Perusahaan Cloudflare memperkenalkan pustaka mitmengine yang digunakan untuk mendeteksi intersepsi lalu lintas HTTPSserta layanan web Malcolm untuk analisis visual dari data yang terkumpul di Cloudflare.
Kode tersebut ditulis dalam bahasa Go dan didistribusikan di bawah lisensi BSD. Pemantauan lalu lintas Cloudflare menggunakan alat yang diusulkan menunjukkan bahwa sekitar 18% koneksi HTTPS dicegat.
Intersepsi HTTPS
Dalam kebanyakan kasus, Lalu lintas HTTPS dicegat di sisi klien karena aktivitas berbagai aplikasi antivirus lokal, firewall, sistem kontrol orang tua, malware (untuk mencuri sandi, mengganti iklan atau meluncurkan kode penambangan) atau sistem inspeksi lalu lintas perusahaan.
Sistem semacam itu menambahkan sertifikat TLS Anda ke daftar sertifikat di sistem lokal dan mereka menggunakannya untuk mencegat lalu lintas pengguna yang dilindungi.
Permintaan pelanggan dikirim ke server tujuan atas nama perangkat lunak intersepsi, setelah itu klien dijawab dalam koneksi HTTPS terpisah yang dibuat menggunakan sertifikat TLS dari sistem intersepsi.
Dalam beberapa kasus, intersepsi diatur di sisi server ketika pemilik server mentransfer kunci pribadi ke pihak ketigaMisalnya, operator proxy balik, sistem perlindungan CDN atau DDoS, yang menerima permintaan untuk sertifikat TLS asli dan mengirimkannya ke server asli.
Bagaimanapun, Intersepsi HTTPS merusak rantai kepercayaan dan memperkenalkan tautan kompromi tambahan, yang mengarah ke penurunan signifikan dalam tingkat perlindungan koneksi, sementara meninggalkan tampilan adanya perlindungan dan tanpa menimbulkan kecurigaan bagi pengguna.
Tentang mitmengine
Untuk mengidentifikasi intersepsi HTTPS oleh Cloudflare, paket mitmengine ditawarkan, yang mana menginstal di server dan memungkinkan intersepsi HTTPS untuk dideteksi, serta menentukan sistem mana yang digunakan untuk intersepsi.
Inti dari metode untuk menentukan intersepsi dengan membandingkan karakteristik khusus browser dari pemrosesan TLS dengan status koneksi aktual.
Berdasarkan header Agen Pengguna, mesin menentukan browser dan kemudian mengevaluasi apakah karakteristik koneksi TLSseperti parameter default TLS, ekstensi yang didukung, suite cipher yang dinyatakan, prosedur definisi cipher, grup, dan format kurva eliptik sesuai dengan browser ini.
Basis data tanda tangan yang digunakan untuk verifikasi memiliki sekitar 500 pengidentifikasi tumpukan TLS khas untuk browser dan sistem intersepsi.
Data dapat dikumpulkan dalam mode pasif dengan menganalisis konten bidang di pesan ClientHello, yang disiarkan secara terbuka sebelum saluran komunikasi terenkripsi dipasang.
TShark dari penganalisis jaringan Wireshark 3 digunakan untuk menangkap lalu lintas.
Proyek mitmengine juga menyediakan perpustakaan untuk mengintegrasikan fungsi penentuan intersep ke penangan server arbitrer.
Dalam kasus yang paling sederhana, itu cukup untuk meneruskan nilai Agen Pengguna dan TLS ClientHello dari permintaan saat ini dan pustaka akan memberikan kemungkinan intersepsi dan faktor-faktor yang menjadi dasar kesimpulan dibuatnya satu atau lain.
Berdasarkan statistik lalu lintas melewati jaringan pengiriman konten Cloudflare, yang memproses sekitar 10% dari semua lalu lintas Internet, layanan web diluncurkan yang mencerminkan perubahan dalam dinamika intersep per hari.
Misalnya, sebulan yang lalu, intersepsi dicatat untuk 13.27% senyawa, pada 19 Maret, angkanya 17.53%, dan pada 13 Maret mencapai puncak 19.02%.
Perbandingan
Mesin intersepsi paling populer adalah sistem pemfilteran Symantec Bluecoat, yang menyumbang 94.53% dari semua permintaan intersepsi yang teridentifikasi.
Ini diikuti oleh reverse proxy dari Akamai (4.57%), Forcepoint (0.54%) dan Barracuda (0.32%).
Kebanyakan anti-virus dan sistem kendali orang tua tidak termasuk dalam sampel interseptor yang teridentifikasi, karena tidak cukup tanda tangan yang dikumpulkan untuk identifikasi yang tepat.
Dalam 52,35% kasus, lalu lintas versi desktop browser dicegat dan di 45,44% browser untuk perangkat seluler.
Dari segi sistem operasi, statistiknya adalah sebagai berikut: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), sistem operasi lain (17.54%).
sumber: https://blog.cloudflare.com