Zoveel alledaagse voorwerpen in de ontwikkelde wereld zijn nu verbonden met internet, vaak op onverklaarbare wijze. Het voegt nog een laag van potentieel technologisch falen toe die voor persoonlijke apparaten een amusante ergernis kan zijn: zonwering die gaat niet open, magnetrons dat pas je niet aan aan tijdsveranderingen, koelkasten dat firmware-updates nodig.
Maar als in de onderneming Internet of Things-apparaten uitvallen, is dat geen grapje in Twitter-threads. Assemblagelijnen in fabrieken komen tot stilstand. Hartslagmeters in ziekenhuizen schakelen offline. De smartboards van de basisschool worden donker.
Storingen in slimme apparaten vormen een steeds groter risico in de bedrijfswereld, en niet alleen vanwege de veelbesproken veiligheidsproblemen. De reden hiervoor is dat de rootcertificaten van sommige van deze apparaten, die nodig zijn om veilig verbinding te kunnen maken met internet, verlopen.
โApparaten moeten weten wat ze kunnen vertrouwen, daarom is het rootcertificaat in het apparaat ingebouwd als authenticatietoolโ, legt Scott Helme uit, een beveiligingsonderzoeker die uitgebreid geschreven over het probleem met het verlopen van het rootcertificaat. โAls het apparaat eenmaal in het wild is, probeert het โthuisโ te bellen โ een API of de server van de fabrikant โ en controleert het dit rootcertificaat om te zeggen: โJa, ik maak verbinding met dit juiste beveiligde ding.โ In wezen [een root] certificaat is] een vertrouwensanker, een referentiekader waarmee het apparaat weet waar het tegen praat.โ
In de praktijk is deze authenticatie als een web of een ketting. Certificaatautoriteiten (CAโs) geven allerlei digitale certificaten uit, en de entiteiten โpratenโ met elkaar, soms op meerdere niveaus. Maar de eerste en belangrijkste schakel van deze keten is altijd het rootcertificaat. Zonder dit zou geen van de bovenstaande niveaus de verbindingen mogelijk kunnen maken. Dus als een rootcertificaat niet meer werkt, kan het apparaat de verbinding niet verifiรซren en kan het geen verbinding maken met internet.
Dit is het probleem: het concept van het gecodeerde web is rond 2000 ontwikkeld โ en rootcertificaten zijn doorgaans zoโn 20 tot 25 jaar geldig. In 2022 zitten we dus midden in die vervalperiode.
De CA's hebben de afgelopen twintig jaar uiteraard veel nieuwe rootcertificaten uitgegeven, ruim vรณรณr de vervaldatum. Dat werkt goed in de wereld van persoonlijke apparaten, waar de meeste mensen regelmatig upgraden naar nieuwe telefoons en klikken om hun laptops bij te werken, zodat ze over deze nieuwere certificaten beschikken. Maar in ondernemingen kan het veel uitdagender of zelfs onmogelijk zijn om een โโapparaat te updaten โ en in sectoren als de productie kunnen machines 20 tot 25 jaar later inderdaad nog steeds op de fabrieksvloer staan.
Zonder een internetverbinding โzijn deze apparaten niets waardโ, zegt Kevin Bocek, vice-president van beveiligingsstrategie en bedreigingsinformatie bij Venafi, leverancier van diensten voor machine-identiteitsbeheer. โZe worden in wezen stenen [wanneer hun rootcertificaten verlopen]: ze kunnen de cloud niet meer vertrouwen, kunnen geen opdrachten aannemen, kunnen geen gegevens verzenden, kunnen geen software-updates accepteren. Dat is een reรซel risico, vooral als je een fabrikant of een of andere exploitant bent.โ
Een waarschuwingsschot
Het risico is niet theoretisch. Op 30 september werd een rootcertificaat uitgegeven door de enorme CA Laten we versleutelen verlopen - en verschillende diensten op internet zijn kapot gegaan. De vervaldatum was geen verrassing, aangezien Letโs Encrypt zijn klanten al lang waarschuwde om te updaten naar een nieuw certificaat.
Toch schreef Helme in a blogpost Tien dagen vรณรณr de vervaldatum: โIk wed dat er die dag waarschijnlijk een paar dingen kapot zullen gaan.โ Hij had gelijk. Sommige services van Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth10 en nog veel meer bedrijven faalden.
โEn het vreemde daaraan,โ vertelt Helme aan Dark Reading, โis dat de plaatsen die Letโs Encrypt gebruiken per definitie heel modern zijn โ je kunt niet zomaar naar hun website gaan, je $ 10 betalen en je certificaat met de hand downloaden. Het moet worden gedaan door een machine of via hun API. Deze gebruikers waren geavanceerd en het was nog steeds een heel groot probleem. Dus wat gebeurt er als we [vervaldatums] zien van de meer oudere CA's die deze grote zakelijke klanten hebben? Het domino-effect zal zeker groter zijn.โ
Het pad vooruit
Maar met sommige veranderingen hoeft dat domino-effect niet te gebeuren, zegt Bocek van Venafi, die de uitdaging beschouwt als een uitdaging van kennis en commandostructuur โ hij ziet dus oplossingen in zowel bewustzijn als vroege samenwerking.
โIk ben erg opgewonden als ik zie dat hoofdveiligheidsfunctionarissen en hun teams betrokken raken op het niveau van de fabrikant en de ontwikkelaarโ, zegt Bocek. โDe vraag is niet alleen: โKunnen we iets ontwikkelen dat veilig is?โ, maar ook: โKunnen we het blijven gebruiken?โ Er is vaak een gedeelde verantwoordelijkheid voor de bediening van deze hoogwaardige verbonden apparaten, dus we moeten duidelijk zijn over hoe Dat gaan we als bedrijf aanpakken.โ
Soortgelijke gesprekken vinden plaats in de infrastructuursector, zegt Marty Edwards, plaatsvervangend CTO voor operationele technologie en IoT bij Tenable. Hij is industrieel ingenieur van beroep en heeft gewerkt voor nutsbedrijven en het Amerikaanse ministerie van Binnenlandse Veiligheid.
โEerlijk gezegd is in de industriรซle ruimte met nutsvoorzieningen en fabrieken elke gebeurtenis die leidt tot productieuitval of -verlies zorgwekkendโ, zegt Edwards. โDus in deze gespecialiseerde kringen kijken de ingenieurs en ontwikkelaars zeker naar de gevolgen [van aflopende rootcertificaten] en hoe we deze kunnen oplossen.โ
Hoewel Edwards benadrukt dat hij โoptimistischโ is over deze gesprekken en de nadruk op cyberveiligheidsoverwegingen tijdens het aanbestedingsproces, is hij van mening dat er ook meer toezicht nodig is.
โZoiets als een basiszorgstandaard, die misschien taal bevat over hoe de integriteit van een certificatensysteem behouden kan blijvenโ, zegt Edwards. โEr zijn bijvoorbeeld discussies geweest tussen verschillende standaardgroepen en overheden over de traceerbaarheid van bedrijfskritische apparaten.โ
Wat Helme betreft, hij zou graag zien dat bedrijfsmachines worden ingesteld op updates op een manier die realistisch is en niet lastig voor de gebruiker of de fabrikant: misschien wordt er elke vijf jaar een nieuw certificaat uitgegeven en een update gedownload. Maar fabrikanten zullen daartoe niet gestimuleerd worden, tenzij zakelijke klanten daar op aandringen, merkt hij op.
โOver het algemeen denk ik dat dit iets is dat de industrie moet oplossenโ, beaamt Edwards. โHet goede nieuws is dat de meeste van deze uitdagingen niet noodzakelijkerwijs technologisch van aard zijn. Het gaat er meer om dat je weet hoe het allemaal werkt, en dat je de juiste mensen en procedures daarvoor in huis haalt.โ
