Proponha uma correção, faça uma sugestão
Companhia aérea não atualiza o Windows há 32 anos e “safou-se” do bug da CrowdStrike
Os especialistas em segurança dizem que os dispositivos protegidos são os que têm as últimas atualizações do hardware e software. Foi aqui que a Southwest sorriu. A companhia aérea não atualiza o seu Windows há 32 anos e passou-lhe totalmente ao lado o catastrófico problema derivado da ação do software CrowdStrike no sistema operativo da Microsoft.
Se está a funcionar bem, não mexas
O velho mantra diz-nos para atualizar para a versão mais recente do nosso sistema operativo, evitando assim quaisquer falhas de segurança. Sim, o mantra ficou seriamente comprometido após o acidente do CrowdStrike na semana passada. Praticamente todas as companhias aéreas nos EUA foram afetadas, à exceção de uma que se aguentou contra todas as probabilidades. Curiosamente, fê-lo com um sistema operativo com 32 anos.
Na passada sexta-feira, quase todos os voos nos EUA foram interrompidos depois de o sistema CrowdStrike ter caído. Tal como referimos, não foram apenas as companhias aéreas, o efeito borboleta de uma atualização causou o caos em hospitais e pequenas empresas em todo o mundo.
Seja como for, este bug acabou por desvendar e demonstrar as fragilidades dos aeroportos, mesmo que haja uma companhia nos EUA que esteja à parte deste problema, a Southwest Airlines, a quarta maior companhia aérea do país.
Windows com 32 anos sem bug do sistema CrowdStrike
Por vezes falamos em empresas e organizações que ainda usam disquetes, em processos até críticos. Na verdade, o que vemos agora estará melhor, mas não tanto assim. Os aviões desta companhia aérea utilizam o Windows 3.1, uma versão do famoso software da Microsoft de há três décadas (há 32 anos, para ser exato). Sim, a maioria dos sistemas da empresa são baseados no Windows 95 e no Windows 3.1.
A razão que provavelmente levou à utilização segura do Windows 3.1 parece bastante clara. O sistema operativo, lançado em 1992, já não recebe quaisquer atualizações. Por isso, quando a CrowdStrike enviou a atualização defeituosa a todos os seus clientes, a Southwest não foi afetada (porque, no fundo, não recebeu qualquer atualização). É uma situação que tem tanto de cómica como de real e benéfica para a empresa.
Assim, enquanto dezenas de companhias aéreas foram afetadas e tiveram de imobilizar as suas frotas porque muitos dos seus sistemas de base se recusaram a funcionar (sistemas que incluem a programação dos pilotos e da frota, os registos de manutenção, a emissão de bilhetes...), felizmente para a Southwest, a “não atualização” não afetou os seus sistemas, garantindo que tudo no ar permanecesse seguro e sob o controlo dos seus pilotos.
Não, esta não é a única, há mais a utilizar Windows 3.1
É verdade que a Southwest não é a única que não está a utilizar o Windows há “algum tempo”. Outras empresas, como a UPS e a FedEx, também não tiveram problemas com a interrupção do CrowdStrike porque estavam a executar partes essenciais do Windows 3.1.
Não foi só o Windows 3.1 que ficou ao largo dos problemas. Outro exemplo, também dentro da mesma empresa, diz-nos que o Windows 95 também não teve qualquer bug e continuou a suportar o sistema de planeamento de pessoal da Southwest.
Para os mais velhos, seguramente saberão que o Windows 95 é um sistema operativo “mais recente” (cerca de três anos mais velho do que o Windows 3.1), mas antigo em comparação com a tecnologia atual. De facto, muitos funcionários da companhia aérea já se tinham queixado desta situação.
Já foi resolvido o problema do CrowdStrike nos Windows mais recentes?
Segundo reportou a Microsoft, a causa principal do problema foi corrigida. No entanto, pode levar dias até que tudo seja reposto.
O CEO Satya Nadella comentou sobre o problema de rede:
Estamos cientes deste problema e estamos a trabalhar em estreita colaboração com a CrowdStrike e com toda a indústria para fornecer aos clientes orientação técnica e suporte para que os seus sistemas voltem a ficar online com segurança.
Uma coisa parece certa, se a Southwest pensava em atualizar finalmente os seus sistemas para um Windows atual, poderá não ser já. Isto porque a velha e sábia frase "se funciona, não mexas", parece estar ainda em dia!
Leia também:
Loading ...
Bem, lembrem-me para nunca viajar nessa companhia…um sistema sem actualizações de segurança há tantos anos é um risco de segurança, tudo bem que funciona mas…
😀 atenção que não é a única 😉
Ou não…
Se for intranet sem qualquer ligação ao mundo exterior diria que está tudo bem.
Risco de segurança como? nos “(sistemas que incluem a programação dos pilotos e da frota, os registos de manutenção, a emissão de bilhetes…)??
Uma coisa é viajar e outra é gerir.
Ok, por um lado, em equipa que ganha, não se mexe. Mas sistemas destes não deveriam “saltar” de uma geração para outra. Deveriam ter evolução contínua. Custa-me a acreditar que façam “tudo” no windows 3.1. Devem ter 2 máquinas para cada pessoa ou andar com desktops virtuais a correr no windows 10. Já ví isso tantas vezes. Mas fico de pé atrás. Sistemas com 30 anos ligados numa rede não deve ser assim tão difícil de “mexer”. Deve ir correndo bem porque os hackers estão na frente da tecnologia e não na retaguarda, mas mesmo assim…
Então o que hão-de dizer as companhias de seguros, bancos e demais empresas que em Portugal e no mundo ainda usam AS400.
Não há melhor segurança que a ignorância
Se funciona e cumpre com os requisitos do negócio, se se conhece todas as limitações de usar este sistema operativo e o negócio funciona na mesma, para quê mudar? Quanto custa a mudança? Qual o ganho?
+1
Se funciona perfeitamente, não vale a pena mudar.
Esses sistemas antigos são utilizados praticamente dentro dos aviões que foram construídos nessa época e as disquetes são para fazer atualizações importantes ao controlo do hardware e informações de voos. Os sistemas só não foram atualizados porque seria demasiado caro trocar e atualizar o hardware dos aviões e reprogramar tudo com sistemas novos. Se funcionam e raramente falham, mais vale não mexer!
Isto não tem nada ver com os sistemas usados nos aviões. Mas sim nos “sistemas que incluem a programação dos pilotos e da frota, os registos de manutenção, a emissão de bilhetes…”
Há algum tempo vi que os aviões são atualizados ou realizadas manutenções a mesma, mas com suportes antigos. Não há cá nada de atualizar via USB, Wifi, etc. É a velha disquete, tornando-os seguros, ainda que pareça ser estranho.
Safou-se por agora é uma vez que foi notícia, vai se tornar num próximo alvo.
E até conseguem jogar ao Prince of Persia versão disquete arj.
Não foi por utilizarem o windows 3.1 que ficaram imunes… se tivessem o windows 10 mas não utilizassem o CrowdStrike também não seriam impactados
+1
Para além de ser assustador ver o pessoal a dizer “se funciona não mexe” (que de certeza que não estão na área do IT ou ciberseguranca), todo o artigo dá a entender que este foi um problema da Microsoft. Não foi… @Vitor M. Esta atualização, ao contrário da insinuação acima, não foi de todo entregue pela Microsoft, foi uma atualização do próprio produto pela CrowdStrike.
Está errado. Foi um problema da Microsoft na forma como o Windows funciona. No macOS, por exemplo, isso não acontecia, pelas questões de proteções implementadas.
Aliás, a Microsoft alega que não pode implementar legalmente as mesmas proteções que a Apple.
“Windows com 32 anos sem bug do sistema CrowdStrike” – Não é um bug do Windows.
“Windows 95 também não teve qualquer bug” – Não é um bug do Windows.
“Já foi resolvido o problema do CrowdStrike nos Windows mais recentes?” – Again… Não é um problema do Windows.
O macOS não é um exemplo, até porque não é usado a nivel empresarial a larga escala. Aquilo que se chama “proteções”, também pode ser chamado de “limitações” que trazem os seus próprios dilemas.
O mesmo cenário em Linux também acontece, aliás como se pode constatar pelas noticias mais recentes, até aconteceu.
Portanto, não é um problema do Windows… A comunicação social portuguesa, talvez pela sua falta de professionalismo está a passar uma imagem incorreta.
A própria Microsoft fez mea culpa, mas tu, com notório desconhecimento sobre o funcionamento dos sistemas, chamas limitação a uma das preponderantes funcionalidades de segurança do macOS. Falas de falta de profissionalismo quando tens limitações sobre o assunto abordado. Òh.
https://www.youtube.com/watch?v=wAzEJxOo1ts
Parece que não percebeste, eu não queres entender. Aliás, nesse vídeo é mostrado como a Microsoft permite este tipo de atuação profunda no Windows. O que não acontece no Mac, logo, quem permite tal ação, é obviamente também culpada do incidente e por isso é que a Microsoft logo se colocou em campo.
Neste bug, o problema está na ação das ferramentas do CrowdStrike, que atuam em níveis muito profundos no Windows (como podes ver na explicação desse vídeo). No Mac, elas não podem atuar nestes níveis. O Endpoint Security Framework da Apple é um kit de ferramentas de API moderno projetado para ajudar fornecedores de segurança a criar soluções de segurança para o Mac. Este mecanismo foi introduzido no macOS 10.15 Catalina e fornece um conjunto abrangente de ferramentas e serviços para monitorizar e proteger endpoints.
A estrutura permite que os programadores monitorizem vários eventos relacionados à segurança, como acesso ao sistema de ficheiros, criação de processos e ligações de rede. Isso permite a monitorização em tempo real de atividades num Mac. Tudo isto é executado de forma a protege a privacidade do utilizador e também limita o nível baixo em que pode ser executado.
E o que disse a Microsoft?
We experienced a Storage incident in Central US which had downstream impact to a number of Azure services. This is currently mitigated, however we are still in the process of validating recovery to a small percentage of those downstream services. This was communicated to affected customers via the Service Health dashboard in the Azure portal. We are also aware of an issue impacting Virtual Machines running Windows, running the CrowdStrike Falcon agent, which may encounter a bug check (BSOD) and get stuck in a restarting state. While this is an external dependency, we are currently investigating potential options for Azure customers to mitigate and will be providing updates via the status page here: https://azure.status.microsoft/en-gb/status/ as well as our Azure portal, where possible.
A mea culpa da Microsoft percebe-se perfeitamente. Sabe-se da origem do problema, mas obviamente só teve impacto porque o mecanismo do Windows assim o permitiu.
Aliás, isto que referi é tão verdade que agora a Microsoft ataca as posições da UE 😉 para não ficar com as culpas. 😉
O Vitor também não é propriamente especialista, portanto vamos com calma. Tanto as duas empresas como os administradores de IT responsáveis por definir as políticas de grupos nos sistemas das organizações a que pertencem estiveram mal.
Mas ninguém disse que a culpa é só da Microsoft, vamos com calma. O problema está bem localizado e sabe-se agora mais sobre como conseguiu afetar dezenas de milhares de máquinas com processos críticos ao redor do planeta. Tal como diz o adágio popular, tanto é culpado quem faz, como quem deixa fazer. E estranho alguns dizerem que a Microsoft não teve culpa quando a empresa se apressou de imediato a lançar uma Microsoft Recovery Tool. Que veio corrigir da parte da Microsoft (neste caso, no Windows) o bug 😉
@Vitor M. “While this is an external dependency, we are currently investigating potential options for Azure customers to mitigate”.
https://aka.ms/CSfalcon-VMRecoveryOptions
Aqui a Microsoft diz que está a ajudar os clientes a recuperar o acesso a máquinas que estão a correr em Azure. Em Azure o acesso à consola é limitado. Perante este cenário a Microsoft teve de intervir e guiar clientes para recuperar as máquinas. Contudo, continua a não ser um problema da Microsoft.
Sim sim é, aliás, a própria Microsoft diz agora que a culpa é da União Europeia porque limitou a empresa na defesa do seu sistema, perante este tipo de ações de terceiros. Não culpou a empresa que falhou, porque sabia que estava implicada. E a empresa sabe que falhou, pois não conseguiu proteger os seus clientes deste tipo de falhas, que é da responsabilidade da Microsoft o fazer.
Volto novamente a referir que a Apple tomou uma decisão para combater este problema. Se a Microsoft também o fizesse, nada disto teria acontecido.
Acontecia sim, Vítor!
Todos os Sistemas Operativos, onde a CrowdStrike está instalado, necessita de estar a correr em kernel-mode. Daí qualquer erro ou bug bloqueia o sistema.
TUDO o que é executado em kernel-mode não pode ter bugs senão bloqueia o sistema. Se for em user-mode, que é o mais comum, apenas tenta fechar a aplicação.
Não. Eu explico de forma simples por que não acontecia.
Neste bug, o problema está na ação das ferramentas do CrowdStrike, que atuam em níveis muito profundos no Windows. No Mac, elas não podem atuar nestes níveis. O Endpoint Security Framework da Apple é um kit de ferramentas de API moderno projetado para ajudar fornecedores de segurança a criar soluções de segurança para o Mac. Ele foi introduzido no macOS 10.15 Catalina e fornece um conjunto abrangente de ferramentas e serviços para monitorizar e proteger endpoints.
A estrutura permite que os programadores monitorizem vários eventos relacionados à segurança, como acesso ao sistema de ficheiros, criação de processos e ligações de rede. Isso permite a monitorização em tempo real de atividades num Mac. Tudo isto é executado de forma a protege a privacidade do utilizador e também limita o nível baixo em que pode ser executado.
Portanto, num Mac este bug não seria possível.
Sim, tens razão.
https://www.crowdstrike.com/blog/crowdstrike-supports-new-macos-big-sur/
Certo mas estás a falar da génese de um SO, e a comparar um SO para desktop de um SO usado para servidores, se a Microsoft não permitisse alterações ao nível do kernel não conseguiria sequer ter 10% da flexibilidade que tem hoje em dia para servidores. São contextos diferentes e necessidades diferentes.
A Microsoft não pode ser imputável, os seu SOs funcionam assim há décadas, e não vão ser alterados porque é preciso, aqui o problema é exclusivo dos pipelines CICD da Crowdstrike e da sua gestão danosa dos OOB updates que fazem updates OOB até a grupos de produção configurados para deferred updates.
A Microsoft emitir tools de correção ou scripts é algo recorrente até para vulnerabilidades de hardware como o caso dos cpus, faz parte da responsabilidade deles ajudar os clientes a não serem afectados seja porque motivo for
Isso já extrapola o assunto, até porque foram afetadas máquinas que não são servidores. E estamos a falar na arquitetura dos sistemas.
Aliás, a Microsoft reconhece que não tem o que a Apple tem, e culpou a UE por isto 😉
Isso simplesmente não é verdade, não existe só Windows e MacOS, existem mais sistemas operativos, aliás este problema do CrowdStrike também já aconteceu de certa forma, embora mais limitada, no Linux RedHat e RockyLinux que são bastante usados em servidores, mas as implementações de segurança do Kernel limitaram o estrago, actualmente esse problema já se encontra ultrapassado em Linux em que este tipo de programas de segurança tem uma sandbox a nivel de kernel.
É como o Windows phone , já está imune ataques desde há uns anos a esta parte.
Pois está….se ainda fosse usado é que era…LOL
São pontos de vista, mas se esta bem não mexe, pois a evolução é boa mas também tem os seus quês. Não existe o certo nem o errado. São modelos que se aplicam e adaptam-se ou fica-se estagnado.
Não vejo mal nas duas vertentes, mas lá está são pontos de vista.