Cara lista,
segnalo questo mio breve commento su Il Manifesto a proposito del
disastro dell'altro giorno.
https://ilmanifesto.it/oligopoli-privati-decidono-la-nostra-esistenza-digitale
E' molto breve, per comodità lo incollo anche qui.
L’Occidente ieri si è svegliato con la notizia che migliaia di server
equipaggiati con Windows non funzionavano, con conseguenze globali
catastrofiche. Il responsabile di un down di tali enormi proporzioni
risiedeva in un errore nell’aggiornamento dell’antivirus di Crowdstrike.
Si tratta di un software usato da grandi aziende che utilizzano il
sistema operativo Windows. La compagnia non è molto nota al pubblico, ma
è molto importante per i servizi sulla sicurezza che offre alle grandi
aziende. La domanda è: come è possibile che una compagnia che si occupa
di sicurezza abbia potuto causare una interruzione di un numero così
grande di servizi?
La prima risposta risiede probabilmente nel modo con cui è stato
distribuito l’aggiornamento del software. Nella maggior parte dei casi
si tratta di sistemi automatizzati per installare gli aggiornamenti in
tutti i software che sono stati configurati per ricevere tali
aggiornamenti, senza la possibilità per i sistemisti “locali” di
accettare o meno gli upgrade. Ciò comporta, oltre a evitare di
installare gli aggiornamenti “a mano”, risparmiando risorse, anche
l’inevitabilità dell’aggiornamento di tutti i sistemi software. In un
sistema completamente automatizzato su larga scala, senza un piano B, se
qualcosa va storto il problema che ne deriva è serio!
E qui veniamo alla seconda possibile risposta. Siamo in situazione di
oligopolio. I sistemi operativi della maggior parte di questi sistemi
(ospedali, finanza, controllo trasporti etc) sono per lo più basati su
Microsoft Windows e usano l’antivirus di Crowdstrike. Probabilmente una
sana biodiversità tecnologica avrebbe garantito una mitigazione del
problema causato da un errore in un software. Se le aziende colpite dal
problema avessero usato antivirus e sistemi operativi diversi, l’impatto
dell’aggiornamento con errore sarebbe stato minore
Inoltre, dopo pochissimo tempo, Crowdstrike ha fornito i dettagli
dell’errore. Un qualsiasi sistemista con le conoscenze giuste sarebbe
potuto intervenire “manualmente”, ma con la centralizzazione sempre più
spinta di questo genere di sistemi le competenze necessarie sono sempre
più scarse.
Infine, e questo è un problema che affligge tutta l’informatica
commerciale, i test dei software vengono fatti con una precisione ancora
inadeguata all’impatto che questi software hanno nella vita reale.
Costituiscono un costo per le aziende e in ottica di profitto abbassare
i costi significa maggiori ricavi.
Pochissime aziende, per lo più statunitensi, hanno in mano le sorti
dell’informatica mondiale che ormai è fondamentale nella vita degli
umani. Forse è arrivato il momento di sottrarre alle grandi compagnie
private il potere di decidere come devono funzionare le tecnologie
digitali e restituire questo potere alla sfera pubblica.
* gruppo di ricerca circex.org <https://circex.org/it>
Un caro saluto
m
Il 20/07/24 23:08, nexa-requ...@server-nexa.polito.it ha scritto:
Send nexa mailing list submissions to
nexa@server-nexa.polito.it
To subscribe or unsubscribe via the World Wide Web, visit
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
or, via email, send a message with subject or body 'help' to
nexa-requ...@server-nexa.polito.it
You can reach the person managing the list at
nexa-ow...@server-nexa.polito.it
When replying, please edit your Subject line so it is more specific
than "Re: Contents of nexa digest..."
Today's Topics:
1. sul disastro informatico (Angelo Raffaele Meo)
2. Re: sul disastro informatico (Benedetto Ponti)
3. The Observer view on the global IT crash: lessons must be
learned from CrowdStrike fiasco | Observer editorial | The
Guardian (Alberto Cammozzo)
----------------------------------------------------------------------
Message: 1
Date: Sat, 20 Jul 2024 17:28:39 +0000
From: "Angelo Raffaele Meo"<angelo....@polito.it>
To:"nexa@server-nexa.polito.it" <nexa@server-nexa.polito.it>
Subject: [nexa] sul disastro informatico
Message-ID:
<am6pr0502mb3621782bcd350a30731975858f...@am6pr0502mb3621.eurprd05.prod.outlook.com>
Content-Type: text/plain; charset="iso-8859-1"
carissimi,
su La Stampa di oggi, Riccardo Luna, commentando il
crollo di ieri del sistema mondiale delle Telecomunicazioni,
si pone la domanda: "Saremmo più sicuri con un cloud di Stato?" e risponde
immediatamente: "lo escludo".
Io invece non solo non lo escludo, ma lo voglio. Non solo per ragioni
ideologiche, ma concrete. Non è possibile che un piccolo baco di una piccola
azienda di cui sino ad oggi ignoravamo l'esistenza provochi un disastro di
quelle dimensioni.
Cosa ne pensate?
Raf Meo
-------------- next part --------------
An HTML attachment was scrubbed...
URL:<http://server-nexa.polito.it/pipermail/nexa/attachments/20240720/62c0e40c/attachment-0001.htm>
------------------------------
Message: 2
Date: Sat, 20 Jul 2024 18:47:36 +0000
From: Benedetto Ponti<benedetto.po...@unipg.it>
To: "Angelo Raffaele Meo"<angelo....@polito.it>,
"nexa@server-nexa.polito.it" <nexa@server-nexa.polito.it>
Subject: Re: [nexa] sul disastro informatico
Message-ID:
<db9pr08mb6747acc112b8333e35be03d08c...@db9pr08mb6747.eurprd08.prod.outlook.com>
Content-Type: text/plain; charset="iso-8859-1"
Concordo.
Aggiungo: come siamo potuti arrivare a questo?
Le infrastrutture di sicurezza civile stabilmente prodotte, commercializzate e
gestite da privati, fuori dal controllo dello Stato e in condizioni di
asimmetria conoscitiva, tecnologica, logistica crescenti.
Rileggere il percorso che ci ha portato qui, da questo angolo di osservazione,
sarebbe essenziale.
Benedetto Ponti
Inviato da Outlook per Android<https://aka.ms/AAb9ysg>
________________________________
From: nexa<nexa-boun...@server-nexa.polito.it> on behalf of Angelo Raffaele
Meo<angelo....@polito.it>
Sent: Saturday, July 20, 2024 7:28:39 PM
To:nexa@server-nexa.polito.it <nexa@server-nexa.polito.it>
Subject: [nexa] sul disastro informatico
carissimi,
su La Stampa di oggi, Riccardo Luna, commentando il
crollo di ieri del sistema mondiale delle Telecomunicazioni,
si pone la domanda: "Saremmo più sicuri con un cloud di Stato?" e risponde
immediatamente: "lo escludo".
Io invece non solo non lo escludo, ma lo voglio. Non solo per ragioni
ideologiche, ma concrete. Non è possibile che un piccolo baco di una piccola
azienda di cui sino ad oggi ignoravamo l'esistenza provochi un disastro di
quelle dimensioni.
Cosa ne pensate?
Raf Meo
-------------- next part --------------
An HTML attachment was scrubbed...
URL:<http://server-nexa.polito.it/pipermail/nexa/attachments/20240720/68cd4352/attachment-0001.htm>
------------------------------
Message: 3
Date: Sat, 20 Jul 2024 23:08:50 +0200
From: Alberto Cammozzo<ac+n...@zeromx.net>
To: Nexa<nexa@server-nexa.polito.it>
Subject: [nexa] The Observer view on the global IT crash: lessons must
be learned from CrowdStrike fiasco | Observer editorial | The Guardian
Message-ID:<c6fe0c89-a6d3-4e48-a1a6-3cb2ec390...@zeromx.net>
Content-Type: text/plain; charset="utf-8"
<https://www.theguardian.com/commentisfree/article/2024/jul/20/the-observer-view-on-the-global-it-crash-lessons-must-be-learned-from-crowdstrike-fiasco>
One bit of good news about the “epic IT crash” that brought the western world
to a temporary standstill is that it was a product of human error rather than a
Russian cyber-attack like the SolarWinds hack of 2020 that had a similar modus
operandi.
Last week’s outage was caused by an update that a big US cybersecurity firm,
CrowdStrike, pushed to its corporate clients early on Friday morning, which
conflicted with Microsoft’s Windows operating system, rendering devices
inoperable – with predictable consequences, given that virtually every large
organisation in the world is using Microsoft Windows.
Fortunately, fixing the problem turned out to be straightforward, though
tedious, which will doubtless lead people to think of it as a hiccup rather
than as a dry-run for something much worse. After all, if a single error by a
single tech company can cause this much disruption, imagine what a determined
adversary could do. Just as the pandemic forced us to confront the limitations
of the global supply chains that had been created to improve efficiency rather
than resilience, this CrowdStrike mistake should trigger a reappraisal of our
networked world.
One question to be pondered concerns the societal risks of industrial
consolidation in the tech industry. CrowdStrike is one of the largest companies
in the cybersecurity market. Microsoft has a stranglehold on the business
computing marketplace. Every large organisation runs Windows, and most small
businesses do, too. Add the pressures that governments, agencies and the
National Cyber Security Centre are putting on companies to improve their
cybersecurity, which leads them to sign up for tools like CrowdStrike’s Falcon,
and we have the potential for the kind of perfect storm we witnessed last week.
Most businesses run on Microsoft Windows, so corporate computing is basically a
monoculture. This may be good for efficiency, standardisation, training, etc,
but it is also bad for resilience if anything goes wrong.
Industrial consolidation also highlights the “attack surface” that hackers
seek. If there are a handful of large cybersecurity companies supplying, and
regularly updating, millions of desktop corporate PCs, then those supply chains
constitute a surface with attractive potential for massive disruption. This is
what the SolarWinds attack vividly demonstrated: important US government
departments (homeland security, state, commerce and treasury) were affected, as
well as corporations such as FireEye, Microsoft, Intel, Cisco and Deloitte.
There are lessons to be learned from this fiasco. The obvious one is that,
while regular automated updates of security software are invaluable, there
should always be a phased rollout of each update so that problems surface
before they become catastrophic.
But what the CrowdStrike error has revealed above everything else is how
fragile our networked world has become.
We have become utterly dependent on a complex web of technologies that few
understand, created by an industry that seems indifferent to the consequences
of its creations. We find ourselves in a new world, but it’s not exactly a
brave one.
-------------- next part --------------
An HTML attachment was scrubbed...
URL:<http://server-nexa.polito.it/pipermail/nexa/attachments/20240720/d5d44bda/attachment.htm>
------------------------------
Subject: Digest Footer
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
------------------------------
End of nexa Digest, Vol 183, Issue 41
*************************************
--
Maurizio "Graffio"
Pillole di informazione digitale -https://pillole.graffio.org/
"C.I.R.C.E. -https://circex.org";
AvANa -https://avana.forteprenestino.net/
