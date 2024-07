Un aggiornamento pasticciato da parte di una delle principali società di sicurezza software del mondo ha causato più danni al business globale in un solo giorno di quanto i peggiori gruppi di hacker abbiano mai gestito. CrowdStrike ha costruito il suo nome e il suo valore di mercato per oltre 70 miliardi di dollari rilevando e identificando campagne informatiche dannose condotte da spie russe e cinesi e da bande criminali organizzate che raccolgono centinaia di milioni di dollari.

Ma l’azienda fa affidamento sull’accesso approfondito a milioni di computer per difendersi da nuovi attacchi, e le istruzioni che CrowdStrike ha inviato a quelle macchine che eseguono il sistema operativo Windows di Microsoft durante la notte le hanno rese inutilizzabili entro venerdì mattina.

Mentre le banche, le compagnie aeree e i sistemi di chiamata di emergenza 911 faticavano a riprendersi, CrowdStrike si è scusato e ha incolpato un errore invece di… Attacco hacker ai suoi sistemi interni.

“Questo non è stato un attacco informatico”, ha detto CrowdStrike sul suo blog. L’azienda con sede ad Austin ha affermato di aver identificato il problema e di aver fornito una soluzione ai clienti per aiutare i propri dipendenti a tornare al lavoro.

Ma il fallimento fu così diffuso e il suo impatto così profondo che non tutti gli esperti di sicurezza erano convinti che si trattasse semplicemente di un errore umano. CrowdStrike è cresciuta rapidamente nell’ultimo anno e solo il mese scorso è entrata a far parte dell’indice Standard & Poor’s 500 delle più grandi società quotate in borsa. Ma si è fatto nemici in tutto il mondo smascherando attacchi informatici come quello dell’intelligence russa che ha rubato le e-mail del Comitato nazionale democratico e del presidente della campagna elettorale di Hillary Clinton nel 2016.

“Dubito che si sia trattato di un incidente. Ci sono molti inconvenienti”, ha affermato Matthew Hickey, fondatore della società di formazione Hacker House. Ha aggiunto che il file in violazione conteneva dati casuali, non era firmato digitalmente e non era stato adeguatamente testato.

Un funzionario federale americano, parlando in condizione di anonimato per discutere questioni di sicurezza nazionale, ha affermato che non vi erano prove di sabotaggio o interferenze straniere.

I prodotti di “rilevamento degli endpoint” come lo strumento Falcon di CrowdStrike spesso inviano non solo ID aggiornati per il malware per prevenirlo, ma anche linee di codice attivo per contrastare gli scenari, ha affermato Jake Williams, un ex hacker della NSA. L’attacco più complesso. Ha detto che è possibile che i sistemi di CrowdStrike per testare il codice prima di installarlo ovunque non siano stati “abbastanza diversificati” per rilevare il bug.

Anche se le interruzioni della rete di computer non sono insolite, venerdì gli esperti sono rimasti sorpresi quando hanno scoperto che l’errore di una singola azienda si era diffuso su molti sistemi.

“Non abbiamo mai visto un fallimento a cascata come questo, forse mai”, ha affermato Chuck Herren, dirigente della società di sicurezza digitale F5 Inc..

L’entità delle interruzioni tecniche in tutto il mondo venerdì Scoprire i pericoli inerenti al tipo di software di sicurezza che molti considerano essenziale per le aziende per scongiurare ransomware e altri attacchi hacker devastanti.

Affinché questi programmi siano efficaci, devono essere in grado di vedere tutto ciò che accade sul dispositivo. Ma quell’accesso potrebbe fallire in modo catastrofico, come è successo venerdì, e la soluzione successivamente introdotta dall’azienda era complessa: molte organizzazioni dovevano riavviare manualmente ciascun dispositivo uno per uno ed eliminare il file di aggiornamento errato.

Questo accesso privilegiato rende inoltre il software di sicurezza un obiettivo primario per spie e hacker comuni. Proprio il mese scorso, i funzionari statunitensi hanno vietato alla società russa di software antivirus Kaspersky Lab di intraprendere qualsiasi nuova attività commerciale nel paese, dopo averla accusata di aver avuto un ruolo nel furto di segreti da parte dei dipendenti della National Security Agency e di altri.

I problemi di venerdì hanno portato alla cancellazione o al ritardo di migliaia di voli e hanno costretto gli ospedali a rinviare le operazioni. I peggiori attacchi informatici, come l’attacco NotPetya della Russia alle aziende ucraine e il virus WannaCry della Corea del Nord, hanno causato danni più duraturi danneggiando permanentemente i computer. Ma anche questi attacchi non si sono diffusi così rapidamente e così lontano.

Il fiasco di CrowdStrike è degno di nota in parte perché i dirigenti dell’azienda sono stati tra le voci più importanti del settore che hanno criticato Microsoft per le ripetute vulnerabilità della sicurezza. Il colosso del software è stato accusato di recenti gravi violazioni nei confronti delle agenzie statunitensi, compreso il furto di e-mail lo scorso anno da parte di funzionari tra cui il segretario al Commercio Gina Raimondo. Un severo rapporto del Cybersecurity Review Board, presieduto da un funzionario della Cybersecurity and Infrastructure Security Agency, ha rilevato ad aprile “una cultura aziendale che ha depriorizzato gli investimenti nella sicurezza aziendale e una rigorosa gestione del rischio”.

Al di là di questi errori di Microsoft, CrowdStrike ha affermato che la posizione dominante dell’azienda nel mercato dei sistemi operativi e dei software di produttività rende qualsiasi debolezza potenzialmente disastrosa.

Essendo una delle poche società leader nel settore della sicurezza, alcuni esperti ora dicono lo stesso di CrowdStrike, che fa parte di un piccolo gruppo di società di sicurezza di rete con tale portata e potenza.

“Si tratta chiaramente di una situazione molto seria e ci vorranno settimane”, ha affermato Brian Palma, amministratore delegato della società di sicurezza rivale Trilex. “È necessario far uscire le console”.

La Cybersecurity and Infrastructure Security Agency ha affermato che stava assistendo negli sforzi di ripristino e ha avvertito che i criminali che si spacciavano per CrowdStrike stavano cercando di convincere i clienti a scaricare malware o a rinunciare all’accesso ai propri computer.

Mary Vasek, professoressa assistente presso il dipartimento di informatica dell’University College di Londra, ha affermato che i diffusi guasti dei computer mostrano quanto i sistemi tecnologici globali siano dipendenti dal software di un piccolo numero di aziende, comprese quelle di Microsoft e CrowdStrike.

Vasek ha affermato che le reti tecnologiche sono diventate così grandi, complesse e interconnesse che è più probabile che una riga di codice sbagliata possa distruggere intere reti di computer.

Il difetto ha interessato solo i computer che eseguono il sistema operativo Windows, che alimenta centinaia di milioni di personal computer e molti sistemi back-end per compagnie aeree, pagamenti digitali, servizi di emergenza, call center e molto altro.

In una dichiarazione, CrowdStrike ha affermato che “sta lavorando con tutti i clienti interessati per garantire che i sistemi siano sottoposti a backup e siano in grado di fornire i servizi su cui i loro clienti fanno affidamento”.

Alcune aziende colpite dalla falla CrowdStrike, comprese banche e servizi di emergenza, hanno dichiarato venerdì di aver implementato il software CrowdStrike con patch e che stavano iniziando a riprendersi.

Vasek ha affermato che sia Microsoft che CrowdStrike devono esaminare le proprie procedure per evitare che si ripetano tali fallimenti tecnologici su larga scala.

Ha affermato che CrowdStrike dovrebbe considerare come aggiornare in modo sicuro il proprio software per ospitare milioni di reti di computer. Ha aggiunto che Microsoft deve compiere maggiori sforzi per garantire che gli aggiornamenti software di altre società non causino interruzioni ai computer Windows.

“Microsoft deve pensare a come verificare che il software funzioni come dovrebbe”, ha affermato.

Microsoft non ha affrontato direttamente questa critica, ma ha affermato in una dichiarazione che la società “sta supportando attivamente i clienti per aiutarli nel loro recupero”.

La società ha inoltre annunciato interruzioni in alcuni dei suoi popolari software di connessione a Internet per reti tecnologiche aziendali e governative.

Non è stato immediatamente chiaro quante delle interruzioni della rete di computer di venerdì siano state causate da un aggiornamento difettoso del software CrowdStrike e quali siano il risultato di problemi iniziati giovedì con i servizi online di Microsoft e il servizio di cloud computing aziendale Azure.

Un portavoce di Microsoft ha affermato che la società non crede che il bug CrowdStrike sia correlato all’interruzione che ha colpito “un sottoinsieme di clienti Azure”. Ha detto che il problema è stato risolto.