โครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ เมื่อวานได้มีการเปิดตัว CertStream service เกิดขึ้น ซึ่งเป็น service สำหรับการดึงข้อมูลมาจาก Certificate Transpency นั่นเอง ทำให้ช่วงเมื่อวานนั้นฝั่งเหล่า Threat Intelligence ต่างก็ตื่นเต้นกันถ้วนหน้า เพราะนั่นหมายความว่าจะทำให้ตามจับเหล่า Phishing ที่ใช้งาน SSL ได้หรือดีหน่อยอาจจะตรวจพบ Phishing website ก่อนที่จะเริ่มมีการแพร่กระจายเลยก็เป็นไปได้เช่นกัน

มันมีหลายๆครั้งที่ CA (Certificate authorities) นั้นถูกแฮ็ค และนั่นทำให้เกิด Certificate ที่ถูกสร้างด้วย CA ที่ถูกต้องเกิดขึ้น แต่ประเด็นคือมันไม่ใช่ Certificate ที่ถูกต้อง เพราะมันถูกสร้างตอน CA นั้นถูกแฮ็คนั่นเอง แถมยังไม่พูดถึงบริการการสร้าง Certificate จาก CA ที่ให้บริการฟรีอย่าง Let’s Encrypt อีกด้วย นั่นหมายความว่าเราจะไม่สามารถเชื่อถือในเว็บไซด์ที่เป็น HTTPS ได้อีกต่อไป เพราะมันมีความเป็นไปได้ที่ certificate ที่ถูกสร้างจาก CA ที่ได้รับการยอมรับจาก Browser ต่างๆนั้นจะเป็นการสร้างโดย hacker เอง ส่งผลให้หลักการที่บอกว่าถ้าเข้าเว็บไซด์แล้วเป็น HTTPS นั้นไม่ปลอดภัยอีกต่อไป ซึ่งเรื่องนี้เป็นปัญหาที่เกิดขึ้นมา 3-4 ปีได้แล้ว

ทาง Google เห็นปัญหาดังกล่าวจึงได้เริ่มทำ Project Certificate Transparency ขึ้นมาให้มีการแชร์ข้อมูลการสร้าง Certificate ระหว่าง CA เองมายัง Google โดยจะมี CertStream เป็นตัวที่รายงานการออก certificate แบบใกล้เคียง realtime ที่สุด Developer ต่างๆสามารถนำ lib CertStream เพื่อคอย monitor การออก certificate จาก CA ที่แชร์ข้อมูลเหล่านั้นได้

เมื่อทราบแล้วว่ามีการสร้าง Certificate สำหรับเว็บไซด์ (Domain Name) ชื่อว่าอะไร ก็ตรวจสอบต่อว่าชื่อของเว็บไซด์ที่ถูกสร้างนั้นมีความน่าจะเป็นที่จะเป็น Phishing เว็บไซด์หรือไม่ต่ออีกที ซึ่งตอนนี้ก็เริ่มมีการนำ CertStream ไปใช้แล้วครับ

ตัวอย่างการเรียกใช้งาน lib CertStream ใน Python

ตอนนี้มี user ชื่อว่า @x0rz ได้นำ lib ดังกล่าวไปเขียน program python สำหรับการตรวจสอบการสร้าง certificate เพื่อนำไปใช้ Phishing website ได้ในระดับหนึ่งครับ ซึ่งทำให้ทาง SoC (Security Operation Center) สามารถล่วงรู้ได้ว่ากำลังมี Phishing เว็บไซด์ชื่อ Domain ว่าอะไรกำลังจะเกิดขึ้นและนำไปใส่ใน Blacklist ได้อย่างทันท่วงทีครับ

ตัวอย่าง Domain ที่ถูกตรวจพบได้จากการใช้ script

Source