L’incidente del software Falcon Sensor di CrowdStrike avvenuto il 19 luglio ha avuto un enorme impatto sui sistemi IT globali. Questo crash è stato originato da un aggiornamento di un file di configurazione della piattaforma Falcon, specificamente progettato per migliorare l’ispezione delle “named pipes” in Windows. Le named pipes sono un meccanismo che consente al software di scambiare dati tra processi sullo stesso computer o su una rete locale.

L’aggiornamento era mirato a intercettare un nuovo metodo utilizzato dai cybercriminali per comunicare tra il malware sui computer delle vittime e i server di comando e controllo. Tuttavia, questo aggiornamento ha innescato un errore logico che ha provocato il crash del sistema operativo, come indicato da CrowdStrike in un post sul suo blog​​.

All’inizio, gli analisti di sicurezza IT pensavano che la causa fosse un aggiornamento del driver del kernel, dato che il file responsabile del crash aveva l’estensione .sys, tipica dei driver del kernel.

I driver del kernel sono componenti software che consentono alle applicazioni di interagire con il kernel di Windows, il cuore del sistema operativo. Questo livello di accesso è cruciale per il software di sicurezza, che deve operare prima di qualsiasi software malevolo installato sul sistema e avere accesso a tutte le parti del sistema stesso dove i cybercriminali potrebbero inserire il loro codice​.

Nonostante l’estensione .sys del file di configurazione che ha causato il crash, CrowdStrike ha chiarito che non si trattava di un driver del kernel. Tuttavia, sembra che il file di configurazione sia stato utilizzato dal driver, alterandone la funzionalità e causando il crash, come spiegato da Costin Raiu, ex membro del team di intelligence delle minacce di Kaspersky. Raiu ha sottolineato che, durante il suo tempo in Kaspersky, gli aggiornamenti dei driver per Windows venivano testati per settimane prima di essere rilasciati, suggerendo che il file di configurazione in questione potrebbe non aver subito lo stesso livello di scrutinio​.

Matthieu Suiche, capo dell’ingegneria delle rilevazioni presso Magnet Forensics, ha paragonato l’esecuzione di software di rilevamento del codice malevolo a livello del kernel a “un’operazione a cuore aperto”. Questo paragone evidenzia quanto sia delicata e potenzialmente pericolosa l’interazione diretta con il kernel del sistema operativo​.

8,5 milioni di dispositivi colpiti, miliardi di danni

L’incidente ha avuto conseguenze globali, con sistemi IT che si sono bloccati in numerosi paesi. I settori più colpiti includono i trasporti, con numerosi voli cancellati e ritardi nei principali aeroporti, nonché le telecomunicazioni e i servizi di emergenza. Alcuni servizi sanitari sono stati costretti a cancellare appuntamenti e molti enti pubblici hanno dovuto gestire manualmente operazioni che normalmente sarebbero state automatizzate​.

Il problema alla fine ha riguardato circa 8,5 milioni di dispositivi Windows, cioè meno dell’1% delle macchine che utilizzano il sistema operativo di Microsoft, come stima la stessa Microsoft, ma gli impatti sono stati globali, colpendo realtà di vari settori – compagnie aeree, banche, realtà sanitarie ed enti pubblici, televisioni – e provocando danni che secondo economisti ed esperti sono quantificabili in diversi miliardi di dollari.

111854011

Il software di CrowdStrike, che detiene circa il 14% del mercato del software di sicurezza secondo Gartner, è distribuito su una vasta gamma di sistemi, il che ha amplificato l’effetto del crash. La configurazione errata ha innescato una serie di problemi in altre parti dell’infrastruttura web, creando un effetto domino che ha moltiplicato la portata del disastro​.

In risposta all’incidente, CrowdStrike ha fornito indicazioni per la risoluzione dei problemi, raccomandando il riavvio dei sistemi in modalità provvisoria e la cancellazione di specifici file di configurazione. Tuttavia, la natura del problema richiede che molti sistemi siano riparati manualmente, un processo che potrebbe richiedere giorni data la quantità di dispositivi coinvolti​. Questo incidente ha messo in luce la vulnerabilità delle infrastrutture digitali globali e ha sollevato domande sulla sostenibilità del modello attuale di distribuzione degli aggiornamenti senza l’intervento diretto dei team IT​.

Conseguenze in Italia

In Italia, il disastro CrowdStrike ha avuto un impatto relativamente minore rispetto ad altri paesi, colpendo principalmente il settore dei trasporti, in particolare gli aeroporti. Più di 50 voli sono stati cancellati e molti altri hanno subito ritardi a causa dei controlli manuali sui documenti e sulle prenotazioni che si sono resi necessari, con lunghe code ai banchi del check-in e ai controlli di sicurezza. Gli aeroporti di Roma Ciampino e Fiumicino, Milano Malpensa, Venezia, Catania, Bologna, Bari e Brindisi sono stati tra i più colpiti.

L’agenzia per la cybersicurezza nazionale (ACN) ha monitorato la situazione fin dalle prime ore di venerdì, fornendo supporto ai settori più delicati, come l’energia e le infrastrutture. L’ACN ha confermato che i disservizi non erano dovuti a un attacco informatico, ma a un problema tecnico. Una riunione del Nucleo per la cybersicurezza è stata convocata per coordinare la risposta e mitigare i disservizi​.

A parte gli aeroporti, in Italia ci sono stati disagi sparsi in vari settori. Il porto di Genova ha subito interruzioni nei controlli dei tir, causando lunghe code e impatti significativi sul traffico​. Anche il mercato finanziario italiano ha risentito del crash: l’indice FTSE MIB è stato calcolato in ritardo, con una ripresa degli aggiornamenti che ha subito ulteriori interruzioni​.

Per le principali banche italiane non sono emersi disservizi significativi, mentre sono stati riportati alcuni problemi di accesso allo SPID a seconda del provider. Nella Sanità il SSN (Sistema Sanitario Nazionale) non è stato direttamente colpito, ma alcune aziende sanitarie private hanno segnalato problemi ai loro sistemi​. Enel Energia ha riscontrato difficoltà nei servizi clienti e nel numero verde, ma ha comunicato rapidamente i problemi ai clienti.