Πολύ λίγο χρονικό διάστημα έχει περάσει από τότε που ο κόσμος άρχισε να εξοικειώνεται με τη χρήση του HTTPS και ποιον ρόλο επιτελεί στο Διαδίκτυο. Το Let’s Encrypt αποτελεί μια πολύ γνωστή, αυτοματοποιημένη υπηρεσία, η οποία δίνει τη δυνατότητα να μετατρέψει ο χρήστης τα μη κρυπτογραφημένα URLs σε ασφαλείς κρυπτογραφημένες HTTPS διευθύνσεις, με έναν τύπο αρχείου που είναι γνωστός ως «πιστοποιητικό». Αποτελεί μια καταπληκτική υπηρεσία, ιδίως από τη στιγμή που τα πιστοποιητικά είναι σε γενικές γραμμές ακριβά (στη πραγματικότητα υπερτιμημένα) και αρκετοί χρήστες οι οποίοι θέλουν να ανεβάσουν μια σελίδα στο Διαδίκτυο, δεν μπορούν να ανταπεξέλθουν οικονομικά. Επομένως, εύκολα θα μπορούσε κανείς να οδηγηθεί στο συμπέρασμα ότι η υπηρεσία Let’s Encrypt έχει κάνει πολύ περισσότερα από αυτό που ο καθένας μας θα μπορούσε να φανταστεί για να βελτιώσει ακόμη περισσότερο την ασφάλεια των χρηστών.
Όπως συμβαίνει και με τόσες υπέροχες ιδέες του τεχνολογικού τομέα, το Let’s Encrypt προφανώς και δε σχεδιάστηκε με στόχο να χρησιμοποιηθεί από τους διαδικτυακούς εγκληματίες. Και όμως, είναι αυτό ακριβώς που συμβαίνει. Επειδή είναι δωρεάν και εύκολο να κάνουμε μια ιστοσελίδα προσβάσιμη μέσω HTTPS, οι κυβερνοεγκληματίες το θεωρούν ως μια καλή ευκαιρία και προσπαθούν να εκμεταλλευθούν κάποια ευπάθεια. Όταν μια ιστοσελίδα βρίσκεται σε διεύθυνση HTTPS, οι χρήστες όχι μόνο ξέρουν ότι βρίσκονται σε μια ασφαλή κρυπτογραφημμένη σύνδεση με την ιστοσελίδα, αλλά browsers όπως ο Chrome της Google προβάλλουν πάνω στην μπάρα των διευθύνσεων ένα λουκέτο και τη λέξη «Secure», ότι είναι δηλαδή ασφαλές. Οι υπέρμαχοι της ιδιωτικότητας και της ασφάλειας έχουν κάνει τα πάντα προκειμένου να πείσουν το κόσμο ότι η ένδειξη αυτή που μόλις αναφέραμε, είναι δηλωτική της ασφαλούς σύνδεσης με μια ιστοσελίδα. Όμως τα πράγματα είναι εξαιρετικά πιο περίπλοκα.
Το γεγονός ότι υπάρχει η πιθανότητα το Let’s Encrypt να χρησιμοποιείται από ιστοσελίδες με σκοπό το «phising» για να φαίνονται αληθινές, έχει εγείρει ένα μεγάλο κύμα ανησυχιών για απλούς χρήστες, οι οποίοι βασίζονται απλά στο «λουκέτο» του browser για να διαπιστώσουν ότι πρόκειται για μια ασφαλή ιστοσελίδα. Σύμφωνα, με το γνωστό μεταπωλητή «SSL Store», η υπηρεσία Let’s Encrypt το διάστημα 1 Ιανουαρίου 2016 – 6 Μαρτίου 2016, έχει εκδώσει συνολικά 15.276 πιστοποιητικά SSL τα οποία περιλαμβάνουν την λέξη Paypal.
Ας σημειωθεί σε αυτό το σημείο, ότι το «SSL Store» είναι πωλητής εκείνων των υπερτιμημένων πιστοποιητικών, επομένως ο στόχος ύπαρξης του Let’s Encrypt δεν είναι στα άμεσα ενδιαφέροντά τους. O γνωστός αυτός μεταπωλητής προσθέτει, ότι αν και η ανάλυσή τους εστιάζει στις ψευδείς ιστοσελίδες PayPal, έχει εντοπίσει και άλλες SSL phishing ιστοσελίδες, μεταξύ αυτών της Bank of America, των Apple IDs ακόμη και της Google.
Το πρόβλημα αυτό δεν είναι καινούριο. Απλά τώρα γίνεται όλο και πιο έντονο και επιδεινώνεται. Τον περασμένο Ιανουάριο, η εταιρεία ερευνών Trend Micro έφερε στο φως μια καμπάνια malvertising που στόχο είχε τις ιστοσελίδες που χρησιμοποιούν τα δωρεάν SSL πιστοποιητικά της Let’s Encrypt. Η Trend Micro ανακάλυψε την ύπαρξη ενός συνόλου διαφημιστικής καμπάνιας που ανακατεύθυνε τους χρήστες σε ιστοσελίδες του Angler Exploit Kit. Αν δεν είστε γνώστης του συγκεκριμένου kit αρκεί να αναφέρουμε ότι το Angler μολύνει με malware όταν ο χρήστης επισκεφθεί την ιστοσελίδα και μάλιστα χωρίς να έχετε κάνει κλικ κάπου. Οι ερευνητές ανακάλυψαν, ότι πάνω από 50% των μολύνσεων Angler, μετατρέπονται σε ransomware, όπου τα αρχεία σας κλειδώνουν μέχρι να πληρώσετε … λύτρα.
Η Trend Micro ανακάλυψε ότι οι malvertisers που χρησιμοποίσαν το Let’s Encrypt για το HTTPS είχαν δημιουργήσει subdomains που έμοιαζαν αρκετά αληθή για να ξεγελάσουν το μέσο χρήστη. Οι κυβερνοεγκληματίες χρησιμοποιούσαν πιστοποιητικά Let’s Encrypt που είχαν ειδικά επιλεχθεί για αυτά τα subdomains, κάνοντας τις ιστοσελίδες να δείχνουν ασφαλείς, ενώ φυσικά δεν ήταν. «Οποιαδήποτε τεχνολογία μπορεί να χρησιμοποιηθεί για καλό σκοπό, αποτελεί έναν εν δυνάμει στόχο των κυβερνοεγκληματιών, με το Let’s Encrypt να μην αποτελεί εξαίρεση», αναφέρει ο Joseph Chen της Trend Micro.
Επομένως, γιατί δεν μπορεί το Let’s Encrypt, απλά να αποσύρει αυτά που θεωρούνται ως fake PayPal certificates; Απλά επειδή θεωρούν, πως δεν είναι δική τους ευθύνη. Ο Josh Aas, executive director του Internet Security Research Group, ανέφερε σε ένα εκτενές blog post μεταξύ άλλων, ότι το σύστημα έκδοσης πιστοποιητικών δεν είναι αποτελεσματικός τρόπος αντιμετώπισης των malwares του web και των phising sites. Το Let’s Encrypt έριξε το μπαλάκι των ευθυνών σε ομάδες που έχουν επιφορτιστεί με την ασφάλεια των browsers της Google, τον Firefox και Safari. Ο Aas ανέφερε επίσης ότι οι τεχνολογίες προστασίας anti-phishing και anti-malware των browsers είναι πιο αποτελεσματικές από οτιδήποτε μπορεί να κάνει μέχρι στιγμής η Let’s Encrypt. Από την άλλη, ακόμη και η Google να ειδοποιήσει για μια ψευδή ιστοσελίδα, η Let’s Encrypt δεν θα ανακαλέσει τα πιστοποιητικά ασφαλείας.
Έτσι, αρχίζει να διαφαίνεται η ματαιότητα της όλης προσπάθειας που έχει γίνει μέχρι σήμερα, να εμπιστεθεί ο κόσμος το HTTPS και την ένδειξη – λουκέτο στον browser. Πλέον θα είναι ορθότερο να πει κανείς ότι είναι καλό πάντα να χρησιμοποιείς το HTTPS αλλά σε καμιά περίπτωση δε θα πρέπει να το θεωρείς ως ένα μοναδικό κριτήριο της ασφάλειας που πιστεύεις ότι παρέχει μια σελίδα. Προτεραιότητα θα πρέπει να είναι να ελέγξουμε στο μέτρο του δυνατού, την εγκυρότητα του συνδέσμου, τυχόν ορθογραφικά λάθη και όχι απλώς να δούμε το λουκετάκι και να καταλήξουμε άμεσα στο συμπέρασμα ότι είναι ασφαλής. Έτσι είναι ο κυβερνοχώρος και θα πρέπει να μάθουμε να αποφεύγουμε τις απόπειρες εξαπάτησης από κάθε είδους διαδικτυακό εγκληματία.
