L'azienda Cloudflare ha introdotto la libreria mitmengine utilizzata per rilevare l'intercettazione del traffico HTTPScosì come il servizio web Malcolm per l'analisi visiva dei dati accumulati in Cloudflare.
Il codice è scritto nella lingua Go ed è distribuito con licenza BSD. Il monitoraggio del traffico di Cloudflare utilizzando lo strumento proposto ha mostrato che circa il 18% delle connessioni HTTPS viene intercettato.
Intercettazione HTTPS
Nella maggior parte dei casi, Il traffico HTTPS viene intercettato sul lato client a causa dell'attività di varie applicazioni antivirus locali, firewall, sistemi di controllo parentale, malware (per rubare password, sostituire pubblicità o lanciare codice di mining) o sistemi di ispezione del traffico aziendale.
Tali sistemi aggiungono il certificato TLS all'elenco dei certificati sul sistema locale e lo usano per intercettare il traffico protetto degli utenti.
Richieste del cliente trasmesse al server di destinazione per conto del software di intercettazione, dopodiché si risponde al client all'interno di una connessione HTTPS separata stabilita utilizzando il certificato TLS dal sistema di intercettazione.
In alcuni casi, l'intercettazione è organizzata sul lato server quando il proprietario del server trasferisce la chiave privata a una terza parteAd esempio, l'operatore del proxy inverso, il sistema di protezione CDN o DDoS, che riceve le richieste del certificato TLS originale e le trasmette al server originale.
In ogni caso, L'intercettazione HTTPS mina la catena di fiducia e introduce un ulteriore anello di compromissione, portando a una significativa diminuzione del livello di protezione connessione, pur lasciando l'apparenza della presenza di protezione e senza destare sospetti agli utenti.
A proposito di mitmengine
Per identificare l'intercettazione HTTPS da parte di Cloudflare, viene offerto il pacchetto mitmengine, che si installa sul server e consente di rilevare l'intercettazione HTTPS, oltre a determinare quali sistemi sono stati utilizzati per l'intercettazione.
L'essenza del metodo per determinare l'intercettazione confrontando le caratteristiche specifiche del browser dell'elaborazione TLS con lo stato di connessione effettivo.
In base all'intestazione dell'agente utente, il motore determina il browser e quindi valuta se le caratteristiche della connessione TLScome parametri predefiniti TLS, estensioni supportate, suite di cifratura dichiarata, procedura di definizione di cifratura, gruppi e formati di curve ellittiche corrispondono a questo browser.
Il database delle firme utilizzato per la verifica dispone di circa 500 identificatori di stack TLS tipici per browser e sistemi di intercettazione.
I dati possono essere raccolti in modalità passiva analizzando il contenuto dei campi nel messaggio ClientHello, che viene trasmesso apertamente prima dell'installazione del canale di comunicazione crittografato.
TShark dell'analizzatore di rete Wireshark 3 viene utilizzato per acquisire il traffico.
Il progetto mitmengine fornisce anche una libreria per integrare le funzioni di determinazione delle intercettazioni in gestori di server arbitrari.
Nel caso più semplice, è sufficiente passare i valori di User Agent e TLS ClientHello della richiesta corrente e la libreria darà la probabilità di intercettazione ei fattori in base ai quali è stata fatta l'una o l'altra conclusione.
Basato sulle statistiche sul traffico passando attraverso la rete di distribuzione dei contenuti di Cloudflare, che elabora circa il 10% di tutto il traffico Internet, viene lanciato un servizio web che riflette il cambiamento delle dinamiche di intercettazione giornaliere.
Ad esempio, un mese fa, sono state registrate intercettazioni per il 13.27% dei composti, il 19 marzo la cifra era del 17.53% e il 13 marzo ha raggiunto un picco del 19.02%.
comparativo
Il motore di intercettazione più popolare è il sistema di filtraggio di Symantec Bluecoat, che rappresenta il 94.53% di tutte le richieste di intercettazione identificate.
Segue il proxy inverso di Akamai (4.57%), Forcepoint (0.54%) e Barracuda (0.32%).
La maggior parte dei sistemi antivirus e di controllo parentale non è stata inclusa nel campione di intercettori identificati, poiché non sono state raccolte firme sufficienti per la loro esatta identificazione.
Nel 52,35% dei casi è stato intercettato il traffico delle versioni desktop dei browser e nel 45,44% dei browser per dispositivi mobili.
In termini di sistemi operativi, le statistiche sono le seguenti: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), altri sistemi operativi (17.54%).
fonte: https://blog.cloudflare.com