compania Cloudflare a introdus biblioteca mitmengine utilizată pentru a detecta interceptarea traficului HTTPSprecum și serviciul web Malcolm pentru analiza vizuală a datelor acumulate în Cloudflare.
Codul este scris în limba Go și este distribuit sub licența BSD. Monitorizarea traficului Cloudflare utilizând instrumentul propus a arătat că aproximativ 18% din conexiunile HTTPS sunt interceptate.
Interceptare HTTPS
În majoritatea cazurilor, Traficul HTTPS este interceptat din partea clientului datorită activității diferitelor aplicații antivirus locale, firewall-uri, sisteme de control parental, programe malware (pentru a fura parolele, a înlocui publicitatea sau a lansa codul de exploatare) sau a sistemelor de inspecție a traficului corporativ
Astfel de sisteme adaugă certificatul dvs. TLS la lista certificatelor de pe sistemul local și îl folosesc pentru a intercepta traficul protejat al utilizatorilor.
Cererile clientului transmis către serverul de destinație în numele software-ului de interceptare, după care clientului i se răspunde într-o conexiune HTTPS separată stabilită utilizând certificatul TLS din sistemul de interceptare.
În unele cazuri, interceptarea este organizată pe partea serverului atunci când proprietarul serverului transferă cheia privată către o terță parteDe exemplu, operatorul proxy invers, sistemul de protecție CDN sau DDoS, care primește cereri pentru certificatul TLS original și le transmite serverului original.
În orice caz, Interceptarea HTTPS subminează lanțul de încredere și introduce o verigă suplimentară de compromis, ducând la o scădere semnificativă a nivelului de protecție conexiune, lăsând în același timp aparența prezenței protecției și fără a provoca suspiciuni utilizatorilor.
Despre mitmengine
Pentru a identifica interceptarea HTTPS de către Cloudflare, este oferit pachetul mitmengine, care se instalează pe server și permite detectarea interceptării HTTPS, precum și determinarea sistemelor care au fost utilizate pentru interceptare.
Esența metodei de determinare a interceptării prin compararea caracteristicilor specifice browserului de procesare TLS cu starea reală a conexiunii.
Pe baza antetului Agent utilizator, motorul determină browserul și apoi evaluează caracteristicile conexiunii TLSprecum parametrii impliciți TLS, extensiile acceptate, suita de cifrare declarată, procedura de definire a cifrelor, grupurile și formatele curbei eliptice corespund acestui browser.
Baza de date cu semnături utilizată pentru verificare are aproximativ 500 de identificatori tipici de stivă TLS pentru browsere și sisteme de interceptare.
Datele pot fi colectate în mod pasiv prin analiza conținutului câmpurilor în mesajul ClientHello, care este difuzat deschis înainte de instalarea canalului de comunicație criptat.
TShark din analizorul de rețea Wireshark 3 este utilizat pentru a captura traficul.
Proiectul mitmengine oferă, de asemenea, o bibliotecă pentru integrarea funcțiilor de determinare a interceptării în handlerele de server arbitrare.
În cel mai simplu caz, este suficient să treceți valorile Agentului utilizatorului și TLS ClientHello ale cererii curente, iar biblioteca va da probabilitatea de interceptare și factorii pe baza cărora s-a făcut una sau alta concluzie.
Pe baza statisticilor de trafic trecând prin rețeaua de livrare a conținutului Cloudflare, care procesează aproximativ 10% din tot traficul de internet, este lansat un serviciu web care reflectă schimbarea dinamicii de interceptare pe zi.
De exemplu, acum o lună, au fost înregistrate interceptări pentru 13.27% din compuși, pe 19 martie, cifra era de 17.53%, iar pe 13 martie a atins un vârf de 19.02%.
Comparații
Cel mai popular motor de interceptare este sistemul de filtrare Symantec Bluecoat, care reprezintă 94.53% din toate cererile de interceptare identificate.
Acesta este urmat de proxy-ul invers al lui Akamai (4.57%), Forcepoint (0.54%) și Barracuda (0.32%).
Majoritatea sistemelor antivirus și de control parental nu au fost incluse în eșantionul interceptorilor identificați, deoarece nu au fost colectate suficiente semnături pentru identificarea lor exactă.
În 52,35% din cazuri, traficul versiunilor desktop ale browserelor a fost interceptat și în 45,44% din browserele pentru dispozitive mobile.
În ceea ce privește sistemele de operare, statisticile sunt următoarele: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), alte sisteme de operare (17.54%).
Fuente: https://blog.cloudflare.com