Дуже багато повсякденних речей у розвинених країнах підключено до Інтернету, часто незрозумілим чином. Це додає ще один рівень потенційного технологічного збою, який для особистих приладів може бути чимось кумедним роздратуванням: жалюзі, які не відкриється, мікрохвильовки що не підлаштовуватися під зміни часу, холодильники що потрібні оновлення прошивки.
Але на підприємстві, коли пристрої Інтернету речей виходять з ладу, це не жарт у Twitter. Заводські складальні лінії зупиняються. Монітори серцевого ритму в лікарнях перемикаються в автономному режимі. Розумні дошки початкової школи тьмяніють.
Збої інтелектуальних пристроїв становлять зростаючий ризик у корпоративному світі, і не лише через часто обговорювані проблеми безпеки. Це тому, що термін дії деяких із кореневих сертифікатів цих пристроїв, необхідних для безпечного підключення до Інтернету, закінчується.
«Пристрої повинні знати, чому довіряти, тому кореневий сертифікат вбудований у пристрій як інструмент автентифікації», — пояснює Скотт Хелме, дослідник безпеки, який написано багато про проблему закінчення терміну дії кореневого сертифіката. «Коли пристрій знаходиться в дикій природі, він намагається викликати «домашній» — API або сервер виробника — і перевіряє цей кореневий сертифікат, щоб сказати: «Так, я підключаюся до цього правильного безпечного пристрою». По суті [кореневий сертифікат — це] прив’язка довіри, система відліку для пристрою, щоб знати, з чим він розмовляє».
На практиці ця автентифікація схожа на мережу або ланцюг. Центри сертифікації (ЦС) видають усі види цифрових сертифікатів, і суб’єкти «розмовляють» між собою, іноді на кількох рівнях. Але першою і найголовнішою ланкою цього ланцюга завжди є кореневий сертифікат. Без цього жоден із вищевказаних рівнів не зміг би зробити з’єднання можливим. Отже, якщо кореневий сертифікат перестає працювати, пристрій не зможе автентифікувати з’єднання та не під’єднається до Інтернету.
Ось проблема: концепція зашифрованого Інтернету була розроблена приблизно в 2000 році, і кореневі сертифікати, як правило, дійсні приблизно від 20 до 25 років. Отже, у 2022 році ми будемо в середині цього терміну придатності.
ЦС видали багато нових кореневих сертифікатів за останні два з гаком десятиліття, звичайно, задовго до закінчення терміну дії. Це добре працює у світі персональних пристроїв, де більшість людей часто оновлюють телефони та натискають, щоб оновити свої ноутбуки, щоб вони мали ці новіші сертифікати. Але на підприємстві оновити пристрій може бути набагато складніше або навіть неможливо — а в таких секторах, як виробництво, машини справді можуть стояти на виробництві через 20–25 років.
Без підключення до Інтернету «ці пристрої нічого не варті», — каже Кевін Бочек, віце-президент із стратегії безпеки та аналізу загроз у Venafi, постачальника послуг керування ідентифікацією машин. «Вони фактично стають цеглинками [коли закінчується термін дії їхніх кореневих сертифікатів]: вони більше не можуть довіряти хмарі, не можуть приймати команди, не можуть надсилати дані, не можуть отримувати оновлення програмного забезпечення. Це реальний ризик, особливо якщо ви виробник або якийсь оператор».
Попереджувальний постріл
Ризик не теоретичний. 30 вересня кореневий сертифікат, виданий масовим ЦС Давай шифрувати закінчився — і кілька служб в Інтернеті зламалися. Закінчення терміну дії не стало несподіванкою, оскільки Let’s Encrypt давно попереджала своїх клієнтів про необхідність оновлення сертифіката.
Тим не менш, Гельме писав у a блог За 10 днів до закінчення терміну дії: «Я впевнений, що в цей день деякі речі, ймовірно, зламаються». Він мав рацію. Деякі служби від Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 та багатьох інших компаній вийшли з ладу.
«І дивна річ у цьому, — розповідає Хельме Dark Reading, — що місця, де використовується Let’s Encrypt, за визначенням дуже сучасні — ви не можете просто зайти на їхній веб-сайт, заплатити 10 доларів і завантажити свій сертифікат вручну. Це має бути зроблено машиною або через їх API. Ці користувачі були просунутими, і це все ще було справді великою проблемою. Отже, що станеться, коли ми побачимо [закінчення терміну дії] від більш успадкованих ЦС, які мають цих великих корпоративних клієнтів? Безсумнівно, додатковий ефект буде більшим».
Шлях вперед
Але з деякими змінами цей добіжний ефект не обов’язковий, каже Бочек з Venafi, який розглядає проблему як знання та ланцюжок команд, тому він бачить рішення як у обізнаності, так і в ранній співпраці.
«Я дуже радий, коли бачу, як керівники служби безпеки та їхні команди беруть участь на рівні виробника та розробника», — каже Бочек. «Питання полягає не просто в тому, «Чи можемо ми розробити щось безпечне?», а в «Чи можемо ми продовжувати цим керувати?» Часто існує спільна відповідальність за роботу цих цінних підключених пристроїв, тому ми повинні чітко розуміти, як ми будемо займатися цим як бізнесом».
Подібні розмови відбуваються в секторі інфраструктури, каже Марті Едвардс, заступник технічного директора з операційних технологій та Інтернету речей Tenable. За фахом він промисловий інженер, який працював з комунальними компаніями та Міністерством внутрішньої безпеки США.
«Відверто кажучи, у промисловому просторі з комунальними підприємствами та заводами будь-яка подія, яка призводить до збою виробництва або втрати, викликає занепокоєння», — говорить Едвардс. «Тож у цих спеціалізованих колах інженери та розробники, звичайно, розглядають наслідки [терміну дії кореневих сертифікатів] і те, як ми можемо їх виправити».
Хоча Едвардс наголошує, що він «оптимістично» дивиться на ці розмови та врахування кібербезпеки під час процесу закупівель, він вважає, що також потрібен більший регулятивний нагляд.
«Щось на кшталт базового стандарту догляду, який, можливо, включає мову про те, як підтримувати цілісність системи сертифікатів», — каже Едвардс. «Були дискусії між різними групами зі стандартизації та урядами щодо відстеження, наприклад, для критично важливих пристроїв».
Щодо Хельме, то він хотів би бачити корпоративні машини, налаштовані на оновлення у спосіб, який є реалістичним і не важким для користувача чи виробника — можливо, кожні п’ять років видається новий сертифікат і завантажується оновлення. Але виробники не матимуть стимулів робити це, якщо корпоративні клієнти не підштовхнуть до цього, зазначає він.
«Загалом я вважаю, що галузь має виправити це», — погоджується Едвардс. «Хороша новина полягає в тому, що більшість із цих викликів не обов’язково є технологічними. Це більше про те, щоб знати, як це все працює, і отримати правильних людей і процедури».
