Bug su Falcon Sensor di CrowdStrike: cosa è successo

I sistemi di aeroporti, stazioni ferroviarie, compagnie aeree, strutture sanitarie, Borse e testate giornalistiche in tilt.

Autore: Valerio Mariani

Intorno all’1:30 della notte tra giovedì e venerdì un aggiornamento automatico di Falcon Sensor, piattaforma di sicurezza di CrowdStrike che contiene diversi tool per la protezione degli endpoint, antivirus, gestione dei firewall e funzionalità di threat intelligence, ha mandato in tilt pc e server basati su Windows di Microsoft, e non quelli basati su sistemi Mac o Linux.

I sistemi di diversi servizi di emergenza, aeroporti, stazioni ferroviarie, compagnie aeree, strutture sanitarie, Borse e testate giornalistiche, si sono bloccati provocando numerosi disservizi. Gli indici di Borsa di Milano e Londra alle 14:30 di venerdì 19 luglio risultano ancora non aggiornati, e la BBC riferisce di circa 1400 voli bloccati in tutto il mondo.

Negli Stati Uniti gli aerei di United, Delta e American Airlines non sono potuti partire; in Europa i problemi riguardano Wizz Air, Ryanair, l'ente di gestione aeroportuale spagnolo Aena, ma anche Enel Energia e Ita Airways che ha ammesso la “cancellazione di 60 voli, di cui 34 sull'aeroporto di Roma Fiumicino e 26 su Milano Linate”; anche in Australia e a Hong Kong si segnalano rilevanti blocchi dei voli.

E poi, i servizi di emergenza dell’Alaska, banche, Visa, emittenti televisive come Virgin Media o Sky News che non è stata in grado di trasmettere per ore, supermercati e altre aziende, soprattutto in Australia.

L'origine del blocco dei servizi Microsoft

L’origine del down, equivalente a milioni di dollari andati in fumo, è l’aggiornamento automatico della piattaforma Falcon Sensor di CrowdStrike, azienda quotata in Borsa che ha subito un crollo del 15% a Wall Street. L'amministratore delegato di CrowdStrike, George Kurtz, ha chiesto scusa per le interruzione registrate da Microsoft: “Siamo profondamente dispiaciuti per l'impatto causato ai clienti, ai viaggiatori e a chiunque è stato colpito”, ha detto il CEO in un'intervista a Nbc.

Secondo diversi esperti, subito intervenuti in diversi gruppi di discussione, per esempio su Reddit, a cui si aggiungono i ricercatori di Kaspersky, l’unico modo per risolvere il problema è eliminare il driver coinvolto nell’aggiornamento (csagent.sys o C-00000291*.sys) utilizzando la modalità provvisoria. Soluzione non attuabile così facilmente e che generalmente richiede l’intervento manuale dell’amministratore del sistema.

Ci vorrà un po’ di tempo, ma il problema si dovrebbe risolvere nell’arco di una giornata al massimo. Dunque, Microsoft, c’è da chiarire immediatamente, non c’entra niente, come peraltro non c’entra “l’interconnessione di rete tra sistemi informatici” come è stato dichiarato frettolosamente da diverse testate non specializzate.

Qui la questione è una sola: la “pulizia” del codice di un aggiornamento applicativo, oltre alla tendenza, che è anche una necessità, all’upgrade automatico del codice, funzionalità utilizzata e spesso invocata proprio per evitare cyberattacchi che prendono di mira il codice obsoleto.

Per una volta, dunque, non si dovrebbe puntare il dito sulla scarsa manutenzione dei sistemi delle aziende clienti ma su chi garantisce, all’interno dei team di sviluppo dei produttori di software, che l’aggiornamento sia ok.

Il problema del testing degli aggiornamenti

Alexander Liskin, Head of Threat Research di Kaspersky ha inquadrato molto bene lo scenario: “Per evitare situazioni simili, i fornitori di sicurezza informatica devono prestare la massima attenzione alla qualità degli aggiornamenti che rilasciano. Dal 2009, gestiamo un framework interno per prevenire guasti di massa tra i nostri clienti, sottoponendo ogni aggiornamento a un controllo di qualità multilivello. Inoltre, è fondamentale adottare il criterio del rilascio graduale degli aggiornamenti in modo da localizzare e risolvere rapidamente eventuali imprevisti”.

Gli fa eco Alois Reitbauer, Chief AI Strategist di Dynatrace: “data la crescente complessità del software, tutti gli sviluppatori e le organizzazioni possono aspettarsi interruzioni o disservizi. Gli approcci basati sull’intelligenza artificiale sono diventati essenziali per l’implementazione di operazioni IT complesse, poiché i processi manuali non riescono a tenere il passo. Un approccio all’AI di tipo “power of 3”, che sfrutta l’AI predittiva, causale e generativa, è sempre più fondamentale per aiutare le organizzazioni a garantire le migliori prestazioni del software e ridurre al minimo le interruzioni dei servizi”.

Il crollo in Borsa di CrowdStrike arriva in concomitanza con il rilascio di CrowdStrike Falcon Complete Next-Gen MDR e l’annuncio dell’ingresso nell'indice S&P 500, diventando così la società di cybersicurezza più veloce a raggiungere questo traguardo.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.