de nuestros sistemas y hemos comenzado a implementar planes para reforzar nuestros procedimientos de actualización de contenido para que podamos salir de esta experiencia como una empresa más fuerte. Puedo asegurarles que aprovecharemos las lecciones aprendidas de este incidente y las utilizaremos para orientar nuestro trabajo a medida que mejoramos para el futuro”.
Andrew Garbarino, miembro y presidente del Subcomité de Seguridad Cibernética y Protección de Infraestructura, dijo: “La magnitud de este error fue alarmante. Si una actualización rutinaria pudo causar este nivel de perturbación, imagínense lo que un actor de un estado nacional hábil y decidido podría hacer.
“No podemos perder de vista cómo este incidente influye en el entorno de amenazas más amplio”, afirmó. “Sin duda, nuestros adversarios han evaluado nuestra respuesta, recuperación y verdadero nivel de resiliencia.
“Sin embargo, nuestros enemigos no son solo estados nacionales con capacidades cibernéticas avanzadas, sino que también incluyen una variedad de actores cibernéticos maliciosos que a menudo prosperan en la incertidumbre y la confusión que surgen[s] durante cortes de TI a gran escala”, dijo Garbarino.
“CISA [the US Cybersecurity and Infrastructure Security Agency] emitió una declaración pública en la que señalaba que había observado que los actores de amenazas se aprovechaban de este incidente para realizar phishing y otras actividades maliciosas. Está claro que esta interrupción creó un entorno ventajoso y propicio para la explotación por parte de actores cibernéticos maliciosos”.
Interrupciones causadas
El presidente del comité, Mark Green, destacó la interrupción de los vuelos, los servicios de emergencia y los procedimientos médicos, no solo en los EE. UU. sino en todo el mundo. “Una interrupción global de la TI que afecta a todos los sectores de la economía es una catástrofe que esperaríamos ver en una película”, dijo. “Es algo que esperaríamos que fuera ejecutado cuidadosamente por actores maliciosos y sofisticados de los estados-nación.
“Para colmo de males, la mayor interrupción de TI de la historia se debió a un error”, dijo Green. “En este caso, el validador de contenido de CrowdStrike utilizado para su sensor Falcon no detectó un error en un archivo de canal. También parece que la actualización puede no haber sido probada adecuadamente antes de enviarse a la parte más sensible del sistema operativo de una computadora. Los errores ocurren, sin embargo, no podemos permitir que un error de esta magnitud vuelva a ocurrir”.
Durante su testimonio, Meyers también expuso detalles de la naturaleza precisa del problema y describió los pasos que CrowdStrike ha tomado para garantizar que no vuelva a suceder, aunque reveló poca información que no se haya hecho pública ya.
Se enfrentó a casi una hora y media de preguntas de políticos estadounidenses, incluyendo un interrogatorio sobre el apoyo que CrowdStrike proporcionó a los operadores de infraestructura nacional crítica (CNI) afectados por la interrupción, y su propia observación de la explotación del tiempo de inactividad por parte de ciberdelincuentes.
Acceso al núcleo
Es importante destacar que Meyers defendió la necesidad de que CrowdStrike tenga acceso al kernel de Microsoft, una parte central del sistema operativo Microsoft Windows, que administra varios recursos y procesos en el sistema y a menudo aloja aplicaciones críticas de ciberseguridad, incluido el sensor de detección y respuesta de puntos finales Falcon.
A raíz del incidente, algunos han afirmado que es peligroso que Microsoft permita dicho acceso y que una mejor práctica sería implementar dichas actualizaciones directamente para los usuarios.
“CrowdStrike es uno de los muchos proveedores que utilizan la arquitectura del kernel de Windows, que es una arquitectura de kernel abierta, una decisión que tomó Microsoft para permitir que el sistema operativo admita una amplia gama de diferentes tipos de hardware y diferentes sistemas”, dijo Meyers.
“El núcleo es responsable de las áreas clave donde se puede garantizar el rendimiento, donde se puede tener visibilidad de todo lo que sucede en ese sistema operativo, donde se puede proporcionar cumplimiento (en otras palabras, prevención de amenazas) y garantizar la prevención de manipulaciones, que es una preocupación clave desde una perspectiva de ciberseguridad”, dijo. “La prevención de manipulaciones es muy preocupante porque cuando un actor de amenazas obtiene acceso a un sistema, intentará desactivar las herramientas de seguridad y, para identificar que eso está sucediendo, se requiere visibilidad del núcleo.
“El controlador del núcleo es un componente clave de todos los productos de seguridad que se me ocurren”, añadió Meyers. “El hecho de que realicen la mayor parte de su trabajo en el núcleo varía según el proveedor, pero intentar proteger el sistema operativo sin acceso al núcleo sería muy difícil”.