Qualche giorno fa 8 milioni di dispositivi windows nel mondo si sono bloccati presentando un blue screen. Si è parlato molto, ovviamente, di questo accadimento che ha comportato danni per miliardi di dollari. Non mi soffermerò oltre, ma voglio giusto farvi vedere un video, ovvero i tracciati del traffico aereo prima, durante e dopo i disservizi.
Intendiamoci, il mondo intero è stato coinvolto, non solo il settore dei trasporti. Con questo video preso da YT voglio solo focalizzare l'attenzione sulla gravità della cosa. E a renderla ancor più grave è che questi sistemi sono solitamente utilizzati proprio da grandi aziende e proprio per evitare i danni di un attacco informatico, assolutamente sovrapponibili e similari a quelli causati da questo disservizio.
Cos'è successo?
Per farla breve, l'endpoint di CS per funzionare installa, tra le altre cose, anche dei driver. I driver sono, per un sistema operativo, qualcosa di estremamente intimo e dall'accesso assolutamente privilegiato. Nulla come un driver può accedere al sistema e ai suoi meandri più vulnerabili.
Dalle ricostruzioni, pare che vi sia stato un rilascio di un driver chiaramente buggato, ovvero con un puntatore di memoria su un'area riservata (#0x9c) del sistema operativo. Qualsiasi programma che tenti di accedere a quest'area viene immediatamente terminato dal sistema operativo per ragioni di sicurezza in quanto, alla base di moltissime violazioni, vi è proprio il meccanismo della lettura (e scrittura) di porzioni di memoria arbitrarie.
Qualche considerazione
Ho riassunto la vicenda molto brevemente, i più curiosi potranno approfondire ovunque maggiori dettagli.
La mia prima riflessione è: il bug era evidentissimo, bastava un riavvio per accorgersene. Possibile che un'azienda leader mondiale non abbia una procedura di revisione e rilascio degli aggiornamenti tale da evitare un problema simile? Stiamo scherzando? Mi blocchi mezzo mondo perchè un tuo sviluppatore la notte prima ha fatto le ore piccole? Ovviamente sto volontariamente un po' banalizzando, ma se noi per rilasciare anche solo una virgola su quattro gatti di clienti verifichiamo e incrociamo controlli come se da quello dipendesse la vita di tutta la nostra famiglia fino alla terza generazione... possibile che una multinazionale di sicurezza rilasci roba così alla leggera? E bug meno visibili chi li controlla, se persino questo è passato inosservato? In pieno spirito aeronautico (visto che ci siamo), quindi, che qualcuno relazioni analiticamente e con dovizia di particolari ciò che non ha funzionato, così che l'intero mondo possa trarne beneficio. Perchè non ho alcun dubbio che CS disponga di procedure rigidissime di rilascio, ma va capito cosa non ha funzionato e perchè. Persino nella basilare ISO27001 vi sono meccanismi di controllo di rilascio, obiettivamente è incredibile tutto questo.
La mia seconda riflessione è: e se invece di un bug, qualcuno nella posizione di rilasciare aggiornamenti venisse avvicinato ed inserisse volontariamente backdoor? Non sarebbe mica la prima volta, anzi, visti i numeri economici che oramai girano sulla sicurezza informatica offensiva, è una tendenza assolutamente consolidata quella di corrompere gente all'interno di organizzazioni. Chi se ne sarebbe accorto e quando? Ci sono enti terzi che fanno solo questo, ovvero l'analisi del codice rilasciato, quando si parla di software così delicati, è opportuno che questo venga reso obbligatorio a livello normativo?
La mia terza riflessione è: anni fa successe a Sophos, poi ad Avast, oggi a Crowdstrike. Concordo, i driver sono delicati, ma è davvero complesso per Microsoft introdurre una procedura di recovery di un precedente driver in caso di BSOD continuo? Possibile che la procedura di ripristino (sono solidale con i colleghi che non ci stanno dormendo da qualche notte) sia così complessa (e non prevista)? Forse è arrivato il momento di prevedere anche l'imprevedibile, perchè è solo questione di tempo, ma l'imprevedibile prima o poi accade.
Chiudo questo articolo/sfogo con un'ultima riflessione: gli amanti del mondo Linux (tra cui il sottoscritto) non si vantino troppo del fatto che solo i sistemi Microsoft sono stati affetti dal problema, perchè i più accorti sanno perfettamente che questa ruota gira continuamente.
Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.
