ข่าวนี้เป็นการตอกย้ำอีกครั้งสำหรับเรื่องจงอย่าคิดว่าเว็บไซด์ที่เป็นเว็บไซด์ https นั้นปลอดภัย ล่าสุดนักวิจัยทำเว็บไซด์ phishing ให้บริการ https แถมใช้ certificate เป็นลักษณะ Extended Validation (“EV”) SSL certificates อีกด้วย

SSL Certificate เป็นอะไรที่หาได้ง่ายมากในปัจจุบัน เหตุเกิดที่มีผู้ให้บริการ sign digital certificate ฟรีๆอย่าง Let’s Encrypt ทำให้เว็บไซด์ 65% ของทั้งโลกที่ทำสถิติผ่าน Firefox มีการให้บริการ https หมดแล้ว

EV Certificate เป็น SSL ที่ถูกนำมาใช้งานกันตั้งแต่ปี 2007 โดย EV certificate นั้นมีการตรวจสอบที่เข้มงวดกว่า certificate ธรรมดามาก ทั้งการตรวจเอกสารเพิ่มเติม, การเสียเงินที่มากกว่า certificate ปกติ และสิ่งที่พิเศษของ EV certificate คือการเพิ่มแถบเขียวๆเพิ่มขึ้นมาด้านหน้าของ Address Bar แทนที่จะเป็นสีเขียวแม่กุญแจเฉยๆ

ส่วนใหญ่องค์กรที่มักจะใช้งาน EV certificate คือเว็บไซด์ที่เป็นฝั่งการเงิน เพื่อเพิ่มความน่าเชื่อถือของตัวเว็บไซด์และเพื่อให้ user สามารถสังเกตุเว็บไซด์ที่ถูกต้องได้ง่ายขึ้นนั่นเอง

แต่ล่าสุด, นาย James Burton  ได้ทดสอบทำการสร้างบริษัทปลอมๆที่ชื่อว่า “Verified Identity” ขึ้นมา แล้วทำการขอ EV Certificate ในช่วงกันยายน 2017 ที่ผ่านมา

จากการวิจัยของ James พบว่าช่องโหว่ในการกระทำ EV นั้นสามารถกระทำได้โดยบุคคลประสงค์ร้ายทั่วไป โดยเขาได้ทำการสร้างทฤษฎีที่ว่าหากผู้ประสงค์ร้ายสามารถขโมยข้อมูลที่ขโมยจาก user ใดๆมาได้ ก็กระทำเรื่องการสร้างบริษัทปลอมๆที่ดูชื่อน่าเชื่อถือขึ้นมาได้ และเมื่อเป็นแบบนั้น ผู้ประสงค์ร้าย ก็จะใช้บริษัทปลอมๆที่มีในการทำ phishing website ที่มี EV ได้นั่นเอง

และมีนักวิจัยอีกคนหนึ่งที่ชื่อว่า Ian Carroll ได้นำผลงานวิจัยของ Burton ไปทำเพิ่มเติม โดยการบอกว่าเค้าคิดว่าบริษัทปลอมๆที่สร้างขึ้นมาสามารถไปปลอมเป็นบริษัทจริงๆที่มีอยู่ได้

เพื่อพิสูจน์เค้าได้กระทำการสร้างบริษัทที่ชื่อว่า “Stripe, Inc” ในรัฐ Kentucky, และพยายามทำเว็บไซด์ให้เหมือนกับเว็บไซด์ของบริษัทจริงๆ Stripe, Inc (payments processor), ใน Delaware.

เป็นอย่างที่ Burton ทำ, Carroll สามารถได้ EV SSL Certificate มาอย่างไม่ยากเย็นเลย เนื่องด้วยความที่ browser สมัยใหม่บางตัวอย่าง Safari มีการแสดงผล EV แปะทับไปใน URL ไปเลย ก็ยิ่งทำให้คนไม่ได้ตรวจสอบ URL ก็คิดว่าเป็นเว็บไซด์จริงๆอีกด้วย

(Safari)

(Safari)

(Firefox)

Carroll กล่าวว่า Browser บางตัวจะแสดง country code และข้อมูลอื่นๆของ EV details เช่น state, city, หรือ street address. แต่จะมีใครบ้างไปเปิดดูและใครจะรู้บ้างว่าบริษัทที่แท้จริงนั้นจริงๆแล้วอยู่ที่ไหนกันแน่ (เช่น paypal เป็นต้น)

และอย่าง Chrome versions ใหม่ๆก็ไม่ได้อนุญาตให้ user สามารถดู certificate detail ได้อีกด้วย ยกเว้นจะไปดูผ่านทาง Developer Tools ซึ่งใครจะไปรู้ล่ะ Google Engineer สัญญาว่าจะเอากลับมาให้ดูได้ผ่านที่ Addressbar เหมือนเดิม แต่ก็จะซักกี่คนที่รู้ว่า EV Certificate นั้นมีอยู่และทำงานยังไง

หลังจากที่ทั้ง Burton และ Carroll ทำงานวิจัยนี้ออกมา ก็จะยิ่งทำให้เห็นว่า EV นั้นไม่ได้ดูน่าเชื่อถือกว่า certificate ปกติตรงไหน ทั้งๆที่ต้องจ่ายเงินที่มากกว่า จุดเด่นหลักที่สำคัญจุดเดียวคือการที่มีการใช้เอกสารจำนวนมากในการยื่นของ EV จะทำให้ทนายความทั้งหลายมีหลักฐานในการตามตัวผู้กระทำผิดเหล่านั้นนั่นเอง อย่างไรก็ตามใน process การยืนยันเพื่อให้ได้ EV นั้น บริษัท Dun & Bradstreet1 มีการตรวจสอบแค่บัตรประจำตัวและการสอบถามไม่กี่คำถามเพื่อยืนยันตัวตนเท่านั้น การซื้อข้อมูลส่วนตัวของผู้อื่นทำให้ผ่านสิ่งเหล่านี้ไปได้ไม่ยากและไม่แพงเลย

ในทางตรงกันข้าม, ไม่มีการตรวจสอบหลักฐานการยืนยันตัวตนใดๆมาจากรัฐ Kentucky หรือตัวแทนการลงทะเบียนเลย สรุปก็คือการที่มีผู้ที่เกี่ยวข้องแย่ๆแบบนี้ทำให้สามารถเอา certificate เหล่านี้มาได้ง่ายๆนั่นเอง

Source:: BleepingComputer