Τόσα πολλά καθημερινά αντικείμενα στον ανεπτυγμένο κόσμο είναι πλέον συνδεδεμένα στο Διαδίκτυο, συχνά ανεξήγητα. Προσθέτει ένα άλλο επίπεδο πιθανής αποτυχίας τεχνολογίας που για τις προσωπικές συσκευές μπορεί να είναι κάτι σαν μια διασκεδαστική ενόχληση: περσίδες που δεν θα ανοίξει, φούρνους μικροκυμάτων που μην προσαρμόζεστε για αλλαγές χρόνου, ψυγεία που χρειάζονται ενημερώσεις υλικολογισμικού.
Αλλά στην επιχείρηση, όταν οι συσκευές Internet of Things αποτυγχάνουν, δεν είναι αστείο με το νήμα του Twitter. Οι γραμμές συναρμολόγησης του εργοστασίου σταματούν. Οι συσκευές παρακολούθησης καρδιακών παλμών στα νοσοκομεία απενεργοποιούνται. Οι έξυπνοι πίνακες δημοτικού σχολείου σκοτεινιάζουν.
Οι αστοχίες έξυπνων συσκευών αποτελούν αυξανόμενο κίνδυνο στον κόσμο των επιχειρήσεων, και όχι μόνο εξαιτίας του Συχνά συζητούμενες ανησυχίες για την ασφάλεια. Αυτό συμβαίνει επειδή ορισμένα από τα πιστοποιητικά ρίζας αυτών των συσκευών —απαραίτητα για την ασφαλή σύνδεσή τους στο Διαδίκτυο— λήγουν.
«Οι συσκευές πρέπει να γνωρίζουν τι να εμπιστεύονται, επομένως το πιστοποιητικό ρίζας είναι ενσωματωμένο στη συσκευή ως εργαλείο ελέγχου ταυτότητας», εξηγεί ο Scott Helme, ένας ερευνητής ασφάλειας που έχει γράφτηκε εκτενώς για το ζήτημα λήξης του πιστοποιητικού root. "Μόλις η συσκευή βρίσκεται στη φύση, προσπαθεί να καλέσει "home" - ένα API ή διακομιστή κατασκευαστή - και ελέγχει αυτό το πιστοποιητικό root για να πει "Ναι, συνδέομαι σε αυτό το σωστό ασφαλές πράγμα". Ουσιαστικά [το πιστοποιητικό ρίζας είναι] μια άγκυρα εμπιστοσύνης, ένα πλαίσιο αναφοράς για να γνωρίζει η συσκευή σε τι μιλάει».
Στην πράξη, αυτός ο έλεγχος ταυτότητας μοιάζει με έναν ιστό ή μια αλυσίδα. Οι αρχές έκδοσης πιστοποιητικών (CA) εκδίδουν κάθε είδους ψηφιακά πιστοποιητικά και οι οντότητες «μιλούν» μεταξύ τους, μερικές φορές με πολλαπλά επίπεδα. Αλλά ο πρώτος και πιο βασικός κρίκος αυτής της αλυσίδας είναι πάντα το πιστοποιητικό ρίζας. Χωρίς αυτό, κανένα από τα παραπάνω επίπεδα δεν θα μπορούσε να κάνει δυνατές τις συνδέσεις. Επομένως, εάν ένα πιστοποιητικό ρίζας σταματήσει να λειτουργεί, η συσκευή δεν μπορεί να ελέγξει την ταυτότητα της σύνδεσης και δεν θα συνδεθεί στο Διαδίκτυο.
Εδώ είναι το πρόβλημα: Η έννοια του κρυπτογραφημένου Ιστού αναπτύχθηκε γύρω στο 2000 — και τα πιστοποιητικά ρίζας τείνουν να ισχύουν για περίπου 20 έως 25 χρόνια. Το 2022, λοιπόν, βρισκόμαστε στη μέση αυτής της περιόδου λήξης.
Οι ΑΠ έχουν εκδώσει πολλά νέα πιστοποιητικά ρίζας τις τελευταίες δύο και πλέον δεκαετίες, φυσικά, πολύ πριν από τη λήξη. Αυτό λειτουργεί καλά στον κόσμο των προσωπικών συσκευών, όπου οι περισσότεροι άνθρωποι κάνουν συχνά αναβάθμιση σε νέα τηλέφωνα και κάνουν κλικ για να ενημερώσουν τους φορητούς υπολογιστές τους, ώστε να έχουν αυτά τα νεότερα πιστοποιητικά. Αλλά στην επιχείρηση, μπορεί να είναι πολύ πιο δύσκολο ή ακόμα και αδύνατο να ενημερώσετε μια συσκευή — και σε τομείς όπως η κατασκευή, τα μηχανήματα μπορεί πράγματι να είναι ακόμα στο εργοστάσιο 20 έως 25 χρόνια αργότερα.
Χωρίς σύνδεση στο Διαδίκτυο, «αυτές οι συσκευές δεν αξίζουν τίποτα», λέει ο Kevin Bocek, αντιπρόεδρος στρατηγικής ασφάλειας και πληροφοριών απειλών στη Venafi, πάροχο υπηρεσιών διαχείρισης ταυτότητας μηχανών. «Ουσιαστικά γίνονται τούβλα [όταν λήγουν τα πιστοποιητικά root τους]: Δεν μπορούν πλέον να εμπιστεύονται το cloud, δεν μπορούν να δέχονται εντολές, δεν μπορούν να στείλουν δεδομένα, δεν μπορούν να λάβουν ενημερώσεις λογισμικού. Αυτός είναι ένας πραγματικός κίνδυνος, ειδικά αν είστε κατασκευαστής ή χειριστής κάποιου είδους.»
Μια προειδοποιητική βολή
Ο κίνδυνος δεν είναι θεωρητικός. Στις 30 Σεπτεμβρίου, ένα πιστοποιητικό ρίζας που εκδόθηκε από την τεράστια CA Ας κρυπτογραφήσουμε έληξε — και αρκετές υπηρεσίες στο Διαδίκτυο χάλασαν. Η λήξη δεν ήταν έκπληξη, καθώς η Let's Encrypt είχε προειδοποιήσει εδώ και καιρό τους πελάτες της να ενημερώσουν σε ένα νέο πιστοποιητικό.
Ωστόσο, ο Helme έγραψε στο α ανάρτηση 10 ημέρες πριν τη λήξη, «Στοιχηματίζω ότι κάποια πράγματα πιθανότατα θα χαλάσουν εκείνη την ημέρα». Είχε δίκιο. Ορισμένες υπηρεσίες από τις Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 και πολλές άλλες εταιρείες απέτυχαν.
«Και το περίεργο με αυτό», λέει ο Helme στο Dark Reading, «είναι ότι τα μέρη που χρησιμοποιούν το Let's Encrypt είναι εξ ορισμού πολύ σύγχρονα — δεν μπορείτε απλώς να μεταβείτε στον ιστότοπό τους και να πληρώσετε τα 10 $ και να κατεβάσετε το πιστοποιητικό σας με το χέρι. Πρέπει να γίνει από ένα μηχάνημα ή μέσω του API του. Αυτοί οι χρήστες ήταν προχωρημένοι και ήταν ακόμα ένα πραγματικά μεγάλο πρόβλημα. Τι συμβαίνει, λοιπόν, όταν βλέπουμε [λήξεις] από τις πιο παλαιού τύπου CA που έχουν αυτούς τους πελάτες μεγάλων επιχειρήσεων; Σίγουρα το knock-on αποτέλεσμα θα είναι μεγαλύτερο».
Η πορεία προς τα εμπρός
Όμως, με κάποιες αλλαγές, αυτό το επικίνδυνο αποτέλεσμα δεν χρειάζεται να συμβεί, λέει ο Bocek του Venafi, ο οποίος βλέπει την πρόκληση ως μια πρόκληση γνώσης και αλυσίδας διοίκησης — επομένως βλέπει λύσεις τόσο στην επίγνωση όσο και στην πρώιμη συνεργασία.
«Είμαι πραγματικά ενθουσιασμένος όταν βλέπω τους επικεφαλής αξιωματικούς ασφαλείας και τις ομάδες τους να εμπλέκονται σε επίπεδο κατασκευαστή και προγραμματιστή», λέει ο Bocek. «Το ερώτημα δεν είναι μόνο, «Μπορούμε να αναπτύξουμε κάτι που να είναι ασφαλές;». αλλά «Μπορούμε να συνεχίσουμε να το λειτουργούμε;» Υπάρχει συχνά μια κοινή ευθύνη λειτουργίας σε αυτές τις συνδεδεμένες συσκευές υψηλής αξίας, επομένως πρέπει να είμαστε ξεκάθαροι σχετικά με το πώς θα το χειριστούμε ως επιχείρηση».
Παρόμοιες συζητήσεις συμβαίνουν στον τομέα των υποδομών, λέει ο Marty Edwards, αναπληρωτής CTO για επιχειρησιακή τεχνολογία και IoT στην Tenable. Είναι βιομηχανικός μηχανικός στο επάγγελμα που έχει συνεργαστεί με εταιρείες κοινής ωφέλειας και το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ.
«Ειλικρινά, στον βιομηχανικό χώρο με τις επιχειρήσεις κοινής ωφέλειας και τα εργοστάσια, κάθε γεγονός που οδηγεί σε διακοπή παραγωγής ή απώλεια είναι ανησυχητικό», λέει ο Edwards. «Έτσι, σε αυτούς τους κύκλους ειδικοτήτων, οι μηχανικοί και οι προγραμματιστές εξετάζουν σίγουρα τις επιπτώσεις [των λήγειων πιστοποιητικών root] και πώς μπορούμε να τα διορθώσουμε».
Αν και ο Έντουαρντς τονίζει ότι είναι «αισιόδοξος» σχετικά με αυτές τις συνομιλίες και την ώθηση για ζητήματα κυβερνοασφάλειας κατά τη διαδικασία των προμηθειών, πιστεύει ότι απαιτείται επίσης περισσότερη ρυθμιστική εποπτεία.
"Κάτι σαν ένα βασικό πρότυπο φροντίδας που ίσως περιλαμβάνει γλώσσα για το πώς να διατηρήσετε την ακεραιότητα ενός συστήματος πιστοποιητικών", λέει ο Edwards. «Υπήρξαν συζητήσεις μεταξύ διαφόρων ομάδων προτύπων και κυβερνήσεων σχετικά με την ιχνηλασιμότητα για συσκευές κρίσιμες για την αποστολή, για παράδειγμα».
Όσο για το Helme, θα ήθελε πολύ να δει τα μηχανήματα της επιχείρησης να ρυθμίζονται για ενημερώσεις με τρόπο ρεαλιστικό και όχι επίπονο για τον χρήστη ή τον κατασκευαστή — ένα νέο πιστοποιητικό που εκδίδεται και ενημερώνεται κάθε πέντε χρόνια, ίσως. Ωστόσο, οι κατασκευαστές δεν θα έχουν κίνητρα να το κάνουν αυτό, εκτός εάν οι εταιρικοί πελάτες πιέσουν για αυτό, σημειώνει.
«Γενικά, πιστεύω ότι αυτό είναι κάτι που πρέπει να διορθώσει η βιομηχανία», συμφωνεί ο Edwards. «Τα καλά νέα είναι ότι οι περισσότερες από αυτές τις προκλήσεις δεν είναι απαραίτητα τεχνολογικές. Έχει να κάνει περισσότερο με το να γνωρίζεις πώς λειτουργεί όλο αυτό και να θέτεις τους κατάλληλους ανθρώπους και διαδικασίες».
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
