Lo metto giù nella prima riga, la colpa è dell'Unione Europea, non di Microsoft. E chiaramente dal punto di vista materiale, fattuale, è di Crowdstrike.
Andiamo con ordine, tutti i giornali non di settore hanno emesso (ancora una volta) delle fake news. Quasi ovunque si è data la colpa a Microsoft del blocco di Windows. La cosa deriva dal fatto che l'effetto visivo è il Blue Screen of Death, ovvero la schermata blu che segnala il crash del sistema operativo.
Crowdstrike è un'azienda di sicurezza informatica, come potrebbero esserlo McAfee, Sophos, eccetera. Quindi uno dei loro prodotti ha rilasciato una "firma" probabilmente non testata, o che per qualche ragione ha passato dei controlli che in realtà non erano probanti.
foto Di Smishra1 - Opera propria, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=150535443
La parte interessante è che questo prodotto, il Falcon Sensor, è un EDR. Ovvero un tool che detto in parole molto povere, analizza il comportamento del software per cercare di comprendere eventuali situazioni malevoli.
Al contrario un antivirus per funzionare ha necessità di avere dei modelli di riferimento del virus. Cioè deve identificarlo attraverso il riconoscimento del codice o parte di esso. Questo significa che intanto il virus debba essere noto e che esso sia sufficientemente pericoloso e numericamente rilevante. Attualmente nessun antivirus commerciale tiene il database di ogni virus uscito, sarebbe improponibile, ma tiene i modelli di quelli più rilevanti. Non a caso si dice che l'antivirus rallenta il sistema. Paradossalmente potreste beccarvi un virus parecchio vecchio, magari da un cd-rom, poiché esso è uscito dal database corrente.
Un EDR invece ha un paradigma diverso, cerca il modello comportamentale di un evento sospetto o malevolo. A volte ci sono dei mix tra EDR e Antivirus.
Arriviamo al punto, perché la colpa è dell'Unione Europea? per due punti. Uno è la direttiva NIS2, che richiede questo tipo di strumenti. Opinabile o meno, tuttavia da ottobre sarà un obbligo. Un secondo punto, ben più importante, è l'obbligo imposto dall'Unione a Microsoft affinché questa desse l'accesso a livello Kernel alle aziende di sicurezza informatica.
La motivazione è sempre la stessa con cui martellano anche noi italiani per altre vicende, il mercato libero, eccetera, eccetera.
Ecco il risultato, un'azienda terza che ha accesso di fatto illimitato al sistema operativo ha combinato un bel casino. Tra l'altro proprio con la direttiva NIS2 tutte le aziende coinvolte devono di fatto dichiarare un incidente informatico, e molto probabilmente anche un data breach. Una valanga di carte e incombenze in questo caso pure inutili.
Questa storia dei "gatekeeper" da una parte mina considerevolmente la sicurezza informatica. Dall'altra si fa una norma diametralmente opposta come la NIS2. Come diceva il vecchio detto "si vuole la moglie ubriaca e la botte piena" ad evidenziare un paradosso.
Nel frattempo, una marea di giornali dovrebbero almeno chiedere scusa a Microsoft la quale forse potrebbe anche avvalersi per vie giudiziarie. In fondo i danni di immagine, che tra l'altro si era faticosamente costruita in questo ultimo decennio, sono ingenti.
Posted from my blog: https://blog.tosolini.info/
