La compañía A Cloudflare bemutatta a HTTPS forgalom lehallgatásának észlelésére használt mitmengine könyvtáratvalamint a Malcolm webszolgáltatás a Cloudflare-ben felhalmozott adatok vizuális elemzésére.
A kódot a Go nyelven írják, és a BSD licenc alatt terjesztik. A Cloudflare forgalomfigyelése a javasolt eszköz segítségével azt mutatta, hogy a HTTPS-kapcsolatok körülbelül 18% -át elfogják.
HTTPS lehallgatás
A legtöbb esetben A HTTPS forgalmat a kliens oldalon elfogják a különféle helyi víruskereső alkalmazások aktivitása miatt, tűzfalak, szülői felügyeleti rendszerek, rosszindulatú programok (jelszavak ellopására, reklámhelyettesítésre vagy bányakód elindítására) vagy vállalati forgalomellenőrző rendszerek.
Az ilyen rendszerek hozzáadják a TLS-tanúsítványt a helyi rendszer tanúsítványainak listájához és használja a védett felhasználói forgalom lehallgatására.
Ügyfélkérések a lehallgató szoftver nevében továbbítja a célkiszolgálónak, ezt követően az ügyfél válaszol egy külön HTTPS kapcsolaton belül, amelyet a lehallgató rendszer TLS tanúsítványa alapján hoztak létre.
Egyes esetekben a lehallgatás a szerver oldalon szerveződik, amikor a szerver tulajdonosa átadja a magánkulcsot egy harmadik félnekPéldául a fordított proxy operátor, a CDN vagy a DDoS védelmi rendszer, amely fogadja az eredeti TLS tanúsítvány iránti kérelmeket és továbbítja azokat az eredeti szerverre.
Mindenesetre, A HTTPS-lehallgatás aláássa a bizalom láncolatát, és egy újabb kompromisszumos kapcsolatot vezet be, ami a védelem szintjének jelentős csökkenéséhez vezet kapcsolatot, miközben hagyja a védelem jelenlétét és nem okoz gyanút a felhasználók számára.
A mitmenginéről
A HTFPS Cloudflare általi elfogásának azonosításához felajánlják a mitmengine csomagot, amely telepíti a szerverre, és lehetővé teszi a HTTPS lehallgatás észlelését, valamint annak meghatározása, hogy mely rendszereket használták a lehallgatáshoz.
A lehallgatás meghatározásának módszerének lényege a TLS-feldolgozás böngészőspecifikus jellemzőinek összehasonlításával a tényleges kapcsolati állapottal.
A User Agent fejléc alapján a motor meghatározza a böngészőt, majd értékeli, hogy a TLS-kapcsolat jellemzői-emint például a TLS alapértelmezett paraméterei, a támogatott kiterjesztések, a deklarált rejtjelkészlet, a rejtjeldefiníciós eljárás, a csoportok és az elliptikus görbe formátumok megfelelnek ennek a böngészőnek.
Az ellenőrzéshez használt aláírás-adatbázis körülbelül 500 tipikus TLS-verem azonosítóval rendelkezik a böngészők és az elfogó rendszerek számára.
Az adatok passzív módban gyűjthetők a mezők tartalmának elemzésével a ClientHello üzenetben, amelyet nyíltan sugároznak a titkosított kommunikációs csatorna telepítése előtt.
A TShark Wireshark 3 hálózati elemzőből a forgalom rögzítésére szolgál.
A mitmengine projekt egy könyvtárat is biztosít az elfogásmeghatározó funkciók tetszőleges kiszolgálókezelőkbe történő integrálásához.
A legegyszerűbb esetben elegendő átadni az aktuális kérelem User Agent és TLS ClientHello értékeit, és a könyvtár megadja az elfogás valószínűségét és azokat a tényezőket, amelyek alapján az egyik vagy másik következtetés megtörtént.
Forgalmi statisztikák alapján áthaladva a Cloudflare tartalomszolgáltató hálózaton, amely az összes internetes forgalom körülbelül 10% -át dolgozza fel, elindul egy webszolgáltatás, amely tükrözi az elfogási dinamika napi változását.
Például egy hónappal ezelőtt a vegyületek 13.27% -ánál rögzítették a lehallgatásokat, március 19-én ez az arány 17.53% volt, március 13-án pedig 19.02% -os csúcsot ért el.
Összehasonlítások
A legnépszerűbb lehallgatómotor a Symantec Bluecoat szűrőrendszere, amely az összes azonosított lehallgatási kérelem 94.53% -át teszi ki.
Ezt követi az Akamai (4.57%), a Forcepoint (0.54%) és a Barracuda (0.32%) fordított proxyja.
A legtöbb vírusirtó és szülői felügyeleti rendszer nem került be az azonosított elfogók mintájába, mivel a pontos azonosításhoz nem gyűlt össze elegendő aláírás.
Az esetek 52,35% -ában elfogták a böngészők asztali verzióinak forgalmát, a mobileszközök böngészőinek 45,44% -ában.
Az operációs rendszerek tekintetében a statisztikák a következők: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), egyéb operációs rendszerek (17.54%).
forrás: https://blog.cloudflare.com