Inicialmente, Microsoft intentó minimizar su papel – inevitable e involuntario – en el apagón de 8,5 millones de ordenadores con Windows debido a una actualización fallida del software de seguridad Falcon, de Crowdstrike. Luego ha tenido que tomar el mando de la situación y convocar para el lunes 10 una cumbre de compañías de ciberseguridad, a la que ha invitado a las autoridades competentes de Estados Unidos. Crowdstrike estará presente, claro, pero la convocatoria es un indicador de que las cuestiones por resolver son muchas y afectan a toda la industria: el acceso al kernel de Windows y el excesiva confianza en las actualizaciones automáticas de las aplicaciones en SaaS son dos de ellas.
La primera de estas cuestiones deja en evidencia a Crowdstrike: cómo fue posible que se lanzara a los usuarios una actualización sin que hubera pasado los controles debidos de calidad. Parece obvio que así fue y la compañía no ha dicho lo contrario. La aplicación de las buenas prácticas ITIL (Information Technology Infrastructure Library) o de ITSM habrían evitado que millones de pantallas azules inundaran el mundo, con compañías como Delta Airways especialmente afectadas.
CrowdStrike ha sido convocada este mes por un subcomité del Congreso con este fundamento: “el incidente no ha sido provocado por un actor externo […] pero estos han aprendido algo importante, cómo explotar los fallos en la actualización del software estadounidense y provocar un efecto en cascada en nuestras infraestructuras críticas”.
Los resultados de la compañía en el segundo trimestre, cerrado en julio, no reflejan el episodio, puesto que cerraron con un 32% de aumento en los ingresos, pero el castigo sufrido por su imagen le ha costado una caída del 36% en su capitalización bursátil. El daño se hará notar en el actual trimestre y es de pronóstico reservado. Circunstancia que ha sido aprovechada por Palo Alto Networks y otros competidores para lanzarse a conquistar clientes de CrowdStrike.
La conferencia convocada por Microsoft será, que se sepa, la primera ocasión en la que se verá juntos en público a los CEO de ambas compañías: Satya Nadella y George Kurtz tienen buenas razones para dar la cara ante el mercado. Desde el 18 de julio ha pasado tiempo suficiente como para profundizar en el episodio y concluir que tuvo su origen en Crowdstrike. Esto no excluye el papel de un rasgo común a otras compañías, el muy popular modelo SaaS (software-as-a-service) ha relajado el cumplimiento de las buenas prácticas. Según algunos estudios, actualmente casi el 70% del software empresarial se consume conforme a ese modelo. El porcentaje cobra más peso considerando que, según Morgan Stanley, la nube de Microsoft Azure aloja el 42% de las cargas de trabajo de las aplicaciones en la nube pública, con un crecimiento estimado del 49% en tres años.
Uno de los principales argumentos usados para vender software es la simplicidad – hasta resultar cansino – y el modo en que se descarga de determinadas tareas a los abrumados departamentos de TI. Paradójicamente, de su criticidad, en el caso de la seguridad esta ventaja se ha llevado al primer plano, tal vez debido a la cantidad de soluciones que es preciso implantar en las empresas para tener una sensación de blindaje. Según quien lo calcule, la media de aplicaciones de seguridad dentro de una misma empresa asciende a decenas, por lo que algunos proveedores vienen empujando hacia la convergencia por vía del agregado de esas soluciones en plataformas.
Especialmente en materia de seguridad, ningún área de las TI debería dar por sentado que el proveedor ha testeado convenientemente la compatibilidad de una actualización con el sistema operativo. Pero sucede y es difícilmente disculpable. De hecho, es lo ocurrido en el caso de CrowdStrike, dicen que por insuficiente robustez de las políticas de ITSM. Colateralmente, esta circunstancia también atañe a Microsoft, dado que su ecosistema SaaS se ha visto seriamente comprometido.
Todo indica que la multinacional haría bien en reforzar los controles sobre el software que los desarrolladores suben a su galaxia. Y hacerlo cuanto antes, porque los atacantes potenciales ya le están buscando las vueltas. Una de las soluciones que Microsoft podría presentar la semana próxima es la exigencia de nuevos procedimientos de pruebas a los proveedores de ciberseguridad en lugar de confiar absolutamente en Windows.
Otra de las cuestiones que plantea este cataclismo, quizá la de más enjundia, es por qué el fallo en la actualización sorprendió a todos con su inusitada contundencia. La respuesta parece estar en el acceso que Falcon, la plataforma de CrowdStrike, tiene al kernel de Windows que, en esencia, es el corazón del sistema operativo. El motivo por el que esto ocurre es que, al penetrar en el núcleo, los fabricantes de antivirus acceden a los datos del sistema de bajo nivel críticos, para detectar ciberataques y amenazas, de manera que sus soluciones se activen antes de que el malware pueda hacer daño.
Esta práctica – otorgar acceso al kernel de Windows – no es algo exclusivo del software de seguridad; también lo hacen muchos videojuegos, los programas de edición fotográfica o los usados para habilitar Bluetooth, lo que evidentemente incrementa los riesgos de que incidentes como el de este verano se repitan. Un bloqueo de los sistemas como este habria sido imposible en MacOS, sencillamente porque Apple tiene cerrado a cal y canto el acceso de terceros al kernel de su sistema operativo, obligando a ejecutar sus actualizaciones en modo usuario, como hacen la mayoria de las aplicaciones.
En la actualidad, ya existe software open source para Linux que permite que se ejecuten en el kernel programas seguros y verificados. Esta alternativa, llamada Extended Berkeley Packet Filter (eBPF) ha sido desarrollado por un ingeniero de Meta Platform. En esencia, eBPF sitúa los programas en un entorno amurallado en el kernel, evitando así que una actualización incorrecta (o maliciosa) llegue hasta él y bloquee un ordenador. De esta manera, si a pesar de todo se produjera un incidente que llevara al colapso, no seria preciso borrar todo el kernel.
En el caso específico de CrowdStrike, la detección temprana del fallo habría evitado el bloqueo de millones de equipos. Microsoft no tiene, de momento, ninguna alternativa que funcione en Windows, por lo que trabaja frenéticamente para resolver los riesgos potenciales que se han descubierto este verano. Que se sepa, lleva años buscando en común con la eBPF Foundation, dependiente a su vez de la Linux Foundation, para disponer de una versión Windows.
Así las cosas, la alternativa más plausible en el horizonte es un hibrido de la solución adoptada por Apple – el cierre total del kernel no sería buena idea – aunque, para llegar a ese punto, en el que los desarrolladores se vean empujados al modo usuario, se necesita una labor de ingeniería personalizada. Al parecer, buena parte de ese trabajo ya estaría hecho y Microsoft llevaría tiempo cooperando con CrowdStrike y Cisco (quizás con otros) para lograr más funcionalidad en el modo usuario. En todo caso, de producirse tal modificación del kernel, haría falta una actualización masiva del sistema para que tuviera un efecto real en el parque instalado.
Sin embargo, ¿es una opción para Microsoft? Circulan opiniones – supuestamente fuentes de la compañía – que no lo es, porque dentro de la Unión Europea está obligada a otorgar a terceros el mismo acceso a su software que ella misma disfruta y con la posibilidad de ejecutar un controlador de kernel, como ya sucede con Microsoft Defender. Esto se deriva – dice la versión – del dictamen de la Comisión Europea de hace quince años, cuando esta hizo tabla rasa – y en parte lo consiguió – con las ventajas competitivas de que gozaba la compañía entonces dirigida por el combativo Steve Ballmer.
El debate está abierto y toda la industria de la ciberseguridad (y organismos afines) se verá arrastrado a él. Para ejemplo, la BSI de Alemania (sigla de la Oficina Federal de Seguridad de la Información) lha sugerido que se limite el acceso al núcleo para proporcionar mayor seguridad a los sistemas, aunque ello pudiera conceder ventaja a Microsoft Defender con respecto a sus competidores.
[informe de David Bollero]