Firma Cloudflare wprowadził bibliotekę mitmengine używaną do wykrywania przechwytywania ruchu HTTPSa także usługa internetowa Malcolm do wizualnej analizy danych zgromadzonych w Cloudflare.
Kod jest napisany w języku Go i jest rozpowszechniany na licencji BSD. Monitorowanie ruchu Cloudflare za pomocą proponowanego narzędzia wykazało, że około 18% połączeń HTTPS jest przechwytywanych.
Przechwytywanie HTTPS
W większości przypadków Ruch HTTPS jest przechwytywany po stronie klienta ze względu na aktywność różnych lokalnych aplikacji antywirusowych, zapory sieciowe, systemy kontroli rodzicielskiej, złośliwe oprogramowanie (do kradzieży haseł, zastępowania reklam lub uruchamiania kodu wyszukiwania) lub korporacyjne systemy kontroli ruchu.
Takie systemy dodają Twój certyfikat TLS do listy certyfikatów w systemie lokalnym i używają go do przechwytywania chronionego ruchu użytkowników.
Żądania klientów przesyłane do serwera docelowego w imieniu oprogramowania przechwytującego, po czym klient otrzymuje odpowiedź w ramach oddzielnego połączenia HTTPS nawiązanego przy użyciu certyfikatu TLS z systemu przechwytywania.
W niektórych przypadkach przechwytywanie jest organizowane po stronie serwera, gdy właściciel serwera przekazuje klucz prywatny stronie trzeciejNa przykład operator zwrotnego proxy, system ochrony CDN lub DDoS, który odbiera żądania oryginalnego certyfikatu TLS i przesyła je do oryginalnego serwera.
W każdym przypadku, Przechwytywanie HTTPS podważa łańcuch zaufania i wprowadza dodatkowe ogniwo kompromisu, prowadząc do znacznego obniżenia poziomu ochrony połączenie, pozostawiając pozory obecności ochrony i bez wzbudzania podejrzeń użytkowników.
O mitmengine
Aby zidentyfikować przechwytywanie HTTPS przez Cloudflare, oferowany jest pakiet mitmengine, który instaluje się na serwerze i umożliwia wykrycie przechwycenia HTTPS, a także określanie, które systemy były używane do przechwytywania.
Istota metody określania przechwytywania poprzez porównanie charakterystyk przetwarzania TLS specyficznych dla przeglądarki z rzeczywistym stanem połączenia.
Na podstawie nagłówka User Agent silnik określa przeglądarkę, a następnie ocenia, czy właściwości połączenia TLStakie jak domyślne parametry TLS, obsługiwane rozszerzenia, deklarowany zestaw szyfrów, procedura definicji szyfrów, grupy i formaty krzywych eliptycznych odpowiadają tej przeglądarce.
Baza danych sygnatur używana do weryfikacji zawiera około 500 typowych identyfikatorów stosu TLS dla przeglądarek i systemów przechwytywania.
Dane można zbierać w trybie pasywnym, analizując zawartość pól w komunikacie ClientHello, który jest nadawany jawnie przed zainstalowaniem zaszyfrowanego kanału komunikacyjnego.
Do przechwytywania ruchu służy TShark z analizatora sieci Wireshark 3.
Projekt mitmengine zapewnia również bibliotekę do integracji funkcji określania przechwycenia z dowolnymi programami obsługi serwera.
W najprostszym przypadku wystarczy przekazać wartości User Agent i TLS ClientHello bieżącego żądania, a biblioteka poda prawdopodobieństwo przechwycenia oraz czynniki, na podstawie których wyciągnięto taki lub inny wniosek.
Na podstawie statystyk ruchu przechodząc przez sieć dostarczania treści Cloudflare, która przetwarza około 10% całego ruchu internetowegouruchamiana jest usługa sieciowa, która odzwierciedla dzienną zmianę dynamiki przechwytywania.
Przykładowo miesiąc temu przechwytywania odnotowano dla 13.27% związków, 19 marca było to 17.53%, a 13 marca osiągnęło szczyt 19.02%.
Porównania
Najpopularniejszym mechanizmem przechwytywania jest system filtrujący Symantec Bluecoat, który stanowi 94.53% wszystkich zidentyfikowanych żądań przechwytywania.
Następnie znajduje się odwrotny proxy Akamai (4.57%), Forcepoint (0.54%) i Barracuda (0.32%).
Większość systemów antywirusowych i kontroli rodzicielskiej nie została uwzględniona w próbce zidentyfikowanych przechwytywaczy, ponieważ nie zebrano wystarczającej liczby podpisów do ich dokładnej identyfikacji.
W 52,35% przypadków ruch przeglądarek na komputery stacjonarne został przechwycony, aw 45,44% przeglądarek na urządzenia mobilne.
W zakresie systemów operacyjnych statystyki kształtują się następująco: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), pozostałe systemy operacyjne (17.54%).
źródło: https://blog.cloudflare.com