La confianza en CrowdStrike está en entredicho desde el viernes 19 de julio, cuando un fallo en su servicio de ciberseguridad provocó la caída de 8,5 millones de equipos con Windows, ordenadores y servidores críticos para cientos de empresas e instituciones bloqueando aeropuertos o servicios de emergencia en España y el resto de un mundo hiperconectado. Para restaurar su imagen, la empresa se ha apresurado a publicar un informe de lo ocurrido, justo el mismo día que su director ejecutivo, George Kurtz ha sido llamado a declarar ante la Cámara de Representantes de Estados Unidos.
Hasta ahora se sabía que un pequeño archivo de 40 kb desató un 'Armagedon' informático en todo el mundo, la pregunta en el aire era cómo no se habría detectado su incompatibilidad con Windows. "Debido a un error en el validador de contenido, una de las dos instancias de plantilla pasó la validación a pesar de contener datos de contenido problemáticos", explica el informe. Si esta frase no se comprende, no se preocupe, a continuación tiene un resumen más sencillo de lo explicado por la empresa sobre el origen del fallo.
CrowdStrike indica que ofrece a sus clientes dos tipos de actualizaciones de sus sistemas de seguridad. El primer tipo actualiza el contenido del sensor que se envía con nuestro sensor directamente. Este proceso incluye modelos de aprendizaje automático e inteligencia artificial en el sensor, y comprende código escrito expresamente para brindar capacidades reutilizables a largo plazo para los ingenieros de detección de amenazas de CrowdStrike.
El segundo tipo, y en el que se ha producido el fallo, son las actualizaciones de contenido de respuesta rápida que están diseñadas para responder al cambiante panorama de amenazas a velocidad operativa, es decir, mantener el software protegido al día en un mundo donde las ciberamenazas se crean a una velocidad de órdago.
Este contenido de respuesta rápida se entrega como "instancias de plantilla", y cada una se asigna a comportamientos específicos que el sensor debe observar, detectar o prevenir para bloquear actividad maliciosa. Pero antes de publicarse, las instancias de plantilla se crean y configuran mediante el uso del Sistema de configuración de contenido, que incluye el Validador de contenido, encargado de realizar las comprobaciones pertinentes.
No es la primera vez que CrowdStrike se encuentra con problemas por este sistema, aunque nunca de tal magnitud como el pasado viernes. En febrero presentaron este nuevo "Tipo de plantilla de comunicación entre procesos (IPC)". Tras pasar ciertas pruebas en marzo, entre el 8 y el 24 de abril se implementaron tres instancias de plantilla de IPC más. Ese mes, la empresa afirma que las máquinas Linux tuvieron problemas con CrowdStrike.
La empresa se pregunta también cómo evitar que algo así vuelva a suceder y se responde a sí misma asegurando que agregará "comprobaciones de validación adicionales al Validador de contenido para el contenido de respuesta rápida". Además, el informe incluye las promesas de escalonar los lanzamientos, ofrecer a los usuarios más control sobre cuándo implementarlo y proporcionar notas de lanzamiento en adelante.