Цлоудфларе је представио ХТТПС алате за откривање пресретања

чудовишта у средњем софтверу @ 2к

Компанија Цлоудфларе је представио библиотеку митменгине која се користи за откривање пресретања ХТТПС саобраћајакао и веб услуга Малцолм за визуелну анализу података акумулираних у Цлоудфларе-у.

Код је написан на језику Го и дистрибуира се под БСД лиценцом. Надгледање промета Цлоудфларе-а помоћу предложеног алата показало је да је пресретнуто приближно 18% ХТТПС веза.

ХТТПС пресретање

У већини случајева, ХТТПС саобраћај се пресреће на страни клијента због активности различитих локалних антивирусних апликација, заштитни зидови, системи родитељске контроле, злонамерни софтвер (за крађу лозинки, замену оглашавања или покретање рударског кода) или системи корпоративне инспекције саобраћаја.

Такви системи додају ваш ТЛС сертификат на листу сертификата на локалном систему и користите га за пресретање заштићеног корисничког саобраћаја.

Захтеви купаца пренесено на одредишни сервер у име софтвера за пресретање, након чега се клијенту одговара у оквиру засебне ХТТПС везе успостављене помоћу ТЛС сертификата из система за пресретање.

У неким случајевима, пресретање је организовано на страни сервера када власник сервера преноси приватни кључ трећој страниНа пример, оператер обрнутог прокси сервера, систем заштите ЦДН или ДДоС, који прима захтеве за оригиналним ТЛС сертификатом и преноси их на оригинални сервер.

У сваком случају, ХТТПС пресретање подрива ланац поверења и уводи додатну везу компромиса, што доводи до значајног смањења нивоа заштите везу, док оставља изглед присутности заштите и без изазивања сумње код корисника.

О митменгинеу

Да би се идентификовало ХТТПС пресретање помоћу Цлоудфларе-а, нуди се митменгине пакет, који инсталира на сервер и омогућава откривање ХТТПС пресретања, као и утврђивање који су системи коришћени за пресретање.

Суштина методе одређивања пресретања упоређивањем карактеристика ТЛС обраде специфичних за прегледач са стварним стањем везе.

На основу заглавља корисничког агента, механизам одређује прегледач, а затим процењује да ли су карактеристике ТЛС везекао што су задани параметри ТЛС-а, подржана проширења, декларисани пакет шифара, поступак дефинисања шифре, групе и форме елиптичне криве одговарају овом прегледачу.

База података потписа која се користи за верификацију има приближно 500 типичних ТЛС идентификатора стека за прегледаче и системе пресретања.

Подаци се могу прикупљати у пасивном режиму анализом садржаја поља у ЦлиентХелло поруци, која се емитује отворено пре инсталирања шифрованог комуникационог канала.

ТСхарк из мрежног анализатора Виресхарк 3 користи се за хватање саобраћаја.

Пројекат митменгине такође нуди библиотеку за интегрисање функција одређивања пресретања у произвољне руковаоце сервера.

У најједноставнијем случају, довољно је проследити вредности корисничког агента и ТЛС ЦлиентХелло тренутног захтева и библиотека ће дати вероватноћу пресретања и факторе на основу којих је донесен један или други закључак.

На основу статистике саобраћаја пролазећи кроз мрежу за испоруку садржаја Цлоудфларе која обрађује приближно 10% целокупног Интернет промета, покренут је веб сервис који одражава промену динамике пресретања дневно.

На пример, пре месец дана забележени су пресретачи за 13.27% једињења, 19. марта та цифра је износила 17.53%, а 13. марта достигла је врхунац од 19.02%.

Упоредни

Најпопуларнији механизам за пресретање је систем филтрирања компаније Симантец Блуецоат, који чини 94.53% свих идентификованих захтева за пресретање.

Следи обрнути прокси Акамаи (4.57%), Форцепоинт (0.54%) и Баррацуда (0.32%).

Већина антивирусних система и система родитељске контроле нису били обухваћени узорком идентификованих пресретача, јер није прикупљено довољно потписа за њихову тачну идентификацију.

У 52,35% случајева пресретнут је промет десктоп верзија верзија прегледача, ау 45,44% претраживача за мобилне уређаје.

Што се тиче оперативних система, статистика је следећа: Андроид (35.22%), Виндовс 10 (22.23%), Виндовс 7 (13.13%), иОС (11.88%), остали оперативни системи (17.54%).

izvor: https://blog.cloudflare.com


Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.