Software Crowdstrike non sufficientemente testato
Aggiornamento di un software IT di sicurezza di Crowdstrike ha causato gravi interruzioni in aeroporti, banche e il settore sanitario. Si rimane ignoto come il codice errato si sia introdotto nell'aggiornamento. Probabilmente Crowdstrike non lo ha esaminato abbastanza da vicino.
Secondo gli esperti di cybersecurity, l'aggiornamento del software IT di sicurezza di Crowdstrike, responsabile di interruzioni IT a livello mondiale, non è stato sufficientemente testato prima della sua pubblicazione. "Sembra che questo file potrebbe non aver fatto parte dei test o lo abbia superato," ha detto Steve Cobb, Capo Sicurezza di Security Scorecard. Alcuni sistemi sono stati anche colpiti dal problema globale.
La versione più recente del software "Falcon Sensor" di Crowdstrike era supposta renderli più sicuri ai clienti. Tuttavia, il codice errato nei file di aggiornamento ha causato interruzioni per le aziende che utilizzano il sistema operativo Microsoft Windows in tutto il mondo.
Patrick Wardle, ricercatore di sicurezza specializzato nella indagine sui minacce ai sistemi operativi, ha identificato il codice responsabile dell'interruzione. Si trovava in un file che conteneva informazioni di configurazione o firme. Le firme sono un codice che riconosce tipi specifici di codice malevolo o malware. "È comune che i prodotti di sicurezza aggiornino le loro firme, ad esempio, una volta al giorno... perché stanno costantemente a cercare nuovi malware e per assicurarsi che i loro clienti siano proteggiti dalle ultime minacce," ha detto Wardle. "Il grande numero di aggiornamenti è probabilmente la ragione per cui Crowdstrike non lo ha testato di frequente."
Si rimane ignoto come il codice errato si sia introdotto nell'aggiornamento e perché non è stato rilevato prima che fosse rilasciato ai clienti. "Idealmente, l'aggiornamento dovrebbe essere stato pubblicato inizialmente a un gruppo limitato di clienti," ha detto il principale ricercatore di sicurezza di Huntress Labs. "Questo sarebbe stato più sicuro e avrebbe potuto prevenire il caos."
"Si scusiamo per l'inconveniente"
Le interruzioni IT a livello mondiale hanno causato problemi significativi in tutto il mondo venerdì. I servizi di compagnie aeree, sanitario, navigazione e settore finanziario, tra gli altri, hanno riportato interruzioni durate ore.
Il CEO di Crowdstrike Kurtz si scusò in televisione statunitense NBC News. "Si scusiamo per l'inconveniente causato ai nostri clienti, viaggiatori e a tutti coloro che sono stati colpiti, inclusa nostra stessa azienda," ha detto. I problemi sarebbero stati risolti presto, ma poteva prendere del tempo per i sistemi che non si erano ripristinati automaticamente a riprendere il servizio.
I servizi di compagnie aeree, sanitario e navigazione, insieme al settore finanziario, sono tornati in linea venerdì dopo ore di interruzioni. Tuttavia, molte aziende continuavano a affrontare un backlog di voli rinviati o annullati, visite mediche mancate, scaduti termini e altre questioni, che potevano richiedere giorni per risolvere.
Nel frattempo, l'agenzia australiana per la sicurezza cibernetica avverte contro "siti web malevoli e codice non ufficiale" sulla rete che affermano di aiutare a ripristinare i sistemi colpiti. I clienti interessati dovrebbero affidarsi solo a informazioni ufficiali e aggiornamenti di Crowdstrike.
L'incidente globale ha evidenziato la dipendenza di molte aziende internet da aggiornamenti di software di fornitori come Crowdstrike. Nonostante l'importanza crescente della sicurezza informatica nell'economia digitale, episodi come questi mettono in evidenza la necessità di test rigorosi prima delle rilasci di software.
