Indice dei Contenuti
Venerdì 19 luglio 2024, un bug informatico all’interno di un aggiornamento del software antivirus CrowdStrike Falcon ha causato un blackout informatico di proporzioni globali.
Milioni di computer Windows in tutto il mondo sono stati colpiti da malfunzionamenti, con gravi disagi per aziende, istituzioni e privati.
In questo articolo, approfondiremo le cause e le conseguenze di questo evento senza precedenti, analizzando i workaround adottati e identificando il vero colpevole del problema.
Le cause del blackout:
L’origine del problema risiede in un aggiornamento software rilasciato da CrowdStrike, un’azienda leader nella sicurezza informatica. L’aggiornamento, destinato ai sistemi operativi Windows, conteneva un bug che ha causato il malfunzionamento del driver di filtro di CrowdStrike.
Questo driver è un componente essenziale del software antivirus, responsabile del monitoraggio del traffico di rete e del blocco di potenziali minacce. Il bug ha portato il driver a bloccare erroneamente file e processi legittimi, causando il crash dei computer.
Le indagini condotte hanno evidenziato che il bug era dovuto a una scarsa compatibilità con certi driver specifici utilizzati in alcuni sistemi Windows. Questi driver, combinati con l’aggiornamento di CrowdStrike, hanno portato a un malfunzionamento critico. Molte aziende coinvolte usavano versioni di driver non aggiornate o personalizzate, incrementando ulteriormente la possibilità di errori.
Le conseguenze del blackout:
L’impatto del blackout informatico è stato vastissimo e immediato. Numerose aziende, tra cui banche, compagnie aeree, ospedali e enti governativi, hanno subito gravi disagi.
Voli aerei cancellati, operazioni bancarie sospese, servizi sanitari compromessi: la lista dei danni è lunga e preoccupante.
Si stima che il blackout abbia causato perdite economiche ingenti, quantificabili in miliardi di dollari.
Workaround e soluzioni temporanee:
Mentre CrowdStrike lavorava alacremente per risolvere il problema, gli utenti hanno adottato diverse soluzioni temporanee per aggirare il bug.
Tra queste, la disinstallazione dell’aggiornamento incriminato o il passaggio a un software antivirus alternativo.
Microsoft ha pubblicato un recovery tool dedicato che offre due metodologie di risoluzione ovvero il ripristino tramite WinPE o da modalità provvisoria. Il tool è scaricabile da qui.
In alternativa, c’è uno script automatico che lavora da GPO disponibile su GitHub.
Una ulteriore soluzione è la seguente:
Passaggio 1: avviare in modalità provvisoria con rete
- Accendi il computer e attendi la visualizzazione del logo del produttore.
- Tieni premuto il pulsante di accensione per dieci secondi per spegnere il computer.
- Ripeti il processo di accensione e spegnimento una seconda volta.
- Alla terza accensione, il computer si avvierà automaticamente in Ambiente ripristino Windows (WinRE).
- Nel menu delle opzioni, seleziona Risoluzione dei problemi > Opzioni avanzate > Impostazioni di avvio > Riavvia.
- Scegli l’opzione 5 o premi il tasto F5 per riavviare il computer in Modalità provvisoria con rete.
- Attendi che il computer si avvii sul desktop in modalità provvisoria.
Passaggio 2: eliminare i file CrowdStrike
- Apri Esplora file.
- Naviga nella directory C:\Windows\System32\drivers\CrowdStrike.
- Individua e elimina tutti i file che corrispondono al modello “C-00000291.sys”*.
Passaggio 3: riavviare in modalità normale
- Riavvia il computer come di consueto.
- Il computer dovrebbe ora avviarsi in modalità Windows normale senza problemi.
Il vero colpevole:
Sebbene il bug di CrowdStrike sia stato la causa immediata del blackout, è importante sottolineare che l’architettura stessa del software antivirus ha contribuito alla gravità del problema.
Il driver di filtro, con il suo potere di bloccare qualsiasi file o processo, rappresenta un singolo punto di fallimento che, in caso di malfunzionamento, può avere conseguenze devastanti.
Lezioni da imparare:
L’incidente di CrowdStrike evidenzia la fragilità dei sistemi informatici moderni e la necessità di ripensare l’approccio alla sicurezza informatica.
È fondamentale sviluppare sistemi più resilienti e meno dipendenti da singoli componenti, in grado di limitare l’impatto di eventuali bug o fallimenti.
Inoltre, è necessario promuovere una maggiore consapevolezza tra gli utenti e le aziende sui rischi informatici e sulle best practice da seguire per proteggersi.
Conclusioni:
Il blackout informatico causato da CrowdStrike rappresenta un monito per l’intero settore della sicurezza informatica.
È necessario un cambio di paradigma per costruire sistemi più robusti e affidabili, in grado di garantire la continuità operativa e la sicurezza di aziende, istituzioni e cittadini.
