VPN นับว่าเป็นเครื่องมือสำคัญที่ช่วยให้พนักงานหรือผู้บริหารสามารถเข้าถึงระบบเครือข่ายขององค์กรจากที่แห่งใดก็ได้ในโลก รวมทั้งช่วยการันตีความมั่นคงปลอดภัยในการเข้าถึงและใช้งาน Resource อย่างไรก็ตาม งานวิจัยของ High-Tech Bridge เผยว่า กว่า 77% ของบริการ SSL VPN ที่ให้บริการทั่วโลกยังคงใช้โปรโตคอล SSLv3 ซึ่งถูก IETF (Internet Engineering Task Force) ปรับให้เป็นโปรโตคอลที่ไม่ปลอดภัยตั้งแต่กลางปี 2015 (RFC 7568)
SSLv3 ถูกพัฒนาขึ้นมาตั้งแต่ปี 1996 ซึ่งปัจจุบันเรียกได้ว่าหมดยุคไปแล้ว และไม่แนะนำให้ใช้งาน หลายมาตรฐานและข้อกำหนดด้านความมั่นคงปลอดภัยสั่งห้ามไม่ให้บริษัทใช้งานโปรโตคอลดังกล่าว เนื่องจากมีช่องโหว่และจุดอ่อนร้ายแรงหลายประกาศ ซึ่งอาจก่อให้เกิดผลเสียร้ายแรงต่อระบบขององค์กรได้
รายละเอียดของผลการวิจัยที่สำคัญ
- ประมาณ 3 ใน 4 (76%) ของ SSL VPN มีการใช้ SSL Certificate แบบ Untrusted ซึ่ง Certificate ดังกล่าวช่วยให้แฮ็คเกอร์สามารถปลอมแปลง VPN Server ขึ้นมาโจมตีแบบ Man-in-the-Middle ได้ เช่น ดักจับทราฟฟิคเพื่อแอบฟังข้อมูล ไม่ว่าจะเป็น ไฟล์ อีเมล และรหัสผ่าน ได้
- 74% ของ Certificate ยังคงใช้ Digital Signature แบบ SHA-1 ซึ่งถูกพิสูจน์แล้วว่าใช้เวลาแฮ็คได้ในเวลาไม่นาน และหลาย Web Browser ต่างออกมาประกาศว่าเตรียมเลิกใช้งานเร็วๆนี้
- 41% ของ SSL VPN ใช้กุญแจเข้ารหัส RSA ขนาด 1024 bits ซึ่งถือว่ามีขนาดเล็กมาก กุญแจที่ดี พอทนทนต่อการถูกโจมตีควรมีขนาดไม่ต่ำกว่า 2048 bits
- 10% ของเซิฟเวอร์ SSL VPN ยังคงใช้ OpenSSL เวอร์ชันที่ได้รับผลกระทบกับช่องโหว่ Heartbleed
- มีเพียง 3% ที่ผ่านข้อกำหนด PCI-DSS แต่ไม่มี SSL VPN ใดเลยที่ผ่านมาตรฐานด้านความปลอดภัยของ NIST
ที่มา: http://www.infosecurity-magazine.com/news/most-ssl-vpns-are-wildly-insecure/