Il caso CrowdStrike non è il primo e non sarà l’ultimo

Perché sia successo è la domanda che più rimbalza sul web in queste ore e la risposta non è semplice. In merito al cosa, invece, si è capito molto di più: il 19 luglio scorso l’azienda statunitense di sicurezza informatica CrowdStrike ha rilasciato un aggiornamento del software di sicurezza Falcon Sensor per i dispositivi Windows e nel giro di poco li ha mandati in blocco.

La fotografia più iconica del tilt informatico globale sono i popolari schermi di Times Square a New York , diventati tutti improvvisamente blu per effetto del «Blue Screen of Death», quella «schermata blu della morte» che altro non è che un errore di stop. Microsoft l’aveva introdotta per gli utenti di Windows 3.0 nel 1993, certamente non immaginando che trent’anni dopo sarebbe diventata così popolare. Il dato più inquietante dell’errore (perché di un errore si tratta) è nei 6.855 voli cancellati in un solo giorno , senza contare i malfunzionamenti di banche, ospedali, treni e dispositivi vari.

Un errore che nasce da più azioni

Inutile fingersi esperti informatici. L’aggiornamento è qualcosa che facciamo tendenzialmente sovrappensiero. Esce una notifica, ci si clicca il più delle volte senza leggere, mentre la maggior parte delle volte è automatico, perciò non è nell’utente finale che si può trovare un qualche anello debole della catena. Tutto è partito a monte.

Tipicamente, le aziende che si occupano di sicurezza informativa, quando progettano e rilasciano questi software implementano dei processi di «QA» (Quality Assurance), che automaticamente verificano la qualità degli aggiornamenti rilasciati, per assicurarsi di eventuali problemi. Quindi qualcosa è andato storto in questo processo: il controllo non ha funzionato e il sistema aveva un errore. Secondo Patrick Wardle, ricercatore di sicurezza specializzato nello studio delle minacce contro i sistemi operativi, si tratterebbe di un file contenente informazioni di configurazione oppure “signature”, nello specifico su X parla di «un indirizzo di memoria sbagliato». Le signature a cui fa riferimento sono codici che rilevano specifici tipi di codice dannoso o malware. Wardle ha aggiunto: «È molto comune che i prodotti di sicurezza aggiornino le loro signature, anche una volta al giorno, perché monitorano continuamente nuove minacce e vogliono assicurarsi che i loro clienti siano protetti in ogni circostanza».

E qui c’è la seconda azione che ha diffuso l’errore. Secondo gli esperti la fretta potrebbe essere stata cattiva consigliera, non facendo svolgere agli informatici di CrowdStrike i passaggi necessari prima del rilascio dell’aggiornamento. John Hammond, responsabile della ricerca della piattaforma di cybersecurity concorrente Huntress Labs, ha spiegato: «Normalmente il software doveva essere distribuito prima a un numero limitato di utenti, è un approccio più sicuro per evitare problemi come questo».

La procedura standard in queste circostanze quindi, oltre alla verifica interna prevede una sorta di «rilascio controllato» in modo da contenere il danno qualora dovesse presentarsi un errore. Un passaggio in più, che richiede più tempo e che, probabilmente, per qualche motivo è stato saltato.

Infine, il caso ha voluto che a essere oggetto dell’errore fosse un endpoint, ovvero un software che interviene sulle reti di dispositivi (PC, smartphone e tablet connessi fra loro) moltiplicando gli effetti del blocco.

Perché non si può tornare alla normalità in un clic?

Spegni e riavvia è una delle soluzioni primarie in casi come questi. Sembra banale e non sempre comprensibile, ma spesso funziona. Non in questo caso. Il motivo è che il blocco totale del sistema si risolve soltanto con un’azione manuale da fare computer per computer. I tecnici devono intervenire fisicamente sui dispositivi colpiti per rimuovere l’aggiornamento problematico e ristabilire la funzionalità del sistema, un processo che sta rivelando tempi lunghi e costi significativi.

Qualcosa di simile era già accaduto

Il 21 aprile 2010 centinaia di migliaia di dispositivi furono bloccati dall’aggiornamento difettoso dell’antivirus di McAfee. Nello specifico il software DAT 5958 credeva che uno dei file vitali di Windows fosse un virus e quindi lo bloccava, rendendo inservibile il computer.

Anche in quel caso ad essere bloccate furono aziende, ospedali che hanno rinviato interventi chirurgici e terapie, università, registratori di cassa dei supermercati, dipartimenti di polizia, soprattutto negli USA. Non solo: pur intervenendo immediatamente dando le indicazioni necessarie al ripristino, l’errore aprì un periodo buio per la stessa azienda.

Più di un miliardo di potenziali vittime

Così si torna alla considerazione iniziale. Non è la prima volta che un aggiornamento difettoso viene rilasciato, ma questa volta l’impatto è stato devastante. Il motivo è facilmente riscontrabile nei dati: secondo le stime della società di analisi Statcounter, relative a dicembre 2023, sono oltre 1 miliardo i dispositivi che utilizzano Windows 10, mentre Windows 11 è ora installato su oltre 400 milioni di computer attivi mensili. A questi vanno aggiunte le macchine dotate di tutte le altre versioni del sistema operativo che è – a livello di pc – il più diffuso al mondo.

Banalmente, senza voler entrare nelle questioni etiche di quanto la nostra vita e tutte le sue azioni siano più o meno legate ai dispositivi informatici, si potrebbe iniziare a riflettere su come la dipendenza da pochi fornitori renda intere aziende vulnerabili a potenziali attacchi, e come un compromesso nella catena di approvvigionamento del software possa avere ripercussioni devastanti. È ciò che succede anche in occasione di attacchi mirati ai sistemi di sicurezza informatica quando, in questo caso delinquenti informatici, hanno sfruttato vulnerabilità nei fornitori di software per infiltrarsi in un gran numero di reti aziendali.

Una maggiore pluralità del mercato informatico può dunque rappresentare anche una maggiore tutela rispetto a situazioni di questo tipo e bisognerebbe iniziare a pensarci.