A fejlett világban nagyon sok mindennapi tárgy kapcsolódik az internethez, gyakran megmagyarázhatatlan módon. Újabb réteget ad a lehetséges technológiai meghibásodásokhoz, amelyek a személyes készülékek számára szórakoztató bosszúságot okozhatnak: a redőnyök nem nyílik meg, mikrohullámú, hogy ne alkalmazkodjon az időváltozásokhoz, hűtők, hogy firmware frissítésre van szüksége.
De a vállalatoknál, amikor a dolgok internetes eszközei meghibásodnak, ez nem Twitter-szálú vicc. A gyári összeszerelő sorok leállnak. A kórházi pulzusmérők offline állapotba kapcsolnak. Az általános iskolai intelligens táblák elsötétülnek.
Az okoseszközök meghibásodása egyre nagyobb kockázatot jelent a vállalati világban, és nem csak a gyakran emlegetett biztonsági aggályok. Ennek az az oka, hogy ezen eszközök némelyike gyökértanúsítványai – amelyek szükségesek az internethez való biztonságos csatlakozáshoz – lejárnak.
„Az eszközöknek tudniuk kell, hogy miben bízhatnak, ezért a gyökértanúsítvány hitelesítési eszközként be van építve az eszközbe” – magyarázza Scott Helme biztonsági kutató, aki sokat írt a gyökértanúsítvány lejárati problémájáról. „Miután az eszköz a vadonban van, megpróbálja hívni a „home”-t – egy API-t vagy a gyártó szerverét –, és a gyökértanúsítvány alapján ellenőrzi, hogy azt mondja: „Igen, ehhez a megfelelő biztonságos dologhoz csatlakozom”. Lényegében [a gyökértanúsítvány] egy megbízhatósági horgony, egy referenciakeret, amely lehetővé teszi az eszköz számára, hogy tudja, mihez beszél.”
A gyakorlatban ez a hitelesítés olyan, mint egy web vagy egy lánc. A tanúsító hatóságok (CA-k) mindenféle digitális tanúsítványt kiadnak, és az entitások „beszélnek” egymással, néha több szinten is. De ennek a láncnak az első és legfontosabb láncszeme mindig a gyökértanúsítvány. Enélkül a fenti szintek egyike sem tenné lehetővé a kapcsolatokat. Tehát ha a gyökértanúsítvány nem működik, az eszköz nem tudja hitelesíteni a kapcsolatot, és nem csatlakozik az internethez.
Itt van a probléma: A titkosított web koncepciója 2000 körül alakult ki – és a gyökértanúsítványok általában körülbelül 20-25 évig érvényesek. 2022-ben tehát ennek a lejárati időszaknak a közepén vagyunk.
A hitelesítésszolgáltatók rengeteg új gyökértanúsítványt adtak ki az elmúlt több mint két évtizedben, természetesen jóval a lejárat előtt. Ez jól működik a személyes eszközök világában, ahol a legtöbb ember gyakran frissít új telefonra, és kattintással frissíti laptopját, hogy megkapják az újabb tanúsítványokat. A vállalatoknál azonban sokkal nagyobb kihívást jelenthet, vagy akár lehetetlent is jelenthet egy eszköz frissítése – és az olyan ágazatokban, mint a gyártás, a gépek 20-25 évvel később is a gyárban lehetnek.
Internetkapcsolat nélkül „ezek az eszközök semmit sem érnek” – mondja Kevin Bocek, a Venafi, a gépazonosság-kezelési szolgáltatásokat nyújtó biztonsági stratégiáért és fenyegetésekért felelős alelnöke. „Lényegében téglákká válnak [amikor a gyökértanúsítványaik lejárnak]: nem bízhatnak többé a felhőben, nem fogadhatnak parancsokat, nem küldhetnek adatokat, nem fogadhatnak el szoftverfrissítéseket. Ez valós kockázat, különösen, ha Ön gyártó vagy valamilyen üzemeltető.”
Figyelmeztető lövés
A kockázat nem elméleti. Szeptember 30-án a hatalmas CA által kiadott gyökértanúsítvány Titkosítjuk lejárt – és az interneten számos szolgáltatás megszakadt. A lejárat nem volt meglepetés, mivel a Let's Encrypt már régóta figyelmeztette ügyfeleit, hogy frissítsenek új tanúsítványra.
Ennek ellenére Helme azt írta a blogbejegyzés 10 nappal a lejárat előtt „Fogadok, hogy néhány dolog valószínűleg elromlik azon a napon.” Igaza volt. A Cisco, a Google, a Palo Alto, a QuickBooks, a Fortinet, az Auth0 és még sok más cég egyes szolgáltatásai meghiúsultak.
„És az a furcsa ebben – mondja Helme a Dark Readingnek –, hogy a Let's Encryptet használó helyek definíció szerint nagyon modernek – nem lehet egyszerűen felmenni a webhelyükre, kifizetni a 10 dollárt, és kézzel letölteni a tanúsítványt. Ezt egy gépen vagy az API-jukon keresztül kell elvégezni. Ezek a felhasználók haladók voltak, és ez még mindig nagyon nagy probléma volt. Tehát mi történik, ha azt látjuk, hogy [lejártak] a régebbi hitelesítésszolgáltatók, amelyek ilyen nagyvállalati ügyfelekkel rendelkeznek? Biztosan nagyobb lesz a ráütőhatás.”
Az utat előre
De bizonyos változtatásokkal ennek a kölcsönhatásnak nem kell megtörténnie, mondja Venafi Bocek, aki a kihívást a tudás és a parancsnoki lánc egyikének tekinti – így a megoldásokat mind a tudatosságban, mind a korai együttműködésben látja.
„Nagyon izgatott vagyok, amikor látom, hogy a biztonsági vezetők és csapataik bekapcsolódnak a gyártói és fejlesztői szinten” – mondja Bocek. „A kérdés nem csak az, hogy kifejleszthetünk valamit, ami biztonságos? de "Továbbra is működtethetjük?" Ezeken a nagy értékű csatlakoztatott eszközökön gyakran megosztott a működési felelősség, ezért világosan kell tudnunk, hogyan kezeljük ezt üzletként.”
Hasonló beszélgetések zajlanak az infrastrukturális szektorban is – mondja Marty Edwards, a Tenable üzemeltetési technológiáért és IoT-ért felelős műszaki igazgató-helyettese. Szakmailag ipari mérnök, aki közműcégekkel és az Egyesült Államok Belbiztonsági Minisztériumával dolgozott együtt.
„Őszintén szólva a közművekkel és gyárakkal működő ipari területen minden olyan esemény aggasztó, amely termeléskieséshez vagy -kieséshez vezet” – mondja Edwards. „Tehát ezekben a speciális körökben a mérnökök és fejlesztők minden bizonnyal a [lejárt gyökértanúsítványok] hatásait és azok kijavításának módját vizsgálják.”
Noha Edwards hangsúlyozza, hogy „optimista” ezekkel a beszélgetésekkel és a kiberbiztonsági megfontolások nyomulásával kapcsolatban a beszerzési folyamat során, úgy véli, hogy nagyobb szabályozási felügyeletre is szükség van.
„Olyasmi, mint egy alapszintű ellátás, amely talán magában foglalja a tanúsítványrendszer integritásának megőrzését is” – mondja Edwards. „Megbeszélések folytak a különböző szabványügyi csoportok és kormányok között például a kritikus fontosságú eszközök nyomon követhetőségéről.”
Ami Helme-t illeti, szívesen látná, ha a vállalati gépeket úgy állítanák be a frissítésekre, hogy azok valósághűek legyenek, és ne legyen megterhelő a felhasználó vagy a gyártó számára – egy új tanúsítványt adnak ki, és ötévente töltik le a frissítést. De a gyártókat nem ösztönzik erre, hacsak a vállalati ügyfelek nem szorgalmazzák ezt, jegyzi meg.
„Általában úgy gondolom, hogy ezt az iparágnak meg kell javítania” – ért egyet Edwards. „A jó hír az, hogy ezeknek a kihívásoknak a többsége nem feltétlenül technológiai jellegű. Sokkal inkább arról van szó, hogy ismerjük, hogyan működik mindez, és hogy a megfelelő embereket és eljárásokat alkalmazzuk.”
