A empresa Cloudflare introduziu a biblioteca mitmengine usada para detectar interceptação de tráfego HTTPS, bem como o serviço web Malcolm para análise visual dos dados acumulados no Cloudflare.
O código é escrito na linguagem Go e é distribuído sob a licença BSD. O monitoramento de tráfego da Cloudflare usando a ferramenta proposta mostrou que aproximadamente 18% das conexões HTTPS são interceptadas.
Interceptação HTTPS
Na maioria dos casos, O tráfego HTTPS é interceptado no lado do cliente devido à atividade de vários aplicativos antivírus locais, firewalls, sistemas de controle dos pais, malware (para roubar senhas, substituir publicidade ou lançar código de mineração) ou sistemas corporativos de inspeção de tráfego.
Esses sistemas adicionam seu certificado TLS à lista de certificados no sistema local e eles o usam para interceptar o tráfego de usuário protegido.
Pedidos do cliente transmitido para o servidor de destino em nome do software de interceptação, após o qual o cliente é atendido em uma conexão HTTPS separada estabelecida usando o certificado TLS do sistema de interceptação.
Em alguns casos, a interceptação é organizada no lado do servidor quando o proprietário do servidor transfere a chave privada para um terceiroPor exemplo, o operador de proxy reverso, o sistema de proteção CDN ou DDoS, que recebe solicitações para o certificado TLS original e as transmite ao servidor original.
Em qualquer caso, A interceptação HTTPS mina a cadeia de confiança e introduz um elo adicional de comprometimento, levando a uma diminuição significativa no nível de proteção conexão, deixando ao mesmo tempo a aparência de presença de proteção e sem causar suspeitas aos usuários.
Sobre a mitmengine
Para identificar a interceptação HTTPS por Cloudflare, o pacote mitmengine é oferecido, que é instalado no servidor e permite que a interceptação HTTPS seja detectada, bem como determinar quais sistemas foram usados para a interceptação.
A essência do método de determinar a interceptação, comparando as características específicas do navegador do processamento TLS com o estado real da conexão.
Com base no cabeçalho do agente do usuário, o mecanismo determina o navegador e avalia se as características da conexão TLScomo parâmetros padrão TLS, extensões suportadas, conjunto de cifras declaradas, procedimento de definição de cifras, grupos e formatos de curva elíptica correspondem a este navegador.
O banco de dados de assinatura usado para verificação tem aproximadamente 500 identificadores de pilha TLS típicos para navegadores e sistemas de interceptação.
Os dados podem ser coletados no modo passivo, analisando o conteúdo dos campos na mensagem ClientHello, que é transmitida abertamente antes de instalar o canal de comunicação criptografado.
O analisador de rede TShark do Wireshark 3 é usado para capturar o tráfego.
O projeto mitmengine também fornece uma biblioteca para integrar funções de determinação de interceptação em manipuladores de servidor arbitrários.
No caso mais simples, basta passar os valores de User Agent e TLS ClientHello da solicitação atual e a biblioteca dará a probabilidade de interceptação e os fatores com base nos quais uma ou outra conclusão foi feita.
Com base nas estatísticas de tráfego passando pela rede de entrega de conteúdo Cloudflare, que processa aproximadamente 10% de todo o tráfego da Internet, um serviço da web é lançado que reflete a mudança na dinâmica de interceptação por dia.
Por exemplo, há um mês foram registradas interceptações para 13.27% dos compostos, em 19 de março o valor era de 17.53% e em 13 de março atingiu um pico de 19.02%.
Comparativos
O mecanismo de interceptação mais popular é o sistema de filtragem do Symantec Bluecoat, que responde por 94.53% de todas as solicitações de interceptação identificadas.
Isso é seguido pela proxy reversa da Akamai (4.57%), Forcepoint (0.54%) e Barracuda (0.32%).
A maioria dos sistemas antivírus e de controle parental não foi incluída na amostra de interceptores identificados, pois não foram coletadas assinaturas suficientes para sua identificação exata.
Em 52,35% dos casos, o tráfego das versões desktop dos navegadores foi interceptado e em 45,44% dos navegadores para dispositivos móveis.
Em termos de sistemas operacionais, as estatísticas são as seguintes: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), outros sistemas operacionais (17.54%).
fonte: https://blog.cloudflare.com