Un bug nell’ultimo aggiornamento dell’antivirus rilasciato da CrowdStrike, azienda leader nella sicurezza informatica, ha mandato in crash 8,5 milioni di pc in tutto il mondo, con conseguenze sui principali servizi, dai trasporti agli ospedali. Il professor Mauro Conti, tra i massimi esperti mondiali di cybersicurezza, ci spiega cos’è successo e perché non possiamo tornare alla normalità come se nulla fosse accaduto.
Un bug nell’ultimo aggiornamento di un software di sicurezza ha mandato in tilt il mondo intero. Voli cancellati ovunque, problemi ai principali scali di trasporto, nei sistemi di telecomunicazione, nei pagamenti bancari e in alcuni ospedali (non in Italia). L’interruzione tecnologica globale dello scorso 19 luglio, correlata a un aggiornamento software di CrowdStrike, ha colpito quasi 8,5 milioni di dispositivi Microsoft. Ma come è potuto accadere? E cosa si può fare per evitare che succeda ancora? Per fare chiarezza sul tema abbiamo intervistato il professor Mauro Conti, presidente del corso di laurea magistrale in Cybersecurity dell’Università di Padova, nonché advisor dell’ateneo patavino per il terzo settore e l’imprenditorialità accademica (e già tra i protagonisti di S.Pa.D.A. Confapi).
Professore, ci spiega cos’è successo?
«Tutto pare essere nato, paradossalmente, dall’aggiornamento di un software di sicurezza, Falcon Sensor, prodotto dalla società statunitense Crowdstrike, che ha compromesso il sistema operativo di Windows, portando alla famigerata “schermata blu della morte” sui pc che lo usano. E dico “paradossalmente” perché i software di sicurezza, all’interno di un pc, sono i software più potenti dopo il sistema operativo: devono controllare gli altri software e per questo godono di un privilegio superiore. Un loro aggiornamento, proprio per questo motivo, è particolarmente sensibile per quanto riguarda la stabilità del sistema stesso. Ora, teniamo presente che ogni aggiornamento è mirato a migliorare la sicurezza del sistema o a risolvere una vulnerabilità, ma che prima del lancio va testato. Ecco, evidentemente l’ultimo aggiornamento non è stato testato in modo adeguato per verificare che non ci fossero anomalie a cui il programmatore non aveva pensato, vuoi per un’urgenza nel deployment, cioè nel renderlo utilizzabile, vuoi per un errore che ha portato al lancio prima del tempo».
Quindi possiamo ragionevolmente scartare la pista di un attacco hacker.
«La ricostruzione più plausibile sembra escludere che dietro al crash ci sia un attacco hacker. Puntualizziamo: verosimilmente questo non è un attacco, ma non possiamo escludere del tutto che ci sia stato qualcosa del genere. Recentemente, in altri contesti, sono stati scoperti casi di programmatori che davano il proprio contributo a librerie – cioè alla scrittura di pezzi di codice di programmazione – rendendole intenzionalmente vulnerabili. Microsoft, inoltre, ha dato anche colpa alla Commissione Europea che in passato, nel 2009, ha imposto alla multinazionale statunitense di adottare un sistema operativo “aperto”, in modo che potessero essere utilizzati altri antivirus, oltre a quelli, ovviamente, prodotti da Microsoft stessa. Non è chiaro se tecnicamente la situazione sarebbe stata diversa senza questo vincolo, ma tant’è. Possiamo anche aggiungere che il software di Crowdstrike è utilizzato soprattutto in Occidente, mentre in Cina non ci sono state grosse conseguenze in seguito al crash. Tutte queste, però, sono soltanto speculazioni: oggi non possiamo escludere totalmente l’ipotesi dell’attacco hacker, ma verosimilmente non è stata quella la causa del crash».
Il crash ha avuto ripercussioni sulla vita quotidiana, ma ha coinvolto direttamente solo aziende di grosse dimensioni. Come mai?
«Ha interessato tutte le aziende che utilizzano il sistema di sicurezza Crowdstrike. E il fatto che l’impatto sia stato di questa portata è legato alla natura stessa dell’aggiornamento, che partiva in maniera automatica: non c’era, cioè, una persona a gestire la rete e a dare il via all’operazione. Tuttavia, essendoci un’anomalia che Windows non riusciva a gestire, la soluzione prevedeva un intervento manuale. Questo ha fatto sì che in alcuni punti di utilizzo nevralgici, come nella gestione di voli e treni, il sistema si bloccasse coinvolgendo a cascata migliaia di voli che non potevano partire, non essendoci garanzie sufficienti. Ma sono stati fermati anche mercati finanziari e ospedali».
Era successo niente di analogo in passato? E, soprattutto, potrà accadere ancora?
«Era successo qualcosa di simile dopo attacchi hacker, che avevano avuto come conseguenza il blocco di milioni di macchine: possiamo ricordare i casi di Slammer, NotPetya e WannaCry, malware – non aggiornamenti software – che hanno portato molti pc in crash. Questo, però, è il primo caso di un blocco legato a un aggiornamento di sicurezza. E arrivo alla seconda parte della domanda: può succedere ancora? Assolutamente sì».
Anche se nel giro di 72 ore il mondo è tornato alla normalità, quanto accaduto impone una serie di riflessioni, perché non si può fingere che non sia successo nulla. E qui siamo al punto focale: come ci si può tutelare da un possibile nuovo crash?
«Eventi come questo son estremamente rari e, come abbiamo visto, non riguardano tipicamente la piccola azienda o l’utente privato. Ma una grande organizzazione deve porsi il problema e deve provvedere a dotarsi di un sistema di backup, che non significa semplicemente uno storage per conservare le informazioni, ma una soluzione alternativa se qualcosa va storto. Per capirci con un esempio, immaginiamo di essere all’interno di un’auto a guida autonoma; se qualcosa nel sistema frenante non funziona deve esserci un software che ti avvisa: c’è un problema, è il caso che sia tu a frenare. Le imprese che si occupano di sistemi di trasporto o sanitari devono, in altre parole, dotarsi di un sistema di sicurezza alternativo in grado di intervenire in caso di anomalie, evitando il crash. Peraltro, se i sistemi operativi cinesi non sono andati in crash è perché non usano Falcon Sensor, ma altri software di sicurezza. È chiaro, però, che dicendo questo apriamo un’altra parentesi, perché nella questione entrano in ballo anche scelte governative squisitamente politiche: è nell’ordine delle cose che un governo possa non voler utilizzare soluzioni prodotte e commercializzate da altri paesi. Ma, senza arrivare a questo caso estremo, torniamo a quanto dicevamo: una grande organizzazione deve dotarsi di sistemi alternativi. Anche qui, per semplificare con un esempio, è come quando salta la corrente ma le batterie garantiscono che la luce resti accesa per il tempo serve».
Nelle prossime settimane la parola passerà agli studi legali, perché immaginiamo le cause di risarcimento che saranno intentate. E occorrerà anche capire se a pagarne le conseguenze saranno sia Microsoft sia Crowdstrike, oltre al danno nella reputazione di entrambe. Ma, rimanendo al problema originario iniziale, qual era la soluzione per far tornare i pc al normale funzionamento?
«Abbastanza banale. Avviare Windows in modalità sicura, provvedendo a cancellare il file che portava al blocco: un’operazione che chiunque può fare in cinque minuti. Ma, se non viene fatta, il pc non funziona».
Diego Zilio
Ufficio Stampa Confapi Padova