das Unternehmen Cloudflare führte die Mitmengine-Bibliothek ein, mit der das Abfangen von HTTPS-Verkehr erkannt wirdsowie den Malcolm-Webdienst zur visuellen Analyse der in Cloudflare gesammelten Daten.
Der Code ist in der Sprache Go geschrieben und wird unter der BSD-Lizenz vertrieben. Die Verkehrsüberwachung von Cloudflare mit dem vorgeschlagenen Tool ergab, dass ungefähr 18% der HTTPS-Verbindungen abgefangen werden.
HTTPS-Abfangen
In den meisten Fällen Der HTTPS-Verkehr wird auf der Clientseite aufgrund der Aktivität verschiedener lokaler Antivirenanwendungen abgefangen, Firewalls, Kindersicherungssysteme, Malware (um Passwörter zu stehlen, Werbung zu ersetzen oder Mining-Code zu starten) oder Verkehrsinspektionssysteme für Unternehmen.
Solche Systeme fügen Ihr TLS-Zertifikat der Liste der Zertifikate auf dem lokalen System hinzu und sie verwenden es, um geschützten Benutzerverkehr abzufangen.
Kundenwünsche im Auftrag der Abhörsoftware an den Zielserver übertragenDanach wird der Client innerhalb einer separaten HTTPS-Verbindung beantwortet, die mit dem TLS-Zertifikat des Abhörsystems hergestellt wurde.
In einigen Fällen Das Abfangen wird auf der Serverseite organisiert, wenn der Eigentümer des Servers den privaten Schlüssel an einen Dritten überträgtZum Beispiel der Reverse-Proxy-Betreiber, das CDN- oder DDoS-Schutzsystem, das Anforderungen für das ursprüngliche TLS-Zertifikat empfängt und diese an den ursprünglichen Server überträgt.
In jedem Fall Das Abfangen von HTTPS untergräbt die Vertrauenskette und führt ein zusätzliches Kompromissglied ein, was zu einer signifikanten Verringerung des Schutzniveaus führt Verbindung, während das Vorhandensein des Vorhandenseins von Schutz und ohne Verdacht auf Benutzer zu verlassen.
Über Mitmengine
Um das Abfangen von HTTPS durch Cloudflare zu identifizieren, wird das Mitmengine-Paket angeboten, das wird auf dem Server installiert und ermöglicht das Erkennen von HTTPS-Interceptionsowie zu bestimmen, welche Systeme für das Abfangen verwendet wurden.
Das Wesentliche der Methode zum Bestimmen des Abfangens durch Vergleichen der browserspezifischen Merkmale der TLS-Verarbeitung mit dem tatsächlichen Verbindungsstatus.
Basierend auf dem User Agent-Header ermittelt die Engine den Browser und wertet dann aus, ob die TLS-Verbindungseigenschaften vorliegenDiesem Browser entsprechen TLS-Standardparameter, unterstützte Erweiterungen, deklarierte Verschlüsselungssuite, Verschlüsselungsdefinitionsverfahren, Gruppen und elliptische Kurvenformate.
Die zur Überprüfung verwendete Signaturdatenbank enthält ungefähr 500 typische TLS-Stapelkennungen für Browser und Abhörsysteme.
Daten können im passiven Modus gesammelt werden, indem der Inhalt der Felder analysiert wird in der ClientHello-Nachricht, die offen gesendet wird, bevor der verschlüsselte Kommunikationskanal installiert wird.
TShark vom Wireshark 3 Network Analyzer wird zur Erfassung des Datenverkehrs verwendet.
Das Mitmengine-Projekt bietet auch eine Bibliothek zur Integration von Intercept-Bestimmungsfunktionen in beliebige Server-Handler.
Im einfachsten Fall reicht es aus, die User Agent- und TLS ClientHello-Werte der aktuellen Anforderung zu übergeben, und die Bibliothek gibt die Wahrscheinlichkeit des Abfangens und die Faktoren an, auf deren Grundlage die eine oder andere Schlussfolgerung gezogen wurde.
Basierend auf Verkehrsstatistiken Durchlaufen des Cloudflare-Netzwerks für die Bereitstellung von Inhalten verarbeitet ungefähr 10% des gesamten Internetverkehrswird ein Webdienst gestartet, der die Änderung der Abfangdynamik pro Tag widerspiegelt.
Zum Beispiel wurden vor einem Monat für 13.27% der Verbindungen Interceptions aufgezeichnet, am 19. März waren es 17.53% und am 13. März erreichte es einen Höchstwert von 19.02%.
Vergleiche
Die beliebteste Interception-Engine ist das Filtersystem von Symantec Bluecoat, das 94.53% aller identifizierten Intercept-Anfragen ausmacht.
Darauf folgt der Reverse Proxy von Akamai (4.57%), Forcepoint (0.54%) und Barracuda (0.32%).
Die meisten Antiviren- und Kindersicherungssysteme waren nicht in der Stichprobe der identifizierten Abfangjäger enthalten, da nicht genügend Signaturen für ihre genaue Identifizierung gesammelt wurden.
In 52,35% der Fälle wurde der Datenverkehr der Desktop-Versionen der Browser abgefangen und in 45,44% der Browser für mobile Geräte.
In Bezug auf Betriebssysteme lauten die Statistiken wie folgt: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), andere Betriebssysteme (17.54%).
Quelle: https://blog.cloudflare.com