¿Por qué se cayó Windows en CASI todo el mundo?
La protagonista de esta historia es blue screen of death, esta pantalla azul regreso de forma global el 19 de julio del 2024, cuando computadores con Windows en diferentes partes del mundo se pusieron de acuerdo para mostrarla y dejar detenida a organizaciones como hospitales, aeropuertos o medios de comunicación , y no solo afecto a computadores de escritorio, sino también a servidores en Azure, eso quiere decir que servicios como office 365 o video conferencia por teams, también fueron afectados.
El primer sospechoso fue justamente Azure , ya que todas estas computadores se conectan a ella para recibir actualizaciones , sin embargo pronto se descubrió que el culpable no era de Azure ni Windows .
El Culpable fue la empresa Crowdstrike con su antivirus Falcon es uno los antivirus mas utilizados a nivel corporativo.
Explicación:
Para cumplir con altos estándares de seguridad que promete Falcon necesita acceso al corazón del sistema (al Kernel de Windows, para detectar malware y bloquearlo antes de que se cargue en el sistema).
¿ Que es el Kernel ?
Es el componente Central de un sistema operativo y sirve como interfaz principal entre el hardware físico de computadora y los procesos que se ejecutan en ella a través del software.
Ojo: hay un detalle, tener acceso al núcleo del sistema es como hacer una cirugía a corazón abierto, si algo sale mal, así sea lo mas mínimo las consecuencias pueden ser fatales)
Dicha actualización se realizo y se distribuyo a todas las computadoras conectadas y llego la pantalla azul.
%2011.24.20%E2%80%AFp.%C2%A0m..png)
Según George Kurtz- Director general de Crowdstrike
Alerta Mundial !!!
%2011.39.31%E2%80%AFp.%C2%A0m..png)
Explicación:
Para cumplir con altos estándares de seguridad que promete Falcon necesita acceso al corazón del sistema (al Kernel de Windows, para detectar malware y bloquearlo antes de que se cargue en el sistema).
¿ Que es el Kernel ?
Es el componente Central de un sistema operativo y sirve como interfaz principal entre el hardware físico de computadora y los procesos que se ejecutan en ella a través del software.
%2011.24.20%E2%80%AFp.%C2%A0m..png) |
| Según George Kurtz- Director general de Crowdstrike Alerta Mundial !!! %2011.39.31%E2%80%AFp.%C2%A0m..png) |
¿Técnicamente Hablando qué fue lo que pasó ?
%2011.50.57%E2%80%AFp.%C2%A0m..png)
Se confirmo que el error es de un drive del Kernel, es decir de un archivo, que para resolver el problema basta con eliminar dicho archivo. suena sencillo pero en la practica esa solución te puede llevar a días o semanas , pero técnicamente cual fue exactamente el error .
Según Zach Vorhies ex Ing. de Google . Se trato de un problema de memoria , con un lenguaje "inseguro" C++ , según Vorhies se trato de un puntero nulo, es decir una llamada aun espacio de memoria inexistente que bloquea el sistema y que eso se puede solucionar validando que el puntero exista o usando lenguajes seguro como Rust(es un lenguaje de programación desarrollado por los ingenieros de Mozilla- es una lenguaje compilado )
%2012.08.13%E2%80%AFa.%C2%A0m..png)
Todo iba bien con esta teoría hasta que Tatis Ormandy(uno de los principales investigadores de seguridad de Google) dijo que no se trato de un puntero nulo , si no de variables no inicializadas (esa respuesta si que dolió ) a si que no fue un puntero nulo , sino una variable mal inicializada , aunque como suele pasar, una salida clásica es culpar al lenguaje de tus malas practicas como programador.
esto nos lleva otra pregunta.
¿Esta caída pudo evitarse?
Según Kaspersky, en su blog , Kaspersky que es un antivirus que pocos días antes del incidente fue expulsado de Estados Unidos(2024) , por su origen Ruso. cuentan como pudo evitarse este incidente
1. ¡No salgas a producción el Viernes!2. Pruebas antes de salir a producción3. lanza actualizaciones por etapas4. Microsoft debe agregar capas extra de seguridad5. debe evitarse los antivirus con acceso a Kernel
Obviamente este es una mal momento para todas las empresas de seguridad, por que la presión sobre ellas a aumentado, nadie quiere pasar por una tragedia similar.
por ejemplo, Google esta apunto de cerrar con la empresa Wiz la mayor compra de su historia de una empresa de seguridad por 23 mil millones de dólares.
%2012.44.26%E2%80%AFa.%C2%A0m..png)
Aunque como dijo Eugene Howard Spafford:
A todo esto, cual fue la solución
La solución mas rápida y que propuso CrowdStrike al inicio es borrar un archivo especifico , es tan sencillo como iniciar Windows en modo de recuperación, navegar hasta : %WINDIR%\System32\drivers\CrowdStrike directory.
Una vez eliminado el archivo, reiniciar la maquina y listo.
jajaja suena sencillo para ti o para mi, pero no para el usuario medio, peor aun si no se tiene la clave del BitLoker para acceder al modo recuperación y peor aun considerando que Falcon se usa en entornos empresariales, donde estas tareas la realiza solamente el equipo de TI.
Como anécdota a este problema. Una línea área de la india a raíz de este tema entrego pases para abordar escritos a mano.
La caída de Windows no es un episodio feliz para nadie, pero obviamente la mas perjudicada es CrowdStrike , el primer comunicado fue uno bastante indolente por no pedir disculpas, solo decían que estaban trabajando para corregir el problema y además para minimizar el incidente el problema solo es en Windows no en Mac ni en Linux, obviamente le llovieron las criticas.
Para terminar, esta empresa CrowdStrike es sumamente arrogante que ha atacado con dureza a sus competidores, por ejemplo a Microsoft le dedico frases como las siguientes
Esta caída mundial de Windows , es un nuevo recordatorio de lo frágiles y poco resilientes que son nuestros sistemas debido a su profunda centralización , si un proveedor de nubes falla o una actualización distribuye un error en el sistema la caída es masiva. La nube tiene muchas cosas increíbles pero esta es una de las cosas malas , también es un recordatorio que los sistemas de seguridad abarcan a todos los sistemas
Por lo tanto podemos ver que la ciberseguridad es cosa seria, no simplemente un juego de niños para soltar su fanatismo de que sistema es mejor.
%2011.50.57%E2%80%AFp.%C2%A0m..png)
Se confirmo que el error es de un drive del Kernel, es decir de un archivo, que para resolver el problema basta con eliminar dicho archivo. suena sencillo pero en la practica esa solución te puede llevar a días o semanas , pero técnicamente cual fue exactamente el error .
Según Zach Vorhies ex Ing. de Google . Se trato de un problema de memoria , con un lenguaje "inseguro" C++ , según Vorhies se trato de un puntero nulo, es decir una llamada aun espacio de memoria inexistente que bloquea el sistema y que eso se puede solucionar validando que el puntero exista o usando lenguajes seguro como Rust(es un lenguaje de programación desarrollado por los ingenieros de Mozilla- es una lenguaje compilado )
%2012.08.13%E2%80%AFa.%C2%A0m..png)
Todo iba bien con esta teoría hasta que Tatis Ormandy(uno de los principales investigadores de seguridad de Google) dijo que no se trato de un puntero nulo , si no de variables no inicializadas (esa respuesta si que dolió ) a si que no fue un puntero nulo , sino una variable mal inicializada , aunque como suele pasar, una salida clásica es culpar al lenguaje de tus malas practicas como programador.
esto nos lleva otra pregunta.
¿Esta caída pudo evitarse?
Según Kaspersky, en su blog , Kaspersky que es un antivirus que pocos días antes del incidente fue expulsado de Estados Unidos(2024) , por su origen Ruso. cuentan como pudo evitarse este incidente
1. ¡No salgas a producción el Viernes!
2. Pruebas antes de salir a producción
3. lanza actualizaciones por etapas
4. Microsoft debe agregar capas extra de seguridad
5. debe evitarse los antivirus con acceso a Kernel
Obviamente este es una mal momento para todas las empresas de seguridad, por que la presión sobre ellas a aumentado, nadie quiere pasar por una tragedia similar.
por ejemplo, Google esta apunto de cerrar con la empresa Wiz la mayor compra de su historia de una empresa de seguridad por 23 mil millones de dólares.
%2012.44.26%E2%80%AFa.%C2%A0m..png)
Aunque como dijo Eugene Howard Spafford:
A todo esto, cual fue la solución
La solución mas rápida y que propuso CrowdStrike al inicio es borrar un archivo especifico , es tan sencillo como iniciar Windows en modo de recuperación, navegar hasta : %WINDIR%\System32\drivers\CrowdStrike directory.
Una vez eliminado el archivo, reiniciar la maquina y listo.
jajaja suena sencillo para ti o para mi, pero no para el usuario medio, peor aun si no se tiene la clave del BitLoker para acceder al modo recuperación y peor aun considerando que Falcon se usa en entornos empresariales, donde estas tareas la realiza solamente el equipo de TI.
Como anécdota a este problema. Una línea área de la india a raíz de este tema entrego pases para abordar escritos a mano.
La caída de Windows no es un episodio feliz para nadie, pero obviamente la mas perjudicada es CrowdStrike , el primer comunicado fue uno bastante indolente por no pedir disculpas, solo decían que estaban trabajando para corregir el problema y además para minimizar el incidente el problema solo es en Windows no en Mac ni en Linux, obviamente le llovieron las criticas.
Para terminar, esta empresa CrowdStrike es sumamente arrogante que ha atacado con dureza a sus competidores, por ejemplo a Microsoft le dedico frases como las siguientes
Esta caída mundial de Windows , es un nuevo recordatorio de lo frágiles y poco resilientes que son nuestros sistemas debido a su profunda centralización , si un proveedor de nubes falla o una actualización distribuye un error en el sistema la caída es masiva. La nube tiene muchas cosas increíbles pero esta es una de las cosas malas , también es un recordatorio que los sistemas de seguridad abarcan a todos los sistemas
Por lo tanto podemos ver que la ciberseguridad es cosa seria, no simplemente un juego de niños para soltar su fanatismo de que sistema es mejor.
No hay comentarios:
Publicar un comentario