Podcast RSI - CrowdStrike, cronaca e cause di un collasso mondiale

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

Titolo podcast: CrowdStrike, cronaca e cause di un collasso mondiale

[CLIP: inizio del TG serale RSI del 19 luglio 2024]

Questa storia inizia il 19 luglio 2024, un venerdì, precisamente alle 6 e 9 minuti del mattino, ora dell’Europa centrale. In quel momento una società di sicurezza informatica sconosciuta al grande pubblico diffonde ai propri clienti un aggiornamento molto piccolo, solo 40 kilobyte, meno di una singola foto di gattini [CLIP: voce di Trilli, la gatta dei vicini che abita con noi], che però manda in tilt circa 8 milioni e mezzo di computer Windows che lo ricevono e lo installano.

Sono computer che gestiscono banche, borse, ospedali, aeroporti, sistemi di pagamento, emittenti televisive e tanti altri servizi vitali. Non funziona praticamente più niente: non si vola, non si opera, si paga solo in contanti, ammesso di averli in una società sempre più cashless e contactless. Quel venerdì diventa uno dei più grossi collassi informatici mondiali di sempre, una sorta di Millennium Bug arrivato con 24 anni di ritardo.

Questa è la storia di come un singolo aggiornamento di un unico software ha mandato in tilt i sistemi informatici di mezzo mondo. Una storia che si può raccontare per bene, ora che la nebbia informativa delle prime ore si è diradata ed è stato pubblicato il rapporto tecnico sull’incidente, mentre i tecnici stanno ancora lavorando freneticamente per rimettere in funzione i propri computer e i criminali informatici approfittano del caos per colpire. Ma è anche la storia di chi si è scoperto immune al caos e di cosa si può fare per evitare che uno sconquasso del genere accada di nuovo.

Benvenuti alla puntata del 26 luglio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

C’è una vignetta che ogni informatico conosce bene, pubblicata nel 2020 da Randall Munroe sul suo sito Xkcd.com. Raffigura una catasta pericolante di vari blocchi di dimensioni differenti, etichettata come “tutta l’infrastruttura digitale moderna”. Questa catasta poggia su due soli fragili punti d’appoggio, uno dei quali è un esile blocchetto, descritto come “un progetto che una persona a caso nel Nebraska gestisce dal 2003 senza neppure un grazie”. È una rappresentazione molto azzeccata di come si reggono molti dei sistemi informatici dai quali dipendiamo: stanno in piedi per miracolo e perché non tira il vento.

Al posto della persona a caso nel Nebraska, venerdì scorso c’era un’azienda del Texas, CrowdStrike, che ha circa ottomila dipendenti e un fatturato di circa 100 milioni di dollari l’anno e fornisce servizi di sicurezza informatica a gran parte delle società più importanti del pianeta, ma il risultato è stato praticamente lo stesso.

I fatti nudi e crudi pubblicati nel rapporto tecnico preliminare di CrowdStrike sull’incidente informatico planetario sono impietosi. L’azienda ha diffuso contemporaneamente a tutti i propri clienti un aggiornamento difettoso di un file di configurazione di un proprio prodotto di sicurezza, denominato Falcon, una sorta di super-antivirus destinato alle aziende.

Il difetto causava il crash dei computer Windows sui quali veniva installato, producendo una vistosissima schermata blu di errore che ha indotto molti a pensare che il guasto planetario fosse stato causato da un malfunzionamento di Windows, anche perché chi usa sistemi operativi diversi da Windows, come macOS, Unix o Linux, ha continuato a lavorare indisturbato.

Ma Microsoft in questo caso non c’entra. Infatti i tanti utenti privati di Windows e le tante piccole e medie imprese che usano Windows ma non adoperano CrowdStrike per la propria difesa contro gli attacchi informatici hanno continuato a lavorare come al solito.

CrowdStrike si è accorta del problema e ha smesso di diffondere l’aggiornamento difettoso un’ora e mezza dopo l’inizio della sua disseminazione, ma nel frattempo quell’aggiornamento aveva causato il crash di circa otto milioni e mezzo di computer nelle principali aziende del pianeta, secondo le stime di Microsoft.

Il problema è che questo tipo di crash non è risolvibile semplicemente riavviando il computer, come si fa di solito. Al riavvio, infatti, Windows carica di nuovo l’aggiornamento difettoso e va di nuovo in crash. Per uscire da questo circolo vizioso è necessario ricorrere a interventi manuali piuttosto complicati, che vanno fatti per ogni singolo computer colpito e spesso vanno fatti dando istruzioni a persone che non sono esperte ma sono le uniche che hanno fisicamente accesso ai computer in crisi.

Nei giorni successivi, Microsoft ha rilasciato uno strumento di recupero che semplifica leggermente il ripristino del funzionamento dei computer colpiti, ma comporta comunque la creazione di una chiavetta USB di avvio e l’esecuzione di una serie di istruzioni ben precise, e non è usabile sui computer nei quali le porte USB sono state bloccate o disabilitate per sicurezza e sui computer i cui dischi rigidi sono protetti dalla crittografia di Microsoft, denominata BitLocker, o da quella di altri prodotti analoghi. In questo caso, infatti, serve anche un codice di sblocco della crittografia.

In altre parole, i computer più difficili da rimettere in funzione sono proprio quelli più protetti, che sono tipicamente quelli installati in ruoli essenziali. Per gli addetti alla manutenzione dei sistemi informatici aziendali è stato un bagno di sangue, anche perché molto spesso i codici di sblocco sono custoditi per praticità... su altri computer Windows. E quei computer, essendo essenziali per la sicurezza aziendale, sono fra quelli che scaricano e installano immediatamente gli aggiornamenti di sicurezza e quindi sono anche loro in crash e inaccessibili [The Register].

È un po' come restare chiusi fuori casa perché si è rotta la chiave della porta d’ingresso e scoprire che la chiave di scorta, quella che abbiamo messo da parte per casi come questo, è dentro un cassetto chiuso a chiave. E la chiave di quel cassetto è in casa.

Mentre gli amministratori dei sistemi informatici colpiti ingeriscono dosi epiche di caffè e vedono sfumare il weekend e magari anche le ferie, la domanda che tanti si pongono è come possa accadere un disastro globale del genere e come si possa evitare che accada di nuovo.

La risposta è che CrowdStrike è quasi monopolista nel suo settore, e quindi un suo sbaglio ha effetti enormi su aziende che stanno al centro dell’economia mondiale. Servirebbe una diversificazione dei fornitori di sicurezza, e magari anche dei sistemi operativi, ma non c’è, e nessuno sembra interessato a richiederla.

Inoltre lo sbaglio in questione è avvenuto perché l’aggiornamento difettoso ha superato i controlli di sicurezza dell’azienda, come risulta dal rapporto tecnico preliminare. E li ha superati in ben due occasioni: la prima durante i controlli prima del rilascio, perché il software adibito al controllo, chiamato Content Validator, era a sua volta difettoso, e la seconda perché il software di CrowdStrike che riceveva l’aggiornamento, il cosiddetto Content Interpreter, non era in grado di gestire l’errore internamente e lo rifilava al sistema operativo, cioè Windows, che puntualmente andava in crash.

Questa sinfonia di errori ha poi trovato il suo gran finale nella scelta scellerata di diffondere l’aggiornamento a tutti i clienti contemporaneamente, che salvo emergenze assolute è una delle cose fondamentali da non fare assolutamente quando si aggiorna qualunque prodotto.

Come al solito, insomma, il disastro non è stato causato da un singolo difetto, ma da una catena di difetti, tutti piuttosto evidenti e prevedibili, e di eccessi di fiducia collettivi. Una catena che non ci si aspetta da un’azienda del calibro di CrowdStrike, che pure aveva una buona reputazione tra gli addetti ai lavori, avendo contribuito per esempio alle indagini sull’attacco nordcoreano alla Sony del 2014 e a quelle sulle fughe di dati ai danni del Partito Democratico statunitense nel 2015 e nel 2016.

I rimedi annunciati da CrowdStrike sono allineati con queste cause: il CEO dell’azienda, George Kurtz (ricordate questo nome), si è scusato profondamente per l’accaduto, e CrowdStrike dice che migliorerà i test interni da effettuare prima del rilascio dei suoi aggiornamenti e che adotterà la prassi dello staggered deployment, ossia del rilascio scaglionato, distribuendo gli aggiornamenti inizialmente a un gruppo di utenti ristretto per poi diffonderlo al resto della clientela solo dopo aver verificato che il gruppo ristretto non sta avendo malfunzionamenti. Inoltre darà alle aziende clienti la possibilità di selezionare quando e su quali loro computer vengono installati gli aggiornamenti.

Se state pensando che questi sono rimedi ovvi, che sarebbe stato opportuno adottare prima di causare un caos planetario, non siete i soli. Crowdstrike non è stata colpita dalla sfortuna di un evento improbabile, ma dalla concatenazione di malfunzionamenti perfettamente prevedibili. Ma come al solito, i soldi e la determinazione necessari per fare le cose per bene diventano sempre disponibili soltanto dopo che è successo il disastro evitabile.

E questa, purtroppo, è una prassi diffusa in moltissime aziende, non solo nel settore informatico. La domanda da porsi, forse, non è come mai sia successo questo incidente, ma come mai non ne succedano in continuazione, perché l’infrastruttura informatica mondiale è incredibilmente interdipendente e fragile. Per tornare a quella vignetta di Xkcd, l’informatica sta in piedi grazie a tanti omini del Nebraska che lavorano senza neppure un grazie. Perché finché le cose funzionano, la sicurezza e la qualità sono viste solo come un costo che disturba i profitti degli azionisti, e quando non funzionano è colpa degli amministratori dei sistemi informatici, fa niente se sono costretti a lavorare senza budget e senza personale.

Se siete uno o una di questi amministratori e state annuendo disperatamente perché vi riconoscete in questa descrizione, sappiate che non siete i soli, e che qualcuno, perlomeno, riconosce e apprezza il vostro lavoro. Grazie per le vostre notti insonni.

Intanto, però, c’è un altro gruppo di persone che ha reagito prontissimamente al caos informatico causato da CrowdStrike: i criminali informatici. Come avviene sempre in occasione di notizie che possono creare agitazione, confusione e panico, i malviventi ne hanno approfittato per tentare di mettere a segno i loro attacchi.

La società di sicurezza informatica Intego segnala infatti che il giorno stesso del collasso è iniziata la diffusione su Internet di falsi software di protezione, spacciati come rimedi preventivi da installare per evitare il blocco dei computer. Si tratta in realtà di malware, ossia di applicazioni infettanti, con nomi come Crowdstrike hotfix e simili. E i criminali informatici stanno ricorrendo a mail, SMS e anche telefonate per convincere le persone a installare questi falsi rimedi.

Se ricevete inviti a installare software di questo tipo, o se andate su Internet a cercare rimedi al problema di CrowdStrike, diffidate di qualunque fonte non verificata o verificabile e attenetevi soltanto alle istruzioni di Microsoft o di CrowdStrike pubblicate sui loro siti. E ricordate che questo problema non riguarda tutti gli utenti di Windows, come molti media generalisti hanno fatto pensare, ma solo le aziende che hanno installato CrowdStrike, per cui è molto probabile che non abbiate alcun bisogno di aggiornamenti di nessun genere per proteggervi da questa situazione.

E per finire, una chicca: nel 2010 ci fu un incidente analogo a questo, quando un aggiornamento difettoso del software di sicurezza di McAfee fece crollare gran parte di Internet, cancellando per errore i file di sistema dei computer Windows XP che usavano il software di McAfee. All’epoca, il responsabile in capo della sicurezza di McAfee era George Kurtz. Quello che oggi è CEO di CrowdStrike.

Podcast RSI - Svizzera, allarme per la falsa app governativa AGOV: è un malware che ruba dati, fatto per colpire i Mac

ALLERTA SPOILER: Questo è il testo di accompagnamento al podcast Il Disinformatico della Radiotelevisione Svizzera che uscirà questo venerdì presso www.rsi.ch/ildisinformatico.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

---

[CLIP: L’inizio di uno degli spot classici “Get a Mac...” (2006-2009): quello che parla di virus per Windows e si vanta dell’immunità del Mac. La musica dello spot si intitola Having Trouble Sneezing ed è di Mark Mothersbaugh dei Devo]

Ben ritrovati dopo la breve pausa estiva di questo podcast! Riparto subito con un mito informatico da smontare, e da smontare in fretta, perché sta contribuendo al successo di una campagna di attacchi informatici che stanno prendendo di mira specificamente la Svizzera ma si stanno estendendo anche ad altri paesi.

Il mito è che i Mac siano immuni ai virus. Non è così, ma molti continuano a crederlo e si infettano scaricando app create appositamente dai criminali informatici. Se poi a questo mito si aggiunge il fatto che queste app infettanti fingono di essere applicazioni ufficiali governative, il successo della trappola è quasi inevitabile.

Questa è la storia di Poseidon, un malware per Mac, un’applicazione ostile che ruba i dati e le credenziali degli utenti di computer Apple spacciandosi per AGOV, un’applicazione di accesso ai servizi della Confederazione e delle autorità cantonali e comunali, per esempio per la compilazione e l’invio della dichiarazione d’imposta, ed è anche la storia di questo mito duro da estirpare della presunta invulnerabilità dei Mac.

Benvenuti alla puntata del 19 luglio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Se nei giorni avete ricevuto una mail apparentemente firmata dall’Amministrazione federale svizzera e avete seguito il suo consiglio di scaricare e installare sul vostro computer l’applicazione AGOV delle autorità nazionali, come è successo a moltissimi residenti nella Confederazione, il vostro Mac è quasi sicuramente infetto e i vostri dati personali sono quasi sicuramente stati rubati.

L’allarme è stato lanciato dall’Ufficio federale della cibersicurezza, UFCS, alla fine del mese scorso. Il 27 giugno, segnala l’UFCS, “criminali informatici hanno avviato un’importante campagna di «malspam» contro cittadini della Svizzera tedesca. E-mail apparentemente provenienti da AGOV infettano gli apparecchi degli utenti di macOS con un malware denominato «Poseidon Stealer».”

Breve spiegazione per chi non abita in Svizzera: AGOV è il sistema di accesso online ai servizi delle autorità svizzere. Si trova presso Agov.ch ed è disponibile anche come app per smartphone Apple e Android, ma non come applicazione per computer. Agov è insomma un nome di cui gli svizzeri si fidano. Un nome perfetto per carpire la fiducia degli utenti.

I criminali informatici di cui parla l’UFCS hanno acquisito un malware di tipo stealer, ossia che ruba dati e credenziali di accesso, e lo hanno rimarchiato, presentandolo appunto come software di AGOV per Mac.

Sì, avete capito bene: i criminali hanno comperato il virus informatico già fatto. Questo specifico virus va sotto il nome generico di Atomic MacOS Stealer (o AMOS per gli amici), ed è stato ribattezzato Poseidon: è in vendita via Telegram sotto forma di licenza d’uso mensile che costa 1000 dollari al mese, secondo le informazioni raccolte dalla società di sicurezza informatica Intego. Il crimine informatico è un’industria, non una brigata di dilettanti, e quindi si è organizzato con una rete di fornitori. Atomic Stealer, o Poseidon che dir si voglia, è quello che oggi si chiama malware as a service, cioè un servizio di produzione e fornitura di virus per computer, disponibile al miglior offerente.

Le organizzazioni criminali, in altre parole, comprano il malware chiavi in mano e poi lo personalizzano in base al paese che vogliono prendere di mira. Per disseminarlo usano varie tecniche: una delle preferite è comperare spazi pubblicitari su Google, pagandoli profumatamente per far apparire i loro annunci apparentemente innocui in cima ai risultati di ricerca degli utenti.

Ovviamente questi criminali informatici non si presentano agli agenti pubblicitari di Google dicendo “Salve, siamo criminali informatici”, ma usano aziende prestanome.

La gente, poi, cerca per esempio Agov scrivendolo in Google e vede un elenco di risultati fra i quali spiccano le pubblicità dei criminali, che fingono di offrire software per accedere ai servizi delle autorità nazionali. È quindi facile, anzi inevitabile, che molti utenti clicchino su queste pubblicità, che sono fra l’altro difficili da distinguere dai risultati di ricerca autentici. Cliccandoci su, gli utenti vengono portati a un sito gestito dai truffatori, che propone di scaricare il presunto software governativo, che in realtà è il malware travestito. E chi lo scarica e lo installa, si infetta. Anche se ha un Mac. Anzi, soprattutto se ha un Mac, perché questo malware è fatto apposta per colpire gli utenti dei computer Apple.

Il mito dell’invulnerabilità dei Mac ha radici lontane. Per anni, Apple ha pubblicizzato i propri computer scrivendo cose come “I Mac non prendono i virus per PC” oppure “un Mac non è attaccabile dalle migliaia di virus che appestano i computer basati su Windows”. Frasi che tecnicamente non sono sbagliate, ma sono ingannevoli per l’utente comune, che le interpreta facilmente come “i Mac non prendono virus”, dimenticando quella precisazione “per PC” che cambia tutto.

Normalmente, infatti, i virus vengono creati per uno specifico sistema operativo e funzionano solo su quello, per cui per esempio un virus per Android non funziona su un tablet o smartphone iOS e quindi anche un virus scritto per Mac non fa un baffo a un utente che adopera Windows. Ma i virus per Mac esistono eccome. Tant’è vero che a giugno del 2012, dopo la comparsa di una raffica di virus fatti su misura per i Mac, Apple tolse con discrezione dal proprio sito quelle frasi, sostituendole con altre parole ben più blande (Wired; Sophos).

Eppure il mito continua a persistere.

Conoscere la tecnica di disseminazione dei malware usata dai criminali permette di capire subito un trucco da usare per difendersi preventivamente: si tratta di un piccolo ma importante cambiamento di abitudini, ossia smettere di usare Google, o un altro motore di ricerca, per accedere ai siti.

Moltissimi utenti, infatti, per andare per esempio su Facebook non digitano facebook.com nella casella di navigazione e ricerca ma scrivono semplicemente facebook in Google e poi cliccano sul primo risultato proposto da Google, presumendo che sarà quello giusto. I criminali lo sanno, e creano pubblicità che compaiono quando l’utente digita solo parte del nome di un sito invece del nome intero. In questo modo, l’utente clicca sulla pubblicità, credendo che sia un risultato di ricerca, e viene portato al sito dei truffatori, dove potrà essere imbrogliato a puntino.

Il modo giusto per essere sicuri di visitare un sito autentico è scriverne il nome per intero, compreso il suffisso .com, .ch, .it o altro che sia nella casella di navigazione e ricerca. E se è un sito che si prevede di consultare spesso, conviene salvarlo nei Preferiti, così basterà un solo clic sulla sua icona per raggiungerlo di nuovo con certezza. Meglio ancora, se il sito offre un’app, conviene usare quell’app, specialmente per i siti che maneggiano soldi, come per esempio i negozi online e le banche.

Questa tecnica di scrivere il nome per intero invece di cliccare sul risultato proposto al primo posto da Google si applica anche a un’altra tecnica usata dai criminali per portarci sui loro siti trappola: i link ingannevoli nelle mail. I criminali responsabili dell’attacco che ha colpito gli utenti svizzeri hanno usato proprio questa modalità.

Secondo le informazioni pubblicate dall’autorità nazionale di sicurezza informatica Govcert.ch, questi criminali hanno usato il servizio di mail di Amazon (che i filtri antispam normalmente non bloccano) per inviare mail, apparentemente spedite dalle autorità federali, che avvisavano gli utenti che da luglio 2024 sarebbe diventato obbligatorio usare il software AGOV per computer per accedere ai servizi federali, cantonali e comunali. La mail conteneva un link al motore di ricerca Bing (del quale gli utenti si fidano), che portava a un sito che a sua volta portava automaticamente a un altro sito, con un nome che somigliava a quello giusto, come per esempio agov-access.net oppure agov-ch.com, che ospitava il malware e aveva una grafica molto simile a quella del sito autentico.

Il malware venica presentato spacciandolo appunto per l’app AGOV per i Mac. Che, ripeto, in realtà non esiste.

Come al solito, insomma, l’attacco faceva leva sulla psicologia: i criminali hanno creato una situazione di stress per la vittima e le hanno messo fretta parlando di scadenze imminenti, e hanno creato un percorso rassicurante, che sembrava autorevole ma era in realtà pilotato dai malviventi.

A questi due ingredienti classici degli attacchi si è aggiunto il fatto che gli utenti Apple sono spesso convinti che i loro computer siano inattaccabili e quindi le loro difese mentali sono già abbassate in partenza.

Nel caso specifico di questo attacco, le autorità di sicurezza nazionali sono intervenute pubblicando avvisi e bollettini sui propri siti e anche sul sito Agov.ch, e pubblicando un’analisi tecnica molto approfondita [altre info sono su Abuse.ch]. Inoltre i siti che ospitavano il malware sono stati bloccati e disattivati. Ma è solo questione di tempo prima che i criminali ci riprovino. Sta a noi essere vigili e prudenti.

Se per caso siete stati coinvolti in questo attacco, l’UFCS vi raccomanda di eliminare immediatamente le e-mail che avete ricevuto e di fare una reinstallazione da zero del Mac se avete scaricato e installato il malware.

A tutto questo scenario di attacchi, contrattacchi, misure preventive e difensive conviene decisamente aggiungere anche un altro elemento fondamentale: l’antivirus. Il malware Poseidon viene riconosciuto da tutti i principali antivirus, per cui è opportuno installare sul proprio Mac un antivirus di una marca di buona reputazione. A differenza di Windows, macOS non ha un antivirus integrato vero e proprio ma ha solo una sorta di mini-antivirus che fa molto, ma non arriva al livello di protezione di un prodotto dedicato realizzato da aziende specializzate.

La parte più difficile dell’installazione di un antivirus su un Mac è… convincere l’utente che ne ha bisogno. Quel mito di invulnerabilità creato, sfruttato e poi silenziosamente ritirato più di dieci anni fa continua a restare radicato nelle abitudini delle persone. E a fare danni.