Cloudflare introduciu ferramentas de detección de interceptación HTTPS

monsters-in-the-middleware @ 2x

A empresa Cloudflare presentou a biblioteca mitmengine usada para detectar a intercepción do tráfico HTTPSasí como o servizo web Malcolm para a análise visual dos datos acumulados en Cloudflare.

O código está escrito no idioma Go e distribúese baixo a licenza BSD. O seguimento do tráfico de Cloudflare mediante a ferramenta proposta mostrou que aproximadamente o 18% das conexións HTTPS son interceptadas.

Interceptación HTTPS

Na maioría dos casos, O tráfico HTTPS é interceptado no lado do cliente debido á actividade de varias aplicacións antivirus locais, cortalumes, sistemas de control parental, malware (para roubar contrasinais, substituír publicidade ou lanzar código de minería) ou sistemas de inspección de tráfico corporativos.

Estes sistemas engaden o seu certificado TLS á lista de certificados do sistema local e úsano para interceptar o tráfico protexido dos usuarios.

Solicitudes do cliente transmitido ao servidor de destino en nome do software de intercepción, despois do cal se responde ao cliente dentro dunha conexión HTTPS separada establecida usando o certificado TLS do sistema de interceptación.

Nalgúns casos, a intercepción organízase no lado do servidor cando o propietario do servidor transfire a clave privada a un terceiroPor exemplo, o operador proxy inverso, o sistema de protección CDN ou DDoS, que recibe solicitudes do certificado TLS orixinal e as transmite ao servidor orixinal.

En calquera caso, A intercepción HTTPS socava a cadea de confianza e introduce un elo adicional de compromiso, o que leva a unha diminución significativa do nivel de protección conexión, deixando a aparencia da presenza de protección e sen causar sospeita aos usuarios.

Acerca da mitmengine

Para identificar a intercepción HTTPS por Cloudflare, ofrécese o paquete mitmengine instálase no servidor e permite detectar a intercepción HTTPS, así como determinar que sistemas se utilizaron para a intercepción.

A esencia do método para determinar a intercepción comparando as características específicas do navegador do procesamento TLS co estado de conexión real.

Baseado na cabeceira User Agent, o motor determina o navegador e despois avalía se as características da conexión TLScomo os parámetros predeterminados TLS, as extensións compatibles, o conxunto de cifras declarado, o procedemento de definición de cifrado, os grupos e os formatos de curva elíptica corresponden a este navegador.

A base de datos de sinaturas utilizada para a verificación ten aproximadamente 500 identificadores típicos de pila TLS para navegadores e sistemas de interceptación.

Os datos pódense recoller en modo pasivo analizando o contido dos campos na mensaxe ClientHello, que se emite abertamente antes de instalar a canle de comunicación cifrada.

TShark do analizador de rede Wireshark 3 úsase para captar tráfico.

O proxecto mitmengine tamén ofrece unha biblioteca para integrar funcións de determinación de interceptación en controladores de servidor arbitrarios.

No caso máis sinxelo, abonda con pasar os valores do axente de usuario e TLS ClientHello da solicitude actual e a biblioteca dará a probabilidade de intercepción e os factores en función dos cales se fixo unha ou outra conclusión.

Baseado en estatísticas de tráfico pasando pola rede de entrega de contido Cloudflare, que procesa aproximadamente o 10% de todo o tráfico de Internet, ponse en marcha un servizo web que reflicte o cambio na dinámica de interceptación por día.

Por exemplo, hai un mes rexistráronse intercepcións para o 13.27% dos compostos, o 19 de marzo, a cifra era do 17.53% e o 13 de marzo alcanzou un pico do 19.02%.

Comparacións

O motor de interceptación máis popular é o sistema de filtrado de Symantec Bluecoat, que representa o 94.53% de todas as solicitudes de interceptación identificadas.

Séguelle o proxy inverso de Akamai (4.57%), Forcepoint (0.54%) e Barracuda (0.32%).

A maioría dos sistemas antivirus e de control parental non se incluíron na mostra de interceptores identificados, xa que non se recolleron sinaturas suficientes para a súa identificación exacta.

No 52,35% dos casos interceptouse o tráfico das versións de escritorio dos navegadores e no 45,44% dos navegadores para dispositivos móbiles.

En canto aos sistemas operativos, as estatísticas son as seguintes: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), outros sistemas operativos (17.54%).

Fuente: https://blog.cloudflare.com


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.