Niin monet arkipäiväiset esineet kehittyneessä maailmassa ovat nyt yhteydessä Internetiin, usein selittämättömällä tavalla. Se lisää uuden kerroksen mahdollisia teknisiä vikoja, jotka voivat olla hauskaa henkilökohtaisille laitteille: kaihtimet, jotka ei aukea, mikroaaltouuni, joka älä sopeudu ajan muutoksiin, jääkaapit että tarvitsee laiteohjelmistopäivityksiä.
Mutta yrityksissä, kun esineiden Internet -laitteet epäonnistuvat, se ei ole Twitter-säikeinen vitsi. Tehtaan kokoonpanolinjat pysähtyvät. Sairaaloiden sykemittarit kytkeytyvät offline-tilaan. Peruskoulun älytaulut pimenevät.
Älylaitteiden viat ovat kasvava riski yritysmaailmassa, eikä vain siksi usein käsitellyistä turvallisuushuoleista. Tämä johtuu siitä, että jotkin näiden laitteiden juurivarmenteista, joita tarvitaan turvalliseen Internetiin muodostamiseen, ovat vanhentumassa.
"Laitteiden on tiedettävä, mihin luottaa, joten juurivarmenne on sisäänrakennettu laitteeseen todennustyökaluna", selittää Scott Helme, tietoturvatutkija, joka kirjoitettu laajasti juurivarmenteen vanhenemisongelmasta. "Kun laite on luonnossa, se yrittää kutsua "home" -sovellusliittymää tai valmistajan palvelinta ja tarkistaa tämän juurivarmenteen perusteella: "Kyllä, yhdistän tähän oikeaan suojattuun asiaan." Pohjimmiltaan [juurivarmenne on] luottamusankkuri, viitekehys, jonka avulla laite tietää, mitä se puhuu."
Käytännössä tämä todennus on kuin verkko tai ketju. Varmenneviranomaiset (CA:t) myöntävät kaikenlaisia digitaalisia varmenteita, ja entiteetit "puhuvat" keskenään, joskus usealla tasolla. Mutta tämän ketjun ensimmäinen ja keskeisin lenkki on aina juurisertifikaatti. Ilman sitä mikään yllä olevista tasoista ei voisi mahdollistaa yhteyksiä. Joten jos juurivarmenne lakkaa toimimasta, laite ei voi todentaa yhteyttä eikä muodosta yhteyttä Internetiin.
Tässä on ongelma: Salatun Webin käsite kehitettiin noin vuonna 2000 – ja juurivarmenteet ovat yleensä voimassa noin 20–25 vuotta. Vuonna 2022 olemme siis puolivälissä tuota vanhentumisaikaa.
Varmentajat ovat myöntäneet runsaasti uusia juurivarmenteita yli kahden viime vuosikymmenen aikana, tietysti hyvissä ajoin ennen vanhenemista. Tämä toimii hyvin henkilökohtaisten laitteiden maailmassa, jossa useimmat ihmiset päivittävät usein uusiin puhelimiin ja päivittävät kannettavia tietokoneita napsauttamalla, jotta heillä olisi nämä uudemmat sertifikaatit. Mutta yrityksessä laitteen päivittäminen voi olla paljon haastavampaa tai jopa mahdotonta – ja sellaisilla aloilla kuin valmistus, koneet voivat todellakin olla tehtaalla 20–25 vuotta myöhemmin.
Ilman Internet-yhteyttä "näillä laitteilla ei ole minkäänlaista arvoa", sanoo Kevin Bocek, koneidentiteetin hallintapalveluita tarjoavan Venafin turvallisuusstrategia- ja uhkatiedon varatoimitusjohtaja. "Heistä tulee pohjimmiltaan tiiliä [kun juurivarmenteensa vanhenevat]: He eivät voi enää luottaa pilveen, eivät voi ottaa komentoja, lähettää tietoja eivätkä ohjelmistopäivityksiä. Se on todellinen riski, varsinkin jos olet jonkinlainen valmistaja tai operaattori.
Varoituslaukaus
Riski ei ole teoreettinen. 30. syyskuuta massiivinen CA:n myöntämä juurivarmenne Let's Encrypt vanhentunut - ja useat Internetin palvelut katkesivat. Vanheneminen ei ollut yllätys, sillä Let's Encrypt oli pitkään varoittanut asiakkaitaan päivittämään uuteen sertifikaattiin.
Silti Helme kirjoitti a blogi 10 päivää ennen voimassaolon päättymistä: "Luonpa, että muutama asia rikkoutuu sinä päivänä." Hän oli oikeassa. Jotkut Ciscon, Googlen, Palo Alton, QuickBooksin, Fortinetin, Auth0:n ja monien muiden yritysten palvelut epäonnistuivat.
"Ja outo asia siinä", Helme kertoo Dark Readingille, "on se, että Let's Encryptia käyttävät paikat ovat määritelmänsä mukaisesti erittäin moderneja - et voi vain mennä heidän verkkosivustolleen ja maksaa 10 dollaria ja ladata varmennetta käsin. Se on tehtävä koneella tai sen API:n kautta. Nämä käyttäjät olivat edistyneitä, ja se oli silti todella suuri ongelma. Mitä sitten tapahtuu, kun näemme [vanhenemisen] vanhemmilta CA:ilta, joilla on näitä suuryritysasiakkaita? Knock-on-vaikutus on varmasti suurempi."
Polku eteenpäin
Mutta joidenkin muutosten jälkeen tämän liikkeelle panevan vaikutuksen ei tarvitse tapahtua, sanoo Venafin Bocek, joka pitää haastetta tiedon ja komentoketjun yhtenä haasteena – joten hän näkee ratkaisuja sekä tietoisuudessa että varhaisessa yhteistyössä.
"Olen todella innoissani, kun näen turvallisuuspäälliköiden ja heidän tiiminsä osallistuvan valmistaja- ja kehittäjätasolla", Bocek sanoo. "Kysymys ei ole vain: 'Voimmeko kehittää jotain, joka on turvallista?" mutta "Voimmeko jatkaa sen käyttöä?" Usein on jaettu vastuu näiden arvokkaiden kytkettyjen laitteiden toiminnasta, joten meidän on tehtävä selväksi, kuinka aiomme käsitellä sitä yrityksenä."
Samanlaisia keskusteluja käydään myös infrastruktuurisektorilla, sanoo Marty Edwards, Tenablen operatiivisen teknologian ja IoT:n varateknologiajohtaja. Hän on ammatiltaan teollisuusinsinööri, joka on työskennellyt sähköyhtiöiden ja Yhdysvaltain sisäisen turvallisuuden ministeriön kanssa.
"Rehellisesti sanottuna teollisuustiloissa, joissa on laitokset ja tehtaat, kaikki tapahtumat, jotka johtavat tuotantokatkoihin tai menetyksiin, ovat huolestuttavia", Edwards sanoo. "Joten näissä erikoispiireissä insinöörit ja kehittäjät tarkastelevat [vanhenevien juurivarmenteiden] vaikutuksia ja kuinka voimme korjata ne."
Vaikka Edwards korostaa olevansa "optimistinen" näiden keskustelujen ja kyberturvallisuusnäkökohtien painostamisen suhteen hankintaprosessin aikana, hän uskoo, että tarvitaan myös enemmän sääntelyä.
"Jotain perushoidon tasoa, joka sisältää ehkä kielen siitä, miten varmennejärjestelmän eheys säilytetään", Edwards sanoo. "Eri standardiryhmien ja hallitusten välillä on käyty keskusteluja esimerkiksi kriittisten laitteiden jäljitettävyydestä."
Mitä tulee Helmeen, hän haluaisi, että yrityskoneet asennetaan päivityksiä varten realistisella tavalla, joka ei ole käyttäjälle tai valmistajalle vaivalloista – uusi sertifikaatti myönnetään ja päivitys ladataan ehkä viiden vuoden välein. Mutta valmistajia ei kannusteta tekemään niin, elleivät yritysasiakkaat vaadi sitä, hän huomauttaa.
"Yleensä uskon, että tämä on asia, joka alan on korjattava", Edwards myöntää. ”Hyvä uutinen on, että useimmat näistä haasteista eivät välttämättä ole teknologisia. Kyse on enemmänkin siitä, että tiedät, miten se kaikki toimii, ja saamme oikeat ihmiset ja menettelyt käyttöön.”
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
