Så mange hverdagslige gjenstander i den utviklede verden er nå koblet til Internett, ofte uforklarlig. Det legger til enda et lag med potensiell teknologisvikt som for personlige apparater kan være noe av en morsom irritasjon: persienner som åpner ikke, mikrobølgeovner som ikke juster for tidsendringer, kjøleskap at trenger fastvareoppdateringer.
Men i bedriften, når Internet of Things-enheter svikter, er det ingen spøk med Twitter-tråd. Fabrikkens samlebånd stopper opp. Pulsmålere på sykehus slår frakoblet. Barneskoles smarte tavler blir mørke.
Feil på smartenheter er en økende risiko i bedriftsverdenen, og ikke bare på grunn av ofte diskuterte sikkerhetsproblemer. Det er fordi noen av disse enhetenes rotsertifikater – som er nødvendige for at de skal kobles til Internett på en sikker måte – utløper.
"Enheter må vite hva de skal stole på, så rotsertifikatet er innebygd i enheten som et autentiseringsverktøy," forklarer Scott Helme, en sikkerhetsforsker som har skrevet mye om problemet med rotsertifikatets utløp. "Når enheten er ute i naturen, prøver den å ringe 'hjem' - en API eller produsentens server - og den sjekker mot dette rotsertifikatet for å si: 'Ja, jeg kobler til denne riktige sikre tingen.' I hovedsak er [et rotsertifikat] et tillitsanker, en referanseramme for enheten å vite hva den snakker til.»
I praksis er denne autentiseringen som en nett eller en kjede. Sertifiseringsmyndigheter (CAer) utsteder alle slags digitale sertifikater, og enhetene "snakker" med hverandre, noen ganger med flere nivåer. Men det første og mest sentrale leddet i denne kjeden er alltid rotsertifikatet. Uten den kunne ingen av nivåene ovenfor gjøre tilkoblingene mulig. Så hvis et rotsertifikat slutter å fungere, kan ikke enheten autentisere tilkoblingen og vil ikke koble til Internett.
Her er problemet: Konseptet med det krypterte nettet utviklet seg rundt 2000 – og rotsertifikater har en tendens til å være gyldige i omtrent 20 til 25 år. I 2022 er vi altså midt i den utløpsperioden.
CA-er har utstedt mange nye rotsertifikater de siste to pluss tiårene, selvfølgelig, i god tid før utløp. Det fungerer bra i den personlige enhetsverdenen, der de fleste ofte oppgraderer til nye telefoner og klikker for å oppdatere bærbare datamaskiner, slik at de vil ha disse nyere sertifikatene. Men i bedriften kan det være langt mer utfordrende eller til og med umulig å oppdatere en enhet – og i sektorer som produksjon kan maskinene faktisk fortsatt være på fabrikkgulvet 20 til 25 år senere.
Uten internettforbindelse er "disse enhetene ikke verdt noe," sier Kevin Bocek, visepresident for sikkerhetsstrategi og trusseletterretning hos Venafi, leverandør av tjenester for maskinidentitetsadministrasjon. "De blir i hovedsak murstein [når rotsertifikatene deres utløper]: De kan ikke stole på skyen lenger, kan ikke ta kommandoer, kan ikke sende data, kan ikke ta programvareoppdateringer. Det er en reell risiko, spesielt hvis du er en produsent eller en operatør av noe slag.»
Et varselskudd
Risikoen er ikke teoretisk. 30. september, et rotsertifikat utstedt av den massive CA La oss kryptere utløpt - og flere tjenester på Internett gikk i stykker. Utløpet var ikke en overraskelse, ettersom Let's Encrypt lenge hadde advart kundene sine om å oppdatere til et nytt sertifikat.
Likevel skrev Helme i en blogginnlegg 10 dager før utløpet, "Jeg satser på at noen ting sannsynligvis vil gå i stykker den dagen." Han hadde rett. Noen tjenester fra Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 og mange flere selskaper mislyktes.
"Og det rare med det," sier Helme til Dark Reading, "er at stedene som bruker Let's Encrypt er per definisjon veldig moderne - du kan ikke bare gå til nettsiden deres og betale $10 og laste ned sertifikatet for hånd. Det må gjøres av en maskin eller via deres API. Disse brukerne var avanserte, og det var fortsatt et veldig stort problem. Så hva skjer når vi ser [utløp] fra de mer eldre CA-ene som har disse store bedriftskunder? Sikkert vil utslagseffekten være større.»
Stien frem
Men med noen endringer trenger ikke den avsmittende effekten å skje, sier Venafis Bocek, som ser på utfordringen som en av kunnskap og kommandokjede - så han ser løsninger i både bevissthet og tidlig samarbeid.
"Jeg er veldig spent når jeg ser sikkerhetssjefer og teamene deres engasjere seg på produsent- og utviklernivå," sier Bocek. «Spørsmålet er ikke bare: 'Kan vi utvikle noe som er trygt?' men "Kan vi fortsette å betjene den?" Det er ofte et delt ansvar for driften av disse høyverdi tilkoblede enhetene, så vi må være tydelige på hvordan vi skal håndtere det som en bedrift.»
Lignende samtaler skjer i infrastruktursektoren, sier Marty Edwards, nestleder CTO for operasjonell teknologi og IoT hos Tenable. Han er industriingeniør av yrke som har jobbet med forsyningsselskaper og det amerikanske departementet for hjemmesikkerhet.
"Helt ærlig, i det industrielle området med verktøy og fabrikker, er enhver hendelse som fører til produksjonsstans eller tap bekymrende," sier Edwards. "Så i disse spesialitetskretsene ser ingeniørene og utviklerne absolutt på virkningene [av utløpende rotsertifikater] og hvordan vi kan fikse dem."
Selv om Edwards understreker at han er "optimistisk" angående disse samtalene og presset for cybersikkerhetshensyn under anskaffelsesprosessen, mener han at det også er behov for mer regulatorisk tilsyn.
"Noe som en grunnleggende standard for omsorg som kanskje inkluderer språk om hvordan man opprettholder integriteten til et sertifikatsystem," sier Edwards. "Det har vært diskusjoner mellom forskjellige standardgrupper og myndigheter om sporbarhet for oppdragskritiske enheter, for eksempel."
Når det gjelder Helme, vil han gjerne se bedriftsmaskiner satt for oppdateringer på en måte som er realistisk og ikke vanskelig for brukeren eller produsenten - et nytt sertifikat utstedt og oppdatering lastet ned hvert femte år, kanskje. Men produsenter vil ikke bli motivert til å gjøre det med mindre bedriftskunder presser på for det, bemerker han.
"Generelt tror jeg at dette er noe industrien må fikse," sier Edwards enig. «Den gode nyheten er at de fleste av disse utfordringene ikke nødvendigvis er teknologiske. Det handler mer om å vite hvordan alt fungerer, og å få på plass de rette menneskene og prosedyrene.»
