Il disastro Crowdstrike mostra i rischi strutturali a cui siamo esposti

“Ci spiace molto”. Il ceo di Crowdstrike, George Kurtz, non ha usato panegirici o capri espiatori per descrivere il problema che ha paralizzato aeroporti e ospedali di mezzo mondo. Per una volta, la colpa non è di un hacker governativo o privato che ha progettato un ransomware (i virus informatici che rubano le informazioni di un’azienda o stato e poi chiedono un riscatto, spesso in bitcoin, per riaverli indietro). Semplicemente, l’aggiornamento del software di Crowdstrike, che in teoria dovrebbe mettere in sicurezza i sistemi, è andato in conflitto con Windows, creando la schermata più temibile per un utente: la BSoD, o “Blue Screen of Death”, letteralmente la “schermata blu della morte”.

Ma chi è Crowdstrike, e come siamo arrivati a questo grosso inciampo?

Crowdstrike è una delle più grandi aziende di sicurezza informatica al mondo, con sede a Austin, Texas, e circa tre miliardi di dollari di fatturato annui. Il suo modello di business è basato sulla vendita di software, attività che complementa con consulenze di investigazioni sui principali attacchi hacker per conto di diversi clienti prestigiosi, tra cui lo stesso governo degli Stati Uniti. Proprio per loro Crowdstrike ha  monitorato, tra gli altri, gli hacker nordcoreani per più di un decennio, come nel famoso caso del 2014, quando un gruppo di Pyongyang perpetrò un devastante attacco a Sony Pictures dopo l’uscita di “The Interview”, il film di James Franco che caricaturizzava pesantemente Kim Jong Un.

Crowdstrike divenne famosa poi anche tra i non addetti ai lavori soprattutto nel 2016: fu infatti la prima a lanciare pubblicamente l’allarme sull’interferenza della Russia nelle elezioni del 2016, una tesi poi confermata successivamente dalle agenzie di intelligence statunitensi. A seguito di quel lavoro, il gruppo texano è stato al centro di diverse teorie del complotto, in particolare dopo che una trascrizione della Casa Bianca ha rivelato che l’ex presidente Donald Trump aveva menzionato Crowdstrike nella sua telefonata del luglio 2016 con il presidente ucraino Volodymyr Zelensky.

Il malfunzionamento del suo software aziendale Falcon Sensor ha interessato unicamente sistemi aziendali e non clienti privati di Microsoft, e non ha impattato su sistemi Linux e tutta la galassia degli utenti Apple. 

Particolarmente colpita è stata invece la rete aeroportuale: nella sola mattinata di ieri sono stati cancellati circa 1.400 voli, su 110 mila totali a livello mondiale (poco più dell’un percento). Circa un terzo (512) delle cancellazioni è avvenuto negli Stati Uniti, mentre in Europa i problemi sono stati più limitati: 52 voli saltati in Germania, 45 in Italia. Ci sono state scene anche piuttosto divertenti, almeno per gli osservatori non coinvolti, come quelle provenienti dall’aeroporto di Belfast, dove i monitor luminosi sono stati rimpiazzati da lavagne dove gli assistenti di terra segnavano solertemente a penna gli aggiornamenti per i passeggeri.

Ça va sans dire, l’azienda ha perso ieri più del 10 per cento del proprio valore in Borsa.

Non è la prima volta che un programma pensato per salvaguardare le risorse aziendali crea un problema, ma è la prima volta che avviene senza un vero attacco avversario. Il caso più recente e famoso è stato quello di Solarwinds, avvenuto in America in piena pandemia, quando alcuni hacker erano riusciti a infiltrarsi direttamente nei sistemi dell’azienda di cybersecurity infettando la nuova release di Orion con un virus. Quando i sistemi sono stati aggiornati, quindi, invece di alzare le barriere difensive nei confronti dei malware, le aziende – quasi tutte strategiche nei propri paesi: in Italia tra i clienti Solarwinds figurava in particolare Telecom – si sono installate direttamente il virus in casa. Quell’attacco nello specifico era un caso di, se vogliamo, mirabile arte di hackeraggio da parte di un gruppo mai identificato (secondo alcune fonte non confermate, Cozy Bear, un gruppo di hacker con forti collegamenti con il Cremlino): un attacco iniziato nel 2019 e che ha portato i suoi frutti dopo circa un anno di lavoro nell’ombra. 

Fortunatamente invece il problema di Crowdstrike ha portato “solo” a grossi disagi, ma dovrebbe aprire una riflessione generica sul rischio della creazione di monopoli e oligopoli nel settore informatico: se da un lato infatti ormai solo poche aziende al mondo possiedono i capitali per poter innalzare il livello della sicurezza aziendale con investimenti ingenti in ricerca e sviluppo, dall’altro queste diventano particolarmente desiderabili da parte della ben florida industria degli attacchi cyber. E un’intrusione nei sistemi di questi grandi player del settore che centralizzano nei loro server le informazioni critiche delle aziende e dei governi più importanti al mondo rischia di mettere a repentaglio l’essenza stessa delle nostre democrazie. Un assist che, nella nostra èra digitale, non possiamo permetterci di fare a nessun cacciatore di taglie informatico, sia esso governativo o lupo solitario.