La causa della panne informatica globale del 19 luglio
“Blue Screen of Death” in ripetizione all’aeroporto La Guardia di New York City
Le notizie che sono giunte venerdì 19 luglio 2024 hanno lasciato presagire il peggio: negli aeroporti da Delhi a New York i passeggeri sono rimasti bloccati, gli ospedali hanno dovuto rimandare operazioni, in alcuni bancomat non si poteva prelevare nulla. Alcune fabbriche hanno temporaneamente ridotto la produzione e le filiali di varie catene di supermercati hanno dovuto chiudere.
Un giorno dopo, la situazione si è in gran parte normalizzata. Ora è possibile spiegare come probabilmente siano avvenuti i disservizi. La causa non è infatti un attacco informatico. Invece, ironia della sorte, proprio un software di sicurezza è diventato un rischio per la sicurezza.
Il software che ha causato il caos
CrowdStrike Falcon – è questo il software il cui aggiornamento ha causato tutto il caos. Si tratta di una sorta di programma antivirus, più precisamente: un cosiddetto programma antivirus di nuova generazione. “Un normale programma antivirus cerca specificamente malware conosciuti”, dice Sarah Fluchs, esperta di sicurezza IT dell’azienda di sicurezza admeritia. “Ma questo non basta, perché non tutti gli attacchi usano malware conosciuto.” In particolare, gli hacker cinesi usano sempre più frequentemente tattiche nuove, che non prevedono l’uso di malware, ma sfruttano ciò che il sistema può già fare. I programmi antivirus di nuova generazione monitorano quindi tutti i processi e cercano anomalie.
Proprio questo è stato fatale venerdì scorso. Perché per poter eseguire un monitoraggio così completo, Falcon ha bisogno di ampi diritti di accesso ai sistemi. “Con grande potere arriva anche una grande responsabilità”, dice Fluchs. “Se si hanno tali autorizzazioni estese e si possono anche aggiungere o modificare file a livello di sistema – allora si possono anche fare molti danni.”
CrowdStrike ha distribuito un aggiornamento che è stato installato su tutti i dispositivi finali. “E durante tale aggiornamento hanno commesso un errore logico che ha portato al crash del sistema”, dice Fluchs. La colpa era di uno speciale programma (driver) difettoso, che, a seguito di un errore di programmazione, ha causato il crash dei computer Windows.
CrowdStrike ha nel frattempo rilasciato diverse dichiarazioni, sia sulla situazione generale che sui dettagli tecnici dell’errore.
“Teoricamente potrebbe essere possibile che qualcuno abbia intenzionalmente inserito un errore logico”, dice Fluchs. “Ma dal punto di vista di un aggressore non c’è un motivo evidente.” Normalmente gli hacker estorcono denaro con i loro attacchi – ma nessuno ha guadagnato dagli incidenti di venerdì, e le aziende hanno potuto risolvere i problemi in gran parte da sole. Anche lil sabotaggio delle infrastrutture critiche sembra improbabile per Fluchs – i sistemi colpiti sono troppo casuali.
“Ma questo non significa che ora i criminali informatici non ne trarranno vantaggio”, dice Fluchs. Sonoinfatti già in circolazione email di phishing. Le aziende che stanno ancora cercando di rimettere in funzione il software dovrebbero assolutamente prestare attenzione a utilizzare solo istruzioni ufficiali per la risoluzione dei problemi. In particolare, le email che promettono una soluzione rapida potrebbero contenere malware. È un punto d’ingresso molto tipico per gli attacchi informatici.
Anche se l’incidente di venerdì non è stato un attacco informatico, ha mostrato chiaramente quanto sia vulnerabile l’infrastruttura IT globale. In questo senso, un tale incidente non è sorprendente per Fluchs: “In pratica, qualcosa del genere è possibile con qualsiasi software che è ampiamente utilizzato e riceve aggiornamenti automatici. E ce ne sono molti.” Gli aggiornamenti di sistema sono anche un punto d’ingresso popolare per gli attacchi. “In realtà, nel mondo della sicurezza IT, tutti noi ci aspettiamo che prima o poi qualcosa del genere causi una vera catastrofe.” (Fonti: ZEIT, Heise Online)
