Tvrtka Cloudflare je predstavio biblioteku mitmengine koja se koristi za otkrivanje presretanja prometa HTTPS-akao i web usluga Malcolm za vizualnu analizu podataka prikupljenih u Cloudflareu.
Kôd je napisan na jeziku Go i distribuira se pod BSD licencom. Nadzor prometa Cloudflare-a pomoću predloženog alata pokazao je da se presreće približno 18% HTTPS veza.
HTTPS presretanje
U većini slučajeva, HTTPS promet presreće se na klijentskoj strani zbog aktivnosti različitih lokalnih antivirusnih aplikacija, vatrozidi, sustavi roditeljske kontrole, zlonamjerni softver (za krađu lozinki, zamjena oglašavanja ili pokretanje rudarskog koda) ili sustavi korporativne inspekcije prometa.
Takvi sustavi dodaju vaš TLS certifikat na popis certifikata u lokalnom sustavu i koriste ga za presretanje zaštićenog korisničkog prometa.
Zahtjevi kupaca prenesena na odredišni poslužitelj u ime softvera za presretanje, nakon čega se klijentu odgovara u okviru zasebne HTTPS veze uspostavljene pomoću TLS certifikata iz sustava presretanja.
U nekim slučajevima, presretanje se organizira na strani poslužitelja kada vlasnik poslužitelja prenosi privatni ključ trećoj straniNa primjer, operater obrnutog proxyja, sustav zaštite CDN ili DDoS, koji prima zahtjeve za izvornim TLS certifikatom i prenosi ih na izvorni poslužitelj.
U svakom slučaju, HTTPS presretanje potkopava lanac povjerenja i uvodi dodatnu poveznicu kompromisa, što dovodi do značajnog smanjenja razine zaštite veze, dok ostavlja izgled prisutnosti zaštite i bez izazivanja sumnje kod korisnika.
O mitmengineu
Da bi se identificiralo HTTPS-ovo presretanje putem Cloudflarea, nudi se mitmengine paket, koji instalira na poslužitelj i omogućuje otkrivanje presretanja HTTPS-a, kao i utvrđivanje koji su sustavi korišteni za presretanje.
Bit metode utvrđivanja presretanja uspoređivanjem karakteristika obrade TLS-a specifičnih za preglednik sa stvarnim stanjem veze.
Na temelju zaglavlja korisničkog agenta, mehanizam određuje preglednik, a zatim procjenjuje jesu li karakteristike TLS vezekao što su zadani parametri TLS-a, podržana proširenja, deklarirani paket šifri, postupak definiranja šifre, grupe i formati eliptičnih krivulja odgovaraju ovom pregledniku.
Baza podataka potpisa koja se koristi za provjeru ima približno 500 tipičnih TLS identifikatora slogova za preglednike i sustave presretanja.
Podaci se mogu prikupljati u pasivnom načinu analizom sadržaja polja u ClientHello poruci koja se otvoreno emitira prije instaliranja šifriranog komunikacijskog kanala.
TShark iz mrežnog analizatora Wireshark 3 koristi se za hvatanje prometa.
Projekt mitmengine također nudi knjižnicu za integriranje funkcija određivanja presretanja u proizvoljne rukovatelje poslužitelja.
U najjednostavnijem slučaju, dovoljno je proslijediti vrijednosti korisničkog agenta i TLS ClientHello trenutnog zahtjeva, a knjižnica će dati vjerojatnost presretanja i čimbenike na temelju kojih je donesen jedan ili drugi zaključak.
Na temelju statistike prometa prolazeći mrežom za dostavu sadržaja Cloudflare, koja obrađuje približno 10% cjelokupnog internetskog prometa, pokrenut je web servis koji odražava promjenu dinamike presretanja dnevno.
Primjerice, prije mjesec dana zabilježeni su presresti za 13.27% spojeva, 19. ožujka ta je brojka iznosila 17.53%, a 13. ožujka dosegla je vrhunac od 19.02%.
Usporedbe
Najpopularniji mehanizam za presretanje je sustav filtriranja tvrtke Symantec Bluecoat, koji čini 94.53% svih identificiranih zahtjeva za presretanje.
Nakon toga slijedi obrnuti proxy Akamai (4.57%), Forcepoint (0.54%) i Barracuda (0.32%).
Većina sustava protiv virusa i roditeljske kontrole nisu bili uključeni u uzorak identificiranih presretača, jer nije prikupljeno dovoljno potpisa za njihovu točnu identifikaciju.
U 52,35% slučajeva presretnut je promet stolnih verzija preglednika, au 45,44% preglednika za mobilne uređaje.
Što se tiče operativnih sustava, statistika je sljedeća: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), ostali operativni sustavi (17.54%).
izvor: https://blog.cloudflare.com