HTTPS協(xié)議并不像人們認(rèn)為的那樣安全。戴爾安全最近發(fā)現(xiàn)，利用HTTPS注入惡意軟件的入侵事件數(shù)量正在增加。

[[132111]]

戴爾安全通過(guò)流量探測(cè)器抓取了全球HTTPS鏈接的數(shù)量，該數(shù)字從2014年一月的1820億上漲到了2015年三月的4370億。

這意味著，HTTPS方式成為了網(wǎng)絡(luò)連接的主流，在過(guò)去的一年中平均占到總連接數(shù)的60%。盡管該數(shù)字并未得到其它公司證實(shí)，但從SSL/TLS的快速發(fā)展情況上也能推斷，加密網(wǎng)絡(luò)鏈接幾乎成為了當(dāng)今的默認(rèn)連接方式。

不幸的是，犯罪分子也明白這種趨勢(shì)，他們利用HTTPS技術(shù)開(kāi)發(fā)了更多攻擊方式。戴爾方面提到的是雅虎公司與惡意廣告的斗爭(zhēng)，惡意廣告是被傳輸加密的，因此能夠繞過(guò)任何缺乏SSL檢驗(yàn)機(jī)制的防火墻。

戴爾公司也提到，最近的福布斯事件中，黑客向福布斯網(wǎng)“Thought of the Day”頁(yè)面注入了惡意軟件，類(lèi)似于“路過(guò)式登錄”攻擊，該軟件可以感染特定類(lèi)型的用戶(hù)，并將用戶(hù)重定向到一個(gè)Flash的零日漏洞上。不過(guò)，研究者并不確定此案例中福布斯網(wǎng)是否用到了HTTPS。

很多防火墻配備了SSL檢驗(yàn)機(jī)制，但也有很多并沒(méi)有該功能。在家使用電腦的用戶(hù)如果不通過(guò)公司VPN進(jìn)行連接，將會(huì)出現(xiàn)很多漏洞。

戴爾安全部門(mén)的負(fù)責(zé)人表示，在網(wǎng)絡(luò)流量中檢驗(yàn)出加密過(guò)的惡意流量是很困難的。

加密可以用于保護(hù)重要的個(gè)人信息和財(cái)務(wù)信息，但也可以用來(lái)保護(hù)惡意軟件。各企業(yè)可以用過(guò)設(shè)置基于SSL的瀏覽器過(guò)濾來(lái)解決該問(wèn)題，同時(shí)應(yīng)當(dāng)對(duì)常用商務(wù)軟件設(shè)置白名單，以保證企業(yè)運(yùn)行效率。

除了HTTPS，戴爾安全還發(fā)現(xiàn)了更多針對(duì)POS機(jī)的攻擊，研究者分離出了13種類(lèi)型的惡意軟件，而該數(shù)字在2013年只為3種。攻擊也采取了比以前更新型的技術(shù)，比如內(nèi)存搜讀(Memory Scraping)和HTTPS所提供的加密偽裝功能。

全球針對(duì)SCADA系統(tǒng)的攻擊在2012年一月為91676件，在2014年一月則上升到了675186件。其中，202322起事件發(fā)生在芬蘭，69656起發(fā)生在英國(guó)，51258起發(fā)生在美國(guó)。對(duì)戴爾設(shè)備的大規(guī)模使用降低了這些國(guó)家的互聯(lián)網(wǎng)設(shè)備使用率。

戴爾發(fā)言人表示，如今每個(gè)人都知道這些網(wǎng)絡(luò)威脅是真實(shí)的，后果是嚴(yán)重的，因此不能再簡(jiǎn)單地把責(zé)任推給人們?nèi)狈π畔踩庾R(shí)了。

黑客襲擊事件不斷發(fā)生，并不是因?yàn)楣緵](méi)有采取安全措施，而是因?yàn)樗麄儧](méi)有采取正確的。