Ένα πρόσφατο ξέσπασμα επιθέσεων στον κυβερνοχώρο εναντίον των web commerce ιστότοπων που χρησιμοποιούν την Magento 1 υπογραμμίζει τη σημασία της ύπαρξης στρατηγικής για την ασφαλεία της τεχνολογίας που έχει φτάσει στο τέλος της ζωής της (EOL) ή δεν υποστηρίζεται πλέον από τον προμηθευτή της.
Η Adobe ανακοίνωσε τον Σεπτέμβριο του 2018 ότι η υποστήριξη για το Magento 1 θα λήξει τον Ιούνιο του 2020, δίνοντας στους οργανισμούς επαρκή χρόνο για να μεταφερθούν στο Magento 2 ή να κάνουν άλλες ρυθμίσεις για την προστασία των ιστότοπων ηλεκτρονικού εμπορίου τους. Όμως, αυτή η προειδοποίηση δεν εμπόδισε ένα πλήθος εταιρειών να “κολλήσουν” με το Magento 1: περίπου 100.000 οντότητες εξακολουθούν να χρησιμοποιούν την παλιά έκδοση.
Το ίδιο ισχύει και για τα Windows XP, τα οποία η Microsoft «παράτησε» το 2014, αλλά εξακολουθούν να χρησιμοποιούνται από το 30% των υπολογιστών παγκοσμίως, σύμφωνα με την Net Applications.
«Το αποκαλώ τσουνάμι του παρελθόντος», δήλωσε ο Setu Kulkarni, αντιπρόεδρος στρατηγικής και επιχειρηματικής ανάπτυξης στην WhiteHat Security. «Το software ή η υπηρεσία λογισμικού (δηλαδή το API) μπορεί να φτάσει στο τέλος της ζωής του, επειδή ο οργανισμός δεν επενδύει πλέον σε αυτό. Αλλά αυτό δεν σημαίνει ότι σταματάνε οι χρήστες να το χρησιμοποιούν».
Απροθυμία
Αυτό δεν σημαίνει ότι δεν υπάρχουν καλοί λόγοι για να προσκολληθούμε στην τεχνολογία που έχει φτάσει στο EOL ή στο EOS.
Για παράδειγμα το interaction συστημάτων και λογισμικού μπορεί να ωθήσει ορισμένες εταιρείες να αποθαρρυνθούν όταν πρόκειται να απομακρυνθούν από την τεχνολογία που έχει φτάσει σε EOL.
Οι κατασκευαστικές εταιρείες, οι εταιρείες ηλεκτρικής ενέργειας και άλλοι οργανισμοί υποδομής θα συνεχίσουν να χρησιμοποιούν την τεχνολογία πέρα από την EOL ή την EOS, επειδή είναι πολύ υψηλού κόστους. Ομοίως, οι οργανισμοί υγειονομικής περίθαλψης μπορεί να έχουν λογισμικό σε EOL που σχετίζεται με ιατρικές συσκευές, όπως ένα πολύ ακριβό μηχάνημα μαγνητικής τομογραφίας που έχει ακόμη τρία χρόνια ζωής, αλλά τρέχει με Windows XP.
Υπάρχουν και άλλες σκέψεις. Εάν, για παράδειγμα, το προϊόν στο τέλος του κύκλου ζωής του είναι πιο ενημερωμένο από τα νέα και λιγότερο δοκιμασμένα προϊόντα, ή εάν έχουν ήδη επιδιορθωθεί όλες οι γνωστές ευπάθειες ή εάν ο οργανισμός διαθέτει κατάλληλες γνώσεις μετριασμού, τότε θα μπορούσε να ειπωθεί ότι το παλιό προϊόν είναι περισσότερο «σίγουρο» από ένα νεότερο προϊόν, όπου οι νέες ευπάθειες είναι πιθανό να αποκαλύπτονται σε τακτική βάση στο μέλλον, δήλωσε ο Kedgley.
Εκτίμηση του κινδύνου
Οι χρήστες μπορεί να βρεθούν εκτεθειμένοι! «Το κυρίως πρόβλημα είναι το να μένουμε χωρίς patches ασφαλείας», δήλωσε ο Kedgley. “Οι ευπάθειες που ανακαλύπτονται μετά το τέλος της ζωής τους δεν θα διορθωθούν ποτέ, με κάθε hacker να γνωρίζει πού βρίσκονται.”
Ο Renfrow επεσήμανε επίσης την «πολύ μεγάλη λίστα των ελαττωμάτων λογισμικού που ανακαλύπτονται σε προϊόντα κάθε μέρα», τα οποία δεν εξαφανίζονται μόλις τελειώσει η υποστήριξη. Η διαφορά είναι ότι οι προγραμματιστές δεν θα παρέχουν απαραίτητα ενημερώσεις κώδικα. Το WannaCry, το οποίο εξέθεσε τη χρήση λογισμικού EOL Microsoft σε όλο τον κόσμο, ήταν αυτό που ο Renfrow αποκαλεί εξαίρεση: “Η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα για αυτές τις εκδόσεις λογισμικού που ήταν EOL. Αυτό είναι ένα σπάνιο παράδειγμα της υποστήριξης σε λογισμικό EOL.”
Ο John Yun, αντιπρόεδρος μάρκετινγκ στην AppOmni είπε ότι η νέα τεχνολογία έρχεται με «νέες και καλύτερες δυνατότητες ασφάλειας, χωρίς τις οποίες ο οργανισμός δεν θα μπορούσε να αποκτήσει ηγετική θέση στην ασφάλεια», είπε. “Η μη αξιοποίηση νέων δυνατοτήτων μπορεί να έχει τρομερές συνέπειες.”
Ενώ οι εταιρείες μπορεί να αμφισβητούν το όλο γεγονός με τις τεχνολογίες EOL, οι hackers δίνουν την προσοχή τους στα συστήματα που είναι σε EOL ή EOS, άρα και οι εταιρείες πρέπει να κάνουν το ίδιο – και αυτό σημαίνει να κάνουν πλάνα.
Ο Justin Kezer, διευθύνων σύμβουλος στην nVisium, δήλωσε ότι οι εταιρείες πρέπει να παρακολουθούν όλα τα περιουσιακά τους στοιχεία με τις εξαρτήσεις τους. «Αυτό είναι το σημείο εκκίνησης για να μπορέσουμε να σχεδιάσουμε τι πρέπει να αντικατασταθεί ή να ενημερωθεί και πότε», είπε.
Ιδανικά, θα πρέπει «να σχεδιάσουν να μεταφερθούν στις “τελευταίες’ πλατφόρμες που είναι πάντα οι πιο ασφαλείς και υποστηρίζονται καλύτερα», δήλωσε ο Kedgley. Αν όμως δεν είναι αυτή η επιλογή, «τότε μπορούν να κάνουν ελέγχους… που χρησιμεύουν για να καλύψουν τα κενά του συστήματος ».
){kind=link}