O “ecrã azul da morte” é um pesadelo para qualquer pessoa que use Windows no seu computador, e foi com essa mensagem de erro que milhões de pessoas acordaram há duas semanas. O “apagão” de 19 de julho afetou 8,5 milhões de dispositivos com o sistema operativo da Microsoft, ficando para a história como um dos maiores contratempos informáticos.
Aviões ficaram em terra em pleno pico de férias e instalou-se o caos nos aeroportos um pouco por todo o mundo. No Indira Gandhi, o maior aeroporto da Índia, foram escritas à mão as indicações dos voos e as respetivas portas de embarque. Noutros aeroportos muitas bagagens ficaram por recolher pela ausência de ecrãs para indicar o voo proveniente. A aviação não foi a única vítima do “apagão”: bancos, operadoras de telecomunicações, televisões, supermercados e outras estruturas foram afetadas.
[Já saiu o primeiro episódio de “Um rei na boca do Inferno”, o novo podcast Plus do Observador que conta a história de como os nazis tinham um plano para raptar em Portugal, em julho de 1940, o rei inglês que abdicou do trono por amor]
Na origem da falha que deixou trabalhadores de apoio técnico (e não só) à beira de um ataque de nervos esteve um incidente com uma atualização da solução de proteção Falcon, desenvolvida pela CrowdStrike. George Kurtz, co-fundador e CEO da empresa, desdobrou-se em entrevistas a pedir desculpas, assumir a responsabilidade e tentar tranquilizar os clientes.
Com um currículo de três décadas no mundo da segurança informática, não foi a primeira vez que Kurtz teve de se explicar perante um erro desta magnitude. Em abril de 2010, quando era diretor tecnológico da McAfee, conhecida pelos antivírus, teve de explicar como uma atualização com defeito afetou também na altura milhões de computadores com Windows. Catorze anos depois, a história repetiu-se, mas numa escala maior e que levou a que em apenas um dia tivesse arrancado 300 milhões de dólares à fortuna do executivo multimilionário.
Do trabalho de sonho dos testes de intrusão à criação e venda da primeira empresa
George Kurtz, que nasceu numa família remediada de Parsippany, no estado da Nova Jérsia, gosta de dizer que “pega em temas complexos e que os torna simples”. É assim que se apresenta na rede profissional LinkedIn, onde realça o percurso como fundador de duas empresas — a FoundStone e a CrowdStrike — e a experiência enquanto “reconhecido especialista de segurança”. É discreto em relação à vida pessoal: é casado com Annamaria Kurtz, com quem teve dois filhos, Allegra e Alexander. A filha morreu em 2021 com 15 anos.
Kurtz é o mais novo de dois irmãos. Perdeu o pai aos sete anos, devido a um enfarte, e aprendeu a programar quando andava no quarto ano, num computador Commodore que tinha na sala de aula. A família subsistiu durante algum tempo com o seguro do pai, mas George quis ganhar o seu próprio dinheiro: foi distribuidor do The Star-Ledger, o maior jornal de Nova Jérsia. Como contou à Forbes, quando recebia uma “gorjeta de 25 cêntimos era um grande acontecimento”. Tinha um plano: poupar para comprar um substituto para o seu Atari.
O gosto pela informática só cresceu com a passagem dos anos. Na Seton Hall University, também em Nova Jérsia, estudou contabilidade. Entrou na consultora Price Waterhouse, agora PwC, mas não para exercer o que aprendeu na licenciatura. “Havia na altura um trabalho chamado ‘testes de intrusão’, em que se era pago para tentar entrar nos computadores das pessoas”, explicou à Forbes. Os clientes da consultora pagavam para que um pequeno grupo de “hackers” vasculhasse os seus sistemas para identificar vulnerabilidades. “Achava que era o trabalho mais fixe de sempre”, lembrou Kurtz.
Tornou-se num dos primeiros cinco funcionários contratados pela Price Waterhouse para trabalhar em cibersegurança a tempo inteiro. Afinal, nos anos 90, ainda estavam a ser feitos os primeiros alertas para as fragilidades do mundo digital. Tornaram-se célebres alguns dos feitos da equipa da geração de Kurtz, desde a descoberta da palavra-passe de Bill Gates na Microsoft (“nicejobms”) até à paragem de uma fábrica de bolachas da Nabisco em Atlanta devido a uma bug.
Com toda a aprendizagem conseguida, Kurtz juntou-se a Joel Scambray e Stuart McClure para escrever um livro que se tornou um sucesso de vendas no mundo da segurança informática: “Hacking Exposed: Network Security Secrets & Solutions”, em português “Hackers Expostos. Segredos e Soluções para a Segurança de Redes”. A primeira edição data de outubro de 2000 e desde então já houve reedições com versões revistas e atualizadas.
A vida também corria bem a George Kurtz nas consultoras — depois da Price Waterhouse esteve alguns anos na EY. Pete Sfoglia, que chefiou Kurtz, gabou ao Wall Street Journal o seu talento para falar com clientes e a capacidade para comunicar más notícias. “Ele tinha uma maneira de passar o seu ponto de vista sem ser intrusivo.”
Mas o empreendedorismo falou mais alto e Kurtz fundou a sua primeira empresa, a FoundStone, em 1999. Não se desviou um milímetro do mundo da segurança informática, mesmo que ao início tenha sido difícil manter tudo a funcionar. O trabalho principal da empresa era software e hardware para remediar falhas de segurança em redes informáticas. Após algum tempo no mercado, a companhia conquistou pesos-pesados como a Microsoft para a carteira de clientes.
Não foi só a dona do Windows a reparar na empresa. Em 2004, cinco anos após a criação da empresa, Kurtz vendeu-a à McAfee por 86 milhões de dólares em dinheiro. O norte-americano ficou a trabalhar para a gigante dos antivírus e, ao longo dos anos, foi conquistando cargos até chegar a vice-presidente e diretor tecnológico.
A ideia da CrowdStrike surgiu com um estranho num avião e um golpe de marketing projetou a empresa
Já com alguns anos de McAfee, em 2010 dois momentos definiram o percurso de Kurtz: uma falha global causada por uma atualização defeituosa do antivírus e uma viagem de avião na qual surgiu a ideia de fundar mais uma empresa.
Contou à Forbes como surgiu a semente da ideia da CrowdStrike. Durante o voo, o passageiro ao seu lado estava a usar o antivírus da McAfee. Mas, em vez de ficar feliz pela escolha, sentiu vergonha pela lentidão. “Ele falava com o assistente de bordo, lia o jornal e estava a fazer tudo aquilo enquanto o software corria e eu estava ali sentado só a pensar ‘oh meu Deus, sou o diretor tecnológico desta empresa e isto é terrível’”.
“Precisávamos de levar tudo para a cloud” para ganhar rapidez, defendeu. Anos após o episódio, revelou à imprensa que ainda propôs a ideia à McAfee, mas que a empresa não quis gastar tempo nem dinheiro. Despediu-se em 2011 — no mesmo ano em que a Intel comprou a McAfee — para fundar a CrowdStrike, onde tudo depende da cloud. Contou com a ajuda de Dmitri Alperovitch, que também trabalhava na McAfee e partilhava a ideia de que o antivírus estava cada vez mais lento. Desde 2020 Kurtz dirige a CrowdStrike sozinho, depois da saída de Alperovitch para fundar uma organização sem fins lucrativos focada em cibersegurança num contexto geopolítico.
Lançar uma empresa de cibersegurança em 2011 era muito diferente do cenário do início dos anos 2000. O bem humorado George Kurtz decidiu pôr em prática alguns dotes de marketing adquiridos com a experiência. Em junho de 2014, ao terceiro ano de vida, aproveitou o ímpeto das acusações feitas pelo governo dos EUA a cinco chineses por suspeitas de espionagem informática e ataques informáticos e apresentou um relatório sobre um grupo desse país oriental apelidado pela empresa de Putter Panda e referido pela indústria como MSUpdater.
Até aqui pode parecer só mais um relatório divulgado por uma empresa de cibersegurança, mas Kurtz tinha algo na manga. O relatório identifica pelo nome um suposto agente do grupo, Chen Ping, e dá-lhe um rosto. “A atribuição é uma componente chave da informação cibernética e, conhecendo o adversário, é possível compreender eficazmente as suas intenções e objetivos”, justificou a empresa.
Já não bastava desconfiar de onde vinha a ameaça e o grupo a que pertencem os autores, Kurtz considerou necessário dar-lhes um rosto para mostrar que a ameaça era real. O movimento surtiu efeito e a empresa foi ganhando destaque no mercado ao ponto de ser contratada pelo Comité Nacional Democrata (DNC) para investigar as suspeitas de que os sistemas tinham sido atacados por agentes ligados à Rússia, depois da divulgação de emails internos dos democratas. A empresa esclareceu que foi abordada pelo DNC em abril de 2016 e que, após uma análise à rede do comité democrata, estava munida de informação suficiente para apontar o dedo a interferência da Rússia. “Foram identificados dois adversários sofisticados na rede — Cozy Bear e Fancy Bear [nomes de código dados pela empresa a grupos russos consoante o comportamento].” O primeiro terá entrado na rede dos democratas no versão de 2015 e o Fancy Bear, “numa ação separada, em abril de 2016”, explicou a empresa.
À medida que a carteira de clientes da CrowdStrike foi crescendo, quer para investigações pontuais quer para instalar o seu software Falcon que passa a pente fino os computadores de uma entidade, foi-se cimentando a vontade de levar a empresa até à bolsa.
Em junho de 2019, através de uma oferta pública inicial (IPO), a CrowStrike estreou-se no Nasdaq. O primeiro dia de negociação foi feliz para a companhia e para Kurtz. Se no IPO as ações estavam nos 34 dólares, terminaram o dia a valer 58 dólares, colocando o valor da empresa em cerca de 11 mil milhões de dólares, quase tanto como a Symantec, com quase 40 anos de operação na área da segurança.
George Kurtz manteve uma participação de 5% na empresa, o suficiente para entrar para a lista de multimilionários da Forbes e da Bloomberg com o IPO da companhia, com um património avaliado em 1,2 mil milhões de dólares. Em junho deste ano, cinco anos depois da estreia, a CrowdStrike foi promovida ao índice S&P 500, transformando-se na empresa de cibersegurança a fazer mais rapidamente esta passagem. “Este marco incrível é um testemunho do nosso trabalho duro, da dedicação e da crença que a nossa equipa, clientes e parceiros demonstraram desde a nossa criação em 2011”, disse o CEO no LinkedIn, há um mês.
Até que chegou o fatídico dia do “apagão”, que fez cair as ações até aos 304 dólares. No dia anterior ao turbilhão, a 18 de julho, cada ação valia 343 dólares, segundo dados do MarketWatch. A fortuna de Kurtz, que depende dos cerca de 3% de ações que tem atualmente, encolheu 300 milhões de dólares num só dia: de um dia para o outro passou de 3,2 mil milhões de dólares para os 2,9 mil milhões.
Mesmo com os pedidos de desculpas de George Kurtz e a disponibilização de uma solução manual para resolver as consequências do apagão ainda no próprio dia, o mal estava feito. Desde o “apagão”, as ações da CrowdStrike tombam já 30% e continuam a reagir às notícias dos clientes afetados. A notícia de que a Delta Airlines, que estimou ter perdido 500 milhões de dólares naquela sexta-feira, poderá ter contratado um advogado para exigir compensações à CrowdStrike e a Microsoft fez cair as ações pelo menos 10% na terça-feira, notou a Bloomberg.
Entretanto, também alguns acionistas da CrowdStrike começaram a organizar-se para um processo contra a empresa. De acordo com a PC Mag, a Plymouth County Retirement Association avançou com um processo, a que a CrowdStrike considera “faltar mérito”.
O CEO com apetite pela velocidade, no software e nos automóveis
Kurtz não gosta só de velocidade na deteção de falhas e intrusões em sistemas de empresas. Além de CEO da empresa de segurança, é também piloto de corrida na CrowdStrike Racing. “Tanto na pista como fora, o George está orientado para vencer — pelos clientes, pelos funcionários e pelos acionistas”, é possível ler na página de perfil do piloto, que tem hoje 53 anos.
Kurtz já competiu em “centenas de corridas em várias séries” e conquistou “numerosas vitórias em mais de 15 temporadas”, é ainda possível ler no perfil. Em 2019, por exemplo, venceu na classe LMP2 (Le Mans Prototype 2) nas 24 horas de Le Mans. Este ano, voltará a competir na classe LMP2.
A ligação entre a empresa de segurança e o mundo automóvel não se fica por aqui: a CrowdStrike é também a “parceira oficial de cibersegurança” da Mercedes-AMG Petronas na Fórmula 1.