Chi.
[da Wikipedia] <CrowdStrike è un’azienda statunitense di tecnologia per la sicurezza informatica con sede ad Austin in Texas, fondata nel 2011. Fornisce servizi e sistemi di protezione e cybersicurezza cloud e servizi di contrasto agli attacchi informatici.
La società è stata coinvolta negli Stati Uniti in alcune indagini su diversi attacchi informatici di alto livello, tra cui l’hacking della Sony Pictures del 2014, gli attacchi informatici del 2015-16 al Democratic National Committee (DNC) e conseguentemente la fuga di e-mail che nel 2016 ha coinvolto il DNC >.
Quando.
CrowdStrike rilascia un aggiornamento al suo prodotto di protezione degli endpoint (dispositivi) il 19 Luglio 2024 alle ore 04:09 UTC.
Come.
L’aggiornamento contiene però un bug software che provoca un crash del sistema Microsoft Windows e il relativo (temutissimo) ‘blue screen’ (noto come BSoD = Blue Screen of Death = errore critico del S.O. Windows che non può essere risolto autonomamente).
Crowdstrike dichiara subito che non è un attacco cyber e alle 05:27 UTC annuncia ii fix del bug.
A quel punto i sistemi affetti dal bug, sono stati tutti quelli che tra le 04:09 UTC e le 05:29 UTC hanno scaricato la versione 7.11 dell’aggiornamento dal sito del produttore, Si è stimato, ex post, che siano stati interessati “solo” circa l’1% dei sistemi Windows, il che se riferito al numero dei S.O. istallati è un dato incredibile elevato.
Domanda.
La domanda è: come è possibile che a poco più di un’ora dal rilascio dell’aggiornamento si sia potuto generare un impatto tanto grave e vasto?.
Il metodo usato.
Il metodo di ‘rilascio’ degli aggiornamenti di sicurezza dei sistemi Windows e del file di configurazione viene gestito in autonomia dal produttore (CrowdStrike nel caso) senza alcun intervento degli utilizzatori che ‘non devono e non possono’ intervenire nel procedimento.
Il modo per il ‘rilascio’ ci induce a riflettere su due cose:
- I sistemi sono sempre aggiornati e quindi sempre protetti da minacce e attacchi complessi;
- Un bug presente nel software può compromettere un numero elevato di dispositivi, indifesi, come è accaduto;
Crowdstrike sembra aver commesso l’errore di rilasciare l’aggiornamento in modo massivo sottovalutando il rischio connesso ed il possibile l’impatto che ha poi effettivamente generato.
Il buon senso, riflettendo ancora sugli eventi, suggerisce che normalmente non si dovrebbero eseguire rilasci senza aver testato correttamente il software e in particolare che sarebbe buona norma procedere a un rilascio progressivamente differito e a gruppi di clienti o di sistemi non critici.
Analisi.
Il problema ha interessato solo i sistemi Windows, in particolare il bug è legato ai Channel Files che sono presenti nella directory del prodotto:
C:\Windows\System32\drivers\CrowdStrike\
Ogni Channel File ha un identificativo che inizia con “C-“ e quello del bug è stato il numero 291 [C-00000291*.sys]. Questo numero entrerà nella storia e nella memoria di tanti operatori.
Ha l’estensione SYS senza essere un driver del kernel del S.O..
Volendo contrastare cyber attacchi che utilizzano programmazione e comunicazioni a basso livello, Crowdstrike ha rilasciato una modifica al ‘suo sistema interno di monitoraggio’ senza riflettere sul rischio e senza verificare, probabilmente, che tale modifica avrebbe indotto un system crash.
L’inevitabile conseguenza della modifica è risultata ampia e grave, perché i sistemi affetti dal bug si sono bloccati senza più possibilità di ripartire.
Anche se non è un driver del kernel windows, il software agisce a un livello così basso, da ‘essere’ uno dei processi vitali del sistema, provocandone la “morte digitale”.
La soluzione ’manuale’.
Normalmente se un bug è rilasciato da un vendor che utilizza il medesimo metodo di rilascio di Crowdstrike, esso viene risolto attraverso un ulteriore rilascio con le stesse modalità.
Ma in questa situazione questo approccio non si può effettuare, perché i sistemi, andati in crash, non erano più accessibili da remoto perché privi di connessioni di rete.
Solamente l’accesso ai sistemi presenti in cloud o all’interno di infrastrutture virtuali, può essere fatto attraverso le console di gestione del fornitore degli aggiornamenti, quindi con tempi di ripartenza più rapidi.
Per gli altri dispositivi degli utenti (portatili o desktop) e per usi particolari (chioschi in aeroporto, computer presenti in aree condivise, sistemi installati all’interno di ambienti di produzione confinati) l’unico modo per risolvere il problema è accedere fisicamente e localmente al dispositivo.
Ci vorranno quindi settimane per risolvere definitivamente il problema.
Sistemi non affetti dal bug.
Avendo compreso le modalità dell’incidente si può facilmente dire che non sono affetti dal bug:
- Sistemi operativi non Windows (Linux e Mac);
- Sistemi che erano spenti o non hanno avuto accesso al sito di CrowdStrike nella fascia orario “sensibile”.
Controllare i propri sistemi.
CrowdStrike ha illustrato in un articolo le istruzioni per ricercare i sistemi affetti dal bug.
In esso si specifica che è opportuno eseguire una query usando l’Advanced Event Search.
Nel caso non si abbia accesso, per qualche ragione, ad Advanced Query, si può ancora identificare il problema con l’analisi del channel file.
Avuto accesso al S.O., in qualche modo, e trovato il file C-00000291*.sys nella directoryC:\Windows\System32\drivers\CrowdStrike\, basterà osservarne il TimeStamp:
- Se il timestamp è 2024-07-19 0527 UTC o successivo il file è in versione senza bug;
- Se il timestemp è 2024-07-19 0409 UTC abbiamo la versione con il bug.
Istruzioni operative per ripartire
CrowdStrike ha indicato le seguenti modalità:
a) – eseguire un avvio del sistema in modalità Safe Mode o Windows Recovery e cancellare il channel file incriminato.
b) – Usare il tool automatico di recovery rilasciato da Microsoft e Crowdstrike fatto per semplificare le attività di ripristino.
Il link alla procedura è:
https://www.crowdstrike.com/wp-content/uploads/2024/07/Using-the-Microsoft-Recovery-Tool-for-Automated-Host-Remediation.pdf
Il tool suggerito fa scaricare una utility rilasciata da Microsoft (https://go.microsoft.com/fwlink/?linkid=2280386) che permette di creare un disco di boot per poter velocizzare la cancellazione del file ed esso è ancora l’unico metodo per il ripristino.
Dato che il problema, vastissimo, è tecnico e di reputazione sono ‘apparse’ molte guide per rendere agevole la soluzione del problema. Di seguito i link ad esse.
AWS: https://repost.aws/en/knowledge-center/ec2-instance-crowdstrike-agent
Azure: https://azure.status.microsoft/en-gb/status
Silenziose riflessioni.
Data l’interconnessione esponenziale dei sistemi tra “uomini e cose”, se da questo primo “quasi banale e prevedibile” problema non si traggono le opportune indicazioni corroborate da profonde analisi etiche circa l’edificazione di una “ineluttabile società interconnessa”, molte altre volte si presenteranno ‘bug universali’ capaci di interferire pesantemente nelle attività e nell’esistenza sul e del pianeta.
Penso al controllo dei sistemi energetici a quelli vitali come la produzione e la distribuzione di cibo ed acqua. Tali catastrofi sarebbero molto più devastanti sul genere umano sempre più privo della capacità di “riflettere, prevedere, prevenire, organizzare, guidare, gestire”.
Nel conflitto epocale tra ‘società basata sui bit’ contro la ‘società fondata ancora sugli atomi’, sono ancora questi ultimi che alla fine possono determinare la sopravvivenza del genere e delle attività umane.
Non sono le macchine a rappresentare un possibile esercito d’attacco contro l’essere umano, ma la banalizzazione del pensiero, il basso livello di cultura e di etica salda. Le macchine e l’associabile A.I. ne sono solo un vago e inopportuno surrogato.
Se si è subito questo bug ora sono necessarie attività ‘umane’ per poter ripartire, nelle quali le competenze tecniche necessarie, per non generare ulteriori impatti, non sono da sottovalutare, e per ottenere le quali serve studio continuo e approfondito, non click compulsivi, parossistici, evanescenti come vapore. [Per ulteriori approfondimenti il sito di Crowdstrike è raggiungibile a:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/