▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Bug su Falcon Sensor di CrowdStrike: cosa è successo

I sistemi di aeroporti, stazioni ferroviarie, compagnie aeree, strutture sanitarie, Borse e testate giornalistiche in tilt.

Sicurezza

Intorno all’1:30 della notte tra giovedì e venerdì un aggiornamento automatico di Falcon Sensor, piattaforma di sicurezza di CrowdStrike che contiene diversi tool per la protezione degli endpoint, antivirus, gestione dei firewall e funzionalità di threat intelligence, ha mandato in tilt pc e server basati su Windows di Microsoft, e non quelli basati su sistemi Mac o Linux.

I sistemi di diversi servizi di emergenza, aeroporti, stazioni ferroviarie, compagnie aeree, strutture sanitarie, Borse e testate giornalistiche, si sono bloccati provocando numerosi disservizi. Gli indici di Borsa di Milano e Londra alle 14:30 di venerdì 19 luglio risultano ancora non aggiornati, e la BBC riferisce di circa 1400 voli bloccati in tutto il mondo.

Negli Stati Uniti gli aerei di United, Delta e American Airlines non sono potuti partire; in Europa i problemi riguardano Wizz Air, Ryanair, l'ente di gestione aeroportuale spagnolo Aena, ma anche Enel Energia e Ita Airways che ha ammesso la “cancellazione di 60 voli, di cui 34 sull'aeroporto di Roma Fiumicino e 26 su Milano Linate”; anche in Australia e a Hong Kong si segnalano rilevanti blocchi dei voli.

E poi, i servizi di emergenza dell’Alaska, banche, Visa, emittenti televisive come Virgin Media o Sky News che non è stata in grado di trasmettere per ore, supermercati e altre aziende, soprattutto in Australia.

L'origine del blocco dei servizi Microsoft

L’origine del down, equivalente a milioni di dollari andati in fumo, è l’aggiornamento automatico della piattaforma Falcon Sensor di CrowdStrike, azienda quotata in Borsa che ha subito un crollo del 15% a Wall Street. L'amministratore delegato di CrowdStrike, George Kurtz, ha chiesto scusa per le interruzione registrate da Microsoft: “Siamo profondamente dispiaciuti per l'impatto causato ai clienti, ai viaggiatori e a chiunque è stato colpito”, ha detto il CEO in un'intervista a Nbc.

Secondo diversi esperti, subito intervenuti in diversi gruppi di discussione, per esempio su Reddit, a cui si aggiungono i ricercatori di Kaspersky, l’unico modo per risolvere il problema è eliminare il driver coinvolto nell’aggiornamento (csagent.sys o C-00000291*.sys) utilizzando la modalità provvisoria. Soluzione non attuabile così facilmente e che generalmente richiede l’intervento manuale dell’amministratore del sistema.

Ci vorrà un po’ di tempo, ma il problema si dovrebbe risolvere nell’arco di una giornata al massimo. Dunque, Microsoft, c’è da chiarire immediatamente, non c’entra niente, come peraltro non c’entra “l’interconnessione di rete tra sistemi informatici” come è stato dichiarato frettolosamente da diverse testate non specializzate.

Qui la questione è una sola: la “pulizia” del codice di un aggiornamento applicativo, oltre alla tendenza, che è anche una necessità, all’upgrade automatico del codice, funzionalità utilizzata e spesso invocata proprio per evitare cyberattacchi che prendono di mira il codice obsoleto.

Per una volta, dunque, non si dovrebbe puntare il dito sulla scarsa manutenzione dei sistemi delle aziende clienti ma su chi garantisce, all’interno dei team di sviluppo dei produttori di software, che l’aggiornamento sia ok.

Il problema del testing degli aggiornamenti

Alexander Liskin, Head of Threat Research di Kaspersky ha inquadrato molto bene lo scenario: “Per evitare situazioni simili, i fornitori di sicurezza informatica devono prestare la massima attenzione alla qualità degli aggiornamenti che rilasciano. Dal 2009, gestiamo un framework interno per prevenire guasti di massa tra i nostri clienti, sottoponendo ogni aggiornamento a un controllo di qualità multilivello. Inoltre, è fondamentale adottare il criterio del rilascio graduale degli aggiornamenti in modo da localizzare e risolvere rapidamente eventuali imprevisti”.

Gli fa eco Alois Reitbauer, Chief AI Strategist di Dynatrace: “data la crescente complessità del software, tutti gli sviluppatori e le organizzazioni possono aspettarsi interruzioni o disservizi. Gli approcci basati sull’intelligenza artificiale sono diventati essenziali per l’implementazione di operazioni IT complesse, poiché i processi manuali non riescono a tenere il passo. Un approccio all’AI di tipo “power of 3”, che sfrutta l’AI predittiva, causale e generativa, è sempre più fondamentale per aiutare le organizzazioni a garantire le migliori prestazioni del software e ridurre al minimo le interruzioni dei servizi”.

Il crollo in Borsa di CrowdStrike arriva in concomitanza con il rilascio di CrowdStrike Falcon Complete Next-Gen MDR e l’annuncio dell’ingresso nell'indice S&P 500, diventando così la società di cybersicurezza più veloce a raggiungere questo traguardo.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Reportage

Red Hat Summit Connect 2024

Reportage

WPC 2024

Speciale

Speciale Data Center

Speciale

Speciale Hybrid Working

Reportage

Cybertech Europe 2024

Calendario Tutto

Gen 23
Nutanix Cloud Day Roadshow - Bari

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter