پروتکل خصوصی به یک اندازه به کاربران و هکر ها خدمت می کند

تقریبا از چهار سال پیش بود که شرکت ‌ها به یکباره به مقوله رمزنگاری ارتباطات به ‌طور جدی پرداختند. رویکردی که برای محافظت از کاربران پیشنهاد شده بود ،اکنون به عنوان ایده‌آل‌ترین راهکار در اختیار هکر ها قرار گرفته است. با توجه به این‌ که در چند وقت اخیر نقص‌ ‌های داده‌ای باعث افشا گسترده داده ‌ها شده‌‌اند ،شرکت ‌ها به رمزنگاری ترافیک وب بیش از اندازه متمایل شده‌اند.

پژوهشی که نتایج آن به تازگی منتشر شده نشان می ‌دهد ،نیمی از ترافیک ارتباطات جهانی در شش ماهه نخست سال جاری به شکل رمزنگاری شده انتقال پیدا کرده‌اند و جالب‌تر آن‌که ،از دو ماه پیش و درست از ماه می نزدیک به 65 درصد بر شدت این رمزنگاری افزوده شده است. در حالی که بسیاری از اپراتور های وب‌ سایت ‌ها از رمزنگاری SSL استفاده می ‌کنند ،به همان نسبت هکر ها نیز از این ‌گونه ارتباطات استفاده می ‌کنند.

باج ‌افزار هایی همچون لاکی ،پتیا و جیگ‌ساو که از سال 2015 میلادی کار خود را آغاز کرده‌اند ،همگی از پروتکل HTTPS برای برقراری ارتباطات خود استفاده کردند. تحلیل ‌های انجام شده نشان می ‌دهد ،در حالی که گارتنر در سال 2013 میلادی اعلام کرده بود که 5 درصد از بدافزار ها از رمزنگاری SSL استفاده می‌ کنند ،اما این رقم اکنون به 36 درصد رسیده و همچنان در حال افزایش است .واقعیت این است که اکنون پروتکل رمزنگار SSL یک نقش دوگانه دارد. در شرایطی که SSL از حریم خصوصی ما محافظت به عمل می‌ آورد ،اما به همان نسبت نقاط غیرقابل رویتی را در زیرساخت ‌های شبکه یک سازمان به وجود آورده است.

به شکلی که اکنون بدافزار های روی پروتکل HTTPS به راحتی می‌ توانند خود را از سد مکانیزم ‌های امنیتی رد کنند. گوگل می ‌گوید ،رتبه‌بندی جست‌وجو برای سایت ‌هایی که از پروتکل HTTPS استفاده می ‌کنند را بیشتر می ‌کند که این رویکرد به معنای افزایش روبه‌روشد رمزنگاری ترافیک شبکه خواهد بود. در این بین نباید از نقش سازمان let’s Encrypt که می‌ تواند گواهی ‌نامه ‌های رایگان SSL  را صادر کند غافل شویم. اصلی ‌ترین مشکلی که در این زمینه وجود دارد این است که شرکت ‌ها بازرسی SSL را به هیچ عنوان مورد توجه قرار نداده و بدتر از آن بسیاری از شرکت‌ ها اصلا نمی ‌دانند بازرسی SSL به چه معنا است .SSL مانع به وجود آمدن حملات مرد میانی و استراق سمع می ‌شود ،اما فاقد به ‌کارگیری هرگونه استاندارد امنیتی و احراز هویتی پیش از رمزنگاری است. در نتیجه ضروری است کارشناسان امنیتی با مقوله بازرسی SSL آشنا شوند.