উন্নত বিশ্বের অনেক দৈনন্দিন জিনিস এখন ইন্টারনেটের সাথে সংযুক্ত, প্রায়ই ব্যাখ্যাতীতভাবে। এটি সম্ভাব্য প্রযুক্তির ব্যর্থতার আরেকটি স্তর যুক্ত করে যা ব্যক্তিগত যন্ত্রপাতিগুলির জন্য একটি মজার বিরক্তিকর কিছু হতে পারে: অন্ধ করে দেয় যে খুলবে না, মাইক্রোওয়েভ যে সময়ের পরিবর্তনের জন্য সামঞ্জস্য করবেন না, রেফ্রিজারেটর যে ফার্মওয়্যার আপডেট প্রয়োজন.
কিন্তু এন্টারপ্রাইজে, যখন ইন্টারনেট অফ থিংস ডিভাইসগুলি ব্যর্থ হয়, এটি কোনও টুইটার-থ্রেড রসিকতা নয়। কারখানার সমাবেশ লাইনগুলি থেমে যায়। হাসপাতালের হার্ট-রেট মনিটর অফলাইনে স্যুইচ করে। প্রাথমিক বিদ্যালয়ের স্মার্ট বোর্ডগুলো অন্ধকার হয়ে গেছে।
স্মার্ট ডিভাইস ব্যর্থতা এন্টারপ্রাইজ বিশ্বের একটি ক্রমবর্ধমান ঝুঁকি, এবং শুধুমাত্র কারণ নয় প্রায়ই আলোচনা করা নিরাপত্তা উদ্বেগ. এর কারণ এই ডিভাইসগুলির কিছু রুট সার্টিফিকেট — নিরাপদে ইন্টারনেটে সংযোগ করার জন্য তাদের জন্য প্রয়োজনীয় — মেয়াদ শেষ হয়ে যাচ্ছে৷
"ডিভাইসগুলিকে কী বিশ্বাস করতে হবে তা জানতে হবে, তাই রুট সার্টিফিকেট একটি প্রমাণীকরণ সরঞ্জাম হিসাবে ডিভাইসে তৈরি করা হয়েছে," স্কট হেলমে ব্যাখ্যা করেছেন, একজন নিরাপত্তা গবেষক যিনি রুট শংসাপত্রের মেয়াদ শেষ হওয়ার সমস্যা সম্পর্কে ব্যাপকভাবে লেখা. "একবার ডিভাইসটি বন্য অবস্থায় থাকলে এটি 'হোম' - একটি API বা প্রস্তুতকারকের সার্ভার - কল করার চেষ্টা করে এবং এটি এই রুট শংসাপত্রের বিরুদ্ধে পরীক্ষা করে বলে, 'হ্যাঁ, আমি এই সঠিক নিরাপদ জিনিসটির সাথে সংযোগ করছি।' মূলত [একটি রুট সার্টিফিকেট] একটি ট্রাস্ট অ্যাঙ্কর, ডিভাইসটি কিসের সাথে কথা বলছে তা জানার জন্য একটি ফ্রেম অব রেফারেন্স।"
অনুশীলনে এই প্রমাণীকরণটি একটি ওয়েব বা একটি চেইনের মতো। শংসাপত্র কর্তৃপক্ষ (CAs) সমস্ত ধরণের ডিজিটাল শংসাপত্র জারি করে এবং সংস্থাগুলি একে অপরের সাথে কখনও কখনও একাধিক স্তরের সাথে "কথা বলে"৷ কিন্তু এই চেইনের প্রথম এবং সবচেয়ে মূল লিঙ্ক সবসময়ই রুট সার্টিফিকেট। এটি ছাড়া, উপরের স্তরগুলির কোনটিই সংযোগগুলিকে সম্ভব করতে পারে না। তাই যদি একটি রুট শংসাপত্র কাজ করা বন্ধ করে, ডিভাইসটি সংযোগটি প্রমাণীকরণ করতে পারে না এবং ইন্টারনেটের সাথে লিঙ্ক করবে না।
এখানে সমস্যাটি হল: এনক্রিপ্ট করা ওয়েবের ধারণাটি 2000 সালের দিকে বিকশিত হয়েছিল — এবং রুট সার্টিফিকেটগুলি প্রায় 20 থেকে 25 বছরের জন্য বৈধ হতে থাকে। 2022 সালে, তাহলে, আমরা সেই মেয়াদ শেষ হওয়ার মাঝামাঝি অবস্থায় আছি।
CAs গত দুই-প্লাস দশকে প্রচুর নতুন রুট সার্টিফিকেট জারি করেছে, অবশ্যই, মেয়াদ শেষ হওয়ার আগে। এটি ব্যক্তিগত ডিভাইসের জগতে ভাল কাজ করে, যেখানে বেশিরভাগ লোকেরা প্রায়শই নতুন ফোনে আপগ্রেড করে এবং তাদের ল্যাপটপগুলি আপডেট করতে ক্লিক করে, তাই তাদের কাছে এই নতুন শংসাপত্রগুলি থাকবে৷ তবে এন্টারপ্রাইজে, একটি ডিভাইস আপডেট করা অনেক বেশি চ্যালেঞ্জিং বা এমনকি অসম্ভবও হতে পারে - এবং উত্পাদনের মতো সেক্টরে, মেশিনগুলি 20 থেকে 25 বছর পরেও কারখানার মেঝেতে থাকতে পারে।
একটি ইন্টারনেট সংযোগ ছাড়া, "এই ডিভাইসগুলির কোনও মূল্য নেই," কেভিন বোসেক বলেছেন, ভেনাফির নিরাপত্তা কৌশল এবং হুমকি বুদ্ধিমত্তার ভাইস প্রেসিডেন্ট, মেশিন আইডেন্টিটি ম্যানেজমেন্ট পরিষেবা প্রদানকারী৷ “তারা মূলত ইট হয়ে যায় [যখন তাদের রুট শংসাপত্রের মেয়াদ শেষ হয়]: তারা ক্লাউডকে আর বিশ্বাস করতে পারে না, কমান্ড নিতে পারে না, ডেটা পাঠাতে পারে না, সফ্টওয়্যার আপডেট নিতে পারে না। এটি একটি সত্যিকারের ঝুঁকি, বিশেষ করে যদি আপনি একজন প্রস্তুতকারক বা কোনো ধরনের অপারেটর হন।"
একটি সতর্কতা শট
ঝুঁকি তাত্ত্বিক নয়। 30 সেপ্টেম্বর, বিশাল CA দ্বারা জারি করা একটি মূল শংসাপত্র এর এনক্রিপ্ট যাক মেয়াদ শেষ — এবং ইন্টারনেট জুড়ে বেশ কিছু পরিষেবা ভেঙে গেছে. মেয়াদ শেষ হওয়া কোন আশ্চর্যের বিষয় ছিল না, কারণ লেটস এনক্রিপ্ট দীর্ঘদিন ধরে তার গ্রাহকদের একটি নতুন শংসাপত্রে আপডেট করার জন্য সতর্ক করে আসছিল।
তবুও, হেলমে লিখেছেন ক ব্লগ পোস্ট মেয়াদ শেষ হওয়ার 10 দিন আগে, "আমি বাজি ধরছি কিছু জিনিস সম্ভবত সেদিন ভেঙে যাবে।" সে অধিকার ছিল. Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 এবং আরও অনেক কোম্পানির কিছু পরিষেবা ব্যর্থ হয়েছে৷
হেলমে ডার্ক রিডিংকে বলেন, “এবং এর অদ্ভুত ব্যাপার হল যে লেটস এনক্রিপ্ট ব্যবহার করা জায়গাগুলি সংজ্ঞা অনুসারে খুব আধুনিক — আপনি কেবল তাদের ওয়েবসাইটে গিয়ে আপনার $10 দিতে পারবেন না এবং হাতে আপনার শংসাপত্র ডাউনলোড করতে পারবেন না। এটি একটি মেশিন দ্বারা বা তাদের API এর মাধ্যমে করতে হবে। এই ব্যবহারকারীরা উন্নত ছিল, এবং এটি এখনও একটি সত্যিই বড় সমস্যা ছিল। তাহলে কী হবে যখন আমরা এই বড় এন্টারপ্রাইজ গ্রাহকদের আরও বেশি উত্তরাধিকারী CA থেকে [মেয়াদ শেষ হওয়া] দেখি? নিশ্চিতভাবে নক-অন প্রভাব আরও বড় হবে।"
পথ এগিয়ে
তবে কিছু পরিবর্তনের সাথে, সেই নক-অন প্রভাবটি ঘটতে হবে না, ভেনাফির বোসেক বলেছেন, যিনি চ্যালেঞ্জটিকে জ্ঞান এবং কমান্ডের চেইন হিসাবে দেখেন — তাই তিনি সচেতনতা এবং প্রাথমিক সহযোগিতা উভয় ক্ষেত্রেই সমাধান দেখেন।
"আমি সত্যিই উত্তেজিত যখন আমি প্রধান নিরাপত্তা কর্মকর্তা এবং তাদের দল প্রস্তুতকারক এবং বিকাশকারী পর্যায়ে জড়িত হতে দেখি," Bocek বলেছেন. “প্রশ্নটি শুধু নয়, 'আমরা কি নিরাপদ এমন কিছু বিকাশ করতে পারি?' কিন্তু 'আমরা কি এটা চালিয়ে যেতে পারি?' এই উচ্চ-মূল্যের সংযুক্ত ডিভাইসগুলিতে প্রায়শই অপারেশনের একটি ভাগ করা দায়িত্ব থাকে, তাই ব্যবসা হিসাবে আমরা কীভাবে এটি পরিচালনা করতে যাচ্ছি সে সম্পর্কে আমাদের পরিষ্কার হওয়া দরকার।"
অবকাঠামো খাতে অনুরূপ কথোপকথন ঘটছে, মার্টি এডওয়ার্ডস বলেছেন, অপারেশনাল টেকনোলজির ডেপুটি সিটিও এবং টেনেবলের আইওটি। তিনি ব্যবসায় একজন শিল্প প্রকৌশলী যিনি ইউটিলিটি কোম্পানি এবং ইউএস ডিপার্টমেন্ট অফ হোমল্যান্ড সিকিউরিটির সাথে কাজ করেছেন।
"একদম খোলাখুলিভাবে, ইউটিলিটি এবং কারখানা সহ শিল্পের জায়গায়, যে কোনও ঘটনা যা উত্পাদন বিভ্রাট বা ক্ষতির দিকে নিয়ে যায় তা উদ্বেগজনক," এডওয়ার্ডস বলেছেন। "সুতরাং এই বিশেষ চেনাশোনাগুলিতে প্রকৌশলী এবং বিকাশকারীরা অবশ্যই [মূল শংসাপত্রের মেয়াদ শেষ হওয়ার] প্রভাবগুলি দেখছেন এবং আমরা কীভাবে সেগুলি ঠিক করতে পারি।"
যদিও এডওয়ার্ডস জোর দিয়েছিলেন যে তিনি সেই কথোপকথনগুলি সম্পর্কে "আশাবাদী" এবং ক্রয় প্রক্রিয়ার সময় সাইবার নিরাপত্তা বিবেচনার জন্য চাপ দেন, তিনি বিশ্বাস করেন আরও নিয়ন্ত্রক তদারকিও প্রয়োজন।
"কেয়ারের একটি বেসলাইন স্ট্যান্ডার্ডের মতো কিছু যা সম্ভবত একটি শংসাপত্র সিস্টেমের অখণ্ডতা বজায় রাখার ভাষা অন্তর্ভুক্ত করে," এডওয়ার্ডস বলেছেন। "উদাহরণস্বরূপ, মিশন-সমালোচনামূলক ডিভাইসগুলির সন্ধানযোগ্যতা সম্পর্কে বিভিন্ন স্ট্যান্ডার্ড গ্রুপ এবং সরকারের মধ্যে আলোচনা হয়েছে।"
হেলমের জন্য, তিনি এন্টারপ্রাইজ মেশিনগুলিকে এমনভাবে আপডেটের জন্য সেট করা দেখতে পছন্দ করবেন যা বাস্তবসম্মত এবং ব্যবহারকারী বা প্রস্তুতকারকের পক্ষে কঠিন নয় — একটি নতুন শংসাপত্র জারি করা হয় এবং প্রতি পাঁচ বছরে ডাউনলোড করা হয়, সম্ভবত। তবে নির্মাতারা এটি করতে উত্সাহিত হবে না যদি না এন্টারপ্রাইজ গ্রাহকরা এটির জন্য চাপ দেয়, তিনি নোট করেন।
"সাধারণভাবে, আমি মনে করি যে এটি এমন কিছু যা শিল্পকে ঠিক করতে হবে," এডওয়ার্ডস সম্মত হন। “সুসংবাদ হল এই চ্যালেঞ্জগুলির বেশিরভাগই প্রযুক্তিগত নয়। এটি কীভাবে কাজ করে তা জানা এবং সঠিক লোক এবং পদ্ধতিগুলিকে স্থান দেওয়া সম্পর্কে আরও বেশি কিছু।"
