La compañía Cloudflare představil knihovnu mitmengine používanou k detekci zachycení provozu HTTPSstejně jako webová služba Malcolm pro vizuální analýzu dat nashromážděných v Cloudflare.
Kód je napsán v jazyce Go a je distribuován na základě licence BSD. Monitorování provozu Cloudflare pomocí navrhovaného nástroje ukázalo, že je zachyceno přibližně 18% připojení HTTPS.
Odposlech HTTPS
Ve většině případů Provoz HTTPS je na straně klienta zachycen kvůli aktivitě různých místních antivirových aplikací, brány firewall, systémy rodičovské kontroly, malware (k odcizení hesel, nahrazení reklamy nebo spuštění těžebního kódu) nebo systémy podnikové kontroly provozu.
Takové systémy přidají váš certifikát TLS do seznamu certifikátů v místním systému a používají ho k zachycení chráněného provozu uživatelů.
Požadavky zákazníků přenášen na cílový server jménem zachycovacího softwaru, po kterém je klient zodpovězen v rámci samostatného připojení HTTPS navázaného pomocí certifikátu TLS z odposlechového systému.
V některých případech zachycení je organizováno na straně serveru, když vlastník serveru předá soukromý klíč třetí straněNapříklad operátor reverzního proxy, systém ochrany CDN nebo DDoS, který přijímá žádosti o původní certifikát TLS a přenáší je na původní server.
V každém případě, Zachytávání HTTPS podkopává řetězec důvěry a zavádí další odkaz na kompromis, což vede k výraznému snížení úrovně ochrany připojení, aniž by došlo ke zdání přítomnosti ochrany a aniž by došlo k podezření uživatelů.
O mitmenginu
K identifikaci zachycení HTTPS pomocí Cloudflare je nabízen balíček mitmengine, který nainstaluje se na server a umožní detekci zachycení HTTPS, jakož i určení, které systémy byly použity k odposlechu.
Podstata metody pro určení odposlechu porovnáním charakteristik zpracování TLS specifických pro prohlížeč se skutečným stavem připojení.
Na základě záhlaví User Agent motor určí prohlížeč a poté vyhodnotí, zda jsou vlastnosti připojení TLSjako jsou výchozí parametry TLS, podporovaná rozšíření, deklarovaná šifrovací sada, postup definice šifry, skupiny a formáty eliptických křivek odpovídají tomuto prohlížeči.
Databáze podpisů použitá k ověření má přibližně 500 typických identifikátorů zásobníku TLS pro prohlížeče a systémy odposlechu.
Data lze sbírat v pasivním režimu analýzou obsahu polí ve zprávě ClientHello, která se před instalací šifrovaného komunikačního kanálu vysílá otevřeně.
K zachycení provozu se používá TShark ze síťového analyzátoru Wireshark 3.
Projekt mitmengine také poskytuje knihovnu pro integraci funkcí pro stanovení zachycení do libovolných obslužných programů serveru.
V nejjednodušším případě stačí předat hodnoty User Agent a TLS ClientHello aktuálního požadavku a knihovna dá pravděpodobnost zachycení a faktory, na jejichž základě byl učiněn jeden nebo druhý závěr.
Na základě statistik provozu procházející sítí pro doručování obsahu Cloudflare, která zpracovává přibližně 10% veškerého internetového provozu, je spuštěna webová služba, která odráží změnu v dynamice zachycení za den.
Například před měsícem byly zachyceny zachycení u 13.27% sloučenin, 19. března to bylo 17.53% a 13. března dosáhlo vrcholu 19.02%.
Srovnání
Nejpopulárnějším zachycovacím modulem je filtrační systém Symantec Bluecoat, který tvoří 94.53% všech identifikovaných požadavků na zachycení.
Následuje reverzní proxy Akamai (4.57%), Forcepoint (0.54%) a Barracuda (0.32%).
Většina antivirových a rodičovských kontrolních systémů nebyla zahrnuta do vzorku identifikovaných zachycovačů, protože nebylo shromážděno dostatek podpisů pro jejich přesnou identifikaci.
V 52,35% případů byl zachycen provoz desktopových verzí prohlížečů a ve 45,44% prohlížečů pro mobilní zařízení.
Pokud jde o operační systémy, jsou statistiky následující: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), ostatní operační systémy (17.54%).
zdroj: https://blog.cloudflare.com