Družba Cloudflare je predstavil knjižnico mitmengine, ki se uporablja za zaznavanje prestrezanja prometa HTTPSkot tudi spletna storitev Malcolm za vizualno analizo podatkov, zbranih v Cloudflareju.
Koda je napisana v jeziku Go in se distribuira pod licenco BSD. Spremljanje prometa Cloudflareja s predlaganim orodjem je pokazalo, da je prestreženih približno 18% povezav HTTPS.
Prestrezanje HTTPS
V večini primerov oz. Promet HTTPS je prestrežen na strani odjemalca zaradi dejavnosti različnih lokalnih protivirusnih aplikacij, požarni zidovi, sistemi starševskega nadzora, zlonamerna programska oprema (za krajo gesel, nadomestitev oglaševanja ali lansiranje rudarske kode) ali sistemi za nadzor prometa v podjetjih.
Takšni sistemi dodajo vaše potrdilo TLS na seznam potrdil v lokalnem sistemu in ga uporabite za prestrezanje zaščitenega uporabniškega prometa.
Zahteve strank prenesena na ciljni strežnik v imenu programske opreme za prestrezanje, po katerem se odjemalcu odgovori v ločeni povezavi HTTPS, vzpostavljeni s certifikatom TLS iz sistema za prestrezanje.
V nekaterih primerih oz. prestrezanje je organizirano na strani strežnika, ko lastnik strežnika prenese zasebni ključ tretji osebiNa primer operater obratnega strežnika proxy, zaščitni sistem CDN ali DDoS, ki sprejema zahteve za izvirno potrdilo TLS in jih pošilja na prvotni strežnik.
Vsekakor oz. Prestrezanje HTTPS spodkopava verigo zaupanja in uvaja dodaten kompromisni člen, ki vodi do znatnega zmanjšanja stopnje zaščite povezave, hkrati pa pušča videz prisotnosti zaščite in ne povzroča suma uporabnikom.
O mitmengineu
Za prepoznavanje prestrezanja HTTPS s strani Cloudflare je na voljo paket mitmengine, ki namesti na strežnik in omogoča zaznavanje prestrezanja HTTPS, pa tudi določitev, kateri sistemi so bili uporabljeni za prestrezanje.
Bistvo metode določanja prestrezanja s primerjavo značilnosti obdelave TLS za brskalnik z dejanskim stanjem povezave.
Na podlagi glave uporabniškega agenta motor določi brskalnik in nato oceni, ali so značilnosti povezave TLStem brskalniku ustrezajo privzeti parametri TLS, podprte razširitve, deklarirani paket šifer, postopek definicije šifre, skupine in forme eliptične krivulje.
Podatkovna baza podatkov, ki se uporablja za preverjanje, ima približno 500 tipičnih identifikatorjev skladov TLS za brskalnike in sisteme za prestrezanje.
Podatke lahko zbiramo v pasivnem načinu z analizo vsebine polj v sporočilu ClientHello, ki se pred namestitvijo šifriranega komunikacijskega kanala predvaja odkrito.
TShark iz analizatorja omrežja Wireshark 3 se uporablja za zajemanje prometa.
Projekt mitmengine ponuja tudi knjižnico za vključevanje funkcij določanja prestrezanja v poljubne strežnike.
V najpreprostejšem primeru je dovolj, da posredujete vrednosti uporabniškega agenta in TLS ClientHello trenutne zahteve, knjižnica pa bo podala verjetnost prestrezanja in dejavnike, na podlagi katerih je bil narejen tak ali drugačen zaključek.
Na podlagi prometnih statistik skozi omrežje za dostavo vsebin Cloudflare, ki obdeluje približno 10% vsega internetnega prometa, zažene se spletna storitev, ki odraža spremembo dinamike prestrezanja na dan.
Na primer, pred mesecem dni so zabeležili prestrezanje 13.27% spojin, 19. marca je bila ta številka 17.53%, 13. marca pa je dosegla vrh 19.02%.
Primerjalne
Najbolj priljubljen mehanizem za prestrezanje je sistem filtriranja Symantec Bluecoat, ki predstavlja 94.53% vseh prepoznanih zahtev za prestrezanje.
Sledi obratni proxy Akamai (4.57%), Forcepoint (0.54%) in Barracuda (0.32%).
Večina sistemov protivirusnega in starševskega nadzora ni bila vključena v vzorec identificiranih prestreznikov, saj ni bilo zbranih dovolj podpisov za njihovo natančno identifikacijo.
V 52,35% primerov je bil prestrežen promet namiznih različic brskalnikov in v 45,44% brskalnikov za mobilne naprave.
Glede operacijskih sistemov je statistika naslednja: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), drugi operacijski sistemi (17.54%).
vir: https://blog.cloudflare.com