Het bedrijf Cloudflare introduceerde de mitmengine-bibliotheek die wordt gebruikt om het onderscheppen van HTTPS-verkeer te detecterenevenals de Malcolm-webservice voor visuele analyse van de gegevens die zijn verzameld in Cloudflare.
De code is geschreven in de Go-taal en wordt verspreid onder de BSD-licentie. Cloudflare's verkeersmonitoring met behulp van de voorgestelde tool toonde aan dat ongeveer 18% van de HTTPS-verbindingen wordt onderschept.
HTTPS-onderschepping
In de meeste gevallen HTTPS-verkeer wordt aan de clientzijde onderschept vanwege de activiteit van verschillende lokale antivirusprogramma's, firewalls, systemen voor ouderlijk toezicht, malware (om wachtwoorden te stelen, advertenties te vervangen of mijncode te lanceren) of verkeersinspectiesystemen van bedrijven.
Dergelijke systemen voegen uw TLS-certificaat toe aan de lijst met certificaten op het lokale systeem en gebruik het om beschermd gebruikersverkeer te onderscheppen.
Verzoeken van klanten verzonden naar de bestemmingsserver namens de onderscheppingssoftware, waarna de klant wordt beantwoord binnen een afzonderlijke HTTPS-verbinding die tot stand is gebracht met behulp van het TLS-certificaat van het interceptiesysteem.
In sommige gevallen de onderschepping gebeurt aan de serverzijde wanneer de servereigenaar de privésleutel overdraagt aan een derde partijBijvoorbeeld de reverse proxy-operator, het CDN- of DDoS-beveiligingssysteem, dat verzoeken voor het originele TLS-certificaat ontvangt en naar de originele server verzendt.
In elk geval, HTTPS-onderschepping ondermijnt de vertrouwensketen en introduceert een extra compromis, wat leidt tot een aanzienlijke verlaging van het beschermingsniveau verbinding, terwijl het de schijn van de aanwezigheid van bescherming laat en zonder de gebruikers argwaan te wekken.
Over mitmengine
Om HTTPS-onderschepping door Cloudflare te identificeren, wordt het mitmengine-pakket aangeboden, dat wordt op de server geïnstalleerd en staat toe dat HTTPS-onderschepping wordt gedetecteerd, evenals het bepalen welke systemen werden gebruikt voor de onderschepping.
De essentie van de methode om onderschepping te bepalen door de browserspecifieke kenmerken van TLS-verwerking te vergelijken met de werkelijke verbindingsstatus.
Op basis van de User Agent-header bepaalt de engine de browser en evalueert vervolgens of de TLS-verbindingskenmerkenzoals TLS-standaardparameters, ondersteunde extensies, gedeclareerde coderingssuite, coderingsdefinitieprocedure, groepen en elliptische curve-indelingen komen overeen met deze browser.
De handtekeningdatabase die voor verificatie wordt gebruikt, heeft ongeveer 500 typische TLS-stack-ID's voor browsers en onderscheppingssystemen.
Gegevens kunnen in passieve modus worden verzameld door de inhoud van de velden te analyseren in het ClientHello-bericht, dat openlijk wordt uitgezonden voordat het gecodeerde communicatiekanaal wordt geïnstalleerd.
TShark van Wireshark 3 netwerkanalysator wordt gebruikt om verkeer vast te leggen.
Het mitmengine-project biedt ook een bibliotheek voor het integreren van interceptbepalingsfuncties in willekeurige serverhandlers.
In het eenvoudigste geval is het voldoende om de User Agent- en TLS ClientHello-waarden van het huidige verzoek door te geven en de bibliotheek geeft de kans op onderschepping en de factoren op basis waarvan de ene of de andere conclusie werd getrokken.
Gebaseerd op verkeersstatistieken via het Cloudflare content delivery network, dat verwerkt ongeveer 10% van al het internetverkeerwordt een webservice gelanceerd die de verandering in de interceptdynamiek per dag weergeeft.
Een maand geleden werden bijvoorbeeld onderscheppingen geregistreerd voor 13.27% van de verbindingen, op 19 maart was dat 17.53% en op 13 maart bereikte het een piek van 19.02%.
vergelijkende
De meest populaire onderscheppingsengine is het filtersysteem van Symantec Bluecoat, dat goed is voor 94.53% van alle geïdentificeerde onderscheppingsverzoeken.
Dit wordt gevolgd door de omgekeerde proxy van Akamai (4.57%), Forcepoint (0.54%) en Barracuda (0.32%).
De meeste antivirus- en ouderlijk toezichtsystemen waren niet opgenomen in de steekproef van geïdentificeerde interceptors, omdat er niet genoeg handtekeningen werden verzameld voor hun exacte identificatie.
In 52,35% van de gevallen werd het verkeer van de desktopversies van de browsers onderschept en in 45,44% van de browsers voor mobiele apparaten.
In termen van besturingssystemen zijn de statistieken als volgt: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), andere besturingssystemen (17.54%).
bron: https://blog.cloudflare.com