η εταιρεία Το Cloudflare παρουσίασε τη βιβλιοθήκη mitmengine που χρησιμοποιείται για την ανίχνευση παρακολούθησης της κίνησης HTTPSκαθώς και η διαδικτυακή υπηρεσία Malcolm για οπτική ανάλυση των δεδομένων που συσσωρεύονται στο Cloudflare.
Ο κωδικός είναι γραμμένος στη γλώσσα Go και διανέμεται με την άδεια BSD. Η παρακολούθηση της κυκλοφορίας του Cloudflare χρησιμοποιώντας το προτεινόμενο εργαλείο έδειξε ότι περίπου το 18% των συνδέσεων HTTPS παρεμποδίζονται.
Παρακολούθηση HTTPS
Στις περισσότερες περιπτώσεις, Η επισκεψιμότητα HTTPS παρακολουθείται από την πλευρά του πελάτη λόγω της δραστηριότητας διαφόρων τοπικών εφαρμογών προστασίας από ιούς, τείχη προστασίας, συστήματα γονικού ελέγχου, κακόβουλο λογισμικό (για κλοπή κωδικών πρόσβασης, αντικατάσταση διαφήμισης ή εκκίνηση κώδικα εξόρυξης) ή εταιρικά συστήματα επιθεώρησης κυκλοφορίας.
Τέτοια συστήματα προσθέτουν το πιστοποιητικό TLS στη λίστα πιστοποιητικών του τοπικού συστήματος και το χρησιμοποιούν για να παρακολουθούν προστατευμένη κυκλοφορία χρηστών.
Αιτήματα πελατών μεταδίδεται στον διακομιστή προορισμού για λογαριασμό του λογισμικού παρακολούθησης, μετά την οποία ο πελάτης απαντά σε ξεχωριστή σύνδεση HTTPS που έχει δημιουργηθεί χρησιμοποιώντας το πιστοποιητικό TLS από το σύστημα παρακολούθησης.
Σε ορισμένες περιπτώσεις, η παρακολούθηση παρακολουθείται από την πλευρά του διακομιστή όταν ο κάτοχος του διακομιστή μεταφέρει το ιδιωτικό κλειδί σε τρίτο μέροςΓια παράδειγμα, ο τελεστής αντίστροφης μεσολάβησης, το σύστημα προστασίας CDN ή DDoS, ο οποίος λαμβάνει αιτήματα για το αρχικό πιστοποιητικό TLS και τα μεταδίδει στον αρχικό διακομιστή.
Σε κάθε περίπτωση, Η υποκλοπή HTTPS υπονομεύει την αλυσίδα εμπιστοσύνης και εισάγει έναν πρόσθετο σύνδεσμο συμβιβασμού, οδηγώντας σε σημαντική μείωση του επιπέδου προστασίας σύνδεση, ενώ αφήνει την εμφάνιση της παρουσίας προστασίας και χωρίς να προκαλεί υποψία στους χρήστες.
Σχετικά με τη μιμιγίνη
Για τον εντοπισμό της παρακολούθησης HTTPS από το Cloudflare, προσφέρεται το πακέτο mitmengine, το οποίο εγκαθίσταται στον διακομιστή και επιτρέπει την ανίχνευση παρακολούθησης HTTPS, καθώς και τον καθορισμό των συστημάτων που χρησιμοποιήθηκαν για την παρακολούθηση.
Η ουσία της μεθόδου για τον προσδιορισμό της υποκλοπής συγκρίνοντας τα χαρακτηριστικά του προγράμματος περιήγησης της επεξεργασίας TLS με την πραγματική κατάσταση σύνδεσης.
Με βάση την κεφαλίδα User Agent, ο κινητήρας καθορίζει το πρόγραμμα περιήγησης και στη συνέχεια αξιολογεί εάν τα χαρακτηριστικά σύνδεσης TLSόπως οι προεπιλεγμένες παράμετροι TLS, οι υποστηριζόμενες επεκτάσεις, η κρυπτογραφημένη σουίτα, η διαδικασία ορισμού κρυπτογράφησης, οι ομάδες και οι ελλειπτικές καμπύλες μορφές αντιστοιχούν σε αυτό το πρόγραμμα περιήγησης.
Η βάση δεδομένων υπογραφής που χρησιμοποιείται για επαλήθευση έχει περίπου 500 τυπικά αναγνωριστικά στοίβας TLS για προγράμματα περιήγησης και συστήματα παρακολούθησης.
Τα δεδομένα μπορούν να συλλεχθούν σε παθητική λειτουργία αναλύοντας το περιεχόμενο των πεδίων στο μήνυμα ClientHello, το οποίο μεταδίδεται ανοιχτά πριν από την εγκατάσταση του κρυπτογραφημένου καναλιού επικοινωνίας.
Το TShark από τον αναλυτή δικτύου Wireshark 3 χρησιμοποιείται για την καταγραφή κυκλοφορίας.
Το έργο mitmengine παρέχει επίσης μια βιβλιοθήκη για την ενσωμάτωση λειτουργιών προσδιορισμού υποκλοπής σε αυθαίρετους χειριστές διακομιστών.
Στην απλούστερη περίπτωση, αρκεί να περάσετε τις τιμές του παράγοντα χρήστη και του TLS ClientHello του τρέχοντος αιτήματος και η βιβλιοθήκη θα δώσει την πιθανότητα υποκλοπής και τους παράγοντες που βασίζονται σε ένα ή άλλο συμπέρασμα.
Με βάση τα στατιστικά κίνησης διέρχεται από το δίκτυο παράδοσης περιεχομένου Cloudflare, το οποίο επεξεργάζεται περίπου το 10% της συνολικής κίνησης στο Διαδίκτυο, ξεκινά μια υπηρεσία Ιστού που αντικατοπτρίζει την αλλαγή της δυναμικής παρακολούθησης ανά ημέρα.
Για παράδειγμα, πριν από ένα μήνα, καταγράφηκαν οι παρεμβολές για το 13.27% των ενώσεων, στις 19 Μαρτίου, το ποσοστό ήταν 17.53% και στις 13 Μαρτίου έφτασε στο αποκορύφωμα του 19.02%.
Συγκρίσεις
Η πιο δημοφιλής μηχανή παρακολούθησης είναι το σύστημα φιλτραρίσματος της Symantec Bluecoat, το οποίο αντιπροσωπεύει το 94.53% όλων των αναγνωρισμένων αιτημάτων παρακολούθησης.
Αυτό ακολουθείται από το αντίστροφο πληρεξούσιο των Akamai (4.57%), Forcepoint (0.54%) και Barracuda (0.32%).
Τα περισσότερα συστήματα προστασίας από ιούς και γονικού ελέγχου δεν συμπεριλήφθηκαν στο δείγμα αναγνωρισμένων αναχαιτιστών, καθώς δεν είχαν συλλεχθεί αρκετές υπογραφές για την ακριβή τους αναγνώριση.
Στο 52,35% των περιπτώσεων, η κίνηση των εκδόσεων για επιτραπέζιους υπολογιστές των προγραμμάτων περιήγησης παρεμποδίστηκε και στο 45,44% των προγραμμάτων περιήγησης για κινητές συσκευές.
Όσον αφορά τα λειτουργικά συστήματα, τα στατιστικά στοιχεία έχουν ως εξής: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), άλλα λειτουργικά συστήματα (17.54%).
πηγή: https://blog.cloudflare.com