yhtiön Cloudflare esitteli mitmengine-kirjaston, jota käytettiin HTTPS-liikenteen sieppauksen havaitsemiseensamoin kuin Malcolm-verkkopalvelu Cloudflareen kertyneiden tietojen visuaaliseen analysointiin.
Koodi on kirjoitettu Go-kielellä ja jaettu BSD-lisenssillä. Cloudflaren liikenteen seuranta ehdotetun työkalun avulla osoitti, että noin 18% HTTPS-yhteyksistä siepataan.
HTTPS-sieppaus
Useimmissa tapauksissa HTTPS-liikenne siepataan asiakkaan puolella erilaisten paikallisten virustentorjuntaohjelmien toiminnan vuoksi, palomuurit, lapsilukkojärjestelmät, haittaohjelmat (salasanojen varastamiseksi, mainosten korvaamiseksi tai kaivoskoodien käynnistämiseksi) tai yritysliikenteen tarkastusjärjestelmät.
Tällaiset järjestelmät lisäävät TLS-varmenteesi paikallisen järjestelmän varmenteluetteloon ja käytä sitä suojatun käyttäjäliikenteen sieppaamiseen.
Asiakkaan pyynnöt lähetetään kohdepalvelimelle sieppausohjelmiston puolesta, jonka jälkeen asiakkaalle vastataan erillisellä HTTPS-yhteydellä, joka on muodostettu käyttämällä sieppausjärjestelmän TLS-varmentetta.
Joissakin tapauksissa sieppaus järjestetään palvelinpuolella, kun palvelimen omistaja siirtää yksityisen avaimen kolmannelle osapuolelleEsimerkiksi käänteinen välityspalvelinoperaattori, CDN- tai DDoS-suojausjärjestelmä, joka vastaanottaa alkuperäisen TLS-varmenteen pyynnöt ja lähettää ne alkuperäiselle palvelimelle.
Joka tapauksessa, HTTPS-sieppaus heikentää luottamusketjua ja tuo uuden kompromissilinkin, mikä johtaa merkittävästi suojaustason laskuun samalla kun jätetään suojan läsnäolo ja aiheuttamatta käyttäjille epäilyksiä.
Tietoja mitmengine
Cloudflare HTTPS-sieppauksen tunnistamiseksi tarjotaan mitmengine-paketti, joka asentaa palvelimeen ja mahdollistaa HTTPS-sieppauksen havaitsemisensekä määrittää, mitä järjestelmiä kuunteluun käytettiin.
Menetelmän ydin sieppauksen määrittämiseksi vertaamalla TLS-käsittelyn selainkohtaisia ominaisuuksia todelliseen yhteystilaan.
Käyttäjäagentin otsikon perusteella moottori määrittää selaimen ja arvioi sitten TLS-yhteyden ominaisuudetkuten TLS-oletusparametrit, tuetut laajennukset, ilmoitettu salauspaketti, salausmäärittelyprosessi, ryhmät ja elliptiset käyrämuodot vastaavat tätä selainta.
Vahvistuksessa käytettävässä allekirjoitustietokannassa on noin 500 tyypillistä TLS-pinotunnistetta selaimille ja sieppausjärjestelmille.
Tiedot voidaan kerätä passiivisessa tilassa analysoimalla kenttien sisältöä ClientHello-viestissä, joka lähetetään avoimesti ennen salatun viestintäkanavan asentamista.
TShark Wireshark 3 -verkkoanalysaattorista käytetään liikenteen sieppaamiseen.
Mitmengine-projekti tarjoaa myös kirjaston sieppauksen määritystoimintojen integroimiseksi mielivaltaisiin palvelinkäsittelijöihin.
Yksinkertaisimmassa tapauksessa riittää, että välitetään nykyisen pyynnön User Agent- ja TLS ClientHello -arvot, ja kirjasto antaa sieppauksen todennäköisyyden ja tekijät, joiden perusteella yksi tai toinen johtopäätös tehtiin.
Perustuu liikennetilastoihin kulkee Cloudflare-sisällön jakeluverkon läpi, mikä käsittelee noin 10% Internet-liikenteestä, käynnistetään verkkopalvelu, joka kuvastaa sieppauksen dynamiikan muutosta päivässä.
Esimerkiksi kuukausi sitten sieppauksia kirjattiin 13.27%: lle yhdisteistä, 19. maaliskuuta luku oli 17.53%, ja 13. maaliskuuta se saavutti huippunsa 19.02%.
Vertailut
Suosituin sieppausmoottori on Symantec Bluecoatin suodatusjärjestelmä, jonka osuus kaikista tunnistetuista sieppauspyynnöistä on 94.53%.
Tätä seuraa Akamai (4.57%), Forcepoint (0.54%) ja Barracuda (0.32%) käänteinen välityspalvelin.
Suurinta osaa virustentorjunta- ja lapsilukkojärjestelmistä ei otettu mukaan tunnistettujen sieppaajien otokseen, koska niiden tarkkaan tunnistamiseen ei kerätty tarpeeksi allekirjoituksia.
52,35 prosentissa tapauksista siepattiin selainten työpöytäversioiden liikennettä ja 45,44 prosentissa mobiililaitteiden selaimia.
Käyttöjärjestelmien osalta tilastot ovat seuraavat: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), muut käyttöjärjestelmät (17.54%).
lähde: https://blog.cloudflare.com