ricuperare dai blackout tecnologici globali potrebbe essere un processo lungo e faticoso
Il problema del software CrowdStrike al centro della interruzione si trova a un livello così profondo negli computer e negli sistemi colpiti che farli funzionare di nuovo solo per essere risolto sarà, in molti casi, un enorme sfida.
Questo è complicato dal fatto che molti server che potrebbero contenere informazioni necessarie per far funzionare di nuovo questi sistemi si trovano anch'essi in un ciclo di crash e riavvio.
"Non creo che sia troppo presto per chiamarlo: questo sarà la più vasta interruzione IT della storia", ha detto l'esperto di sicurezza Troy Hunt in un post su X.
Il software CrowdStrike in causa opera a livello di kernel di un computer, a un livello molto più profondo di quello che fanno applicazioni ordinarie come navigatori web o giochi. Questa porzione di un dispositivo ha una maggiore visibilità e controllo su un computer e i suoi componenti, rendendolo critico per la operazione di tutti gli altri sistemi — e molto più sensibile.
Essere a livello di kernel significa che il software di CrowdStrike può fare di più per rilevare attacchi cibernetici, ma anche significa che il attuale bug causa computer Windows a schermata blu di morte prima che gli utenti possano prendere qualsiasi azione per correggerlo.
L'errore sembra recuperabile, ha detto CrowdStrike, ma in molti casi richiede lavoro painstaking: Ogni dispositivo colpito deve essere accesso da un amministratore e riavviato in modalità sicura. Poi, il file offensivo CrowdStrike deve essere eliminato a mano.
Per aziende con centinaia o migliaia di laptop, desktop e server che eseguono il software di sicurezza CrowdStrike, un singolo umano dovrà eseguire questo processo di nuovo e di nuovo e di nuovo.
"Non puoi automatizzare quello", ha detto Kevin Beaumont, ricercatore di sicurezza e ex analista minaccia di Microsoft, in un post su X. "Quindi questo sarà molto doloroso per i clienti di CrowdStrike".
Ci sono peggiori cose.
Le organizzazioni che prendono la sicurezza seriamente avranno probabilmente crittografato i loro dischi rigidi, rendendo ancora più difficile accedere al file che deve essere eliminato.
Per quelle organizzazioni, "devi decrittare il disco con una Chiave di recupero BitLocker, che probabilmente — per la maggioranza delle aziende — è archiviata digitalmente su uno dei server che sta riavviandosi continuamente", ha detto Ira Bailey, ricercatore di sicurezza su BlueSky.
Ogni computer colpito che è BitLocker-crittografato dovrà essere sbloccato con una chiave di recupero prima che le organizzazioni possano iniziare il processo di eliminazione del file di CrowdStrike infetto e di ripristinare l'operazione normale, ha detto il cybersecurity expert che si firma SwiftOnSecurity su un post su X.
Il recupero sarà enormemente costoso per le aziende Fortune 500 con grandi squadre di personale IT e probabilmente ancora più sfidoso per piccole imprese, Kenn White, ricercatore indipendente di sicurezza che si specializza in sicurezza di rete, ha detto a CNN.
"Se non hai personale fisico che possa toccarlo, questo potrà richiedere molti, molti giorni per gran parte dell'America d'affari per recuperare da questo blackout", White ha detto. "È semplicemente un gran quantitativo di lavoro manuale e impegnativo".
"È un procedimento piuttosto complesso per non tecnici", White ha aggiunto, "e anche molti professionisti IT abili troveranno difficile fare questo a scala sufficiente per quanto richiesto, data la quantità di macchine colpite".
Questo è un'evolversi storia. Sarà aggiornato.
Il problema in corso con il software CrowdStrike causa gravi problemi per le imprese, poiché il riavviare e eliminare il file colpito manualmente su ogni dispositivo crittografato è un processo tempo consumativo e impegnativo. Le aziende con grandi squadre IT potranno affrontare enormi costi per recuperare da questo blackout.
