Re: [nexa] sul disastro informatico
Cara lista, segnalo questo mio breve commento su Il Manifesto a proposito del disastro dell'altro giorno. https://ilmanifesto.it/oligopoli-privati-decidono-la-nostra-esistenza-digita... E' molto breve, per comodità lo incollo anche qui. L’Occidente ieri si è svegliato con la notizia che migliaia di server equipaggiati con Windows non funzionavano, con conseguenze globali catastrofiche. Il responsabile di un down di tali enormi proporzioni risiedeva in un errore nell’aggiornamento dell’antivirus di Crowdstrike. Si tratta di un software usato da grandi aziende che utilizzano il sistema operativo Windows. La compagnia non è molto nota al pubblico, ma è molto importante per i servizi sulla sicurezza che offre alle grandi aziende. La domanda è: come è possibile che una compagnia che si occupa di sicurezza abbia potuto causare una interruzione di un numero così grande di servizi? La prima risposta risiede probabilmente nel modo con cui è stato distribuito l’aggiornamento del software. Nella maggior parte dei casi si tratta di sistemi automatizzati per installare gli aggiornamenti in tutti i software che sono stati configurati per ricevere tali aggiornamenti, senza la possibilità per i sistemisti “locali” di accettare o meno gli upgrade. Ciò comporta, oltre a evitare di installare gli aggiornamenti “a mano”, risparmiando risorse, anche l’inevitabilità dell’aggiornamento di tutti i sistemi software. In un sistema completamente automatizzato su larga scala, senza un piano B, se qualcosa va storto il problema che ne deriva è serio! E qui veniamo alla seconda possibile risposta. Siamo in situazione di oligopolio. I sistemi operativi della maggior parte di questi sistemi (ospedali, finanza, controllo trasporti etc) sono per lo più basati su Microsoft Windows e usano l’antivirus di Crowdstrike. Probabilmente una sana biodiversità tecnologica avrebbe garantito una mitigazione del problema causato da un errore in un software. Se le aziende colpite dal problema avessero usato antivirus e sistemi operativi diversi, l’impatto dell’aggiornamento con errore sarebbe stato minore Inoltre, dopo pochissimo tempo, Crowdstrike ha fornito i dettagli dell’errore. Un qualsiasi sistemista con le conoscenze giuste sarebbe potuto intervenire “manualmente”, ma con la centralizzazione sempre più spinta di questo genere di sistemi le competenze necessarie sono sempre più scarse. Infine, e questo è un problema che affligge tutta l’informatica commerciale, i test dei software vengono fatti con una precisione ancora inadeguata all’impatto che questi software hanno nella vita reale. Costituiscono un costo per le aziende e in ottica di profitto abbassare i costi significa maggiori ricavi. Pochissime aziende, per lo più statunitensi, hanno in mano le sorti dell’informatica mondiale che ormai è fondamentale nella vita degli umani. Forse è arrivato il momento di sottrarre alle grandi compagnie private il potere di decidere come devono funzionare le tecnologie digitali e restituire questo potere alla sfera pubblica. * gruppo di ricerca circex.org <https://circex.org/it> Un caro saluto m Il 20/07/24 23:08, nexa-request@server-nexa.polito.it ha scritto:
Send nexa mailing list submissions to nexa@server-nexa.polito.it
To subscribe or unsubscribe via the World Wide Web, visit https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa or, via email, send a message with subject or body 'help' to nexa-request@server-nexa.polito.it
You can reach the person managing the list at nexa-owner@server-nexa.polito.it
When replying, please edit your Subject line so it is more specific than "Re: Contents of nexa digest..."
Today's Topics:
1. sul disastro informatico (Angelo Raffaele Meo) 2. Re: sul disastro informatico (Benedetto Ponti) 3. The Observer view on the global IT crash: lessons must be learned from CrowdStrike fiasco | Observer editorial | The Guardian (Alberto Cammozzo)
----------------------------------------------------------------------
Message: 1 Date: Sat, 20 Jul 2024 17:28:39 +0000 From: "Angelo Raffaele Meo"<angelo.meo@polito.it> To:"nexa@server-nexa.polito.it" <nexa@server-nexa.polito.it> Subject: [nexa] sul disastro informatico Message-ID: <AM6PR0502MB3621782BCD350A30731975858FAE2@AM6PR0502MB3621.eurprd05.prod.outlook.com>
Content-Type: text/plain; charset="iso-8859-1"
carissimi, su La Stampa di oggi, Riccardo Luna, commentando il crollo di ieri del sistema mondiale delle Telecomunicazioni, si pone la domanda: "Saremmo più sicuri con un cloud di Stato?" e risponde immediatamente: "lo escludo". Io invece non solo non lo escludo, ma lo voglio. Non solo per ragioni ideologiche, ma concrete. Non è possibile che un piccolo baco di una piccola azienda di cui sino ad oggi ignoravamo l'esistenza provochi un disastro di quelle dimensioni. Cosa ne pensate? Raf Meo
già che ci siamo, in allegato anche il contributo che ho mandato io sulla storia di CrowdStrike uscito sullo stesso numero dell'articolo di graffio :) Il giorno dom 21 lug 2024 alle ore 15:42 graffio via nexa < nexa@server-nexa.polito.it> ha scritto:
Cara lista, segnalo questo mio breve commento su Il Manifesto a proposito del disastro dell'altro giorno.
https://ilmanifesto.it/oligopoli-privati-decidono-la-nostra-esistenza-digita...
E' molto breve, per comodità lo incollo anche qui.
L’Occidente ieri si è svegliato con la notizia che migliaia di server equipaggiati con Windows non funzionavano, con conseguenze globali catastrofiche. Il responsabile di un down di tali enormi proporzioni risiedeva in un errore nell’aggiornamento dell’antivirus di Crowdstrike.
Si tratta di un software usato da grandi aziende che utilizzano il sistema operativo Windows. La compagnia non è molto nota al pubblico, ma è molto importante per i servizi sulla sicurezza che offre alle grandi aziende. La domanda è: come è possibile che una compagnia che si occupa di sicurezza abbia potuto causare una interruzione di un numero così grande di servizi?
La prima risposta risiede probabilmente nel modo con cui è stato distribuito l’aggiornamento del software. Nella maggior parte dei casi si tratta di sistemi automatizzati per installare gli aggiornamenti in tutti i software che sono stati configurati per ricevere tali aggiornamenti, senza la possibilità per i sistemisti “locali” di accettare o meno gli upgrade. Ciò comporta, oltre a evitare di installare gli aggiornamenti “a mano”, risparmiando risorse, anche l’inevitabilità dell’aggiornamento di tutti i sistemi software. In un sistema completamente automatizzato su larga scala, senza un piano B, se qualcosa va storto il problema che ne deriva è serio!
E qui veniamo alla seconda possibile risposta. Siamo in situazione di oligopolio. I sistemi operativi della maggior parte di questi sistemi (ospedali, finanza, controllo trasporti etc) sono per lo più basati su Microsoft Windows e usano l’antivirus di Crowdstrike. Probabilmente una sana biodiversità tecnologica avrebbe garantito una mitigazione del problema causato da un errore in un software. Se le aziende colpite dal problema avessero usato antivirus e sistemi operativi diversi, l’impatto dell’aggiornamento con errore sarebbe stato minore
Inoltre, dopo pochissimo tempo, Crowdstrike ha fornito i dettagli dell’errore. Un qualsiasi sistemista con le conoscenze giuste sarebbe potuto intervenire “manualmente”, ma con la centralizzazione sempre più spinta di questo genere di sistemi le competenze necessarie sono sempre più scarse.
Infine, e questo è un problema che affligge tutta l’informatica commerciale, i test dei software vengono fatti con una precisione ancora inadeguata all’impatto che questi software hanno nella vita reale. Costituiscono un costo per le aziende e in ottica di profitto abbassare i costi significa maggiori ricavi.
Pochissime aziende, per lo più statunitensi, hanno in mano le sorti dell’informatica mondiale che ormai è fondamentale nella vita degli umani. Forse è arrivato il momento di sottrarre alle grandi compagnie private il potere di decidere come devono funzionare le tecnologie digitali e restituire questo potere alla sfera pubblica.
* gruppo di ricerca circex.org <https://circex.org/it> Un caro saluto m
Il 20/07/24 23:08, nexa-request@server-nexa.polito.it ha scritto:
Send nexa mailing list submissions to nexa@server-nexa.polito.it
To subscribe or unsubscribe via the World Wide Web, visit https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa or, via email, send a message with subject or body 'help' to nexa-request@server-nexa.polito.it
You can reach the person managing the list at nexa-owner@server-nexa.polito.it
When replying, please edit your Subject line so it is more specific than "Re: Contents of nexa digest..."
Today's Topics:
1. sul disastro informatico (Angelo Raffaele Meo) 2. Re: sul disastro informatico (Benedetto Ponti) 3. The Observer view on the global IT crash: lessons must be learned from CrowdStrike fiasco | Observer editorial | The Guardian (Alberto Cammozzo)
----------------------------------------------------------------------
Message: 1 Date: Sat, 20 Jul 2024 17:28:39 +0000 From: "Angelo Raffaele Meo" <angelo.meo@polito.it> <angelo.meo@polito.it> To: "nexa@server-nexa.polito.it" <nexa@server-nexa.polito.it> <nexa@server-nexa.polito.it> <nexa@server-nexa.polito.it> Subject: [nexa] sul disastro informatico Message-ID: <AM6PR0502MB3621782BCD350A30731975858FAE2@AM6PR0502MB3621.eurprd05.prod.outlook.com> <AM6PR0502MB3621782BCD350A30731975858FAE2@AM6PR0502MB3621.eurprd05.prod.outlook.com>
Content-Type: text/plain; charset="iso-8859-1"
carissimi, su La Stampa di oggi, Riccardo Luna, commentando il crollo di ieri del sistema mondiale delle Telecomunicazioni, si pone la domanda: "Saremmo più sicuri con un cloud di Stato?" e risponde immediatamente: "lo escludo". Io invece non solo non lo escludo, ma lo voglio. Non solo per ragioni ideologiche, ma concrete. Non è possibile che un piccolo baco di una piccola azienda di cui sino ad oggi ignoravamo l'esistenza provochi un disastro di quelle dimensioni. Cosa ne pensate? Raf Meo
participants (2)
-
Daniele Gambetta -
graffio