Syarikat itu Cloudflare memperkenalkan perpustakaan mitmengine yang digunakan untuk mengesan pemintas trafik HTTPSserta perkhidmatan web Malcolm untuk analisis visual data yang terkumpul di Cloudflare.
Kod tersebut ditulis dalam bahasa Go dan diedarkan di bawah lesen BSD. Pemantauan lalu lintas Cloudflare menggunakan alat yang dicadangkan menunjukkan bahawa kira-kira 18% sambungan HTTPS dipintas.
Pemintasan HTTPS
Dalam kebanyakan kes, Trafik HTTPS dipintas di sisi pelanggan kerana aktiviti pelbagai aplikasi antivirus tempatan, firewall, sistem kawalan ibu bapa, perisian hasad (untuk mencuri kata laluan, mengganti iklan atau melancarkan kod perlombongan) atau sistem pemeriksaan lalu lintas korporat.
Sistem sedemikian menambahkan sijil TLS anda ke senarai sijil pada sistem tempatan dan mereka menggunakannya untuk memintas lalu lintas pengguna yang dilindungi.
Permintaan pelanggan dihantar ke pelayan tujuan bagi pihak perisian pemintas, selepas itu pelanggan dijawab dalam sambungan HTTPS berasingan yang dibuat menggunakan sijil TLS dari sistem pemintas.
Dalam beberapa kes, pemintasan diatur di sisi pelayan apabila pemilik pelayan memindahkan kunci peribadi kepada pihak ketigaSebagai contoh, pengendali proksi terbalik, sistem perlindungan CDN atau DDoS, yang menerima permintaan untuk sijil TLS asal dan menghantarnya ke pelayan asal.
Walau bagaimanapun, Pemantauan HTTPS melemahkan rantaian kepercayaan dan memperkenalkan hubungan kompromi tambahan, yang menyebabkan penurunan tahap perlindungan yang ketara sambungan, sambil meninggalkan penampilan kehadiran perlindungan dan tanpa menimbulkan kecurigaan kepada pengguna.
Mengenai mitmengine
Untuk mengenal pasti pemintasan HTTPS oleh Cloudflare, pakej mitmengine ditawarkan, yang dipasang di pelayan dan membolehkan pemintasan HTTPS dikesan, serta menentukan sistem apa yang digunakan untuk pemintasan.
Inti kaedah untuk menentukan pemintasan dengan membandingkan ciri khas penyemak imbas pemprosesan TLS dengan keadaan sambungan sebenar.
Berdasarkan tajuk User Agent, enjin menentukan penyemak imbas dan kemudian menilai sama ada ciri-ciri sambungan TLSseperti parameter lalai TLS, sambungan yang disokong, suite cipher yang dinyatakan, prosedur definisi cipher, kumpulan, dan format lengkung elips sesuai dengan penyemak imbas ini.
Pangkalan data tandatangan yang digunakan untuk pengesahan mempunyai kira-kira 500 pengenal timbunan TLS khas untuk penyemak imbas dan sistem pemintas.
Data dapat dikumpulkan dalam mod pasif dengan menganalisis kandungan bidang dalam mesej ClientHello, yang disiarkan secara terbuka sebelum memasang saluran komunikasi yang disulitkan.
TShark dari penganalisis rangkaian Wireshark 3 digunakan untuk menangkap lalu lintas.
Projek mitmengine juga menyediakan perpustakaan untuk mengintegrasikan fungsi penentuan pintasan ke dalam pengendali pelayan sewenang-wenangnya.
Dalam kes yang paling mudah, sudah cukup untuk melepasi nilai Ejen Pengguna dan TLS ClientHello permintaan semasa dan perpustakaan akan memberikan kebarangkalian pemantauan dan faktor-faktor berdasarkan mana satu atau satu kesimpulan lain dibuat.
Berdasarkan statistik lalu lintas melalui rangkaian penghantaran kandungan Cloudflare, yang memproses kira-kira 10% dari semua lalu lintas Internet, perkhidmatan web dilancarkan yang mencerminkan perubahan dalam dinamik pintasan setiap hari.
Sebagai contoh, sebulan yang lalu, penyadapan dicatatkan untuk 13.27% sebatian, pada 19 Mac, angka itu 17.53%, dan pada 13 Mac mencapai puncak 19.02%.
Perbandingan
Mesin pemintas yang paling popular adalah sistem penapisan Symantec Bluecoat, yang menyumbang 94.53% dari semua permintaan pencegahan yang dikenal pasti.
Ini diikuti oleh proksi terbalik Akamai (4.57%), Forcepoint (0.54%) dan Barracuda (0.32%).
Sebilangan besar sistem anti-virus dan kawalan ibu bapa tidak termasuk dalam sampel pemintas yang dikenal pasti, kerana tanda tangan yang cukup tidak dikumpulkan untuk pengenalan mereka yang tepat.
Dalam 52,35% kes, lalu lintas versi penyemak imbas desktop dipintas dan pada 45,44% penyemak imbas untuk peranti mudah alih.
Dari segi sistem operasi, statistiknya adalah seperti berikut: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), sistem operasi lain (17.54%).
Fuente: https://blog.cloudflare.com