Disastro CrowdStrike: cos’è successo, quanto costerà e cosa ci insegna

Il 19 luglio è accaduta una cosa che sapevamo tutti sarebbe successa prima o poi: un errore nella procedura di aggiornamento ha mandato in blocco milioni di computer Windows su cui era installato del software di CrowdStrike, azienda specializzata in cybersecurity dal profilo molto elevato.

Una fetta importante della clientela di CrowdStrike è composta da grandi aziende e multinazionali che usano i suoi prodotti per difendersi dagli attacchi informatici. Molti dei computer che usano sono gestiti in remoto dal dipartimento IT interno. Il rilascio dell’aggiornamento sbagliato ha mandato in schermata blu  tutti i computer Windows su cui era installato il software Falcon, rendendo impossibile per i tecnici riprendere il controllo della situazione.

Com’è potuto accadere?

Le grandi aziende di software usano procedure molto complesse per controllare gli aggiornamenti che inviano ai loro clienti proprio per evitare problemi come questo. I sistemi di validazione, però, non sono perfetti e sebbene supportati da procedure che riducono al minimo le probabilità di errore catastrofico quando si lancia un aggiornamento, le cose sono andate per il verso sbagliato.

Gli aggiornamenti al sistema Falcon vengono inviati sotto forma di template e non di codice da eseguire, in modo che stia all’interprete interno del software tarare i parametri per la rilevazione delle minacce. Ogni template viene sottoposto a diversi protocolli di validazione prima di arrivare in produzione e infatti CroudStrike dichiara che l’istanza è stata rilasciata solo dopo aver “eseguiti i test prima del lancio iniziale del Tipo di Template (il 5 marzo 2024), i controlli del Content Validator e aver costruito nel tempo una forte fiducia nell’efficacia di questi strumenti che hanno funzionato nei precedenti deployment”.

Purtroppo, stavolta “Quando (il template è stato) ricevuto dal sensore e caricato nel Content Interpreter, il contenuto problematico nel File del Canale 291 ha causato una lettura di memoria fuori dai limiti, innescando un’eccezione. Questa eccezione inaspettata non poteva essere gestita in modo corretto, provocando un crash del sistema operativo Windows (BSoD).”

Microsoft sostiene che non ci sarebbero stati i blue screen se avesse potuto impedire alle terze parti di accedere al livello 0 del Kernel. Sorvolando sul vero impatto che l’errore avrebbe comunque avuto sul componente di sicurezza, questo può esser vero, ma l’accordo con la Comunità Europea stretto nel 2000 (e rinnovato per le applicazioni di sicurezza nel 2009) non aveva come scopo quello di evitare un blue screen occasionale, ma di preservare il diritto alla concorrenza. Quindi, diciamo che servirebbe una valutazione un po’ più attenta prima di lanciarsi in affermazioni così “forti”.

Chi ha avuto i maggiori problemi? E dove?

Partiamo dal dove. A livello globale, si stima che i PC colpiti siano stati più di 8 milioni e mezzo.

Gli effetti più gravi sono stati avvertiti in USA e UK, dove CrowdStrike ha una clientela molto vasta. Nel resto d’Europa sono stati molto più blandi, con l’Italia che ha sofferto, ma in maniera relativamente leggera. In Cina, invece, gli effetti sono stati praticamente nulli dal momento che la maggior parte delle grandi aziende cinesi preferisce usare software di sicurezza locale.

Per quanto riguarda il chi, non c’è un settore che ha sofferto più di altri: i danni sono arrivati a pioggia un po’ ovunque, con alcuni ambiti che hanno fatto più rumore di altri perché connessi con temi molto sensibili.

L’ambito sanitario è stato fortemente colpito e rallentato, così come quello dei trasporti. Nel regno unito il servizio sanitario nazionale è dovuto tornare a carta e penna, mentre molte linee ferroviarie erano impraticabili. Le linee aeree faranno i conti per settimane con quanto accaduto quel giorno sciagurato dal momento che alcune di loro (tipo Delta) ha dovuto cancellare centinaia di voli. Qualche aeroporto italiano ha registrato ritardi e cancellazioni, ma per lo più a causa delle procedure di check-in online che erano diventate inoperative sulle app delle compagnie aeree colpite.

Un altro duro colpo è stato inferto al sistema bancario che, in molti casi, ha visto andare in blocco sia le operazioni online sia quelle nei bancomat e filiali. Molte piattaforme di trading hanno subito la stessa sorte. Qualche problema anche con gli hotel in quanto in alcuni casi è rimasto bloccato il computer che gestisce l’apertura delle porte degli ospiti, rendendo necessario attivare una procedura “manuale”.

Che conseguenze ci saranno e a quanto ammontano i danni?

Una prima conseguenza alla quale pochi hanno pensato è che, secondo l’FBI, i gruppi di attacco cyber sponsorizzati da governi stranieri stanno cercando di tenere traccia di cosa è successo e di chi abbia sofferto di più per questo evento. Il motivo è che in caso di Cyberguerra si potrebbe contare su di una mappa dei bersagli più sensibili da colpire per primi per causare il massimo danno. Inoltre, i soliti criminali opportunisti hanno iniziato ad aprire siti esca per carpire credenziali e dati riservati.

Scendendo a un livello più concreto, le assicurazioni stanno iniziando a stimare i danni e la prima cifra che sta circolando, per quello che riguarda solo le aziende della classifica Fortune 500, è di 5,4 miliardi di dollari.

Un conto esorbitate che, si stima, verrà pagato solo per il 20% circa dalle assicurazioni, principalmente attraverso le polizze indirizzate all’interruzione del business, ai viaggi e alla cancellazione di eventi. Per il restante 80% dei danni, sembra che le aziende dovranno assorbire il colpo, anche se cresce un fronte che vorrebbe addossare la colpa a CrowdStrike.

Cosa abbiamo imparato da questo evento?

Abbiamo imparato due cose. La prima è che ancora il concetto di resilienza è molto blando. Oltre cinque miliardi di danni per un singolo evento vuol dire che le aziende della Fortune 500 non sono ancora pronte a fronteggiare un problema di infrastruttura. E se non sono pronte loro, figuriamoci quelle più piccole. La seconda cosa importante che abbiamo imparato è che un errore può capitare a chiunque, a prescindere dalla quantità di sistemi di sicurezza si mettano in essere. Questo deve portare le aziende a prevedere dei piani d’azione che coprano anche i casi più remoti perché, alla fine, sono quelli che fanno più male.