La société Cloudflare a introduit la bibliothèque mitmengine utilisée pour détecter l'interception du trafic HTTPS, ainsi que le service web Malcolm pour l'analyse visuelle des données accumulées dans Cloudflare.
Le code est écrit dans le langage Go et est distribué sous licence BSD. La surveillance du trafic de Cloudflare à l'aide de l'outil proposé a montré qu'environ 18% des connexions HTTPS sont interceptées.
Interception HTTPS
Dans la majorité des cas, Le trafic HTTPS est intercepté côté client en raison de l'activité de diverses applications antivirus locales, pare-feu, systèmes de contrôle parental, logiciels malveillants (pour voler des mots de passe, remplacer la publicité ou lancer du code minier) ou des systèmes d'inspection du trafic d'entreprise.
Ces systèmes ajoutent votre certificat TLS à la liste des certificats sur le système local et ils l'utilisent pour intercepter le trafic utilisateur protégé.
Demandes des clients transmis au serveur de destination pour le compte du logiciel d'interception, après quoi le client reçoit une réponse dans une connexion HTTPS distincte établie à l'aide du certificat TLS du système d'interception.
Dans certains cas, l'interception est organisée côté serveur lorsque le propriétaire du serveur transfère la clé privée à un tiersPar exemple, l'opérateur de proxy inverse, le système de protection CDN ou DDoS, qui reçoit les demandes du certificat TLS d'origine et les transmet au serveur d'origine.
Dans tous les cas, L'interception HTTPS mine la chaîne de confiance et introduit un lien supplémentaire de compromis, conduisant à une diminution significative du niveau de protection connexion, tout en laissant l'apparence de la présence de protection et sans susciter de soupçon auprès des utilisateurs.
À propos de mitmengine
Pour identifier l'interception HTTPS par Cloudflare, le package mitmengine est proposé, qui s'installe sur le serveur et permet de détecter l'interception HTTPS, ainsi que la détermination des systèmes utilisés pour l'interception.
L'essence de la méthode pour déterminer l'interception en comparant les caractéristiques spécifiques au navigateur du traitement TLS avec l'état de connexion réel.
Sur la base de l'en-tête de l'agent utilisateur, le moteur détermine le navigateur, puis évalue si les caractéristiques de la connexion TLStels que les paramètres par défaut TLS, les extensions prises en charge, la suite de chiffrement déclarée, la procédure de définition de chiffrement, les groupes et les formats de courbes elliptiques correspondent à ce navigateur.
La base de données de signatures utilisée pour la vérification contient environ 500 identificateurs de pile TLS typiques pour les navigateurs et les systèmes d'interception.
Les données peuvent être collectées en mode passif en analysant le contenu des champs dans le message ClientHello, qui est diffusé ouvertement avant d'installer le canal de communication chiffré.
TShark de l'analyseur de réseau Wireshark 3 est utilisé pour capturer le trafic.
Le projet mitmengine fournit également une bibliothèque pour intégrer des fonctions de détermination d'interception dans des gestionnaires de serveurs arbitraires.
Dans le cas le plus simple, il suffit de passer les valeurs User Agent et TLS ClientHello de la requête en cours et la bibliothèque donnera la probabilité d'interception et les facteurs sur la base desquels l'une ou l'autre conclusion a été tirée.
Basé sur les statistiques de trafic en passant par le réseau de diffusion de contenu Cloudflare, qui traite environ 10% de tout le trafic Internet, un service web est lancé qui reflète l'évolution de la dynamique d'interception par jour.
Par exemple, il y a un mois, des interceptions ont été enregistrées pour 13.27% des composés, le 19 mars, le chiffre était de 17.53% et le 13 mars, il a atteint un sommet de 19.02%.
comparatif
Le moteur d'interception le plus populaire est le système de filtrage de Symantec Bluecoat, qui représente 94.53% de toutes les demandes d'interception identifiées.
Vient ensuite le proxy inverse d'Akamai (4.57%), Forcepoint (0.54%) et Barracuda (0.32%).
La plupart des systèmes antivirus et de contrôle parental n'ont pas été inclus dans l'échantillon d'intercepteurs identifiés, car il n'y avait pas assez de signatures collectées pour leur identification exacte.
Dans 52,35% des cas, le trafic des versions desktop des navigateurs a été intercepté et dans 45,44% des navigateurs pour appareils mobiles.
En termes de systèmes d'exploitation, les statistiques sont les suivantes: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), autres systèmes d'exploitation (17.54%).
source: https://blog.cloudflare.com