Kompania Cloudflare prezantoi bibliotekën mitmengine të përdorur për të zbuluar përgjimin e trafikut HTTPSsi dhe shërbimin në internet Malcolm për analizën vizuale të të dhënave të grumbulluara në Cloudflare.
Kodi është shkruar në gjuhën Go dhe shpërndahet nën licencën BSD. Monitorimi i trafikut të Cloudflare duke përdorur mjetin e propozuar tregoi se rreth 18% e lidhjeve HTTPS përgjohen.
Përgjimi i HTTPS
Në shumicën e rasteve, Trafiku HTTPS përgjohet nga ana e klientit për shkak të aktivitetit të aplikacioneve të ndryshme lokale antivirus, muret e zjarrit, sistemet e kontrollit prindëror, malware (për të vjedhur fjalëkalimet, për të zëvendësuar reklamat ose për të nisur kodin e minierave) ose sistemet e inspektimit të trafikut të korporatave.
Sisteme të tilla shtojnë certifikatën tuaj TLS në listën e certifikatave në sistemin lokal dhe ata e përdorin atë për të kapur trafikun e mbrojtur të përdoruesve.
Kërkesat e klientëve transmetohet në serverin e destinacionit në emër të softuerit të përgjimit, pas së cilës klienti përgjigjet brenda një lidhjeje të veçantë HTTPS të vendosur duke përdorur certifikatën TLS nga sistemi i përgjimit.
Në disa raste, përgjimi është i organizuar në anën e serverit kur pronari i serverit transferon çelësin privat tek një palë e tretëPër shembull, operatori i kundërt i përfaqësimit, sistemi i mbrojtjes CDN ose DDoS, i cili merr kërkesa për certifikatën origjinale TLS dhe i transmeton ato në serverin origjinal.
Në çdo rast, Përgjimi HTTPS minon zinxhirin e besimit dhe paraqet një lidhje shtesë të kompromisit, duke çuar në një rënie të ndjeshme të nivelit të mbrojtjes lidhje, ndërsa lë pamjen e pranisë së mbrojtjes dhe pa shkaktuar dyshime tek përdoruesit.
Rreth mitmengine
Për të identifikuar përgjimin HTTPS nga Cloudflare, ofrohet paketa mitmengine, e cila instalohet në server dhe lejon zbulimin e përgjimit HTTPS, si dhe përcaktimin se cilat sisteme janë përdorur për përgjimin.
Thelbi i metodës për përcaktimin e përgjimit duke krahasuar karakteristikat specifike të shfletuesit të përpunimit të TLS me gjendjen aktuale të lidhjes.
Bazuar në kokën e Agjentit të Përdoruesit, motori përcakton shfletuesin dhe pastaj vlerëson nëse karakteristikat e lidhjes TLSsiç janë parametrat e paracaktuar të TLS-së, shtesat e mbështetura, kompleti i deklaruar i shifrës, procedura e përcaktimit të shifrës, grupet dhe formatet e kurbës eliptike korrespondojnë me këtë shfletues.
Baza e të dhënave për nënshkrimet e përdorura për verifikim ka afërsisht 500 identifikues tipikë të pirgjeve TLS për shfletuesit dhe sistemet e përgjimit.
Të dhënat mund të mblidhen në mënyrë pasive duke analizuar përmbajtjen e fushave në mesazhin ClientHello, i cili transmetohet hapur para se të instalohet kanali i komunikimit të koduar.
Analizuesi i rrjetit TShark nga Wireshark 3 përdoret për të kapur trafikun.
Projekti mitmengine gjithashtu siguron një bibliotekë për integrimin e funksioneve të përcaktimit të përgjimit në mbajtësit arbitrar të serverit.
Në rastin më të thjeshtë, mjafton të kalosh vlerat e Agjentit të Përdoruesit dhe TLS ClientHello të kërkesës aktuale dhe biblioteka do të japë mundësinë e përgjimit dhe faktorët në bazë të të cilave është bërë një ose një përfundim tjetër.
Bazuar në statistikat e trafikut duke kaluar përmes rrjetit të shpërndarjes së përmbajtjes Cloudflare, i cili përpunon afërsisht 10% të të gjithë trafikut të Internetit, lëshohet një shërbim në internet që pasqyron ndryshimin në dinamikën e përgjimit në ditë.
Për shembull, një muaj më parë, përgjimet u regjistruan për 13.27% të përbërjeve, më 19 Mars, shifra ishte 17.53%, dhe më 13 Mars arriti një kulm prej 19.02%.
Krahasimet
Motori më i popullarizuar i përgjimit është sistemi i filtrimit të Symantec Bluecoat, i cili përbën 94.53% të të gjitha kërkesave të identifikuara të përgjimit.
Kjo pasohet nga përfaqësimi i kundërt i Akamai (4.57%), Forcepoint (0.54%) dhe Barracuda (0.32%).
Shumica e sistemeve të kontrollit prindëror antivirus nuk u përfshinë në mostrën e përgjuesve të identifikuar, pasi nuk u mblodhën mjaft nënshkrime për identifikimin e tyre të saktë.
Në 52,35% të rasteve, trafiku i versioneve desktop të shfletuesve është përgjuar dhe në 45,44% të shfletuesve për pajisjet mobile.
Sa i përket sistemeve operative, statistikat janë si më poshtë: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), sisteme të tjera operative (17.54%).
Fuente: https://blog.cloudflare.com