L'Incidente Crowdstrike - Cosa è successo?

La mattina di Venerdì 19 Luglio 2024, il mondo si è svegliato dopo una notte di meritato riposo, pronto ad affrontare una nuova giornata; tuttavia, un problema alquanto ostico aspettava il risveglio di chi se ne sarebbe dovuto occupare. Crowdstrike, celebre compagnia statunitense specializzata in sicurezza informatica, aveva distribuito un aggiornamento di configurazione per il suo software Falcon Sensor, per PC e server Windows, verso le 04:10 del mattino (UTC). Si resero conto solo successivamente di un errore presente all'interno dell'aggiornamento: una modifica ad un file di configurazione aveva causato un out-of-bounds read nel client del sensore di Windows, provocando quindi il tanto temuto "schermo blu della morte"; i dispositivi coinvolti, infatti, erano stati indirettamente costretti a cadere in un bootloop, oppure a riavviarsi in modalità di recupero.

Una lettura della memoria fuori limite, menzionata poco sopra, è un'anomalia informatica in cui un programma, durante l'analisi dei dati forniti, supera i confini della zona in cui vengono immagazzinati i dati, e tenta di "leggere" i dati adiacenti - è un peculiare caso di violazione della sicurezza. Per un software come Falcon, essendo una piattaforma volta a proteggere i sistemi degli utenti da potenziali minacce, e il cui obiettivo finale è di ridurre al minimo i rischi di sicurezza informatica, una vicenda simile pare quasi ironia della sorte.

Rendendosi conto della situazione, Crowdstrike ripristinò l'aggiornamento verso le 05:30 del mattino (UTC). Tutti i dispositivi avviati dopo il ripristino non vennero colpiti dall'incidente, mentre quelli già afflitti dalla situazione dovettero venir sistemati manualmente, riavviandoli mentre connessi alla rete, così da poter scaricare il nuovo aggiornamento corretto. In caso di fallimento, era necessario eliminare alcuni file precisi, riavviando successivamente. 

La maggior parte dei dispositivi personali non riportarono alcun problema, così come i computer utilizzanti macOS e Linux come sistemi operativi - tuttavia, Linux fu protagonista di una situazione simile, sebbene su scala nettamente minore, durante il mese di Aprile 2024. Falcon Sensor, infatti, viene tendenzialmente utilizzato da grandi compagnie e aziende, e furono proprio loro a subire ciò che oggi è definito "il più grande guasto informatico della storia" - l'interruzione del funzionamento del sistema causò ingenti disagi a livello globale. Più di 10.000 voli vennero cancellati e alcuni mezzi di trasporto furono addirittura costretti ad interrompere l'attività, Sky News ed altre emittenti televisive non ebbero modo di diffondere l'informazione, non avendo accesso alla rete; inoltre, diversi centri di emergenza rimasero disconnessi, ospedali e cliniche riscontrarono problemi nei sistemi per la gestione degli appuntamenti, e una grande varietà di servizi bancari fu sospesa. Per quanto il processo di ripristino menzionato in precedenza appaia semplice e diretto, ripristinare ogni singolo dispositivo manualmente costrinse le grandi aziende, compagnie e erogatori di servizi ad attendere il termine del ripristino prima di poter riprendere a lavorare, aumentando così il malcontento generale, soprattutto nei confronti di Crowdstrike.

Secondo un calcolo svolto da Microsoft nei giorni successivi all'incidente, l'impatto di questa vicenda coinvolse 8.5 milioni di dispositivi, e, solo negli Stati Uniti, circa 700 delle maggiori imprese societarie nazionali - a seguito di una stima da parte di esperti nel settore assicurativo, si pensa che l'intera situazione costerà loro intorno a 5,4 miliardi di dollari. 

La preoccupazione maggiore durante il periodo di interruzione del servizio fu la causa stessa: si pensò ad un qualche tipo di violazione informatica, un attacco hacker eseguito alla perfezione volto a seminare panico e caos, un'aggressione perpetrata da malintenzionati. Una volta scoperta la motivazione dietro all'incidente l'apprensione generale venne meno, ma rimase un lieve strato di paura, sostenuto da una serie di prove che testimoniavano diversi tentativi di hackeraggio avvenuti nei giorni successivi alla vicenda. Secondo un post sul blog di Crowdstrike, svariate email di phishing e telefonate false vennero segnalate dai clienti della compagnia, comunicazioni ingannevoli in cui i colpevoli fingevano di far parte del team di supporto dell'azienda. A seguito della vicenda, la CISA (Cybersecurity and Infrastructure Security Agency) esortò quindi sia singoli che compagnie ad esercitare un maggior livello di attenzione nei confronti delle comunicazioni online.

Da un punto di vista più ampio, l'incidente ha svolto un ruolo fondamentale nella comprensione di alcuni aspetti alquanto complessi, specialmente nell'ambito informatico globale. Ciò che è successo ha sollevato questioni relative all'oligopolio e alla centralizzazione nel settore della tecnologia dell'informazione, gettando luce sulla fragilità dell'infrastruttura di Internet.