Gelişmiş dünyada pek çok günlük eşya artık çoğu zaman açıklanamaz bir şekilde internete bağlı. Bu, kişisel cihazlar için eğlenceli bir rahatsızlık oluşturabilecek potansiyel teknoloji başarısızlığına başka bir katman daha ekliyor: açılmayacak, mikrodalgalar zaman değişikliklerine uyum sağlamayın, buzdolapları Firmware güncellemelerine ihtiyaç var.
Ancak şirketlerde Nesnelerin İnterneti cihazları arızalandığında bu Twitter'da konuşulan bir şaka değildir. Fabrika montaj hatları durma noktasına geldi. Hastanelerdeki kalp atış hızı monitörleri çevrimdışı duruma geçiyor. İlkokul akıllı tahtaları kararıyor.
Akıllı cihaz arızaları kurumsal dünyada giderek artan bir risktir. Sıklıkla tartışılan güvenlik endişeleri. Bunun nedeni, bu cihazlardan bazılarının İnternet'e güvenli bir şekilde bağlanmaları için gerekli olan kök sertifikalarının süresinin dolması.
Güvenlik araştırmacısı Scott Helme, "Cihazların neye güveneceğini bilmesi gerekiyor, bu nedenle kök sertifika, bir kimlik doğrulama aracı olarak cihaza yerleşiktir" diye açıklıyor. Kök sertifikanın geçerlilik süresinin sona ermesi sorunu hakkında kapsamlı bir şekilde yazılmış. “Cihaz kullanıma girdiğinde 'ev'i (bir API veya üreticinin sunucusu) aramaya çalışıyor ve bu kök sertifikayı kontrol ederek 'Evet, bu doğru güvenli şeye bağlanıyorum' diyor. Temelde [bir kök sertifika] bir güven dayanağıdır, cihazın neyle konuştuğunu bilmesi için bir referans çerçevesidir."
Uygulamada bu kimlik doğrulama bir ağ veya zincir gibidir. Sertifika yetkilileri (CA'lar) her türlü dijital sertifikayı yayınlar ve varlıklar bazen birden fazla düzeyde birbirleriyle "konuşur". Ancak bu zincirin ilk ve en temel halkası her zaman kök sertifikadır. O olmadan yukarıdaki seviyelerin hiçbiri bağlantıları mümkün kılamaz. Dolayısıyla, kök sertifika çalışmayı durdurursa cihaz bağlantının kimliğini doğrulayamaz ve İnternet'e bağlanmaz.
Sorun şu: Şifreli Web kavramı 2000 civarında geliştirildi ve kök sertifikalar yaklaşık 20 ila 25 yıl süreyle geçerli olma eğiliminde. O halde 2022'de, bu son kullanma süresinin tam ortasındayız.
CA'lar son yirmi yıldan fazla bir süredir, tabii ki geçerlilik süreleri dolmadan çok sayıda yeni kök sertifika yayınladı. Bu, çoğu insanın sıklıkla yeni telefonlara geçtiği ve dizüstü bilgisayarlarını güncellemek için tıkladığı kişisel cihaz dünyasında işe yarar, böylece bu yeni sertifikalara sahip olurlar. Ancak işletmede bir cihazı güncellemek çok daha zorlu, hatta imkansız olabilir; imalat gibi sektörlerde ise makineler 20 ila 25 yıl sonra hâlâ fabrikada olabilir.
Makine kimlik yönetimi hizmetleri sağlayıcısı Venafi'nin güvenlik stratejisi ve tehdit istihbaratından sorumlu başkan yardımcısı Kevin Bocek, İnternet bağlantısı olmadan "bu cihazların hiçbir değeri yok" diyor. “Aslında [kök sertifikalarının süresi dolduğunda] tuğlaya dönüşüyorlar: Artık buluta güvenemiyorlar, komut alamıyorlar, veri gönderemiyorlar, yazılım güncellemelerini alamıyorlar. Bu gerçek bir risk, özellikle de bir üretici veya bir tür operatörseniz."
Bir Uyarı Atışı
Risk teorik değil. 30 Eylül'de büyük CA tarafından yayınlanan bir kök sertifika Şifreleyelim süresi dolmuş - ve İnternetteki birçok hizmet bozuldu. Let's Encrypt uzun süredir müşterilerini yeni bir sertifikaya güncelleme yapmaları konusunda uyardığı için, bu sürenin sona ermesi sürpriz olmadı.
Yine de Helme şunu yazdı: blog yazısı Son kullanma tarihine 10 gün kala, "İddia ediyorum ki o gün birkaç şey bozulacaktır." Haklıydı. Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 ve daha birçok şirketin bazı hizmetleri başarısız oldu.
Helme, Dark Reading'e şunları söylüyor: "Ve bunda tuhaf olan şey, Let's Encrypt kullanan yerlerin tanım gereği çok modern olması; öylece web sitelerine gidip 10 dolarınızı ödeyip sertifikanızı elle indiremezsiniz. Bunun bir makine tarafından veya API'leri aracılığıyla yapılması gerekir. Bu kullanıcılar ileri seviyedeydi ve bu hâlâ gerçekten büyük bir sorundu. Peki, bu büyük kurumsal müşterilere sahip daha eski CA'ların [son kullanma tarihlerinin] dolduğunu gördüğümüzde ne olur? Elbette zincirleme etkisi daha büyük olacaktır.”
İlerideki Yol
Ancak bazı değişikliklerle bu zincirleme etkinin oluşması gerekmiyor, diyor Venafi'den Bocek, bu zorluğu bilgi ve emir-komuta zincirinden kaynaklanan bir zorluk olarak görüyor ve bu nedenle çözümleri hem farkındalıkta hem de erken işbirliğinde görüyor.
Bocek, "Güvenlik şeflerinin ve ekiplerinin üretici ve geliştirici düzeyinde devreye girdiğini gördüğümde gerçekten heyecanlanıyorum" diyor. “Soru sadece 'Güvenli bir şey geliştirebilir miyiz?' değil. değil, 'İşletmeye devam edebilir miyiz?' Bu yüksek değere sahip bağlantılı cihazların operasyonlarında genellikle ortak bir sorumluluk söz konusudur, dolayısıyla bunu bir işletme olarak nasıl ele alacağımız konusunda net olmamız gerekiyor."
Tenable'ın operasyonel teknoloji ve IoT'den sorumlu CTO yardımcısı Marty Edwards, benzer görüşmelerin altyapı sektöründe de gerçekleştiğini söylüyor. Kendisi kamu hizmeti şirketleri ve ABD İç Güvenlik Bakanlığı ile çalışmış bir endüstri mühendisidir.
Edwards, "Açıkçası, tesislerin ve fabrikaların bulunduğu endüstriyel alanda, üretim kesintisine veya kayba yol açan herhangi bir olay endişe vericidir" diyor. "Yani bu uzmanlık çevrelerinde mühendisler ve geliştiriciler kesinlikle [süresi dolan kök sertifikaların] etkilerine ve bunları nasıl düzeltebileceğimize bakıyorlar."
Edwards, bu görüşmeler ve satın alma sürecinde siber güvenlik hususlarının vurgulanması konusunda "iyimser" olduğunu vurgulasa da, daha fazla düzenleyici denetimin de gerekli olduğuna inanıyor.
Edwards, "Belki de bir sertifika sisteminin bütünlüğünün nasıl korunacağına ilişkin dili de içeren temel bakım standardı gibi bir şey" diyor. "Örneğin, görev açısından kritik cihazların izlenebilirliği konusunda çeşitli standart grupları ve hükümetler arasında tartışmalar oldu."
Helme'ye gelince, kurumsal makinelerin güncellemeler için gerçekçi ve kullanıcı ya da üretici için zorlu olmayan bir şekilde ayarlandığını görmeyi çok isterdi; yeni bir sertifika yayınlanır ve belki de her beş yılda bir güncelleme indirilir. Ancak kurumsal müşteriler ısrar etmedikçe üreticilerin bunu yapmaya teşvik edilmeyeceğini belirtiyor.
Edwards da aynı fikirde: "Genel olarak bunun sektörün düzeltmesi gereken bir şey olduğunu düşünüyorum." “İyi haber şu ki, bu zorlukların çoğu mutlaka teknolojik değil. Daha çok her şeyin nasıl çalıştığını bilmek ve doğru insanları ve prosedürleri uygulamaya koymakla ilgili."
