Korenska potrdila, ki potečejo, ogrožajo internet stvari v podjetju

Toliko vsakdanjih predmetov v razvitem svetu je zdaj povezanih z internetom, pogosto nerazložljivo. Dodaja še eno plast potencialne tehnološke okvare, ki je za osebne aparate lahko nekaj zabavne nadloge: senčila, ki se ne odpre, mikrovalovne pečice, ki ne prilagajajte se časovnim spremembam, hladilniki, ki potrebujejo posodobitve vdelane programske opreme.

Toda v podjetju, ko naprave interneta stvari odpovejo, to ni šala na Twitterju. Tovarniški montažni trakovi se ustavijo. Merilniki srčnega utripa v bolnišnicah preklopijo brez povezave. Osnovnošolske pametne table zatemnijo.

Napake pametnih naprav so vse večje tveganje v podjetniškem svetu, ne samo zaradi pogosto obravnavani varnostni pomisleki. To je zato, ker nekaterim od teh naprav korenska potrdila, ki so potrebna za varno povezavo z internetom, potečejo.

»Naprave morajo vedeti, čemu zaupati, zato je korensko potrdilo vgrajeno v napravo kot orodje za preverjanje pristnosti,« pojasnjuje Scott Helme, varnostni raziskovalec, obširno napisano o težavi s potekom korenskega potrdila. »Ko je naprava v divjini, poskuša poklicati 'domačo' - API ali proizvajalčev strežnik - in preveri to korensko potrdilo, da reče: 'Da, povezujem se s to pravilno varno stvarjo.' V bistvu [korensko potrdilo je] sidro zaupanja, referenčni okvir za napravo, da ve, s čim se pogovarja.«

V praksi je ta avtentikacija kot splet ali veriga. Certifikacijski organi (CA) izdajajo vse vrste digitalnih potrdil, subjekti pa se »pogovarjajo« med seboj, včasih na več ravneh. Toda prvi in ​​najpomembnejši člen te verige je vedno korensko potrdilo. Brez tega nobena od zgornjih ravni ne bi mogla omogočiti povezav. Torej, če korensko potrdilo preneha delovati, naprava ne more preveriti pristnosti povezave in se ne poveže z internetom.

Tu je težava: koncept šifriranega spleta se je razvil okoli leta 2000 — in korenska potrdila so običajno veljavna približno 20 do 25 let. Leta 2022 smo torej ravno sredi tega obdobja izteka.

CA-ji so izdali veliko novih korenskih potrdil v zadnjih dveh in več desetletjih, seveda precej pred potekom. To dobro deluje v svetu osebnih naprav, kjer večina ljudi pogosto nadgradi na nove telefone in klikne, da posodobi svoje prenosnike, da bi imeli te novejše certifikate. Toda v podjetju je lahko veliko bolj zahtevno ali celo nemogoče posodobiti napravo - in v sektorjih, kot je proizvodnja, so lahko stroji res še vedno v tovarniških prostorih 20 do 25 let pozneje.

Brez internetne povezave »te naprave niso nič vredne,« pravi Kevin Bocek, podpredsednik varnostne strategije in obveščanja o grožnjah pri Venafiju, ponudniku storitev upravljanja identitete stroja. »V bistvu postanejo opeke [ko potečejo njihovi korenski certifikati]: ne morejo več zaupati oblaku, ne morejo sprejemati ukazov, ne morejo pošiljati podatkov, ne morejo sprejemati posodobitev programske opreme. To je resnično tveganje, zlasti če ste proizvajalec ali nekakšen operater.«

Opozorilni strel

Tveganje ni teoretično. 30. septembra korensko potrdilo, ki ga je izdal ogromen CA Let's Encrypt potekel — in več storitev po internetu je počilo. Potek veljavnosti ni bil presenečenje, saj je Let's Encrypt že dolgo opozarjal svoje stranke, naj posodobijo na novo potrdilo.

Kljub temu je Helme zapisal v a blog post 10 dni pred iztekom, "Stavim, da se bo na ta dan nekaj stvari verjetno pokvarilo." Imel je prav. Nekatere storitve Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 in mnogih drugih podjetij niso uspele.

»In nenavadna stvar pri tem,« Helme pove Dark Readingu, »je, da so mesta, ki uporabljajo Let's Encrypt, po definiciji zelo moderna – ne morete kar iti na njihovo spletno stran in plačati svojih 10 $ ter ročno prenesti svojega certifikata. To mora storiti stroj ali prek njihovega API-ja. Ti uporabniki so bili napredni in še vedno je bil res velik problem. Torej, kaj se zgodi, ko opazimo [poteke] pri bolj podedovanih overiteljih potrdil, ki imajo te velike poslovne stranke? Zagotovo bo stranski učinek večji.«

Pot naprej

Vendar z nekaterimi spremembami ni nujno, da pride do tega posrednega učinka, pravi Bocek iz Venafija, ki vidi izziv kot znanje in verigo poveljevanja – zato vidi rešitve tako v zavedanju kot v zgodnjem sodelovanju.

»Zelo sem navdušen, ko vidim, da glavni varnostni uradniki in njihove ekipe sodelujejo na ravni proizvajalca in razvijalca,« pravi Bocek. "Vprašanje ni le, ali lahko razvijemo nekaj, kar je varno?" ampak 'Ali ga lahko še naprej upravljamo?' Pogosto obstaja deljena odgovornost za delovanje teh povezanih naprav visoke vrednosti, zato moramo biti jasni, kako bomo kot podjetje to obravnavali.«

Podobni pogovori potekajo v infrastrukturnem sektorju, pravi Marty Edwards, namestnik tehničnega direktorja za operativno tehnologijo in internet stvari pri Tenable. Po poklicu je industrijski inženir, ki je delal z komunalnimi podjetji in ameriškim ministrstvom za domovinsko varnost.

»Odkrito povedano, v industrijskem prostoru z javnimi službami in tovarnami je vsak dogodek, ki povzroči izpad proizvodnje ali izgubo, zaskrbljujoč,« pravi Edwards. "Torej v teh specializiranih krogih inženirji in razvijalci zagotovo preučujejo vplive [pretečenih korenskih potrdil] in kako jih lahko popravimo."

Čeprav Edwards poudarja, da je "optimističen" glede teh pogovorov in prizadevanja za kibernetsko varnost med postopkom javnega naročanja, meni, da je potreben tudi večji regulativni nadzor.

"Nekaj ​​podobnega osnovnemu standardu oskrbe, ki morda vključuje jezik o tem, kako ohraniti celovitost sistema potrdil," pravi Edwards. "Med različnimi skupinami za standarde in vladami so na primer potekale razprave o sledljivosti za kritične naprave."

Kar se tiče Helmeja, bi rad videl, da so poslovni stroji nastavljeni na posodobitve na način, ki je realističen in ni naporen za uporabnika ali proizvajalca – morda se izda nov certifikat in prenese posodobitev vsakih pet let. Toda proizvajalci ne bodo spodbujeni, da to storijo, razen če si tega prizadevajo poslovne stranke, ugotavlja.

"Na splošno mislim, da je to nekaj, kar mora industrija popraviti," se strinja Edwards. »Dobra novica je, da večina teh izzivov ni nujno tehnoloških. Gre bolj za to, da vemo, kako vse deluje, in da imamo prave ljudi in postopke.«