8.5 milioni di schermi blu: anatomia di una delega
Il 19 luglio 2024, un aggiornamento di sicurezza di CrowdStrike ha mandato in crash 8.5 milioni di PC. Non un attacco hacker: il software che doveva proteggerti ti ha spento il computer. Il problema non è CrowdStrike. È il modello.
Il 19 luglio 2024, un singolo aggiornamento di CrowdStrike ha mandato in crash 8.5 milioni di computer Windows. Non un attacco hacker. Un aggiornamento di sicurezza. Il software che doveva proteggerti ti ha spento il computer.
Venerdì mattina
Ero a Milano, in uno studio professionale, per una riunione che non si è mai tenuta. Il socio fondatore mi ha accolto nell'ingresso con la faccia di uno che ha dormito due ore: "Alberto, sono tutti blù." Pronunciava proprio così, con l'accento sulla u. Tutti blù.
Dodici postazioni. Tutte con la schermata blu di errore di Windows. Tutte con lo stesso messaggio. Tutte ferme.
In quel momento non sapevo ancora cosa stesse succedendo. L'ho scoperto come tutti, con il telefono: CrowdStrike, un software di sicurezza installato su milioni di computer aziendali nel mondo, aveva rilasciato un aggiornamento automatico alle 04:09 UTC. Un file di 40 kilobyte. Quaranta. Il peso di una foto sfocata.
Quel file ha mandato in crash 8.5 milioni di sistemi Windows. Compagnie aeree a terra. Ospedali che tornano a carta e penna. Banche che non riescono a fare bonifici. Lo studio del mio cliente fermo per un giorno e mezzo.
La stima dei danni: 5.4 miliardi di dollari (solo per le aziende Fortune 500, secondo Parametrix).
Il mito dei professionisti
C'è un racconto che il settore della sicurezza informatica ripete da vent'anni. Suona così: "La sicurezza è troppo complessa per gestirla da soli. Affidala ai professionisti. Loro hanno i team, gli strumenti, l'esperienza. Tu pensa al tuo lavoro."
È un racconto convincente. Ha la struttura della delega rassicurante: io non devo capire, c'è qualcuno che capisce per me.
CrowdStrike era esattamente questo. Il professionista. L'azienda con oltre 24.000 clienti corporate, oltre 80 miliardi di dollari di capitalizzazione, il software Falcon installato su endpoint, cioè computer e server, di mezzo mondo. Se c'era un'azienda di cui fidarsi per la sicurezza, era quella.
E il 19 luglio ha fatto più danni di qualsiasi attacco hacker degli ultimi dieci anni.
Da solo.
Il meccanismo: monocultura + delega cieca
In agricoltura c'è un concetto che si chiama monocultura. Quando pianti un solo tipo di grano su migliaia di ettari, basta un singolo parassita per distruggere tutto. La diversità è noiosa, costa di più, complica la raccolta. Ma protegge.
L'informatica aziendale funziona in monocultura.
Windows su quasi tutti i PC. Microsoft 365 per la posta e i documenti. Azure o AWS per il cloud. E CrowdStrike, o un paio di concorrenti, per la sicurezza. Lo stesso software, con gli stessi aggiornamenti, applicati nello stesso momento, su milioni di macchine identiche.
Quando funziona, è efficienza. Quando non funziona, è una catastrofe sincronizzata.
Ma c'è un secondo meccanismo, più sottile. CrowdStrike aggiorna il software automaticamente. Non chiede permesso. Non ti avvisa. Non aspetta che tu verifichi. L'aggiornamento arriva alle 4 di mattina e alle 8, quando accendi il PC, o è tutto a posto o sei nei guai.
Questo è il punto. Non è un bug occasionale. È il modello.
Il modello dice: tu non devi sapere cosa succede dentro il tuo computer. Lo decide qualcun altro, da remoto, secondo i suoi tempi e le sue priorità. Il tuo ruolo è fidarti.
George Lakoff, il linguista che ha studiato come le parole plasmano il pensiero, parlerebbe di frame: la cornice mentale dentro cui vediamo la situazione. Il frame della sicurezza delegata dice: "affidati all'esperto". Il frame alternativo, quello che nessuno ti propone, dice: "capisci il rischio, poi decidi quanto delegare".
Non è colpa di CrowdStrike (è peggio)
Fermiamoci un secondo. Non sto dicendo che CrowdStrike sia un'azienda incompetente. Il bug è stato identificato e corretto in 79 minuti. I loro ingegneri sono tra i migliori del settore. Il CEO si è scusato pubblicamente entro poche ore.
Il problema non è CrowdStrike.
Il problema è un sistema dove un singolo errore di un singolo fornitore può fermare ospedali, aeroporti e tribunali in 78 minuti. Dove la correzione richiede 79 minuti ma il ripristino richiede giorni, perché ogni macchina va riavviata manualmente in modalità provvisoria, una per una.
Il problema è che questo sistema esiste by design. Non è un incidente di percorso: è la conseguenza logica di un modello che concentra il controllo nelle mani di pochissimi fornitori e toglie agli utenti qualsiasi possibilità di intervento.
Se CrowdStrike non avesse fatto quell'errore, l'avrebbe fatto un altro. O lo farà domani. Perché il meccanismo resta identico.
La delega che non sapevi di aver firmato
Ho chiesto al mio cliente di Milano: "Chi ha deciso di installare CrowdStrike?"
"Il nostro fornitore IT."
"Lo sapevi che gli aggiornamenti sono automatici e non puoi bloccarli?"
"No."
"Lo sapevi che CrowdStrike opera a livello di kernel... cioè nel cuore del sistema operativo, dove un errore manda in crash tutto?"
"No."
"Lo sapevi che non c'era un piano B nel caso il software di sicurezza stesso causasse un problema?"
Silenzio.
Questo è il meccanismo della delega inconsapevole applicato alla sicurezza. Non hai scelto il rischio. Non lo conoscevi. Qualcun altro ha scelto per te, e quando è andato storto, il danno era sul tuo tavolo. Sul tuo fatturato. Sui tuoi clienti.
Il dubbio scomodo
Ora, sarebbe facile chiudere con "usa Linux e sei al sicuro". Non lo faccio, perché non è vero. Linux ha i suoi rischi. L'open source ha i suoi bug. La sicurezza perfetta non esiste.
Ma c'è una differenza strutturale tra un sistema dove puoi controllare quando e come si aggiorna, dove puoi ispezionare il codice, dove la diversità dell'ecosistema limita il raggio di un singolo errore... e un sistema dove un'azienda ad Austin, Texas, decide per 8.5 milioni di computer cosa succede alle 4 di mattina.
La domanda non è: CrowdStrike è buono o cattivo?
La domanda è: quanta della tua operatività dipende da decisioni che non sai di aver delegato?
Lo studio di Milano ha risolto in un giorno e mezzo. Ha perso un venerdì e un sabato di lavoro, qualche scadenza fiscale rinviata, parecchio nervosismo. Danni contenuti.
Delta Air Lines ha cancellato oltre 7.000 voli nei cinque giorni successivi. Il servizio sanitario britannico (NHS) ha rinviato oltre 1.700 procedure chirurgiche.
Stesso aggiornamento. Stesso file da 40 kilobyte. Stessa delega.
La prossima volta che qualcuno ti dice "affidati ai professionisti", ricordati degli 8.5 milioni di schermi blu. I professionisti fanno errori. Il problema è quando il sistema non ti lascia altra scelta che fidarti.
Fonti
- 2024 CrowdStrike-related IT outages (Wikipedia)
- CrowdStrike disruption: $5.4B losses for Fortune 500 (Cybersecurity Dive)
- 2024 Delta Air Lines disruption (Wikipedia)
- NHS warns of delays after CrowdStrike IT outage (ITV News)
- Channel File 291 Incident Root Cause Analysis (CrowdStrike)
- George Lakoff... cognitive linguist (Wikipedia)
