Kuinka suojata Linux-järjestelmä?

Tietoja

Avoimen koodin Linux on suosittu käyttöjärjestelmävalinta sulautettujen järjestelmien ja laitteiden kehittäjien parissa. Verkkoon liitettyjen IoT-laitteiden määrän kasvaessa jatkuvasti haavoittuvuuksien uhka on levinnyt laajemmalle kuin koskaan aikaisemmin. Haavoittuvuuksien tunnistaminen ja välttämättömien päivitysten tekeminen uhkia vastaan on usein laitesuunnittelijoiden ja -rakentajien kykyjen ulottumattomissa.

Alla olen hahmotellut toimivan neliportaisen prosessin, jolla Linuxin haavoittuvuuksia voidaan ratkoa: monitorointi, arviointi, ilmoitukset ja korjaaminen. Prosessi myös selittää kustannukset, jotka yritystä kohtaavat haavoittuvuuksien tunnistamisessa ja korjaamisessa talon sisällä, ja miksi voi olla järkevämpää solmia kumppanuus kokeneen Linux-tietoturvatiimin kanssa, jotta varmistetaan, että käyttöön otetut laitteet ja järjestelmät pysyvät turvattuina.

Haavoittuva maailmamme

Avoimen koodin Linux-ohjelmistot ovat kasvattaneet suosiotaan IoT-järjestelmäkehittäjien parissa useista syistä. Yksi tärkeimmistä on se, että Linux on tarjolla esipaketoituina binääripaketteina, joiden mukana saa sulautetun laitteiston sekä jatkuvasti laajenevan kehittäjäyhteisön Linuxille tuottamien kehysten (framework) valikoiman. Se tarjoaa myös joitakin käytännön etua IoT-sovelluksille, kuten tuen yhteentoimivuudelle mitä IoT-laitteet usein vaativat. Lisäksi pilvijärjestelmät, joissa IoT-sovelluksia ajetaan, rakennetaan yhä useammin avoimen lähdekoodin Linux-pohjaisille käyttöjärjestelmillä.

Tämän päivän verkottuneessa maailmassa Linux-pohjaisten järjestelmien ja laitteiden suojaamisesta on tullut yksi kehittäjien ja laitevalmistajien suurimmista haasteista. Vanhat ”asenna ja unohda” -tyyppiset ajat ovat kaukana takanapäin laitekehityksessä. Käytännössä jokainen tänä päivänä valmistettu laite suunnitellaan liitettäväksi johonkin, mikä tekee sen äärimmäisen alttiiksi tietoturvahaavoittuvuuksille. Liitetyt laitteet ovat kohteita ja niistä tulee koko ajan haavoittuvaisempia jokaisen raportoidun aukon myötä.

Iot:n nopean kasvun myötä verkottuneet laitteet yleistyvät eksponentiaalisella nopeudella. Tämä massiivinen laitteiden, yhteyksien, datavolyymin, verkkoliikenteen ja käyttäjien määrän kasvu on tuonut vastaavan kasvun kyberuhkissa entistä laajemmalla hyökkäyspinnalla. Vastineeksi laitevalmistajat ja IoT-sovellusten kehittäjät ottavat käyttöön edistyneitä menetelmiä, joilla voidaan rakentaa tehokkaita turvatoimintoja mahdollisimman aikaisessa vaiheessa suunnittelua. Ja hyvä niin. Itse asiassa tämä on ehdottoman välttämätöntä. Tämä ei kuitenkaan riitä, sillä uhkat kehittyvät jatkuvasti. IoT-järjestelmien operaattoreilla täytyy olla sekä strategia että mekanismi, joilla kestävä turva säilyy käytössä olevissa laitteissa koko niiden elinkaaren ajan.

Valmistajien täytyy laajentaa turvallisuusstrategioitaan järjestelmätason vahvistamista laajemmalle niin, että uusien haavoittuvuuksien korjaukset toteutetaan ketterästi. Mikäli järjestelmiä ei jatkuvasti päivitetä, ne jäävät haavoittuviksi uusia nousevia uhkia vastaan, oli niihin käyttöönoton yhteydessä integroitu sitten kuin vahva tietoturva tahansa.

Ajatellaanpa esimerkiksi omaa kannettavaa tietokonetta. Entisaikaan sen suojaamiseksi riitti salasana ja suurin ulkoinen uhka oli saastunut levyke. Kun se liitettiin internetiin, siitä tuli heti hyökkääjien kohde, tyypillisesti koneelle asennettujen sovellusten kautta. Nyt saat mahdollisesti viikoittain tai kuukausittain päivityskehotuksia tai automaattisia päivityksiä sovellusten toimittajilta, joilla tietokonettasi suojataan uusimmilta ohjelmistohaavoittuvuuksilta.

Jokainen Linuxilla toimiva IoT-laite tarvitsee saman tasoista jatkuvaa suojausta. Kysymys kuuluu, miten toteuttaa se systemaattisella, skaalautuvalla ja kustannustehokkaalla tavalla.

Mind the Gaps!

Ennen kuin järjestelmän haavoittuvuudet voidaan korjata, täytyy tietää mitä ja missä ne ovat. Tästä on tulossa yhä haastavampaa, sillä tietoturvaa uhkaavien haavoittuvuuksien määrä kasvaa samaa tahtia IoT:n laajenemisen kanssa.

Yleisten haavoittuvuuksien CVE-tietokanta (Common Vulnerabilities and Exposures) on hallituksen rahoittama, laajalti hyväksytty alan standardi, jolla julkisissa ohjelmistoissa tunnistetaan, raportoidaan ja korjataan haavoittuvuuksia. CVE-tunnistimien avulla haavoittuvuutta koskeva informaatio voidaan yhdistää sopiviin tietoturvakorjauksiin tai suojausteknologioihin, mikä on erityisen tärkeää avoimen koodin ohjelmistomaailmassa. Haavoittuvuuksien paljastaminen voi tulla monenlaisesta lähteestä: ohjelmistoyrityksestä, tietoturvayrityksestä, itsenäisiltä tutkijoilta, yhteisöjen postituslistoilta ja valtion viranomaisilta kuten US-CERT-viranomaiselta (U.S. Computer Emergency Readiness Team). Tänään CVE-tietokantaa haastaa IoT:n tuoma haavoittuvuuksien määrän kasvu. Vuonna 2018 raportoitiin 16 555 uutta haavoittuvuutta, joiden vakavuusaste vaihteli välillä 1-10.

Sen lisäksi, että CVE-raportoitujen haavoittuvuuksien määräon kasvanut radikaalisesti viime aikoina, myös niiden vakavauus on jatkuvasti pahentunut. Tämä johtuu osaltaan kyberrikollisten osaamisen parantumisesta, ja osin siitä, että verkottunut ja yhä enemmän tekoälyä hyödyntävä maailma tarjoaa enemmän väyliä hyökkäyksille.

Avoimen lähdekoodin edut

Avoimen koodin ohjelmistojen käyttämisestä tulee etuja tietoturvaperspektiivistä. Jatkuva uhkien yleistyminen edellyttää, että laitteiden ohjelmistoja päivitetään niin pian kuin haavoittuvuus on tunnistettu. Laajan avoimen koodin yhteisön ansiosta tieto haavoittuvuuksista tavoittaa nopeasti suuret joukot tutkijoita, valtion viranomaisia kuten CERT ja useita tarkoitukseen varattuja sähköpostituslistoja. Tämän seurauksena avoimeen koodiin perustuvien laitteiden käyttäjät voivat tehdä nopeita toimi, jotka alentavat mahdollisia riskejä.

Tästä huolimatta yhteisö edelleen keskittyy innovoimaan uutta. Niinpä haavoittuvuus korjataan ohjelmiston uusimmassa versiossa, kun vanhat eri komponenttien – kernelin, kirjastojen, jne. – versiot pysyvät haavoittuvina.

On epäkäytännöllistä ajatella, että mikään järjestelmä olisi sataprosenttisen läpäisemätön ulkopuolisia uhkia kohtaan, mikäli hyökkääjillä on riittävästi aikaa ja resursseja. Voidaan kuitenkin tehdä täsmällisiä toimia, jotka tekevät asiat erittäin vaikeiksi hakkereille ja pienentävät merkittävästi murtojen todennäköisyyttä.

Neljä olennaista askelta

Uhkien pienentäminen käytössä olevissa järjestelmissä vaatii neliportaista lähestymistapaa: monitorointia, arviointia, uhkista raportointia ja niiden korjaamista.

1. Monitorointi

Monitorointia voi ajatella turvallisuusstrategian ”valvontakamerana”. Jos ajatellaan kahta taloa, joissa molemmissa on vahvat lukot, niin myös valvontakameralla varustettu on paremmin varusteltu tunkeutumisia vastaan. Tässä tapauksessa kameroita käyttävät organisaatiot, jotka antavat haavoittuvuushälytyksiä ja -varoituksia, kuten US-CERT, NIST (National Institute of Standards and Technology), CVE-tietokanta, eri tietoturvayritykset, yksityiset postituslistat ja yhteisöt, jotka ovat keskittyneet Linux-haavoittuvuuksien löytämiseen.

Haasteena tässä on, että kun varoituksia antavat kymmenet eri organisaatiot, syntyy väistämättä hämmennystä siitä, mitkä haavoittuvuudet vaikuttavat eri toteutuksiin. Tämän takia on kriittisen tärkeää tietää, mihin organisaatioihin voi luottaa niin, että niiden antama informaatio on varmasti relevanttia, oikeaa ja minkä pohjalta voi luotettavasti toimia.

2. Arviointi

Kun varoitus tai tietoturvaraportti annetaan, järjestelmäoperaattori tai sen ohjelmistokumppanin pitää määrittää, ovatko sen laitteet haavoittuvaisia ja missä määrin. Haavoittuvuus pisteytetään CVSS-järjestelmän Common Vulnerability Scoring System) mukaisesti sen vakavuuden, hyökkäyksen vaikeuden ja välttämisen todennäköisyyden perusteella.

Arvioinnissa pitää tietää eksaktisti, mitkä paketit ja mitkä versiot ovat haavoittuvaisia. Myös oman järjestelmän eksakti konfiguraatio täytyy tietää, eli ns. ohjelmiston koostumus (software bill of materials). Tämän kaiken tietäminen riippuu tietenkin siitä, miten hyvin kehitystiimi on dokumentoinut työnsä. Haavoittuneissa tuotteissa kello korjauksen löytymiseen käynnistyy samalla hetkellä, kun haavoittuvuus paljastetaan.

3. Ilmoitukset

Kun haavoittuvuus on arvioitu, sen uhriksi joutuneita käyttäjiä pitää informoida nopeasti sekä haavoittuvuuden suhteellisesta todennäköisyydestä käytetyn laitteen perusteella että ongelman korjaamisen toimintasuunnitelmasta. Tämä askel vaatii oikeita työkaluja ja metodologioita niin, että ilmoitukset lähetetään kaikilla asianosaisille osapuolilla nopeasti ja tehokkaasti. Nopea ilmoitus riippuu ohjelmistoyrityksen ja laitteen käyttäjän luottamuksellisesta suhteesta ja samalla vahvistaa sitä.

4. Korjaaminen

Korjaaminen ajoitus ja menetelmä perustuu yleensä priorisointiin. Korkean vakavuuden haavoittuvuudet voivat vaatia välitöntä ”hot fix” -korjausta lennossa, kun alemman vakavuustason ongelmat voidaan korjata ajoitetuilla ohjelmistopäivityksillä. Haasteena on toimittaa tehokkaat korjaukset nopeasti ja jakaa ne loppukäyttäjille suojattua kanavaa pitkin. Haavoittuvuuden vakavuusasteesta riippumatta siihen reagoiminen nopeasti vaikuttaa todennäköisesti liiketoiminnan fokukseen.

Suojaamisen hinta

Mikäli tämä neliportainen prosessi kuulostaa työläältä, se on sitä. Ei voi kiistää, etteikö se vaatisi merkittävää ihmisten, ajan ja työnteon sitoutumista. Mitään oikopolkuja ei ole. Vastauksen nopeus on kaiken ytimessä. Ihanteellinen ratkaisu on dedikoitu turvallisuustiimi, joka käsittelee kaikki potentiaaliset haavoittuvuudet. Mikäli yrittää tehdä kaiken itse talon sisällä, tiimin täytyy kääntää fokus kehityksestä korjaamiseen joka kerta, kun haavoittuvuus uhkaa.

Mitä dedikoidun yrityksen sisäisen turvallisuustiimin kokoaminen voisi maksaa? Paljastuneiden 8000-10000 CVE-haavoittuvuuden perusteella organisaatiossa pitäisi olla 4-5 erittäin osaavan suunnittelijan tiimi, jotta he voisivat tutkia ja keksittyä niistä jokaiseen. Keskimääräisellä 120 000 dollarin vuosipalkalla tämän tiimin budjetti olisi vuositasolla jopa puoli miljoonaa dollaria jo henkilöstökuluina.

Useimmat laitevalmistajat ja IoT-järjestelmien operaattorit pitävät tällaista erikoisosaamista oman ydinosaamisensa ulkopuolella olevaksi ja liian kalliiksi. Paljon kustannustehokkaampi vaihtoehto on antaa tämä vastuu kokeneelle kaupalliselle Linux-yritykselle, jolla on dedikoitu turvallisuustiimi. Tämä on todistettu strategia, jolla tuotetaan suojaus tuntien kuluessa haavoittuvuuden julkaisemisesta, mikä tarkoittaa usein viikkoja tai kuukausia ennen ohjelmistopäivitystä.

Sopivalla ohjelmistokumppanilla olisi välttämättömät yhteydet Linux-yhteisöön ja moniin neuvontaorganisaatioihin, joiden avulla se voisi yhdessä oman monitorointi- ja tutkimusosaamisensa perusteella pysyä ajan tasalla haavoittuvuuksien löytyessä. Ja koska tämän kumppanin pitäisi pystyä skaalaamaan turvallisuuspalvelunsa eri asiakkaille, tämän kriittisen vastuun ulkoistaminen maksaa paljon vähemmän kuin yritys hallita sitä talon sisällä.

Tietoturvahaavoittuvuudet ovat tosiasia tämän päivän verkottuneessa maailmassa ja niiden määrä moninkertaistuu sulautettujen IoT-sovellusten kasvun myötä. IoT-sovellusten hallinta ja niihin liittyvien uhkien torjunta ovat keskeisiä askelia loppukäyttäjien suojaamisessa, mutta tämä edellyttää toimintaa, joka on useimpien IoT-ratkaisujen kehittäjien, laitevalmistajien ja järjestelmäoperaattorien ulottumattomissa. Onneksi avoimen koodin yhteisö löytää Linux-ohjelmistoihin vaikuttavat haavoittuvuudet hyvin valppaasti. Kun tekee työtä ohjelmistokumppanin kanssa, joka on johtava kontribuuttori avainyhteisöissä, ja jonka prosessi uhkien monitorointiin, arviointiin sekä asiakkaiden informoimiseen ja haavoittuvuuksien korjaamiseen on käytännössä todettu ja varmistettu, valmistajat ja kehittäjät voivat auttaa asiakkaitaan suojautumaan kyberuhkilta IoT-järjestelmän koko elinkaaren ajan.

Artikkelin kirjoittaja Arlen Baker toimii Wind Riverillä turvallisuusarkkitehtinä.

Artikkeli on ilmestynyt ETNdigi-lehden numerossa 2/2019. Sitä pääset lukemaan ilmaiseksi täällä.

FOREVER # Till ECF-sajten
ALWAYS # congatec

ETNtv

Watch ECF videos

 

TECHNICAL ARTICLES

Tekoälyn avulla robotteja voidaan ohjata puheella

ETN - Technical article

Generatiivisen tekoälyn vallankumous, joka tuo chatbotit asiakaspalveluun ja mahdollistaa älykaiuttimien kaltaiset laitteet, on vasta alkua. Sama teknologia, joka ymmärtää ihmisten puhetta, siirtyy nyt robotiikkaan, missä se auttaa kehittämään algoritmeja robottien liikkeiden ohjaamiseen ja politiikkojen toteuttamiseen tärkeiden tehtävien suorittamiseksi.

Lue lisää...

OPINION

SOM-ratkaisut ovat lääketieteellisen elektroniikan luotettava tulevaisuus

Lääketieteellinen elektroniikka on yksi nopeimmin kasvavista teollisuudenaloista. Väestön ikääntyminen, erityisesti länsimaissa, ja terveydenhuollon teknologioiden jatkuva kehitys pitävät yllä kovaa kysyntää ja ohjaavat alan tutkimus- ja tuotekehitystä, kirjoittaa Digi Internationalin OEM-ratkaisuista Euroopassa vastaava johtaja Ronald Singh.

Lue lisää...

LATEST NEWS

NEW PRODUCTS

 

NEWSFLASH

 SPONSORS

 

Etteplan supports customers cross industries in digitalizing their business from requirement specifications to solution development and implementation. With over 30 years of experience, Etteplan has the needed expertise to develop a wide range of industrial applications, from large established companies to start-ups. We deliver complete turn-key solutions containing cross-discipline know-how.

 

CN Rood offers technical solutions in the field of testing and measurement. We aim to remain leaders in that regard. Our customers are often not looking for a product, but for a solution, and we all have the drive to work on that solution. What we love to do most is to continually work on the latest developments in the field of testing and measuring equipment. Now and in the future.

 


EBV Elektronik was founded in 1969 and is one of the leading specialists in European semiconductor distribution. This success is based on the underlying company philosophy, which was developed a long time ago and which still applies today: operational excellence, flexibility, reliability and execution – with the goal of achieving the highest degree of customer satisfaction.

 

Tria is a world leader in the design and manufacture of embedded computing for OEMs. We offer a broad range of off-the-shelf modules to fully customized systems built for our customers. With a global footprint and deep in-house expertise, we support innovators from design to delivery.

congatec is a rapidly growing technology company focusing on embedded and edge computing products and services. The high-performance computer modules are used in a wide range of applications and devices in industrial automation, medical technology, robotics, telecommunications and many other verticals.

 

Mespek was founded in 1989. Our main products are embedded electronic modules, industrial PCs with peripherals, KVM and server management products, as well as wireless solutions for IoT applications.

 

Since 1985, Digi International Inc. (Digi) has been a pioneer in wireless communication, forging the future for connected devices and responding to the needs of the people and enterprises that use them.

 

CVG Convergens is an ICT services company specialized in embedded systems, smart connected products and ICT systems and processes for SME businesses. Our mission is to help our clients, our team, and the society to improve and thrive by providing reliable and sustainable solutions, services, and products by creative and efficient application of technology.

 

BCC Solutions Oy is a Finnish company that, in addition to expert services, offers comprehensive equipment solutions for data transfer and telecommunication networks, as well as their analysis, testing and measurement. We broadly represent the industry's leading brands.

 

Acal BFi has trusted expertise in advanced electronics for 50 years. If you’re in search of a trusted technology solutions partner, your search ends here. Our extensive knowledge, cutting-edge portfolio, and worldwide capabilities are at your service to bring the future into reality.

 



© Elektroniikkalehti


ECF template