Selskabet Cloudflare introducerede mitmengine-biblioteket, der bruges til at detektere HTTPS-trafikaflytning, samt Malcolm-webtjenesten til visuel analyse af de data, der er akkumuleret i Cloudflare.
Koden er skrevet på Go-sproget og distribueres under BSD-licensen.. Cloudflares trafikovervågning ved hjælp af det foreslåede værktøj viste, at cirka 18 % af HTTPS-forbindelserne opsnappes.
HTTPS aflytning
I de fleste tilfælde HTTPS-trafik opsnappes på klientsiden på grund af aktiviteten af forskellige lokale antivirusapplikationer, firewalls, forældrekontrolsystemer, malware (for at stjæle adgangskoder, erstatte reklamer eller starte minekode) eller virksomheders trafikinspektionssystemer.
Sådanne systemer tilføjer dit TLS-certifikat til listen over certifikater på det lokale system og bruge den til at opsnappe beskyttet brugertrafik.
Kundeønsker sendes til destinationsserveren på vegne af aflytningssoftwaren, hvorefter klienten besvares inden for en separat HTTPS-forbindelse, der er etableret ved hjælp af det opsnappede systems TLS-certifikat.
I nogle tilfælde aflytning iscenesættes på serversiden, når serverejeren overfører den private nøgle til en tredjepartFor eksempel den omvendte proxy-operatør, CDN- eller DDoS-beskyttelsessystem, som modtager anmodninger fra det originale TLS-certifikat og sender dem videre til den originale server.
Under alle omstændigheder HTTPS aflytning underminerer tillidskæden og introducerer et yderligere kompromisforbindelse, hvilket fører til et betydeligt fald i beskyttelsesniveauet af forbindelsen, mens den efterlader udseendet af tilstedeværelsen af beskyttelse og uden at forårsage mistanke hos brugerne.
Om mitmengine
For at identificere HTTPS aflytning af Cloudflare tilbydes mitmengine-pakken, som er installeret på serveren og tillader detektering af HTTPS-aflytning, samt bestemme hvilke systemer der blev brugt til aflytning.
Essensen af metoden til bestemmelse af aflytning i sammenligningen af de browserspecifikke egenskaber ved TLS-behandlingen med den faktiske forbindelsestilstand.
Baseret på User Agent-headeren bestemmer motoren browseren og evaluerer derefter, om TLS-forbindelsen fungerer, såsom TLS-standardparametre, understøttede udvidelser, erklæret chifferpakke, chifferdefinitionsprocedure, grupper og elliptiske kurveformater svarer til denne browser.
Signaturdatabasen, der bruges til verifikation, har ca. 500 typiske TLS-stack-identifikatorer til browsere og aflytningssystemer.
Data kan indsamles i passiv tilstand gennem feltindholdsanalyse i ClientHello-meddelelsen, som transmitteres i det fri inden installation af den krypterede kommunikationskanal.
TShark fra Wireshark 3 netværksanalysator bruges til at fange trafikken.
Mitmengine-projektet giver også et bibliotek til integrering af aflytning-bestemmelsesfunktioner i vilkårlige serverhandlere.
I det enkleste tilfælde er det nok at videregive værdierne for brugeragenten og TLS ClientHello for den aktuelle anmodning, og biblioteket vil give sandsynligheden for aflytning og de faktorer, på grundlag af hvilke en eller anden konklusion blev lavet.
Baseret på trafikstatistikker der passerer gennem Cloudflares indholdsleveringsnetværk, som behandler cirka 10 % af al internettrafik, lanceres en webservice, der afspejler ændringen i dynamikken i aflytningen pr. dag.
For eksempel blev der for en måned siden registreret aflytninger for 13.27 % af forbindelserne, den 19. marts var tallet 17.53 %, og den 13. marts nåede det et højdepunkt på 19.02 %.
Sammenligninger
Den mest populære aflytningsmotor er Symantecs Bluecoat-filtreringssystem, som står for 94.53 % af alle identificerede aflytningsanmodninger.
Dette efterfølges af den omvendte proxy fra Akamai (4.57 %), Forcepoint (0.54 %) og Barracuda (0.32 %).
De fleste antivirus- og forældrekontrolsystemer var ikke inkluderet i prøven af identificerede interceptorer, da der ikke blev indsamlet nok signaturer til deres nøjagtige identifikation.
I 52,35 % af tilfældene blev trafik fra desktopversioner af browsere opsnappet og i 45,44 % fra mobile browsere.
Med hensyn til styresystemer er statistikken følgende: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), andre styresystemer (17.54%).
kilde: https://blog.cloudflare.com