In questi giorni di caos made in CrowdStrike si è assistito al classico giochino che piace tanto agli amici di Google in attesa del reddito universale promesso da Paolo Benanti e dalle sue Commissioni ai giornalisti che hanno un lavoro, quindi agli editori, e non a chi il lavoro non ce l’ha. Uscire prima su una notizia anche se questa viene data in modo errato. Eppure bastava seguire riviste specializzate che svolgono con costanza ogni giorno il lavoro giornalistico sulle tematiche cyber per comprendere come stavano realmente le cose.
L’errore fatto da molti è stato quello di associare il down di Windows, alle responsabilità di Microsoft, ma in realtà quello che ha creato il pasticcio è stato “l’antivirus” che ha buttato giù interi sistemi informatici censiti in circa 8 milioni di unità come raccontato in prima battuta da Matrice Digitale. Cosa ancora più curiosa è che l’azienda sconosciuta ai più è stata accusata da Donald Trump di ospitare delle informazioni scottanti non solo sul suo conto, ma anche su presunti affari dei democratici USA tra cui Clinton, Biden, Nuland e tutti i protagonisti della rivoluzione Ucraina che è poi sfociata in guerra con l’invasione della Russia e alla richiesta di impeachment contro Trump.
Nel 2019, l’ex presidente ha sollevato dubbi su CrowdStrike durante una telefonata con il presidente ucraino Volodymyr Zelensky. Trump ha suggerito che l’Ucraina avrebbe potuto possedere il server del DNC, Comitato nazionale democratico (DNC), mettendo in dubbio le scoperte di CrowdStrike. Questa controversia ha contribuito al primo tentativo di impeachment contro Trump andato a vuoto.
A fare da contorno al problema c’è la corsa alla dichiarazione di esperti che provano a posizionare più le proprie professionalità e meno le giuste spiegazioni ad un pubblico a corto di informazioni sul tema. Non tutti sono divulgatori capaci o liberi dagli schemi del mercato e Matrice Digitale ha raccolto quelle che ritiene le dichiarazioni più interessanti pubblicate online, diverse tra loro per tipo di approccio alla notizia.
Critiche e responsabilità secondo Roberto Beneduci
Roberto Beneduci, fondatore e CEO di CoreTech, ha recentemente espresso il suo sconcerto riguardo alla reazione pubblica agli incidenti informatici verificatisi il giorno precedente. L’evento ha evidenziato non solo i problemi tecnici, ma anche l’erronea attribuzione delle colpe, inizialmente assegnate a Microsoft invece che al reale responsabile, CrowdStrike.
Beneduci ha paragonato la situazione a un’escavatrice che taglia i cavi delle linee internet e i giornali che titolano: “Italia ferma, TIM non funziona!”, sottolineando quanto sia facile sbagliare nel giudicare le cause dei problemi informatici.
Egli ha inoltre ricordato episodi divertenti in cui alcuni clienti chiamavano lamentandosi del malfunzionamento del PC, solo per scoprire che mancava la corrente in ufficio.
La questione principale, secondo Beneduci, è che gli esperti del settore tecnologico, tra cui giornalisti, blogger, youtuber e influencer, dovrebbero fare maggiore attenzione nell’assegnare le colpe. Infatti, pur essendo Microsoft un nome molto conosciuto, è professionalmente scorretto e deontologicamente aberrante non considerare la responsabilità di CrowdStrike.
Beneduci si chiede se sia corretto incolpare Microsoft solo perché fornisce il sistema operativo, sottolineando che un sistema operativo, come Windows, consente a terzi di operare a vari livelli, fino al controllo dell’hardware. Questo significa che anche altri software possono creare problemi, come dimostrato dall’incidente con CrowdStrike. Anche sistemi operativi come Linux non impediscono agli utenti di fare danni se non usati correttamente.
Il punto cruciale è che, mentre un sistema operativo permette di fare certe cose, è responsabilità di chi sviluppa il software assicurarsi che non ci siano danni. Questo incidente mostra quanto sia facile cercare di fare scoop puntando a massimizzare l’audience anche veicolando informazioni false.
Down di CrowdStrike: l’analisi tecnica di De Lucia
Il 19 luglio 2024, CrowdStrike ha subito una significativa interruzione operativa a causa di un aggiornamento difettoso del suo software Falcon Sensor per sistemi Windows. L’incidente ha causato il temuto Blue Screen of Death (BSOD) su numerosi dispositivi, provocando disagi per molte aziende che si affidano alla piattaforma Falcon per la protezione degli endpoint ed Emanuele De Lucia, esperto di cybersecurity, si è preso la briga di analizzarne il caso studio
La causa dell’incidente è stata rintracciata in un aggiornamento di configurazione del Falcon Sensor, volto a migliorare la sicurezza contro i named pipe malevoli. Tuttavia, l’aggiornamento ha introdotto un errore logico che ha portato al malfunzionamento del Falcon Sensor. CrowdStrike ha reagito prontamente, rilasciando una correzione entro un’ora e mezza dall’incidente e lavorando per ripristinare i sistemi dei clienti.
L’errore critico risiedeva nel file di configurazione “Channel File 291”, processato dal driver CSAgent.sys del Falcon Sensor. Questo driver gestisce l’interazione con il kernel di Windows, implementando una serie di funzionalità critiche per la sicurezza e il monitoraggio. Tra queste, il filtraggio del file system, la tracciatura degli eventi (ETW), la comunicazione inter-processo (IPC), la gestione della memoria e delle comunicazioni di rete.
L’aggiornamento difettoso ha introdotto un errore nella gestione dei named pipe, un meccanismo di comunicazione inter-processo essenziale in Windows. Le problematiche includevano errori di allocazione della memoria e dereferenziazioni di puntatori nulli, che hanno portato ai crash di sistema. Il codice del driver CSAgent.sys è complesso e ottimizzato, ma anche i piccoli errori possono avere conseguenze disastrose in ambienti così delicati.
Microsoft ha subito un Data Breach?
Il down dei sistemi Microsoft, che ha creato disagi al mondo intero, “non è causato da un attacco hacker, ma da una falla di un software di cybersicurezza e, nello specifico, da un errore di configurazione che non si è aggiornato correttamente, generando interruzioni di servizi”. Così ha dichiarato l’avvocato Andrea Lisi, presidente di ANORC Professioni ed esperto in diritto dell’informatica e privacy, spiegando che “questo episodio è qualificabile come una violazione di dati (data breach)”.
Lisi ha sottolineato che una violazione di sicurezza, anche accidentale, che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali, deve essere considerata un data breach. Anche l’indisponibilità temporanea di accesso a dati personali, causata da un malfunzionamento di un sistema, rientra in questa categoria.
Lisi ha poi evidenziato come questa vicenda mostri un paradosso: una violazione di dati è probabilmente attribuibile a una soluzione che dovrebbe prevenire tali violazioni. Questo episodio, come molti altri che coinvolgono grandi player, dimostra l’importanza di portare avanti l’innovazione digitale, valutando però anche le fragilità su cui è basata.
Crowdstrike perde colpi ed i russi bannati dagli USA se la ridono
Kaspersky, bannata dagli USA che hanno preferito CrowdStrike, ha rilasciato una dichiarazione critica spiegando che per evitare situazioni simili, i fornitori di sicurezza informatica devono prestare la massima attenzione alla qualità degli aggiornamenti che rilasciano. In Kaspersky, tutti gli aggiornamenti sono sottoposti a numerosi test e controlli interni e finché questi non vengono superati, l’aggiornamento non viene distribuito ai clienti. Dal 2009, gestiamo un framework interno per prevenire guasti di massa tra i nostri clienti, sottoponendo ogni aggiornamento a un controllo di qualità multilivello. Questo processo consente di risolvere eventuali problemi prima del rilascio, di analizzare le cause alla radice e di sviluppare misure preventive.
Il danno poteva essere minore?
È inoltre fondamentale adottare il criterio del rilascio graduale degli aggiornamenti. Questo significa che gli aggiornamenti non vengono distribuiti globalmente a tutti i clienti contemporaneamente, ma gradualmente, permettendo di localizzare e risolvere rapidamente eventuali problemi imprevisti. Monitoriamo e rispondiamo immediatamente a qualsiasi situazione, sospendendo tempestivamente gli aggiornamenti in caso di necessità.
Impatto sui servizi globali
Aeroporti
Diversi aeroporti in tutto il mondo sono stati colpiti dall’interruzione. Ad esempio:
- Schiphol Airport: Ha dovuto bloccare diversi voli operati da KLM e Transavia.
- Melbourne Airport: Problemi con le procedure di check-in, specialmente per i passeggeri delle compagnie Jetstar e Scoot.
- Zurich Airport: Ritardi e cancellazioni di voli, con manuale check-in per alcuni passeggeri.
Ospedali
Ospedali in vari paesi hanno subito interruzioni nei loro sistemi IT, tra cui:
- Ospedali nei Paesi Bassi: Scheper a Emmen, Slingeland Hospital ad Achterhoek e altri.
- Spagna: L’Ospedale Universitario di Terrassa e l’Istituto Catalano di Oncologia hanno avuto problemi, ma stanno lentamente tornando alla normalità.
- Stati Uniti: Il Bellevue Hospital e il NYU Langone Hospital di New York sono stati colpiti.
Emittenti televisive
Diverse stazioni televisive, tra cui Sky News e ABC, hanno subito interruzioni nelle loro operazioni a causa dei crash dei computer.
Servizi di emergenza
I servizi di emergenza in alcune regioni degli Stati Uniti e del Canada sono stati particolarmente colpiti, con alcuni 911 dispatcher costretti a lavorare su carta fino alla risoluzione del problema.
Reazioni e misure adottate
CrowdStrike ha confermato che il problema non era dovuto a un attacco informatico, ma a un difetto in un singolo aggiornamento di contenuto per i sistemi Windows. L’azienda ha attivato una squadra per risolvere il problema e ha consigliato ai clienti di utilizzare il portale di supporto per gli aggiornamenti più recenti.
CISA (Cybersecurity and Infrastructure Security Agency) ha avvertito delle possibili attività di phishing sfruttando l’incidente e ha esortato le organizzazioni a rimanere vigili, seguendo solo le istruzioni provenienti da fonti legittime.
Conseguenze Economiche
L’incidente ha avuto ripercussioni anche sui mercati finanziari, con le azioni di CrowdStrike che sono scese del 20% e quelle di Microsoft del 2,5% nelle contrattazioni pre-mercato. Questo evento ha messo in evidenza la fragilità dell’infrastruttura IT globale e l’importanza di un’efficace gestione delle crisi informatiche.
Cos’è Crowdstrike Falcon?
CrowdStrike Falcon è una piattaforma di sicurezza informatica basata su cloud progettata per proteggere endpoint (dispositivi finali come computer, laptop e server) da una vasta gamma di minacce cibernetiche. Sviluppata da CrowdStrike, Falcon utilizza tecnologie avanzate di rilevamento e risposta degli endpoint (EDR), machine learning e analisi comportamentale per identificare e mitigare minacce in tempo reale.