Blue Coat:SSL 加密流量很安全?其實裡面躲滿了惡意軟體

謝至恩2016-07-021min1
SSL、TLS等加密技術的蓬勃發展原本是件好事,一般大眾也總以為「只要能加密,肯定有安全」。然而,技術本位的駭客們,並沒有放過將「加密技術轉為駭客工具」的機會。

1994 年馬克安德森 (Marc Lowell Andreessen) 創辦第一個商用瀏覽器-Netscape 時,曾預言未來「所有軟體都將透過瀏覽器來執行」。然而,馬克安德森猜對了開頭,卻沒猜中結尾:「Web 也成為世界上最大的安全威脅來源」。

因為 Web App 的使用與重要性日益遽增,大量的使用者資料在網際網路之間不斷流竄,因此首先我們注意到了加密流量的重要性,讓端點與 Web 伺服器之間的流量封包進行加密,不被中間任何路由器攔截,也促成了 SSL 、 TLS 等加密技術的蓬勃發展。

這原本是件好事,一般大眾也總以為「只要能加密,肯定有安全」。然而,技術本位的駭客們,並沒有放過將「加密技術轉為駭客工具」的機會,原本在 Web 世界中四處肆虐的惡意軟體 (Malware),為了閃避在明碼傳輸的 HTTP 流量中被安全裝置抓出來的可能性,乾脆也轉用加密傳輸的 HTTPS/SSL 流量,除了用來感染端點電腦之外,也用來傳輸從端點竊取到的資料至惡意軟體伺服器。

「這的確讓不少傳統的安全設備失效了,尤其是防火牆,碰到加密流量,通常也只能放行 (pass),」Blue Coat 新加坡亞太區技術長 Matthias Yeo 表示:「這無疑是替企業的網路邊界安全開了後門,也是目前 Blue Coat 所看見急遽發生的安全威脅。」

Blue Coat 新加坡亞太區技術長 Matthias Yeo

惡意軟體使用合法的 SSL 憑證?

但是,既然是惡意軟體,有可能會花力氣去申請合法的 SSL 憑證來欺瞞使用者進行惡意流量的傳輸嗎?

「其實惡意軟體很賊的,」Matthias Yeo 說明:「惡意軟體的本體會『借用』合法的 SSL 憑證,例如把自己放在如 Dropbox 、 Google Drive 此類網路空間中,將自己傳輸到用戶端。一旦感染成功後,惡意軟體要將資料往後傳輸到 C&C 主機中,就比較容易露出破綻。」

C&C 流量傳輸由於無法「借用」合法 SSL 憑證,因此多半使用非法或自發的 SSL 憑證,因此用戶端若遇到瀏覽器提出有非法 SSL 憑證連線要求時,就要格外小心。

但 C&C 通訊也不是沒有別的辦法,他們除了使用一般的 HTTP/80 通訊埠通訊之外,也使用其他通訊協定的通訊埠來進行傳輸,來欺瞞管理人員。

根據 Blue Coat 的研究報告來看,在 2014 年 1 月至 2015 年 9 月這 21 個月內,發現有 500 餘例惡意軟體躲在 SSL 流量中;但僅僅在 2015 年 9 月至 2015 年 12 月這短短三個月中,卻發現躲在 SSL 流量中的惡意軟體數量急遽報增達 2.9 萬餘例。

殭屍網路 (botnet) 的 C&C(command and control) 主機濫用 SSL 流量的情況也不遑多讓。 2014 年第 3 季發現僅千餘個 C&C 主機使用 SSL 加密,隔年 (2015) 同季卻發現有 20 萬個 C&C 主機使用 SSL 加密技術,達 200 倍之多。

而這些只是去年的資料,根據經驗,2016 年的狀況只會惡化更多倍,企業 IT 人員該如何面對躲在加密流量中的惡意軟體呢?

掃描加密流量能力決定了安全能力

Blue Coat 原本已透過代理伺服器 (Proxy) 技術,來解密掃描經過閘道器的加密流量,「但 Proxy 的問題是無法更精細的與其他安全設備如 IPS 、線上 APT 等安全技術合作,解密過後的流量只能夠在 Proxy 伺服器中處理,使得企業在防禦躲在 SSL 流量中的惡意軟體方面顯得手段不足。」Matthias Yeo 表示。

因此 Blue Coat 在 2013 年收購 Netronome,建立起所謂 SSL 可視性裝置 (SSL VA),內建專門設計用來解密 SSL 加密流量的晶片,解密 SSL 流量之後,根據不同的通訊協定,將封包送給不同的安全設備進行檢測掃描,並接收不同安全設備的通知,決定是否在 Proxy 端阻斷某特定流量。

「和純粹解密功能的 Proxy 技術不同,Proxy 伺服器只處理 HTTPS/Port 80 的流量,但 SSL VA 技術則會解密所有通訊埠的 SSL 流量,達到萬無一失的目標。」Maithias Yeo 解釋道:「換言之,不論惡意軟體如何演變,Netronome 都可以與其他安全設備合作來防治惡意軟體。」

SSL VA技術如何兼顧資料隱私?

不過別忘記,SSL 加密流量的原始目的,就是為了保護資料隱私與安全,一旦 SSL VA 技術能夠解密流經企業的 SSL 加密流量,企業的安全政策該如何保護資料隱私?

「這是非常重要的問題,例如某些監管法規,便對金融單位與特定金融服務之間的流量傳輸有非常嚴格的加密與安全要求,因此 Blue Coat 可以設定 Netronome 的解密政策,禁止解密與特定網站或 IP 的加密流量,來符合監管規定。」

水能載舟、亦能覆舟,SSL 加密技術在保障資料隱私之餘,也成為駭客們閃避安全設備的後門。對企業來說,具備檢視加密流量的能力,已成為降低企業營運安全風險的重要關鍵。

previousF5 Networks電信級防火牆維護IoT與5G網路安全

nextNetApp SolidFire 針對次世代資料中心提供創新的儲存容量購買模式

One comment

發表迴響

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、 MIS 、 IT 人員必備之專業雜誌網站。

與我們聯絡
加入《網路資訊》雜誌社群

© Copyright 2025 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416

探索更多來自 網路資訊雜誌 的內容

立即訂閱即可持續閱讀,還能取得所有封存文章。

Continue reading

Secret Link