Uzņēmums Cloudflare iepazīstināja ar mitmengine bibliotēku, ko izmantoja HTTPS trafika pārtveršanas noteikšanaikā arī tīmekļa pakalpojumu Malcolm, kas paredzēts Cloudflare uzkrāto datu vizuālai analīzei.
Kods ir rakstīts Go valodā un tiek izplatīts saskaņā ar BSD licenci. Cloudflare trafika uzraudzība, izmantojot piedāvāto rīku, parādīja, ka aptuveni 18% no HTTPS savienojumiem tiek pārtverti.
HTTPS pārtveršana
Vairumā gadījumu HTTPS trafiks tiek pārtverts klienta pusē dažādu vietējo antivīrusu lietojumprogrammu aktivitātes dēļ, ugunsmūri, vecāku kontroles sistēmas, ļaunprātīga programmatūra (lai nozagtu paroles, aizstātu reklāmu vai palaistu ieguves kodu) vai korporatīvās satiksmes pārbaudes sistēmas.
Šādas sistēmas pievieno jūsu TLS sertifikātu vietējās sistēmas sertifikātu sarakstam un izmantojiet to, lai pārtvertu aizsargātu lietotāju trafiku.
Klientu pieprasījumi pārtveršanas programmatūras vārdā nosūta uz galamērķa serveri, pēc kura klientam tiek atbildēts atsevišķā HTTPS savienojumā, kas izveidots, izmantojot pārtveršanas sistēmas TLS sertifikātu.
Dažos gadījumos pārtveršana tiek organizēta servera pusē, kad servera īpašnieks pārsūta privāto atslēgu trešajai personaiPiemēram, reversais starpniekserveris - CDN vai DDoS aizsardzības sistēma, kas saņem pieprasījumus pēc sākotnējā TLS sertifikāta un pārsūta tos uz sākotnējo serveri.
Jebkurā gadījumā HTTPS pārtveršana grauj uzticības ķēdi un ievieš papildu saikni ar kompromisiem, kā rezultātā ievērojami samazinās aizsardzības līmenis saglabājot aizsardzības klātbūtni un neradot lietotājiem aizdomas.
Par mitmengine
Lai identificētu HTTPS pārtveršanu, izmantojot Cloudflare, tiek piedāvāta mitmengine pakete, kas instalē serverī un ļauj noteikt HTTPS pārtveršanu, kā arī noteikt, kuras sistēmas tika izmantotas pārtveršanai.
Pārtveršanas noteikšanas metodes būtība, salīdzinot pārlūkprogrammai raksturīgās TLS apstrādes īpašības ar faktisko savienojuma stāvokli.
Pamatojoties uz User Agent galveni, dzinējs nosaka pārlūkprogrammu un pēc tam novērtē, vai TLS savienojuma īpašībaspiemēram, TLS noklusējuma parametri, atbalstītie paplašinājumi, deklarētais šifra komplekts, šifra definēšanas procedūra, grupas un elipsveida līknes formāti atbilst šai pārlūkprogrammai.
Parakstīšanas datu bāzē, ko izmanto verifikācijai, ir aptuveni 500 tipiski TLS kaudzes identifikatori pārlūkiem un pārtveršanas sistēmām.
Datus var apkopot pasīvā režīmā, analizējot lauku saturu ziņojumā ClientHello, kuru atklāti pārraida pirms šifrētā sakaru kanāla instalēšanas.
TShark no Wireshark 3 tīkla analizatora tiek izmantots trafika uztveršanai.
Mitmengine projekts nodrošina arī bibliotēku pārtveršanas noteikšanas funkciju integrēšanai patvaļīgos serveru apstrādātājos.
Vienkāršākajā gadījumā pietiek nodot lietotāja aģenta un TLS ClientHello pašreizējā pieprasījuma vērtības, un bibliotēka sniegs pārtveršanas varbūtību un faktorus, pamatojoties uz kuriem tika izdarīts viens vai otrs secinājums.
Pamatojoties uz satiksmes statistiku iet caur Cloudflare satura piegādes tīklu, kas apstrādā aptuveni 10% no visas interneta trafika, tiek palaists tīmekļa pakalpojums, kas atspoguļo pārtveršanas dinamikas izmaiņas dienā.
Piemēram, pirms mēneša pārtveršana tika reģistrēta 13.27% savienojumu, 19. martā šis rādītājs bija 17.53%, un 13. martā tas sasniedza maksimumu 19.02%.
Salīdzinājumi
Vispopulārākais pārtveršanas dzinējs ir Symantec Bluecoat filtrēšanas sistēma, kas veido 94.53% no visiem identificētajiem pārtveršanas pieprasījumiem.
Tam seko Akamai (4.57%), Forcepoint (0.54%) un Barracuda (0.32%) reversais starpniekserveris.
Lielākā daļa pretvīrusu un vecāku kontroles sistēmu netika iekļautas identificēto pārtvērēju izlasē, jo to precīzai identificēšanai nebija savākts pietiekami daudz parakstu.
52,35% gadījumu tika pārtverta pārlūkprogrammu darbvirsmas versiju datplūsma un 45,44% mobilo ierīču pārlūkprogrammu.
Runājot par operētājsistēmām, statistika ir šāda: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), citas operētājsistēmas (17.54%).
Fuente: https://blog.cloudflare.com