Crowdstrike e l'aggiornamento che ha mandato in tilt i computer di mezzo mondo!
Venerdì il rilascio di un aggiornamento difettoso a un software dell'azienda ha dato inizio al più grande guasto informatico della storia: ecco come è successo.
Nella storia, le volte in cui un singolo programma è riuscito nell'impresa di mandare in tilt i sistemi informatici di tutto il mondo come ha fatto Falcon di Crowdstrike si contano sulla dita di una mano. Era successo nel 2003 con il worm Slammer, poi con il malware NotPetya, sfruttato dalla Russia per colpire l'Ucraina, e con il ransomware WannaCry, diffuso dalla Corea del Nord. Ma la catastrofe digitale che venerdì ha scosso internet e le infrastrutture IT di tutto il mondo non è stata innescata dal codice dannoso distribuito da cybercriminali, bensì da un software progettato per fermarli.
Negli ultimi giorni due disastri distinti a livello di infrastrutture web si sono scontrati producendo disagi a livello globale per aeroporti, sistemi ferroviari, banche, organizzazioni sanitarie, hotel, stazioni televisive e altro ancora. Giovedì sera, la piattaforma cloud di Microsoft, Azure, è stata oggetto di un'interruzione diffusa, e venerdì mattina la situazione si è trasformata in una tempesta perfetta quando la società di sicurezza informatica Crowdstrike ha distribuito un aggiornamento software difettoso che ha bloccato milioni di computer Windows.
La causa del disastro è diventata presto chiara: il rilascio di un aggiornamento buggato di uno dei prodotti di monitoraggio delle minacce di Crowdstrike, Falcon: si tratta essenzialmente di una piattaforma antivirus che sfrutta un accesso profondo ai sistemi di "endpoint" come laptop, server e router per rilevare malware e attività sospette che potrebbero indicare una compromissione. Falcon richiede un'autorizzazione per aggiornarsi in modo automatico e regolare, dal momento che Crowdstrike aggiunge spesso nuovi sistemi di rilevamento per difendersi dalle ultime minacce. Il rischio di questa impostazione è che un sistema pensato a migliorare la sicurezza e la stabilità finisca invece per minarle.
Venerdì l'amministratore delegato di Crowdstrike George Kurtz ha dichiarato che il guasto è stato causato da un "difetto" nel codice rilasciato dall'azienda per Windows. "Il problema è stato identificato, isolato ed è stato risolto", ha dichiarato Kurtz in un comunicato, escludendo l'ipotesi di un attacco informatico. In un'intervista a Nbc, Kurtz si è poi scusato per i disservizi e ha detto che potrebbe volerci del tempo prima che le cose tornino alla normalità.
Nel post sul suo blog, Crowdstrike ha tuttavia sottolineato che sebbene il file di configurazione che ha causato l'arresto anomalo terminasse in .sys,in realtà non si trattava di un driver del kernel. Ad ogni modo, sembra che il file di configurazione sia stato utilizzato dai driver e ne abbia alterato le funzionalità in modo tale da causarne i blocchi anomali, afferma Costin Raiu, che ha lavorato per 23 anni per il produttore russo di software di sicurezza Kaspersky prima di lasciare l'azienda lo scorso anno. Durante gli anni trascorsi a Kaspersky, Raiu racconta che gli aggiornamenti dei driver per i software Windows venivano attentamente esaminati e testati per settimane prima di essere distribuiti. Secondo l'esperto in questo caso l'aggiornamento potrebbe essere stato molto meno controllato, riuscendo poi a modificare il funzionamento del driver del kernel e causando il crash.
Raiu precisa che Crowdstrike non è l'unica azienda di sicurezza ad aver provocato guasti a Windows. Negli anni passati, anche alcuni aggiornamenti di Kaspersky e del software antivirus integrato all'interno del sistema operativo, Windows Defender, hanno portato alla comparsa della fatidica “schermata blu della morte”. “Ogni soluzione di sicurezza sul pianeta ha avuto momenti simili a quello vissuto da Crowdstrike – afferma Raiu –. La novità qui è la portata dell'evento".
L'impatto dell'incidente è stato ampio e drammatico. I disservizi si sono rapidamente estesi in tutto il mondo, mentre le aziende, gli enti pubblici e i team it si affannavano a riparare i computer bloccati. Nel Regno Unito, in Israele e in Germania, i sistemi utilizzati da servizi sanitari e ospedali per comunicare con i pazienti si sono interrotti, causando la cancellazione di diversi appuntamenti. Negli Stati Uniti ci sono stati problemi nelle linee collegate al 911, il numero per le emergenze. Nelle prime ore dall'inizio del guasto, alcune stazioni televisive, tra cui Sky News nel Regno Unito, sono state costrette a sospendere le trasmissioni in diretta. Il trasporto aereo mondiale è stato uno dei settori più colpiti: negli aeroporti di tutto il mondo si sono formate code enormi, e in uno scalo in India si è dovuto ricorrere a carte d'imbarco scritte a mano (in Italia i disagi negli aeroporti sono stati più contenuti).