Il 19 luglio 2024, l’azienda statunitense di sicurezza informatica CrowdStrike ha rilasciato un aggiornamento del software di sicurezza Falcon Sensor per i dispositivi Windows, che ha causato il blocco di 8,5 milioni di dispositivi in tutto il mondo. Microsoft ha confermato il numero di dispositivi impattati e sta rilasciando uno strumento di ripristino per intervenire più rapidamente sulle macchine Windows colpite.
Il caso CrowdStrike non è isolato nell’universo della cybersecurity, ma l’impatto globale e l’interruzione causata sono straordinari. Ciò solleva domande sulla nostra dipendenza informatica e sull’affidabilità dei processi di aggiornamento. L’incidente ha provocato il “Blue Screen of Death” su molti dispositivi, inclusi i popolari schermi di Times Square a New York, ed è stato responsabile della cancellazione di 6.855 voli in un solo giorno, oltre a malfunzionamenti in banche, ospedali e treni.
L’errore nell’aggiornamento ha coinvolto più azioni. Le aziende di sicurezza informatica utilizzano processi di Quality Assurance (QA) per verificare la qualità degli aggiornamenti. In questo caso, il controllo non ha funzionato e il sistema conteneva un errore. Patrick Wardle, ricercatore di sicurezza, ha spiegato che si trattava di un file contenente informazioni di configurazione o signature con un indirizzo di memoria sbagliato. Questi codici rilevano specifici tipi di codice dannoso o malware.
Secondo gli esperti, la fretta potrebbe aver impedito agli informatici di CrowdStrike di seguire tutti i passaggi necessari prima del rilascio dell’aggiornamento. John Hammond, responsabile della ricerca della piattaforma di cybersecurity Huntress Labs, ha spiegato che il software avrebbe dovuto essere distribuito prima a un numero limitato di utenti, un approccio più sicuro per evitare problemi come questo.
La procedura standard prevede una verifica interna e un “rilascio controllato” per contenere eventuali danni. Questo passaggio richiede più tempo e, probabilmente, è stato saltato. L’errore ha coinvolto un endpoint, un software che interviene sulle reti di dispositivi, moltiplicando gli effetti del blocco.
La soluzione primaria in casi come questi è spegnere e riavviare il sistema. Tuttavia, in questo caso, il blocco totale richiede un intervento manuale su ogni dispositivo. I tecnici devono intervenire fisicamente per rimuovere l’aggiornamento problematico e ristabilire la funzionalità del sistema, un processo che richiede tempo e risorse significative.
Un episodio simile era già accaduto il 21 aprile 2010, quando l’aggiornamento difettoso dell’antivirus di McAfee bloccò centinaia di migliaia di dispositivi. Anche in quel caso, aziende, ospedali e università furono colpite, e l’errore aprì un periodo buio per l’azienda.
La dipendenza da pochi fornitori rende intere aziende vulnerabili a potenziali attacchi. Secondo le stime di Statcounter, oltre 1 miliardo di dispositivi utilizzano Windows 10, e Windows 11 è installato su oltre 400 milioni di computer attivi mensilmente. La pluralità del mercato informatico potrebbe rappresentare una maggiore tutela rispetto a situazioni di questo tipo.
Un compromesso nella catena di approvvigionamento del software può avere ripercussioni devastanti. Una maggiore pluralità del mercato informatico potrebbe mitigare questi rischi, e sarebbe opportuno iniziare a riflettere su questa possibilità.
