Bendrovė „Cloudflare“ pristatė „mitmengine“ biblioteką, naudojamą HTTPS srauto perėmimui aptiktitaip pat „Malcolm“ žiniatinklio paslauga, skirta vizualiai analizuoti „Cloudflare“ sukauptus duomenis.
Kodas parašytas „Go“ kalba ir platinamas pagal BSD licenciją. „Cloudflare“ srauto stebėjimas naudojant siūlomą įrankį parodė, kad maždaug 18% HTTPS ryšių yra perimta.
HTTPS perėmimas
Daugeliu atvejų HTTPS srautas yra perimamas kliento pusėje dėl įvairių vietinių antivirusinių programų aktyvumo, užkardos, tėvų kontrolės sistemos, kenkėjiškos programos (norint pavogti slaptažodžius, pakeisti reklamą ar paleisti kasybos kodą) arba įmonių eismo tikrinimo sistemos.
Tokios sistemos įtraukia jūsų TLS sertifikatą į vietinės sistemos sertifikatų sąrašą ir jie ją naudoja saugomam vartotojų srautui perimti.
Kliento prašymai perduodama paskirties serveriui perėmimo programinės įrangos vardu, po kurio klientui atsakoma per atskirą HTTPS ryšį, užmegztą naudojant perėmimo sistemos TLS sertifikatą.
Kai kuriais atvejais perėmimas organizuojamas serverio pusėje, kai serverio savininkas perduoda asmeninį raktą trečiajai šaliaiPvz., Atvirkštinio tarpinio serverio operatorius, CDN arba DDoS apsaugos sistema, kuri priima užklausas dėl originalaus TLS sertifikato ir perduoda jas į pradinį serverį.
Bet kokiu atveju HTTPS perėmimas pakerta pasitikėjimo grandinę ir sukuria papildomą kompromiso saitą, dėl kurio žymiai sumažėja apsaugos lygis ryšį, paliekant apsaugos buvimą ir nekeliant įtarimų vartotojams.
Apie mitmenginą
Norėdami nustatyti „Cloudflare“ atliekamą HTTPS perėmimą, siūlomas „mitmengine“ paketas, kuris įdiegiama serveryje ir leidžia aptikti HTTPS perėmimą, taip pat nustatyti, kurios sistemos buvo naudojamos perėmimui.
Perėmimo nustatymo metodo esmė lyginant su naršykle susijusias TLS apdorojimo charakteristikas su faktine ryšio būsena.
Pagal „User Agent“ antraštę variklis nustato naršyklę ir tada įvertina, ar TLS ryšio charakteristikostokie kaip numatytieji TLS parametrai, palaikomi plėtiniai, deklaruotas šifro rinkinys, šifro apibrėžimo procedūra, grupės ir elipsinės kreivės formatai atitinka šią naršyklę.
Parašui naudojamoje parašų duomenų bazėje yra apytiksliai 500 tipinių TLS štangos identifikatorių, skirtų naršyklėms ir perėmimo sistemoms.
Duomenis galima rinkti pasyviuoju režimu, analizuojant laukų turinį pranešime „ClientHello“, kuris atvirai transliuojamas prieš įdiegiant užšifruotą ryšio kanalą.
„TShark“ iš „Wireshark 3“ tinklo analizatoriaus naudojamas srautui fiksuoti.
„Mitmengine“ projekte taip pat yra biblioteka, skirta perėmimo nustatymo funkcijoms integruoti į savavališkus serverio tvarkytuvus.
Paprasčiausiu atveju pakanka perduoti dabartinės užklausos „User Agent“ ir „TLS ClientHello“ reikšmes, o biblioteka pateiks perėmimo tikimybę ir veiksnius, kuriais remiantis buvo padaryta viena ar kita išvada.
Remiantis eismo statistika einantis per „Cloudflare“ turinio pristatymo tinklą, kuris apdoroja maždaug 10% viso interneto srauto, yra paleista interneto paslauga, atspindinti perėmimo dinamikos pokyčius per dieną.
Pavyzdžiui, prieš mėnesį buvo užfiksuota 13.27% junginių, kovo 19 dieną šis skaičius buvo 17.53%, o kovo 13 dieną jis pasiekė aukščiausią tašką - 19.02%.
Palyginimai
Populiariausias perėmimo variklis yra „Symantec Bluecoat“ filtravimo sistema, kuri sudaro 94.53% visų nustatytų perėmimo užklausų.
Po to seka atvirkštinis „Akamai“ (4.57%), „Forcepoint“ (0.54%) ir „Barracuda“ (0.32%) įgaliojimas.
Dauguma antivirusinių ir tėvų kontrolės sistemų nebuvo įtrauktos į nustatytų sulaikytojų imtį, nes nebuvo surinkta pakankamai parašų, kad būtų galima tiksliai identifikuoti.
52,35% atvejų buvo perimtas naršyklių darbalaukio versijų srautas, o 45,44% - mobiliųjų įrenginių naršyklės.
Kalbant apie operacines sistemas, statistika yra tokia: „Android“ (35.22%), „Windows 10“ (22.23%), „Windows 7“ (13.13%), „iOS“ (11.88%), kitos operacinės sistemos (17.54%).
Fuente: https://blog.cloudflare.com