Il prossimo 10 settembre si terrà una riunione presso il quartier generale di Microsoft in quel di Redmond alla quale parteciperanno Crowdstrike e molte altre aziende impegnate nella produzione di soluzioni per la sicurezza informatica, nonché diversi esponenti delle istituzioni per discutere le diverse opzioni per migliorare la sicurezza di Windows e le best pratices che i partner tecnologici dovranno adottare per impedire che si ripeta il cd. “disastro Crowdstrike” (ne ho discusso qui su Threads).
Nel mese di luglio 2024 un aggiornamento difettoso di un driver Crowdstrike ha causato un enorme blackout informatico colpendo circa 8,5 milioni di computer con Windows e provocando disagi di ogni genere, dalla cancellazione di massa dei voli per certe compagnie aeree alla sospensione delle prestazioni sanitarie in diversi ospedali.
Windows non è stato il diretto colpevole del blackout ma è stato vittima esso stesso poiché il driver difettoso, una volta effettuato l’aggiornamento, ha costretto i PC muniti di Crowdstrike a mostrare una schermata blu e a ripartire senza, però, riuscire a portare a termine il caricamento. Sotto l’aspetto strettamente tecnico, si tratta di un errore generato dal driver all’interno del kernel di Windows il quale, suo malgrado, ha tentato di riavviarsi dopo il crash ma quel driver continuava a essere caricato prima ancora del resto del sistema operativo e l’errore veniva generato nuovamente.
Questo è un evento pacificamente prevedibile quando viene eseguto il codice di un programma (un driver, in questo caso) viene eseguito nel cosiddetto ring-0, ossia il livello più profondo di un sistema operativo – quello in cui lavora il kernel stesso – e, perciò, più vicino all’hardware di qualsiasi altra applicazione.
Le molteplici esperienze e evoluzioni nel settore dei sistemi operativi hanno insegnato che il kernel dovrebbe vivere in un ambiente protetto dall’esecuzione di programmi d terze parti, così in caso di errori come quello di Crowdstrike, il sistema operativo resta stabile e efficiente; purtroppo le applicazioni per la sicurezza su Windows, ancora nel 2024, funzionano così perché è il modo più semplice (per loro) per intercettare l’operato delle applicazioni “normali” e rilevare minacce o intrusioni: nel 2006, infatti, Microsoft provò a chiudere l’accesso al ring-0 per rendere Vista un sistema operativo più sicuro ma moltissime aziende produttrici di soluzioni per la cybersecurity (compresa Crowdstrike) si rivolsero all’Antitrust per denunciare un abuso di posizione dominante che sarebbe derivato dalla decisione della Casa Madre. L’Antitrust accolse le istanze di tutela contro l’azienda di Redmond e Microsoft fu costretta a lasciare libero accesso al kernel del proprio sistema operativo, instaurando la situazione che è pervenuta ai giorni nostri ed è strettamente collegata al disastro Crowdstrike.
Sebbene non citato esplicitamente nel comunicato stampa diffuso da Microsoft, sembra abbastanza ovvio che l’azienda guidata da Satya Nadella andrà a chiedere alle aziende ospiti di restare fuori dal kernel e realizzare quella blindatura che non si è realizzata per colpa dell’Antoitrust. Una soluzione alternativa, infatti, potrebbe essere la creazione di una specie di ambiente protetto per le applicazioni per la cybersecurity, posto esattamente a metà tra applicazioni normali e kernel.
Leggi anche: comunicato stampa originale
Iscriviti al mio canale Telegram: https://t.me/matteoriso_it per ricevere le notizie direttamente sul tuo smartphone.
