Il 19 luglio 2024, un aggiornamento difettoso del software di sicurezza Falcon di CrowdStrike ha causato un'interruzione su larga scala dei sistemi IT a livello globale, colpendo milioni di dispositivi Windows. L'incidente ha avuto un impatto significativo su settori critici, tra cui aviazione, sanità, finanza e servizi governativi, causando gravi disagi operativi.
L'incidente è stato inizialmente rilevato in Australia, ma si è rapidamente diffuso in Asia, Europa e Stati Uniti, man mano che le rispettive giornate lavorative iniziavano. L'aggiornamento difettoso ha avuto un effetto domino, bloccando sistemi essenziali come i registratori di cassa nei supermercati, i tabelloni delle partenze negli aeroporti e i sistemi di gestione degli ospedali.
L’aggiornamento di Crowstrike
Nei giorni scorsi CrowdStrike ha pubblicato la RSA (Root Cause Analysis) dell’incidente, confermando con maggiore precisione quanto si era già affermato in precedenza. L’aggiornamento del sensore Falcon Sensor ha causato l’incidente.
Questo sensore utilizza intelligenza artificiale e machine learning per proteggere i sistemi dei clienti identificando e risolvendo le minacce avanzate. In particolare, il Falcon Sensor è progettato per monitorare e analizzare attività sospette sui dispositivi Windows, consentendo a CrowdStrike di intervenire rapidamente contro potenziali attacchi informatici. Il sensore raccoglie dati e fornisce aggiornamenti di contenuto che migliorano la capacità del sistema di rilevare nuovi metodi di attacco, come quelli che potrebbero sfruttare meccanismi specifici di Windows
Il problema è nato da una discrepanza nel numero di campi di input attesi dal sensore, con 21 campi forniti anziché 20, portando a letture di memoria fuori limite. Sebbene il bug non sia sfruttabile da attori malevoli, CrowdStrike ha implementato correzioni, migliorato i test e la gestione degli aggiornamenti, e ha ingaggiato due fornitori indipendenti per una revisione del codice e dei processi di controllo qualità. Sono state anche aggiunte funzionalità per consentire ai clienti un maggiore controllo sugli aggiornamenti.
Viene definitivamente archiviata, per quei pochi che forse avevano ancora dubbi, l’ipotesi di un attacco informatico. La società ha immediatamente rilasciato una patch correttiva per risolvere il problema e ha fornito una guida tecnica dettagliata per aiutare i clienti a ripristinare i sistemi.
Tuttavia, il processo di recupero è stato lento, e molte aziende e servizi sono rimasti in modalità di emergenza per giorni. In alcuni casi le vittime potranno contare su un risarcimento assicurativo, ma molti dovranno pagarsi i danni di tasca propria.
Microsoft ha probabilmente subito l’impatto maggiore, con un danno d’immagine difficile da quantificare: visto che Windows ha smesso di funzionare, in molti hanno pensato - e pensano ancora - che la colpa sia dell’azienda fondata da Bill Gates. E almeno in parte, in effetti, sorprende che Windows non abbia strumenti specifici per gestire emergenze del genere con tempi di recupero più brevi.
A livello più generale, emergono nuovamente le vulnerabilità dei sistemi IT globali. Quello di cui stiamo parlando è, a ben guardare, un incidente relativamente piccolo, che ha riguardato meno del 10% dei sistemi Windows. Eppure i danni sono stati enormi, incalcolabili da un certo punto di vista. Viene da chiedersi quanto sia probabile che una cosa del genere si ripeta, e quanto saremmo in grado di affrontare un problema ancora più grave.
Le risposte ad oggi non sono particolarmente incoraggianti: nonostante i molti strumenti di sicurezza siamo ancora esposti a grandi rischi, e non abbiamo soldi piani di risposta in caso di crisi. Per molti aspetti - non tutti per fortuna - viviamo in un rischioso “speriamo che vada tutto bene”.