Szacuje się, że już prawie 25 proc. całkowitego ruchu sieciowego jest szyfrowane za pomocą technologii SSL lub TLS. W przedsiębiorstwach ten odsetek rośnie nawet do 50 proc. To wielki sukces orędowników bezpieczeństwa sieci, ale i zmora osób odpowiedzialnych za bezpieczeństwo IT przedsiębiorstw.
– Szyfrowane połączenia to gwarancja autentyczności witryn internetowych – np. instytucji finansowych, serwerów pocztowych, czy terminali płatności internetowych. To też poufność komunikacji e-mail. Dlatego SSL i TLS nieodmiennie kojarzą się z zaufaniem, bezpieczeństwem w sieci i prywatnością internautów. Szyfrowanie ma jednak także swoją ciemną stronę. – wyjaśnia Paweł Dawidek, CTO Wheel Systems – Podobnie bowiem jak – na przykład – młotek, czy wkrętarka, tak i narzędzia do szyfrowania połączeń nie pytają kto i w jakim celu ich używa. Kwestią czasu jest więc upowszechnienie się w arsenałach grup cyberprzestępczych metod wykorzystujących właśnie technologie SSL/TLS.
Cyberprzestępcy nie czekają z założonymi rękoma
Prognozy te potwierdza firma Gartner, szacująca że do 2017 roku za pośrednictwem szyfrowanych połączeń odbywać się będzie prawie 50 proc. wszystkich cyberataków. Nie jest to jednak opowieść z serii science-fiction. Przestępcy już teraz sięgają po te technologie.
Cyberprzestępcy sięgają po szyfrowanie połączeń właśnie po to, aby skorzystać z kluczowej cechy SSL/TLS. Popularnie wykorzystywane narzędzia do monitorowania ruchu sieciowego nie umożliwiają bowiem zajrzenia do paczek danych szyfrowanych w ten sposób. Rzeczywista ich zawartość pozostaje więc tajemnicą dla ekspertów ds. bezpieczeństwa IT. – tłumaczy Paweł Dawidek z Wheel Systems – Nie chcąc ryzykować wycieku danych lub infekcji złośliwym oprogramowaniem mogą oni zablokować szyfrowane połączenia. Wiąże się to jednak z zamknięciem dostępu także, np. do usług pocztowych, Facebooka, czy YouTube.
Paradoksalnie, wraz z przewidywanym upowszechnianiem się idei szyfrowania połączeń – choćby za sprawą powstających darmowych centrów certyfikacji – problem firm będzie rósł. Wolumen takiego ruchu, z dnia na dzień, będzie się bowiem zwiększał, ograniczając tym samym możliwość rzetelnego monitorowania ruchu sieciowego wychodzącego i wchodzącego do infrastruktury informatycznej przedsiębiorstwa.
Ryś na straży transparentności
Z rozwiązaniem problemu przyszła polska firma Wheel Systems, tworząc inteligentny system deszyfrujący Lynx SSL Inspector. Umożliwia on inspekcję wybranych sesji szyfrowanych certyfikatami SSL/TLS.
Lynx nie jest narzędziem analitycznym. Podobnie jak aparat rentgenowski podczas kontroli bezpieczeństwa w porcie lotniczym, Lynx SSL Inspector umożliwia wykonanie prześwietlenia. Pracujący w trybie przezroczystego mostu system rozszyfrowuje wybrane sesje SSL/TLS, i umożliwia skierowanie ich do inspekcji przez systemy IDS/IPS. Korzystając z jednego z dwóch wewnętrznych centrów certyfikacji Lynxa, system na powrót szyfruje sprawdzone paczki certyfikatem o identycznych parametrach jak oryginalny. Tak przygotowana zawartość wysłana jest do pierwotnego adresata. To doskonały przykład wykorzystania metody man-in-the-middle w dobrym celu.
W razie wykrycia nieprawidłowości, system DLP/IDS/IPS może wysłać do Wheel Lynx SSL Inspector żądanie zerwania wybranego połączenia użytkownika, natychmiast tamując wyciek danych lub w ogóle nie dopuszczając do naruszenia bezpieczeństwa. Ruch nieszyfrowany, który również może przechodzić przez urządzenie, jest przekazywany do systemów IDS/IPS w stanie niezmienionym. Lynx umożliwia także określenie listy adresów URL oraz IP, które nie podlegają deszyfracji, np. instytucji finansowych, medycznych, czy religijnych.
Mocną stroną urządzenia jest jego olbrzymia wszechstronność. Wheel Lynx SSL Inspector obsługuje protokoły SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, oraz TLS 1.2. Co więcej, obsługiwane są zarówno te szyfrowane od samego początku transmisji (HTTPS) jak i rozpoczynające szyfrowanie po komendzie STARTTLS (np. SMTP).
Kontrola we właściwych rękach
Lynx SSL Inspector oddaje administratorom IT użytkownika pełnię kontroli nad ruchem sieciowym i umożliwia im zareagowanie na podejrzane przepływy także w ramach – do niedawna wyjętych spod inspekcji – połączeń szyfrowanych SSL/TLS.
– Z analiz rynkowych wynika, że aż 80 proc. przedsiębiorstw zagrożonych jest atakami poprzez kanały szyfrowane SSL/TLS. Potwierdzają to niedawne zdarzenia. Na celowniku cyberprzestepców znalazł się przecież serwis ProtonMail, świadczący darmowe usługi pocztowe. – oświadczył Patryk Brożek, prezes Wheel Systems – Wierzymy, że nasz Lynx pomoże ochronić integralność informatyczną przedsiębiorstw wszystkich branż. Tak w Polsce jak i za granicą.