Izveštaj američkog Kongresa otkrio je da upad u mrežu kreditne agencije „Ekvifaks“, 2017. godine, koji je pogodio 143 miliona ljudi, nije otkriven zbog zastarelog softverskog sertifikata. Prošle nedelje, mobilni operater O2 naveo je isti problem kao uzrok pada mreže koji je pogodio celu Veliku Britaniju. Šta su digitalni sertifikati i zašto imaju ograničeni rok trajanja? Da li će slične administrativne greške nastaviti da opsedaju privredu i uzrokuju sveopštu pometnju? Šta su digitalni sertifikati?
Digitalni sertifikati su, u suštini, mali delovi koda stvoreni pomoću složenih matematičkih procedura. Oni omogućavaju da se komunikacija između uređaja ili veb sajtova obavlja šifrovano, što joj omogućava da bude bezbedna. Digitalni sertifikati imaju presudnu ulogu u omogućavanju bezbednog funkcionisanja IT infrastrukture. Izdaju ih institucije koje su zadužene za kontrolu sertifikata i elektronski garantuju da su sertifikati pravi. Sertifikati se izdaju sa ograničenim rokom trajanja – od nekoliko meseci do nekoliko godina.
Izdaju se za različite vrste softvera koji šifruju komunikaciju, uključujući i onu koja je ugrađena u hardver. U slučaju kompanije O2, izgleda da je certifikat povezan sa mrežnom opremom koju je instalirala kompanija „Erikson“, u stvari, bila najslabija karika. Sertifikat kompanije „Ekvifaks“ bio je povezan sa softverom čija je suštinska uloga bila da nadgleda mrežu u slučaju da se u njoj pojavi neko sumnjivo kretanje, što u ovom slučaju znači, da hakeri nisu primećeni na vreme.
I dok mnogi smatraju da je glavni razlog za ograničeni rok trajanja sertifikata novac pošto institucije koje ih obnavljaju to i naplaćuju, postoje i mnogi razlozi za njihovo redovno ažuriranje. U tom smislu, treba spomenuti tehnologiju koja se stalno menja, nove slabosti šifrovanja i promena vlasništva sertifikata.
Šta je pošlo po zlu?
U slučaju mobilnog operatera O2, sertifikatu je istekao rok, što je značilo da kad su različiti delovi mreže pokušali bezbedno da komuniciraju, više nisu verovali jedni drugima i odbijali su da se povežu. Stručnjaci u ovom slučaju samo nagađaju pošto detalji u vezi sa padom mreže kompanije O2 još nisu objavljeni. „Dakle, zamislite da je sertifikat veb servera zakazao zbog toga što nije obnovljen. Iznenada, pokušava da uspostavi vezu sa drugim delom opreme koji odgovara, „Ne, ne mogu da ti verujem“ i odbija da se poveže“, opisuje situaciju profesor Alan Vudvord, stručnjak za računarstvo sa Univerziteta u Sariju.
„Neki delovi opreme su stari i deset godina, a programer je možda stavio sertifikat sa rokom trajanja od deset godina misleći da će izdržati.“ U najgorem slučaju, neko bi morao fizički da ode do problematične opreme – mrežnog servera ili telefonske stanice i unese novi sertifikat. „Ne mogu ni da zamislim koliko delova opreme zahteva ručno unošenje ažuriranja“, kaže profesor Vudvord. U slučaju „Ekvifaksa“, problematični sertifikat bio je povezan sa softverom koji je nadgledao mrežu u slučaju pojavljivanja sumnjive aktivnosti, a rok mu je istekao 19 meseci pre upada u mrežu.
„To znači da agencija nije dugo nadzirala mrežu da bi uočila aktivnosti hakera i mislim da će zbog toga biti oštro kritikovana“, kaže profesor Vudvord.
Da li će se isti problemi i dalje pojavljivati? Trenutno je u upotrebi nekoliko milijardi sertifikata. Dok se internet stvari širi i povezuje sve više uređaja na internet, svakodnevno se povećava potreba za sertifikatima.
Neophodno je uspostaviti mehanizam koji će upozoravati kad je došlo vreme za obnovljanje sertifikata. Pošto je poslovanje digitalizovano, izuzetno kompleksno i sveprisutno, sve kompanije bi trebalo da se zaštite i ne dozvole da dođe do pogubnih posledica. Najbolje bi bilo kad bi automatizovali otkrivanje, nadzor i obnavljanje sertifikata svih vrsta.
Povećanje broja sertifikata i neprestani razvoj i usložnjavanje IT infrastrukture postavili su izazov stručnjacima u informacionim tehnologijama koji uvek moraju da budu u toku sa tom komponentom mreža koje održavaju.