Un aggiornamento software difettoso ha causato un’interruzione globale dei sistemi IT di proporzioni epiche, lasciando molti a chiedersi come un semplice aggiornamento di un programma di sicurezza possa avere un impatto così devastante.
Ironia della sorte, l’effetto del bug di CrowdStrike è stato quasi identico a quello che il software è progettato per prevenire.
La ragione principale dell’impatto esteso è che CrowdStrike è utilizzato da quasi tutte le principali aziende del mondo. United, Delta e American Airlines sono tra le compagnie aeree che sono state costrette a fermare i voli. L’emittente Sky News è stata fuori onda per diverse ore. Molti rivenditori non sono stati in grado di accettare pagamenti, creando un vero e proprio caos.
Un’altra ragione è la natura stessa del software, come spiegato da Bloomberg.
I tradizionali software antivirus, utili nei primi giorni dell’informatica e di Internet, hanno perso terreno man mano che gli attacchi sono diventati più sofisticati. Ora, i prodotti conosciuti come software di “endpoint detection and response”, come quelli sviluppati da CrowdStrike, fanno molto di più, scansionando continuamente le macchine alla ricerca di segni di attività sospette e automatizzando una risposta.
Per fare ciò, questi programmi devono avere accesso per ispezionare il nucleo stesso dei sistemi operativi dei computer alla ricerca di difetti di sicurezza. Questo accesso consente loro di interrompere i sistemi che stanno cercando di proteggere.
Una delle minacce più grandi per l’infrastruttura IT odierna sono gli attacchi ransomware distruttivi, dove un attaccante mette fuori uso i sistemi critici di un’azienda e non li ripristina fino a quando non viene effettuato un pagamento. Questo è uno degli obiettivi principali che CrowdStrike cerca di prevenire.
Ma poiché il software ha un accesso così potente alle macchine, un difetto nel software può avere un potenziale distruttivo pari agli attacchi che dovrebbe bloccare.
Fortunatamente, in questo caso esiste una soluzione temporanea e un fix sarà presto disponibile. Tuttavia, implementare il fix richiederà molto tempo. Poiché le macchine interessate sono offline, non c’è modo di raggiungerle da remoto, rendendo necessario l’intervento fisico del personale IT su ciascuno dei PC bloccati (eccetto per le macchine virtuali, dove fino a 15 riavvii possono risolvere il problema).
Anche la soluzione temporanea richiede l’avvio delle macchine in modalità provvisoria, operazione spesso impossibile a causa delle impostazioni aziendali che impediscono di bypassare le protezioni durante l’avvio.
I Mac non sono stati colpiti perché Apple offre il proprio framework di sicurezza endpoint.
Leggi o Aggiungi Commenti