Muitos itens de uso diário no mundo desenvolvido estão agora conectados à Internet, muitas vezes de forma inexplicável. Acrescenta outra camada de potencial falha tecnológica que, para aparelhos pessoais, pode ser um aborrecimento divertido: persianas que não vai abrir, microondas que não se ajuste às mudanças de horário, refrigeradores que preciso de atualizações de firmware.
Mas nas empresas, quando os dispositivos da Internet das Coisas falham, não é uma piada no Twitter. As linhas de montagem das fábricas estão paralisadas. Monitores de frequência cardíaca em hospitais ficam off-line. Os quadros inteligentes do ensino fundamental ficam escuros.
As falhas de dispositivos inteligentes são um risco crescente no mundo empresarial, e não apenas por causa do preocupações de segurança frequentemente discutidas. Isso ocorre porque alguns dos certificados raiz desses dispositivos – necessários para que eles se conectem à Internet com segurança – estão expirando.
“Os dispositivos precisam saber em que confiar, por isso o certificado raiz é integrado ao dispositivo como uma ferramenta de autenticação”, explica Scott Helme, pesquisador de segurança que escrito extensivamente sobre o problema de expiração do certificado raiz. "Uma vez que o dispositivo está disponível, ele tenta chamar 'home' — uma API ou servidor do fabricante — e verifica esse certificado raiz para dizer: 'Sim, estou me conectando a esta coisa segura e correta.' Essencialmente [uma raiz]. o certificado é] uma âncora de confiança, um quadro de referência para o dispositivo saber com o que está falando.”
Na prática esta autenticação é como uma teia ou uma cadeia. As autoridades certificadoras (CAs) emitem todos os tipos de certificados digitais, e as entidades “conversam” entre si, às vezes em vários níveis. Mas o primeiro e mais importante elo desta cadeia é sempre o certificado raiz. Sem ele, nenhum dos níveis acima poderia tornar possíveis as conexões. Portanto, se um certificado raiz parar de funcionar, o dispositivo não poderá autenticar a conexão e não se conectará à Internet.
Aqui está o problema: o conceito de Web criptografada foi desenvolvido por volta de 2000 – e os certificados raiz tendem a ser válidos por cerca de 20 a 25 anos. Em 2022, então, estaremos bem no meio desse período de expiração.
As CAs emitiram muitos novos certificados raiz nas últimas duas décadas, é claro, bem antes de expirarem. Isso funciona bem no mundo dos dispositivos pessoais, onde a maioria das pessoas atualiza frequentemente para novos telefones e clica para atualizar seus laptops, para que tenham esses certificados mais recentes. Mas nas empresas, pode ser muito mais desafiante ou mesmo impossível atualizar um dispositivo – e em setores como o da indústria transformadora, as máquinas podem, de facto, ainda estar no chão de fábrica 20 a 25 anos depois.
Sem uma conexão com a Internet, “esses dispositivos não valem nada”, diz Kevin Bocek, vice-presidente de estratégia de segurança e inteligência de ameaças da Venafi, fornecedora de serviços de gerenciamento de identidade de máquinas. “Eles essencialmente se tornam tijolos [quando seus certificados raiz expiram]: eles não podem mais confiar na nuvem, não podem receber comandos, não podem enviar dados, não podem receber atualizações de software. Isso é um risco real, especialmente se você for um fabricante ou operador de algum tipo.”
Um tiro de advertência
O risco não é teórico. Em 30 de setembro, um certificado raiz emitido pela enorme CA Let’s Encrypt expirou - e vários serviços na Internet quebraram. A expiração não foi uma surpresa, já que a Let’s Encrypt vinha alertando seus clientes há muito tempo para atualizarem para um novo certificado.
Ainda assim, Helme escreveu em um no blog 10 dias antes do vencimento, “Aposto que algumas coisas provavelmente quebrarão naquele dia”. Ele estava certo. Alguns serviços da Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 e muitas outras empresas falharam.
“E o mais estranho sobre isso”, diz Helme ao Dark Reading, “é que os lugares que usam o Let’s Encrypt são, por definição, muito modernos – você não pode simplesmente acessar o site deles, pagar US$ 10 e baixar seu certificado manualmente. Tem que ser feito por uma máquina ou através de sua API. Esses usuários eram avançados e ainda era um grande problema. Então, o que acontece quando vemos [expirações] de CAs mais legadas que têm esses grandes clientes corporativos? Certamente o efeito indireto será maior.”
O caminho a seguir
Mas com algumas mudanças, esse efeito de arrastamento não tem de acontecer, diz Bocek de Venafi, que vê o desafio como um desafio de conhecimento e cadeia de comando – por isso vê soluções tanto na consciencialização como na colaboração precoce.
“Fico muito animado quando vejo os diretores de segurança e suas equipes se envolvendo tanto no nível do fabricante quanto no desenvolvedor”, diz Bocek. "A questão não é apenas: 'Podemos desenvolver algo que seja seguro?', mas 'Podemos continuar a operá-lo?' Há muitas vezes uma responsabilidade partilhada de operação nestes dispositivos conectados de alto valor, por isso precisamos de ser claros sobre como vamos lidar com isso como um negócio.”
Conversas semelhantes estão acontecendo no setor de infraestrutura, afirma Marty Edwards, CTO adjunto de tecnologia operacional e IoT da Tenable. Ele é engenheiro industrial de profissão e trabalhou com empresas de serviços públicos e com o Departamento de Segurança Interna dos EUA.
“Francamente, no espaço industrial com serviços públicos e fábricas, qualquer evento que leve a uma interrupção ou perda de produção é preocupante”, diz Edwards. “Portanto, nesses círculos especializados, os engenheiros e desenvolvedores certamente estão analisando os impactos [da expiração dos certificados raiz] e como podemos corrigi-los.”
Embora Edwards enfatize que está “otimista” em relação a essas conversas e à pressão por considerações de segurança cibernética durante o processo de aquisição, ele acredita que também é necessária mais supervisão regulatória.
“Algo como um padrão básico de cuidado que talvez inclua linguagem sobre como manter a integridade de um sistema de certificação”, diz Edwards. “Tem havido discussões entre vários grupos de padronização e governos sobre a rastreabilidade de dispositivos de missão crítica, por exemplo.”
Quanto a Helme, ele adoraria ver as máquinas corporativas configuradas para atualizações de uma forma que fosse realista e não árdua para o usuário ou o fabricante – um novo certificado emitido e uma atualização baixada a cada cinco anos, talvez. Mas os fabricantes não serão incentivados a fazer isso, a menos que os clientes empresariais o pressionem, observa ele.
“Em geral, penso que isto é algo que a indústria precisa de corrigir”, concorda Edwards. “A boa notícia é que a maioria desses desafios não é necessariamente tecnológica. É mais uma questão de saber como tudo funciona e colocar em prática as pessoas e os procedimentos certos.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
