Perusahaan Cloudflare ngenalake perpustakaan mitmengine sing digunakake kanggo ndeteksi interception lalu lintas HTTPSuga layanan web Malcolm kanggo analisis visual data sing dikumpulake ing Cloudflare.
Kode kasebut ditulis nganggo basa Go lan disebarake kanthi lisensi BSD. Pemantauan lalu lintas Cloudflare nggunakake alat sing diusulake nuduhake udakara 18% sambungan HTTPS dicegat.
HTTPS interception
Ing kasus paling, Lalu lintas HTTPS dicegat ing sisih klien amarga ana macem-macem aplikasi antivirus lokal, firewall, sistem kontrol parental, malware (kanggo nyolong sandhi, ngganti pariwara utawa ngluncurake kode pertambangan) utawa sistem inspeksi lalu lintas perusahaan.
Sistem kaya ngono nambah sertifikat TLS menyang dhaptar sertifikat ing sistem lokal lan digunakake kanggo nyegat lalu lintas pangguna sing dilindhungi.
Panjaluk pelanggan ditularake menyang server tujuan atas jenenge piranti lunak interception, sawise klien dijawab ing sambungan HTTPS kapisah sing digawe nggunakake sertifikat TLS saka sistem interception.
Ing sawetara kasus, interception diatur ing sisih server nalika pemilik server ngirim kunci pribadi menyang pihak kateluContone, operator proxy mbalikke, sistem proteksi CDN utawa DDoS, sing nampa panjaluk sertifikat TLS asli lan ngirim menyang server asli.
Ing kasus apa wae, Interepsi HTTPS ngrusak rantai kepercayaan lan ngenalake tautan kompromi tambahan, sing nyebabake nyuda tingkat perlindungan sing signifikan sambungan, nalika ninggalake tampilan ngarsane pangayoman lan tanpa nyebabake anggepan pangguna.
Babagan mitmengine
Kanggo ngenali interferensi HTTPS dening Cloudflare, ditawakake paket mitmengine, yaiku nginstal ing server lan ngidini interception HTTPS bisa dideteksi, uga kanggo nemtokake sistem sing digunakake kanggo interception.
Inti metode kanggo nemtokake interception kanthi mbandhingake karakteristik khusus browser kanggo ngolah TLS karo negara sambungan sing nyata.
Adhasar header Agent Panganggo, mesin nemtokake browser banjur ngevaluasi apa ciri koneksi TLSkayata paramèter standar TLS, ekstensi sing didhukung, suite cipher sing diumumake, prosedur definisi cipher, klompok, lan format kurva elips sing cocog karo browser iki.
Database teken sing digunakake kanggo verifikasi udakara 500 pengenal tumpukan TLS khas kanggo browser lan sistem interception.
Data bisa diklumpukake kanthi mode pasif kanthi nganalisa konten kolom ing pesen ClientHello, sing disiarake sadurunge mbukak saluran komunikasi sing dienkripsi.
TShark saka analisis jaringan Wireshark 3 digunakake kanggo nyekel lalu lintas.
Proyek mitmengine uga nyedhiyakake perpustakaan kanggo nggabungake fungsi penentuan intercept menyang pawang server sewenang-wenang.
Ing kasus sing paling gampang, cukup kanggo pass Nilai pangguna lan TLS ClientHello saka panjaluk saiki lan perpustakaan bakal menehi kemungkinan interception lan faktor adhedhasar kesimpulan siji utawa liyane.
Adhedhasar statistik lalu lintas ngliwati jaringan pangiriman konten Cloudflare, sing proses kira-kira 10% kabeh lalu lintas Internet, layanan web diluncurake sing nuduhake pangowahan dinamika nyegat saben dina.
Contone, sewulan kepungkur, interception direkam kanggo 13.27% senyawa, ing tanggal 19 Maret, angka kasebut 17.53%, lan tanggal 13 Maret tekan puncak 19.02%.
Comparatives
Mesin interception paling populer yaiku sistem penyaringan Symantec Bluecoat, sing kalebu 94.53% kabeh panjaluk intercept sing diidentifikasi.
Iki diterusake karo proksi balik Akamai (4.57%), Forcepoint (0.54%) lan Barracuda (0.32%).
Umume sistem kontrol antivirus lan parental ora kalebu ing conto interceptor sing diidentifikasi, amarga ora cukup tandatangan diklumpukake kanggo identifikasi sing pas.
Ing 52,35% kasus, lalu lintas versi desktop browser dicegat lan ing 45,44% browser kanggo piranti seluler.
Ing babagan sistem operasi, statistik kaya ing ngisor iki: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), sistem operasi liyane (17.54%).
sumber: https://blog.cloudflare.com
Dadi pisanan komentar