Darknets 是有加密過的P2P網路,通常是封閉式族群用來分享檔案之用。多數黑暗網路的架設與維護都需要一定層級的技術知識才行,包括處理/維護伺服器。不過,HP 研究員Billy Hoffman 與 Matt Wood 本週打算展示以瀏覽器為基礎的黑暗網路,稱為「Veiled」,兩人表示這一般人就可架設使用。
「這會降低參與的門檻,」Wood向ZDNet記者表示,「若你要建立一個黑暗網路,你只需發出一封加密電子郵件,告知對方URL網址,對方連上該網址後,瀏覽器就會直接啟動(黑暗網路應用)了。」
Hoffman與Wood預計會在本週於拉斯維加斯舉行的黑帽安全大會(Black Hat)展示這項技術。
Wood表示HP並沒有打算將該計畫變成商業產品。該公司也不打算提供原始碼,但研究員會把整個概念開誠布公公開,好讓其他資安研究員可接續進行研發。
「HP不打算去申請專利、著作權或釋出原始碼,」Wood表示,「黑帽大會是業界極富盛名的資安大會,我們希望讓更多有志之士能瞭解這個概念。」
企業可利用這類瀏覽器形式的黑暗網路,讓不同工作族群交換商業敏感資訊,或者當作員工匿名給高層的建議等。Wood表示,「我們可以把這個當作上網路上的意見箱,你藉此跟老闆提匿名建議。」
Wood表示,他們是看到新瀏覽器技術的潛力後才著手進行黑暗網路的研究。
由於能支援HTML 5的瀏覽器(如最新版Firefox、Safari與IE等)可允許檔案持續儲存在client端,並可在離線時持續作業,再加上黑暗網路的分散式網格運算特性,這意味著檔案可隨時上傳,即使原本開啟的瀏覽器已經關閉了也無妨。
Wood表示,這個特性也讓黑暗網路具備十足韌性。「黑暗網路的優勢是分散式,若想要加以摧毀,你得把所有的client端全數攻下才行,因為若有一台伺服器被入侵了,你只要轉換成其他台即可,他們可轉移來轉移去。」
Wood 另外表示,JavaScript引擎的進步(如Google的Chrome V8與Mozilla的TraceMonkey)也是黑暗網路可運用在瀏覽器的功臣之一。這類引擎可讓瀏覽器模式的通訊得以迅速建立並加密。HP研究員端 出的Veiled黑暗網路採RSA公鑰加密,但基本上任何加密技術都可採用。
=====================================================
這樣的話,基於網頁基礎的即時通訊軟體或是需要認證的信件與個人帳戶管理的動作,安全性的防護又多了一道。在檔案分散配置的情況下,想要不法取得資料的人,必須對多個伺服器進行存取,可將複雜度提高,搭配組合式的斤要管哩,可讓部分的資料在沒有所有檔案的情況下,變成無意義的訊息。想要破壞此架構,必須將所有擁有備份的機器一併破壞,使用者會有更多機會偵測入侵加以防範,不過很奇怪的是,為何不公開原始碼與申請專利,或許是因為必須搭配其他廠商的關鍵技術才能成功,避免被對方控制技術,希望研發出完整替代方案才發布,先讓有興趣的開發人員試試身手,再來評估可用性也不遲。
沒有留言:
張貼留言