החברה Cloudflare הציגה את ספריית mitmengine המשמשת לאיתור יירוט תעבורה ב- HTTPSכמו גם שירות האינטרנט של מלקולם לניתוח חזותי של הנתונים שנצברו ב- Cloudflare.
הקוד כתוב בשפה Go ומופץ ברישיון BSD. ניטור התנועה של Cloudflare באמצעות הכלי המוצע הראה שכ- 18% מחיבורי HTTPS יורטו.
יירוט HTTPS
ברוב המקרים, תעבורת HTTPS יורטה בצד הלקוח עקב פעילותם של יישומי אנטי-וירוס מקומיים שונים, חומות אש, מערכות בקרת הורים, תוכנות זדוניות (לגניבת סיסמאות, החלפה של פרסום או השקת קוד כרייה) או מערכות לבדיקת תעבורה ארגונית.
מערכות כאלה מוסיפות את אישור ה- TLS שלך לרשימת האישורים במערכת המקומית והם משתמשים בה כדי ליירט תעבורת משתמשים מוגנת.
בקשות הלקוחות מועבר לשרת היעד מטעם תוכנת היירוט, שלאחריו הלקוח נענה בחיבור HTTPS נפרד שהוקם באמצעות אישור TLS ממערכת היירוט.
במקרים מסוימים, יירוט מאורגן בצד השרת כאשר בעל השרת מעביר את המפתח הפרטי לצד שלישילמשל, מפעיל ה- proxy ההפוך, מערכת ההגנה CDN או DDoS, שמקבלת בקשות לאישור TLS המקורי ומעבירה לשרת המקורי.
בכל מקרה, יירוט HTTPS מערער את שרשרת האמון ומציג קישור נוסף של פשרה, מה שמוביל לירידה משמעותית ברמת ההגנה חיבור, תוך השארת מראה נוכחות ההגנה ומבלי לגרום לחשד למשתמשים.
על מיטמנגן
כדי לזהות יירוט HTTPS על ידי Cloudflare, חבילת mitmengine מוצעת, אשר מתקין בשרת ומאפשר לזהות יירוט HTTPSוכן לקבוע אילו מערכות שימשו ליירוט.
מהות השיטה לקביעת יירוט על ידי השוואת המאפיינים הספציפיים לדפדפן של עיבוד TLS למצב החיבור בפועל.
בהתבסס על כותרת User Agent, המנוע קובע את הדפדפן ואז מעריך אם מאפייני החיבור TLSכגון פרמטרי ברירת מחדל של TLS, סיומות נתמכות, חבילת צופן מוצהרת, הליך הגדרת צופן, קבוצות ופורמטים עקומים אליפטיים תואמים לדפדפן זה.
במאגר החתימות המשמש לאימות יש כ -500 מזהי מחסנית TLS אופייניים לדפדפנים ומערכות יירוט.
ניתן לאסוף נתונים במצב פסיבי על ידי ניתוח תוכן השדות בהודעת ClientHello, המשודרת בגלוי לפני התקנת ערוץ התקשורת המוצפן.
TShark ממנתח רשת Wireshark 3 משמש לתפיסת תנועה.
פרויקט mitmengine מספק גם ספרייה לשילוב פונקציות קביעת יירוט במטפלי שרתים שרירותיים.
במקרה הפשוט ביותר, מספיק להעביר את ערכי User Agent ו- TLS ClientHello של הבקשה הנוכחית והספרייה תיתן את ההסתברות ליירוט ואת הגורמים שעל בסיסם הושגה מסקנה כזו או אחרת.
מבוסס על סטטיסטיקה של תעבורה עוברים ברשת משלוחי התוכן של Cloudflare, אשר מעבד כ -10% מכל תעבורת האינטרנט, שירות אינטרנט מושק המשקף את השינוי בדינמיקת היירוט ביום.
לדוגמא, לפני חודש נרשמו יירוטים של 13.27% מהתרכובות, ב -19 במרץ הנתון היה 17.53%, וב- 13 במרץ הגיע לשיא של 19.02%.
השוואות
מנוע היירוט הפופולרי ביותר הוא מערכת הסינון של סימנטק Bluecoat, המהווה 94.53% מכל בקשות היירוט המזוהות.
לאחר מכן בא כוחו של Akamai (4.57%), Forcepoint (0.54%) ו Barracuda (0.32%).
מרבית מערכות האנטי-וירוס ובקרת ההורים לא נכללו במדגם המיירטים שזוהו, מכיוון שלא נאספו מספיק חתימות לצורך זיהוין המדויק.
ב -52,35% מהמקרים יורטה התנועה של גרסאות שולחן העבודה של הדפדפנים וב 45,44% מהדפדפנים למכשירים ניידים.
מבחינת מערכות ההפעלה, הנתונים הסטטיסטיים הם כדלקמן: אנדרואיד (35.22%), חלונות 10 (22.23%), חלונות 7 (13.13%), iOS (11.88%), מערכות הפעלה אחרות (17.54%).
מקור: https://blog.cloudflare.com