在2014年底,我們製作了網路加密流量管理的專題報導,當時仍有許多國內的網站並未全面採用HTTPS,Yahoo奇摩算是開始率先進行的本土網站,而且是做到全站加密連線。在那段時間,我們也看到電子前哨基金會(EFF),持續鼓吹眾人應積極使用HTTPS,因而,出現了HTTPS Everywhere這類瀏覽器外掛程式,使得我們在存取網頁時,預設就是使用HTTPS協定。

而時隔3年的現在,各大瀏覽器平臺預設就是以HTTPS來存取所有網頁,絕大多數網站也幾乎都支援這樣的作法,加上Let's Encrypt從2015年底起,開始廣泛發布SSL憑證,加速推動了網站全面採用HTTPS的風潮,至此,使用者在瀏覽各種網頁時,可說是全面透過加密連線來存取。

而此刻,為何我們要重新面對這個議題?許多資安廠商都在這兩年提出呼籲,注意躲藏在加密流量的惡意軟體或入侵攻擊。

例如,根據Cisco的採樣,透過TLS加密連線進行通訊的惡意軟體,在2015年的比例是2.21%,,到了2017年5月,增加到21.44%。另一個佐證,則是研究機構Ponemon在2016年的問卷調查,結果顯示,已意識惡意人士透過SSL加密來隱藏其漏洞濫用行徑的公司,比例為41%;因隱藏在SSL加密流量的惡意軟體,而使得公司內部帳號密碼外洩的比例,高達71%;而受限於公司現有安全基礎架構而無力檢測加密流量者,也有6成。

接下來,讓我們再看看雲端安全服務廠商Zscaler的分析。他們觀察到2017年上半,自身的雲端服務當中,有60%的網路流量是SSL或TLS加密的連線,而利用這種管道傳遞惡意內容的行為成長了2倍;同時,他們攔截到的新興惡意攻擊的彈頭,都源於Box、Dropbox、AWS、Google等雲端服務環境,透過SSL/TLS的加密網路連線,聯繫命令與控制伺服器(C&C),而且,當中有60%是網路銀行木馬,25%是勒索軟體,12%是竊取資料的木馬。

面對加密網路流量同時包藏惡意軟體連線與駭客攻擊活動的狀況,其實頗為尷尬,因為原本推動加密連線的目的,就是為了要確保網路連線的過程中,可透過加密的形式,防止經由網路傳遞的內容遭到擷取或竄改,但這下可好了!各方雖然投入大量資源,極力促成整個網際網路達到100% HTTPS的目標,積極確保網路上的個人隱私與內容機密,然而,這項全球型行動,卻也同時讓網路犯罪份子、駭客組織跟著受惠。

因為,透過Let's Encrypt、SSL For Free這樣的服務,所有人都能更方便取得SSL憑證。 根據Let's Encrypt的統計,他們在2017年底已經針對6千1百萬個網域名稱,提供了SSL憑證,今年的網域憑證發放規模,預計達到9千萬到1.2億個。但是,這是否也衍生一些問題呢?

在2015年底,趨勢科技發現了惡意廣告結合Let's Encrypt免費憑證的手法。到了2017年3月,任職於SSL Store公司的加密專家Vincent Lynch透露,Let's Encrypt對於使用到「PayPal」一詞的網域名稱,例如paypal.com.secure-alert.net,發放了超過1.5萬個安全憑證,極有可能用於釣魚網站。

因此,當整個網際網路在大力擁抱加密連線的作法時,有心搞破壞的人士、惡意軟體、網路入侵行為,也同樣受到這個機制的保護,而難以現形,若要妥善因應這個趨勢,如何提升透視加密流量的能力,勢必要投入更多資源,才能更有效強化相關管控。

作者簡介


Advertisement

更多 iThome相關內容