Blue Coat:SSL加密流量很安全?其實裡面躲滿了惡意軟體

SSL、TLS等加密技術的蓬勃發展原本是件好事,一般大眾也總以為「只要能加密,肯定有安全」。然而,技術本位的駭客們,並沒有放過將「加密技術轉為駭客工具」的機會。

1994年馬克安德森(Marc Lowell Andreessen)創辦第一個商用瀏覽器-Netscape時,曾預言未來「所有軟體都將透過瀏覽器來執行」。然而,馬克安德森猜對了開頭,卻沒猜中結尾:「Web也成為世界上最大的安全威脅來源」。

因為Web App的使用與重要性日益遽增,大量的使用者資料在網際網路之間不斷流竄,因此首先我們注意到了加密流量的重要性,讓端點與Web伺服器之間的流量封包進行加密,不被中間任何路由器攔截,也促成了SSL、TLS等加密技術的蓬勃發展。

這原本是件好事,一般大眾也總以為「只要能加密,肯定有安全」。然而,技術本位的駭客們,並沒有放過將「加密技術轉為駭客工具」的機會,原本在Web世界中四處肆虐的惡意軟體(Malware),為了閃避在明碼傳輸的HTTP流量中被安全裝置抓出來的可能性,乾脆也轉用加密傳輸的HTTPS/SSL流量,除了用來感染端點電腦之外,也用來傳輸從端點竊取到的資料至惡意軟體伺服器。

「這的確讓不少傳統的安全設備失效了,尤其是防火牆,碰到加密流量,通常也只能放行(pass),」 Blue Coat新加坡亞太區技術長Matthias Yeo表示:「這無疑是替企業的網路邊界安全開了後門,也是目前Blue Coat所看見急遽發生的安全威脅。」

Blue Coat新加坡亞太區技術長Matthias Yeo

惡意軟體使用合法的SSL憑證?

但是,既然是惡意軟體,有可能會花力氣去申請合法的SSL憑證來欺瞞使用者進行惡意流量的傳輸嗎?

「其實惡意軟體很賊的,」 Matthias Yeo 說明:「惡意軟體的本體會『借用』合法的SSL憑證,例如把自己放在如Dropbox、Google Drive此類網路空間中,將自己傳輸到用戶端。一旦感染成功後,惡意軟體要將資料往後傳輸到C&C主機中,就比較容易露出破綻。」

C&C流量傳輸由於無法「借用」合法SSL憑證,因此多半使用非法或自發的SSL憑證,因此用戶端若遇到瀏覽器提出有非法SSL憑證連線要求時,就要格外小心。

但C&C通訊也不是沒有別的辦法,他們除了使用一般的HTTP/80通訊埠通訊之外,也使用其他通訊協定的通訊埠來進行傳輸,來欺瞞管理人員。

根據Blue Coat的研究報告來看,在2014年1月至2015年9月這21個月內,發現有500餘例惡意軟體躲在SSL流量中;但僅僅在2015年9月至2015年12月這短短三個月中,卻發現躲在SSL流量中的惡意軟體數量急遽報增達2.9萬餘例。

殭屍網路(botnet)的C&C(command and control)主機濫用SSL流量的情況也不遑多讓。2014年第3季發現僅千餘個C&C主機使用SSL加密,隔年(2015)同季卻發現有20萬個C&C主機使用SSL加密技術,達200倍之多。

而這些只是去年的資料,根據經驗,2016年的狀況只會惡化更多倍,企業IT人員該如何面對躲在加密流量中的惡意軟體呢?

掃描加密流量能力決定了安全能力

Blue Coat原本已透過代理伺服器(Proxy)技術,來解密掃描經過閘道器的加密流量,「但Proxy的問題是無法更精細的與其他安全設備如IPS、線上APT等安全技術合作,解密過後的流量只能夠在Proxy伺服器中處理,使得企業在防禦躲在SSL流量中的惡意軟體方面顯得手段不足。」 Matthias Yeo 表示。

因此Blue Coat在2013年收購Netronome,建立起所謂SSL可視性裝置(SSL VA),內建專門設計用來解密SSL加密流量的晶片,解密SSL流量之後,根據不同的通訊協定,將封包送給不同的安全設備進行檢測掃描,並接收不同安全設備的通知,決定是否在Proxy端阻斷某特定流量。

「和純粹解密功能的Proxy技術不同,Proxy伺服器只處理HTTPS/Port 80的流量,但SSL VA技術則會解密所有通訊埠的SSL流量,達到萬無一失的目標。」 Maithias Yeo 解釋道:「換言之,不論惡意軟體如何演變,Netronome都可以與其他安全設備合作來防治惡意軟體。」

SSL VA技術如何兼顧資料隱私?

不過別忘記,SSL加密流量的原始目的,就是為了保護資料隱私與安全,一旦SSL VA技術能夠解密流經企業的SSL加密流量,企業的安全政策該如何保護資料隱私?

「這是非常重要的問題,例如某些監管法規,便對金融單位與特定金融服務之間的流量傳輸有非常嚴格的加密與安全要求,因此Blue Coat可以設定Netronome的解密政策,禁止解密與特定網站或IP的加密流量,來符合監管規定。」

水能載舟、亦能覆舟,SSL加密技術在保障資料隱私之餘,也成為駭客們閃避安全設備的後門。對企業來說,具備檢視加密流量的能力,已成為降低企業營運安全風險的重要關鍵。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416