Kompanija Cloudflare je predstavio biblioteku mitmengine koja se koristi za otkrivanje presretanja HTTPS prometakao i web usluga Malcolm za vizuelnu analizu podataka akumuliranih u Cloudflareu.
Kôd je napisan na jeziku Go i distribuira se pod BSD licencom. Nadzor prometa Cloudflare-a pomoću predloženog alata pokazao je da se presreće približno 18% HTTPS veza.
HTTPS presretanje
U većini slučajeva HTTPS promet se presreće na klijentskoj strani zbog aktivnosti različitih lokalnih antivirusnih aplikacija, zaštitni zidovi, sistemi roditeljske kontrole, zlonamjerni softver (za krađu lozinki, zamjena oglašavanja ili pokretanje rudarskog koda) ili sistemi korporativne inspekcije prometa.
Takvi sistemi dodaju vaš TLS certifikat na listu certifikata na lokalnom sistemu i koriste ga za presretanje zaštićenog korisničkog prometa.
Zahtjevi kupaca preneseno na odredišni server u ime softvera za presretanje, nakon čega se klijentu odgovara u okviru zasebne HTTPS veze uspostavljene pomoću TLS certifikata iz sistema presretanja.
U nekim slučajevima presretanje se organizira na strani servera kada vlasnik poslužitelja prenosi privatni ključ trećoj straniNa primjer, operater obrnutog proxyja, sistem zaštite CDN ili DDoS, koji prima zahtjeve za originalnim TLS certifikatom i prenosi ih na originalni server.
U svakom slučaju, HTTPS presretanje potkopava lanac povjerenja i uvodi dodatnu vezu kompromisa, što dovodi do značajnog smanjenja nivoa zaštite vezu, dok ostavlja izgled prisutnosti zaštite i bez izazivanja sumnje kod korisnika.
O mitmengineu
Da bi se identificiralo HTTPS presretanje putem Cloudflarea, nudi se mitmengine paket, koji instalira na poslužitelj i omogućava otkrivanje HTTPS presretanja, kao i utvrđivanje koji su sistemi korišteni za presretanje.
Suština metode za određivanje presretanja uspoređivanjem karakteristika TLS obrade specifičnih za pregledač sa stvarnim stanjem veze.
Na temelju zaglavlja korisničkog agenta, mehanizam određuje preglednik, a zatim procjenjuje jesu li karakteristike TLS vezekao što su zadani parametri TLS-a, podržana proširenja, deklarirani paket šifri, postupak definicije šifre, grupe i formati eliptičnih krivulja odgovaraju ovom pregledniku.
Baza podataka potpisa koja se koristi za verifikaciju ima približno 500 tipičnih TLS identifikatora steka za preglednike i sisteme presretanja.
Podaci se mogu prikupljati u pasivnom načinu analizom sadržaja polja u ClientHello poruci koja se emitira otvoreno prije instaliranja šifriranog komunikacijskog kanala.
TShark iz Wireshark 3 mrežnog analizatora koristi se za hvatanje prometa.
Projekt mitmengine takođe nudi biblioteku za integriranje funkcija određivanja presretanja u proizvoljne rukovatelje poslužitelja.
U najjednostavnijem slučaju, dovoljno je proslijediti vrijednosti korisničkog agenta i TLS ClientHello trenutnog zahtjeva, a knjižnica će dati vjerojatnost presretanja i faktore na osnovu kojih je donesen jedan ili drugi zaključak.
Na osnovu statistike prometa prolazeći kroz mrežu za isporuku sadržaja Cloudflare, koja obrađuje približno 10% cjelokupnog internetskog prometa, pokrenut je web servis koji odražava promjenu dinamike presretanja dnevno.
Na primjer, prije mjesec dana zabilježeni su presretači za 13.27% spojeva, 19. marta ta je brojka iznosila 17.53%, a 13. marta dosegla je vrhunac od 19.02%.
Usporedbe
Najpopularniji mehanizam za presretanje je sistem filtriranja Symantec Bluecoat, koji čini 94.53% svih identificiranih zahtjeva za presretanjem.
Nakon toga slijedi obrnuti proxy Akamai (4.57%), Forcepoint (0.54%) i Barracuda (0.32%).
Većina antivirusnih i roditeljskih sistema kontrole nisu bili uključeni u uzorak identificiranih presretača, jer nije prikupljeno dovoljno potpisa za njihovu tačnu identifikaciju.
U 52,35% slučajeva presretnut je promet verzija desktop pregledača, a u 45,44% pretraživača za mobilne uređaje.
Što se tiče operativnih sistema, statistika je sljedeća: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), ostali operativni sistemi (17.54%).
Izvor: https://blog.cloudflare.com