Дружеството Cloudflare представи библиотеката mitmengine, използвана за откриване на HTTPS прихващане на трафикакакто и уеб услугата Malcolm за визуален анализ на данните, натрупани в Cloudflare.
Кодът е написан на езика Go и се разпространява под лиценза BSD. Мониторингът на трафика на Cloudflare с помощта на предложения инструмент показа, че приблизително 18% от HTTPS връзките са прихванати.
HTTPS прихващане
В повечето случаи HTTPS трафикът се прихваща от страна на клиента поради активността на различни локални антивирусни приложения, защитни стени, системи за родителски контрол, зловреден софтуер (за кражба на пароли, замяна на реклама или стартиране на кода за копаене) или системи за корпоративна инспекция на трафика.
Такива системи добавят вашия TLS сертификат към списъка със сертификати в локалната система и те го използват за прихващане на защитен потребителски трафик.
Заявки на клиенти предадени на сървъра на местоназначението от името на софтуера за прихващане, след което на клиента се отговаря в рамките на отделна HTTPS връзка, установена с помощта на TLS сертификата от системата за прихващане.
В някои случаи прихващането се организира от страна на сървъра, когато собственикът на сървъра прехвърля частния ключ на трета странаНапример, обратният прокси оператор, системата за защита CDN или DDoS, която получава заявки за оригиналния TLS сертификат и ги предава на оригиналния сървър.
Във всеки случай, HTTPS прихващането подкопава веригата на доверие и въвежда допълнителна връзка на компромис, което води до значително намаляване на нивото на защита връзка, като същевременно оставя видимостта на наличието на защита и без да предизвиква подозрения у потребителите.
Относно mitmengine
За идентифициране на HTTPS прихващане от Cloudflare се предлага пакетът mitmengine, който инсталира на сървъра и позволява засичане на HTTPS прихващане, както и определяне кои системи са били използвани за прихващане.
Същността на метода за определяне на прихващане чрез сравняване на специфичните за браузъра характеристики на TLS обработката с действителното състояние на връзката.
Въз основа на заглавката на User Agent, механизмът определя браузъра и след това оценява дали характеристиките на TLS връзкакато параметрите по подразбиране на TLS, поддържаните разширения, декларирания набор от шифри, процедурата за дефиниране на шифър, групите и форматите на елиптичната крива съответстват на този браузър.
Базата данни за подписи, използвана за проверка, има приблизително 500 типични идентификатора на стека на TLS за браузъри и системи за прихващане.
Данните могат да се събират в пасивен режим чрез анализ на съдържанието на полетата в съобщението ClientHello, което се излъчва открито преди да бъде инсталиран криптираният комуникационен канал.
TShark от мрежовия анализатор Wireshark 3 се използва за улавяне на трафик.
Проектът mitmengine също предоставя библиотека за интегриране на функции за определяне на прихващане в произволни сървърни манипулатори.
В най-простия случай е достатъчно да предадете стойностите на потребителския агент и TLS ClientHello на текущата заявка и библиотеката ще даде вероятността за прихващане и факторите, въз основа на които е направено едно или друго заключение.
Въз основа на статистиката за трафика преминавайки през мрежата за доставка на съдържание Cloudflare, която обработва приблизително 10% от целия интернет трафик, стартира уеб услуга, която отразява промяната в динамиката на прихващането на ден.
Например, преди месец бяха регистрирани прихващания за 13.27% от съединенията, на 19 март цифрата беше 17.53%, а на 13 март достигна връх от 19.02%.
Сравнения
Най-популярният механизъм за прихващане е филтриращата система на Symantec Bluecoat, която представлява 94.53% от всички идентифицирани заявки за прихващане.
Това е последвано от обратния прокси на Akamai (4.57%), Forcepoint (0.54%) и Barracuda (0.32%).
Повечето антивирусни и родителски контролни системи не бяха включени в извадката от идентифицирани прехващачи, тъй като не бяха събрани достатъчно подписи за тяхната точна идентификация.
В 52,35% от случаите трафикът на настолните версии на браузърите е прихванат, а в 45,44% от браузърите за мобилни устройства.
По отношение на операционните системи статистическите данни са както следва: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), други операционни системи (17.54%).
Fuente: https://blog.cloudflare.com