Spoločnosť Cloudflare predstavil knižnicu mitmengine používanú na detekciu zachytenia prenosu HTTPSako aj webová služba Malcolm na vizuálnu analýzu údajov zhromaždených v Cloudflare.
Kód je napísaný v jazyku Go a je distribuovaný na základe licencie BSD. Monitorovanie prenosu Cloudflare pomocou navrhovaného nástroja ukázalo, že je prerušených približne 18% pripojení HTTPS.
Odpočúvanie HTTPS
Vo väčšine prípadov Prevádzka HTTPS je na strane klienta zachytená v dôsledku aktivity rôznych miestnych antivírusových aplikácií, brány firewall, systémy rodičovskej kontroly, malware (na odcudzenie hesiel, nahradenie reklamy alebo spustenie ťažobného kódu) alebo systémy podnikovej kontroly prevádzky.
Takéto systémy pridajú váš certifikát TLS do zoznamu certifikátov v lokálnom systéme a používajú ho na zachytenie prenosu chráneného používateľa.
Požiadavky zákazníkov prenesený na cieľový server v mene zachytávacieho softvéru, po ktorom je klient odpovedaný v rámci samostatného HTTPS spojenia nadviazaného pomocou certifikátu TLS z odpočúvacieho systému.
V niektorých prípadoch odpočúvanie je organizované na strane servera, keď vlastník servera prenáša súkromný kľúč na tretiu stranuNapríklad operátor reverzného proxy, systém ochrany CDN alebo DDoS, ktorý prijíma požiadavky na pôvodný certifikát TLS a prenáša ich na pôvodný server.
V každom prípade, Odposluch HTTPS podkopáva reťaz dôvery a zavádza ďalší kompromisný odkaz, ktorý vedie k výraznému zníženiu úrovne ochrany pripojenie, zatiaľ čo ponecháva dojem prítomnosti ochrany a nespôsobuje podozrenie používateľom.
O mitmengine
Na identifikáciu zachytenia HTTPS pomocou Cloudflare sa ponúka balíček mitmengine, ktorý sa nainštaluje na server a umožňuje zistiť zachytenie HTTPS, ako aj určenie, ktoré systémy sa použili na odpočúvanie.
Podstata metódy na stanovenie odpočúvania porovnaním charakteristík spracovania TLS špecifických pre prehliadač so skutočným stavom pripojenia.
Na základe hlavičky User Agent motor určí prehľadávač a potom vyhodnotí, či sú vlastnosti pripojenia TLSako predvolené parametre TLS, podporované prípony, deklarovaná šifrovacia sada, postup definície šifry, skupiny a formáty eliptickej krivky zodpovedajú tomuto prehliadaču.
Databáza podpisov použitá na overenie má približne 500 typických identifikátorov zásobníka TLS pre prehľadávače a odpočúvacie systémy.
Údaje je možné zhromažďovať v pasívnom režime analýzou obsahu polí v správe ClientHello, ktorá sa vysiela otvorene pred inštaláciou šifrovaného komunikačného kanálu.
Na snímanie prenosu sa používa sieťový analyzátor TShark od spoločnosti Wireshark 3.
Projekt mitmengine tiež poskytuje knižnicu na integráciu funkcií zisťovania zachytenia do ľubovoľných obslužných programov servera.
V najjednoduchšom prípade stačí odovzdať hodnoty User Agent a TLS ClientHello aktuálnej požiadavky a knižnica uvedie pravdepodobnosť zachytenia a faktory, na základe ktorých sa urobil jeden alebo druhý záver.
Na základe dopravných štatistík prechádzajúce sieťou na doručovanie obsahu Cloudflare, ktorá spracováva približne 10% všetkého internetového prenosu, je spustená webová služba, ktorá odráža zmeny v dynamike zachytávania za deň.
Napríklad pred mesiacom boli zaznamenané zachytenia u 13.27% zlúčenín, 19. marca to bolo 17.53% a 13. marca dosiahla vrchol 19.02%.
Porovnania
Najobľúbenejším odpočúvacím mechanizmom je filtračný systém spoločnosti Symantec Bluecoat, ktorý predstavuje 94.53% všetkých identifikovaných požiadaviek na zachytenie.
Nasleduje reverzné zastúpenie Akamai (4.57%), Forcepoint (0.54%) a Barracuda (0.32%).
Väčšina antivírusových a rodičovských kontrolných systémov nebola zahrnutá do vzorky identifikovaných zachytávačov, pretože sa nezozbieralo dostatok podpisov na ich presnú identifikáciu.
V 52,35% prípadov bola zachytená prevádzka verzií prehliadačov pre stolné počítače a v 45,44% prehliadačov pre mobilné zariadenia.
Pokiaľ ide o operačné systémy, štatistika je nasledovná: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), ďalšie operačné systémy (17.54%).
Fuente: https://blog.cloudflare.com