Kredit:CC0 Public Domain
En blomstrande marknadsplats för SSL- och TLS-certifikat – små datafiler som används för att underlätta konfidentiell kommunikation mellan organisationers servrar och deras klienters datorer – finns på en dold del av Internet, enligt ny forskning från Georgia State Universitys Evidence-Based Cybersecurity Research Group (EBCS) och University of Surrey.
Nätverksanslutna maskiner använder nycklar och SSL/TLS-certifikat för att identifiera och autentisera sig när de ansluter till varandra, ungefär som människor använder användarnamn och lösenord för att gå online, enligt Venafi, en privatägd leverantör av maskinidentitetsskydd och sponsor av forskningen.
När dessa certifikat säljs på darknet, de är förpackade med ett brett utbud av brottsprogram som levererar maskinidentiteter till cyberbrottslingar som använder dem för att förfalska webbplatser, avlyssna krypterad trafik, utföra attacker och stjäla känslig data, bland annat.
Att avslöja den utbredda tillgängligheten av dessa certifikat på darknet var en överraskning, enligt huvudförfattaren David Maimon, en docent vid Andrew Young School of Policy Studies i Georgia State och chef för EBCS. En sökning av fem marknadsplatser i mörkret för denna forskning avslöjade 2, 943 omnämnanden för "SSL" och 75 för "TLS." I jämförelse, det fanns bara 531 omnämnanden för "ransomware".
"En mycket intressant aspekt av denna forskning var att se TLS-certifikat paketerade med omslutande tjänster – som webbdesigntjänster – för att ge angripare omedelbar tillgång till höga nivåer av trovärdighet och förtroende online, " sa han. "Det var förvånande att upptäcka hur enkelt och billigt det är att skaffa utökade valideringscertifikat, tillsammans med all dokumentation som behövs för att skapa mycket trovärdiga skalföretag utan någon verifieringsinformation."
"Denna studie fann tydliga bevis på den skenande försäljningen av TLS-certifikat på darknet, sa Kevin Bocek, vice ordförande för säkerhet och hotintelligens för Venafi. "TLS-certifikat som fungerar som betrodda maskinidentiteter är helt klart en viktig del av cyberkriminella verktygssatser, precis som bots, ransomware och spionprogram. Varje organisation bör vara oroad över att de certifikat som används för att etablera och upprätthålla förtroende och integritet på Internet beväpnas och säljs som varor till cyberbrottslingar."