Dalla mattina di venerdì, un’interruzione IT di proporzioni globali ha paralizzato le attività di numerose compagnie aeree, banche, emittenti televisive, operatori sanitari e altre aziende.
La fonte del problema è stata individuata in un difetto presente in un aggiornamento per macchine Windows fornito da CrowdStrike.
Le proporzioni di questo blocco sono state massicce e globali, tanto da portare il nome CrowdStrike tra le trend-topic dei maggiori social network.
E come ogni evento massiccio, anche questo sta attirando le bande criminali sempre pronte a diffondere nuove truffe e attività malevole.
Indice degli argomenti
Il problema dietro la schermata blu
Come detto, il problema del down massivo che ha causato il blocco di numerose macchine Windows in tutto il mondo è da ricercare nell’aggiornamento, lanciato su scala globale, del sistema di protezione per endpoints di CrowdStrike.
La gestione degli aggiornamenti, lato azienda e lato clienti ha causato l’enorme fallimento a cui abbiamo assistito.
Nei dettagli, questo problema è da ricercarsi proprio nel codice con il quale il driver utilizzato dall’antivirus è stato scritto. Si tratta di alcune righe di C++ che indirizzano un puntatore verso un indirizzo di memoria, non ammesso da Windows, l’utilizzo del quale, da parte di qualsiasi programma, provocherebbe il blocco istantaneo del sistema, con classica schermata blu di errore.
Questa la spiegazione secondo una primissima analisi di Zach Vorhies. Ovviamente, lo ricordiamo, un evento di questo tipo capita, è un errore umano e può succedere in qualsiasi flusso di programmazione.
Il danno che ne consegue, però, potrebbe essere mitigato se ritornassimo, come si faceva diversi anni fa, a effettuare test più puntuali, lato azienda da una parte, ma anche lato clienti.
Nello specifico, lato azienda un test sull’aggiornamento in fase di rilascio, su macchine simili a quelle il quale aggiornamento è destinato. Lato clienti, invece, dovremmo tornare ad abituarci, se gestiamo reti di infrastrutture critiche (come aeroporti, sanità, banche), a testare gli aggiornamenti che sono in arrivo, prima di applicarli a tutta la rete in maniera massiva e automatica, su un PC meno critico e vederne gli effetti.
Non si potrà sicuramente prevedere tutto nemmeno con queste procedure preventive, ma errori come questi, sono sicuramente rilevabili e non produrrebbero i danni cui stiamo assistendo.
Come mitigare il problema del blocco Windows
Per coloro che dispongono dei necessari privilegi amministrativi, CrowdStrike ha suggerito una soluzione alternativa per risolvere il problema sui computer Windows:
- Avviare Windows in modalità provvisoria o nell’ambiente di ripristino di Windows.
- Accedere alla directory C:\Windows\System32\drivers\CrowdStrike.
- Individuare e eliminare il file denominato “C-00000291*.sys”.
- Riavviare il computer normalmente.
Andrew Dwyer, del Dipartimento di Sicurezza Informatica presso Royal Holloway, Università di Londra, ha osservato che, nonostante la semplicità della soluzione, essa richiede un intervento fisico, complicando il lavoro dei team IT che devono rintracciare e correggere le macchine remote colpite.
Le opportunità per gli attaccanti
Ogni evento di grande portata, soprattutto se tecnologico, offre agli hacker nuove opportunità.
L’attuale interruzione ha visto un aumento delle registrazioni di domini a tema CrowdStrike. Questi siti, creati per sembrare ufficiali, possono ingannare i manager IT o i membri del pubblico a scaricare software dannoso o fornire informazioni riservate.
Il National Cyber Security Center (NCSC) e altre agenzie di sicurezza hanno emesso avvertimenti riguardo all’aumento delle truffe legate a CrowdStrike. Le truffe di phishing sono particolarmente pericolose, in quanto cercano di ottenere dati finanziari dagli utenti ingannati.
Una volta ottenute queste informazioni, i truffatori possono svanire senza lasciare traccia o tentare ulteriori truffe.
Malintenzionati hanno già iniziato ad inviare e-mail di phishing utilizzando una varietà di domini che impersonano CrowdStrike. Una delle e-mail pubblicate affermava falsamente che avrebbe potuto “risolvere l’apocalisse di CrowdStrike” se il destinatario avesse pagato una commissione del valore di diverse centinaia di euro a un portafoglio crittografico casuale.
Per proteggersi, è essenziale essere cauti e agire solo in base alle informazioni provenienti dai canali ufficiali di CrowdStrike. Il NCSC consiglia di prestare attenzione alle informazioni condivise online, poiché i criminali informatici sfrutteranno qualsiasi dettaglio per rendere le loro truffe più convincenti.
Rivedere le impostazioni sulla privacy dei propri account sui social media è una misura semplice ma efficace per ridurre il rischio di essere presi di mira.
L’interruzione globale dei PC Windows ha messo in luce la vulnerabilità delle infrastrutture IT e la necessità di una rapida risposta da parte delle aziende di sicurezza informatica.
CrowdStrike ha dimostrato prontezza nel risolvere il problema, ma l’incidente ha anche evidenziato come gli hacker siano sempre pronti a sfruttare situazioni di crisi per i propri fini.
La consapevolezza e la cautela rimangono gli strumenti più efficaci per proteggersi dalle truffe informatiche.
