Så många vardagliga föremål i den utvecklade världen är nu anslutna till Internet, ofta oförklarligt. Det lägger till ytterligare ett lager av potentiella tekniska misslyckanden som för personliga apparater kan vara något av en underhållande irritation: persienner som öppnas inte, mikrovågor som justera inte för tidsförändringar, kylskåp att behöver firmwareuppdateringar.
Men i företaget, när Internet of Things-enheter misslyckas, är det inget skämt på Twitter. Fabrikens löpande band stannar. Pulsmätare på sjukhus växlar offline. Grundskolans smarta brädor blir mörka.
Fel på smarta enheter är en ökande risk i företagsvärlden, och inte bara på grund av ofta diskuterade säkerhetsproblem. Det beror på att vissa av dessa enheters rotcertifikat – nödvändiga för att de ska kunna ansluta till Internet på ett säkert sätt – löper ut.
"Enheter måste veta vad de ska lita på, så rotcertifikatet är inbyggt i enheten som ett autentiseringsverktyg", förklarar Scott Helme, en säkerhetsforskare som har skrivit mycket om problemet med rotcertifikatets utgång. "När enheten är ute i naturen försöker den ringa 'hem' - ett API eller tillverkarens server - och den kontrollerar mot detta rotcertifikat för att säga, 'Ja, jag ansluter till den här korrekta säkra saken.' I huvudsak är [ett rotcertifikat] ett förtroendeankare, en referensram för enheten att veta vad den talar till."
I praktiken är denna autentisering som en webb eller en kedja. Certifikatmyndigheter (CA) utfärdar alla typer av digitala certifikat, och enheterna "pratar" med varandra, ibland på flera nivåer. Men den första och mest centrala länken i denna kedja är alltid rotcertifikatet. Utan den skulle ingen av nivåerna ovan kunna göra anslutningarna möjliga. Så om ett rotcertifikat slutar fungera kan enheten inte autentisera anslutningen och länkar inte till Internet.
Här är problemet: Konceptet med den krypterade webben utvecklades runt 2000 - och rotcertifikat tenderar att vara giltiga i cirka 20 till 25 år. År 2022 är vi alltså mitt i den utgångsperioden.
CA har utfärdat massor av nya rotcertifikat under de senaste två plus decennierna, naturligtvis långt före utgången. Det fungerar bra i den personliga enhetsvärlden, där de flesta ofta uppgraderar till nya telefoner och klickar för att uppdatera sina bärbara datorer, så att de skulle ha dessa nyare certifikat. Men i företaget kan det vara mycket mer utmanande eller till och med omöjligt att uppdatera en enhet - och inom sektorer som tillverkning kan maskiner fortfarande vara på fabriken 20 till 25 år senare.
Utan en internetanslutning är "dessa enheter inte värda någonting", säger Kevin Bocek, vice vd för säkerhetsstrategi och hotintelligens på Venafi, leverantör av tjänster för maskinidentitetshantering. "De blir i grunden klossar [när deras rotcertifikat går ut]: De kan inte lita på molnet längre, kan inte ta kommandon, kan inte skicka data, kan inte ta emot programuppdateringar. Det är en verklig risk, särskilt om du är en tillverkare eller en operatör av något slag.”
Ett varningsskott
Risken är inte teoretisk. Den 30 september, ett rotcertifikat utfärdat av den massiva CA Låt oss kryptera gått ut — och flera tjänster över Internet gick sönder. Förfallotiden var inte en överraskning, eftersom Let's Encrypt länge hade varnat sina kunder att uppdatera till ett nytt certifikat.
Ändå skrev Helme i en blogginlägg 10 dagar innan utgången, "Jag slår vad om att några saker förmodligen kommer att gå sönder den dagen." Han hade rätt. Vissa tjänster från Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 och många fler företag misslyckades.
"Och det konstiga med det", säger Helme till Dark Reading, "är att de platser som använder Let's Encrypt är per definition väldigt moderna - du kan inte bara gå till deras hemsida och betala dina $10 och ladda ner ditt certifikat för hand. Det måste göras av en maskin eller via deras API. Dessa användare var avancerade, och det var fortfarande ett riktigt stort problem. Så vad händer när vi ser [utgångar] från de mer äldre CA:erna som har dessa stora företagskunder? Säkert kommer genomslagseffekten att bli större.”
Vägen framåt
Men med vissa förändringar behöver inte den där utlösningseffekten hända, säger Venafis Bocek, som ser utmaningen som en utmaning med kunskap och kommandokedja – så han ser lösningar i både medvetenhet och tidigt samarbete.
"Jag är verkligen exalterad när jag ser säkerhetschefer och deras team engagera sig på tillverkare och utvecklarnivå", säger Bocek. "Frågan är inte bara "Kan vi utveckla något som är säkert?" men "Kan vi fortsätta att driva det?" Det finns ofta ett delat ansvar för driften av dessa högvärdiga uppkopplade enheter, så vi måste vara tydliga med hur vi ska hantera det som företag.”
Liknande samtal sker inom infrastruktursektorn, säger Marty Edwards, biträdande CTO för operativ teknik och IoT på Tenable. Han är en industriingenjör till yrket som har arbetat med allmännyttiga företag och USA:s Department of Homeland Security.
"Helt ärligt talat, i det industriella utrymmet med verktyg och fabriker är varje händelse som leder till produktionsavbrott eller förlust oroande," säger Edwards. "Så i dessa specialkretsar tittar ingenjörerna och utvecklarna verkligen på effekterna [av utgående rotcertifikat] och hur vi kan fixa dem."
Även om Edwards betonar att han är "optimistisk" om dessa konversationer och strävan efter cybersäkerhetsöverväganden under upphandlingsprocessen, tror han att det också behövs mer tillsyn av lagstiftningen.
"Något i stil med en grundläggande standard för omsorg som kanske inkluderar språk om hur man upprätthåller integriteten hos ett certifikatsystem", säger Edwards. "Det har förekommit diskussioner mellan olika standardgrupper och regeringar om spårbarhet för till exempel verksamhetskritiska enheter."
När det gäller Helme skulle han älska att se företagsmaskiner inställda för uppdateringar på ett sätt som är realistiskt och inte besvärligt för användaren eller tillverkaren - ett nytt certifikat som utfärdas och uppdatering laddas ner vart femte år, kanske. Men tillverkare kommer inte att få incitament att göra det om inte företagskunder trycker på för det, noterar han.
"I allmänhet tror jag att det här är något som branschen behöver fixa", håller Edwards med. "Den goda nyheten är att de flesta av dessa utmaningar inte nödvändigtvis är tekniska. Det handlar mer om att veta hur allt fungerar och att få rätt personer och rutiner på plats.”
