Moltissimi oggetti di uso quotidiano nel mondo sviluppato sono ora connessi a Internet, spesso inspiegabilmente. Aggiunge un altro livello di potenziale fallimento tecnologico che per gli elettrodomestici può essere una sorta di fastidio divertente: lo rende cieco non si apre, microonde quello non adattarsi ai cambiamenti di orario, frigoriferi che necessitano di aggiornamenti del firmware.
Ma in azienda, quando i dispositivi Internet of Things falliscono, non è uno scherzo da Twitter. Le catene di montaggio in fabbrica si fermano. I cardiofrequenzimetri negli ospedali passano offline. Le smart board delle scuole elementari si oscurano.
I guasti ai dispositivi intelligenti rappresentano un rischio crescente nel mondo aziendale, e non solo a causa preoccupazioni per la sicurezza spesso discusse. È perché alcuni dei certificati root di questi dispositivi, necessari per connettersi a Internet in modo sicuro, stanno scadendo.
"I dispositivi devono sapere di cosa fidarsi, quindi il certificato radice è integrato nel dispositivo come strumento di autenticazione", spiega Scott Helme, un ricercatore di sicurezza che ha scritto ampiamente sul problema della scadenza del certificato radice. "Una volta che il dispositivo è in circolazione, tenta di chiamare 'home' - un'API o il server del produttore - e controlla questo certificato radice per dire: 'Sì, mi sto connettendo a questa cosa sicura e corretta.' Essenzialmente [un certificato root è] un trust Anchor, un quadro di riferimento attraverso il quale il dispositivo sa con cosa sta parlando."
In pratica questa autenticazione è come una rete o una catena. Le autorità di certificazione (CA) emettono tutti i tipi di certificati digitali e le entità “dialogano” tra loro, a volte a più livelli. Ma il primo e più importante anello di questa catena è sempre il certificato radice. Senza di esso, nessuno dei livelli superiori potrebbe rendere possibili le connessioni. Pertanto, se un certificato radice smette di funzionare, il dispositivo non può autenticare la connessione e non si collegherà a Internet.
Ecco il problema: il concetto del Web crittografato si è sviluppato intorno al 2000 e i certificati root tendono ad essere validi per circa 20-25 anni. Nel 2022, quindi, siamo nel bel mezzo di quel periodo di scadenza.
Le CA hanno emesso numerosi nuovi certificati radice negli ultimi due decenni e più, ovviamente ben prima della scadenza. Funziona bene nel mondo dei dispositivi personali, dove la maggior parte delle persone passa spesso a nuovi telefoni e fa clic per aggiornare i propri laptop, in modo da avere questi certificati più recenti. Ma in azienda può essere molto più impegnativo o addirittura impossibile aggiornare un dispositivo e in settori come quello manifatturiero, le macchine potrebbero effettivamente essere ancora in fabbrica 20-25 anni dopo.
Senza una connessione Internet, "questi dispositivi non valgono nulla", afferma Kevin Bocek, vicepresidente della strategia di sicurezza e dell'intelligence sulle minacce presso Venafi, fornitore di servizi di gestione delle identità delle macchine. "Diventano essenzialmente dei mattoni [quando i loro certificati root scadono]: non possono più fidarsi del cloud, non possono ricevere comandi, non possono inviare dati, non possono accettare aggiornamenti software. Questo è un rischio reale, soprattutto se sei un produttore o un operatore di qualche tipo."
Un colpo d'avvertimento
Il rischio non è teorico. Il 30 settembre un certificato root emesso dalla massiccia CA Let's Encrypt scaduto - e diversi servizi su Internet si sono interrotti. La scadenza non è stata una sorpresa, poiché Let's Encrypt avvisava da tempo i propri clienti di aggiornarsi a un nuovo certificato.
Tuttavia, Helme ha scritto in a post sul blog 10 giorni prima della scadenza, "Scommetto che alcune cose probabilmente si romperanno quel giorno." Lui aveva ragione. Alcuni servizi di Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 e molte altre aziende hanno fallito.
"E la cosa strana", dice Helme a Dark Reading, "è che i luoghi che utilizzano Let's Encrypt sono per definizione molto moderni: non puoi semplicemente andare sul loro sito web, pagare $ 10 e scaricare il certificato a mano. Deve essere fatto da una macchina o tramite la loro API. Questi utenti erano avanzati ed era ancora un grosso problema. Quindi cosa succede quando vediamo [scadenze] dalle CA più legacy che hanno questi clienti di grandi aziende? Sicuramente l’effetto a catena sarà maggiore”.
Il percorso in avanti
Ma con alcuni cambiamenti, questo effetto a catena non deve necessariamente verificarsi, afferma Bocek di Venafi, che vede la sfida come una questione di conoscenza e catena di comando, quindi vede soluzioni sia nella consapevolezza che nella collaborazione iniziale.
"Sono davvero entusiasta quando vedo i responsabili della sicurezza e i loro team essere coinvolti a livello di produttore e sviluppatore", afferma Bocek. "La domanda non è solo: 'Possiamo sviluppare qualcosa che sia sicuro?' ma "Possiamo continuare a gestirlo?" C'è spesso una responsabilità condivisa per il funzionamento di questi dispositivi connessi di alto valore, quindi dobbiamo essere chiari su come gestirlo come azienda."
Conversazioni simili si stanno verificando nel settore delle infrastrutture, afferma Marty Edwards, vice CTO per la tecnologia operativa e l'IoT di Tenable. È un ingegnere industriale di professione che ha lavorato con società di servizi pubblici e con il Dipartimento per la Sicurezza Nazionale degli Stati Uniti.
"Francamente, nello spazio industriale con servizi pubblici e fabbriche, qualsiasi evento che porti a un'interruzione o a una perdita di produzione è preoccupante", afferma Edwards. "Quindi in questi circoli specialistici gli ingegneri e gli sviluppatori stanno sicuramente esaminando gli impatti [dei certificati root in scadenza] e come possiamo risolverli."
Sebbene Edwards sottolinei di essere “ottimista” riguardo a tali conversazioni e alla spinta per considerazioni sulla sicurezza informatica durante il processo di appalto, ritiene che sia necessaria anche una maggiore supervisione normativa.
"Qualcosa come uno standard di cura di base che forse include un linguaggio su come mantenere l'integrità di un sistema di certificazione", afferma Edwards. "Ci sono state discussioni tra vari gruppi di standardizzazione e governi sulla tracciabilità dei dispositivi mission-critical, ad esempio."
Per quanto riguarda Helme, gli piacerebbe vedere le macchine aziendali impostate per gli aggiornamenti in un modo realistico e non arduo per l'utente o il produttore: un nuovo certificato rilasciato e un aggiornamento scaricato ogni cinque anni, forse. Ma i produttori non saranno incentivati a farlo a meno che i clienti aziendali non lo spingano, osserva.
"In generale, penso che questo sia qualcosa che l'industria deve risolvere", concorda Edwards. “La buona notizia è che la maggior parte di queste sfide non sono necessariamente tecnologiche. Si tratta più di sapere come funziona il tutto e di mettere in atto le persone e le procedure giuste."
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
