Selskapet Cloudflare introduserte mitmengine-biblioteket som ble brukt til å oppdage HTTPS-trafikkavlytting, samt Malcolm-nettjenesten for visuell analyse av dataene akkumulert i Cloudflare.
Koden er skrevet på Go-språket og distribueres under BSD-lisensen. Cloudflares trafikkovervåking ved hjelp av det foreslåtte verktøyet viste at omtrent 18% av HTTPS-tilkoblinger blir fanget opp.
HTTPS avlytting
I de fleste tilfeller HTTPS-trafikk blir fanget opp på klientsiden på grunn av aktiviteten til forskjellige lokale antivirusprogrammer, brannmurer, foreldrekontrollsystemer, skadelig programvare (for å stjele passord, erstatte reklame eller starte gruvedriftskoder) eller system for trafikkinspeksjon.
Slike systemer legger til TLS-sertifikatet ditt i listen over sertifikater på det lokale systemet og de bruker den til å fange opp beskyttet brukertrafikk.
Kundeforespørsler overført til målserveren på vegne av avlyttingsprogramvaren, hvoretter klienten blir besvart i en egen HTTPS-forbindelse opprettet ved hjelp av TLS-sertifikatet fra avlyttingssystemet.
I noen tilfeller avlyttingen er organisert på serversiden når servereieren overfører den private nøkkelen til en tredjepartFor eksempel den omvendte proxyoperatøren, CDN- eller DDoS-beskyttelsessystemet, som mottar forespørsler om det originale TLS-sertifikatet og overfører dem til den originale serveren.
I alle fall, HTTPS-avskjæring undergraver kjeden av tillit og introduserer en ekstra kobling av kompromiss, noe som fører til en betydelig reduksjon i beskyttelsesnivået tilkobling, mens du ser ut som tilstedeværelsen av beskyttelse og uten å forårsake mistanke for brukerne.
Om mitmotor
For å identifisere HTTPS-avlytting av Cloudflare tilbys mitmengine-pakken, som installeres på serveren og lar HTTPS-avlytting oppdages, samt å bestemme hvilke systemer som ble brukt til avlytting.
Essensen av metoden for å bestemme avlytting ved å sammenligne de nettleserspesifikke egenskapene til TLS-behandling med den faktiske tilkoblingstilstanden.
Basert på User Agent-overskriften, bestemmer motoren nettleseren og evaluerer deretter om TLS-tilkoblingsegenskapeneslik som TLS-standardparametere, utvidelser som støttes, erklært krypteringspakke, krypteringsdefinisjonsprosedyre, grupper og elliptiske kurveformater tilsvarer denne nettleseren.
Signaturdatabasen som brukes til verifisering har omtrent 500 typiske TLS-stabelidentifikatorer for nettlesere og avlyttingssystemer.
Data kan samles i passiv modus ved å analysere innholdet i feltene i ClientHello-meldingen, som sendes åpent før du installerer den krypterte kommunikasjonskanalen.
TShark fra Wireshark 3 nettverksanalysator brukes til å fange trafikk.
Mitmengine-prosjektet gir også et bibliotek for å integrere avskjæringsbestemmelsesfunksjoner i vilkårlige serverhåndterere.
I det enkleste tilfellet er det nok å overføre User Agent- og TLS ClientHello-verdiene til den gjeldende forespørselen, og biblioteket vil gi sannsynligheten for avlytting og faktorene basert på en eller annen konklusjon.
Basert på trafikkstatistikk passerer gjennom Cloudflare innholdsleveringsnettverk, som behandler omtrent 10% av all internettrafikk, lanseres en nettjeneste som gjenspeiler endringen i avlyttingsdynamikken per dag.
For eksempel ble det registrert avskjæringer for 13.27% av forbindelsene for en måned siden, 19. mars var tallet 17.53%, og 13. mars nådde det en topp på 19.02%.
Sammenligninger
Den mest populære avlyttingsmotoren er Symantec Bluecoats filtreringssystem, som utgjør 94.53% av alle identifiserte avlyssningsforespørsler.
Dette blir fulgt av den omvendte fullmakten til Akamai (4.57%), Forcepoint (0.54%) og Barracuda (0.32%).
De fleste antivirus- og foreldrekontrollsystemer var ikke inkludert i utvalget av identifiserte avlyttere, da det ikke ble samlet inn nok signaturer for nøyaktig identifikasjon.
I 52,35% av tilfellene ble trafikken til stasjonære versjoner av nettleserne fanget opp og i 45,44% av nettleserne for mobile enheter.
Når det gjelder operativsystemer, er statistikken som følger: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), andre operativsystemer (17.54%).
Fuente: https://blog.cloudflare.com