Företaget Cloudflare introducerade mitmengine-biblioteket som används för att upptäcka HTTPS-trafikavlyssningliksom Malcolms webbtjänst för visuell analys av data som samlats in i Cloudflare.
Koden är skriven på Go-språket och distribueras under BSD-licensen. Cloudflares trafikövervakning med det föreslagna verktyget visade att ungefär 18% av HTTPS-anslutningarna fångas upp.
HTTPS-avlyssning
I de flesta fall HTTPS-trafik fångas upp på klientsidan på grund av aktiviteten hos olika lokala antivirusprogrambrandväggar, föräldrakontrollsystem, skadlig kod (för att stjäla lösenord, ersätta reklam eller starta gruvkod) eller system för trafikinspektion.
Sådana system lägger till ditt TLS-certifikat i listan över certifikat i det lokala systemet och de använder den för att fånga upp skyddad användartrafik.
Kundförfrågningar sänds till destinationsservern för avlyssningsprogramvaranvarefter klienten besvaras inom en separat HTTPS-anslutning upprättad med hjälp av TLS-certifikatet från avlyssningssystemet.
I vissa fall avlyssning organiseras på serversidan när serverägaren överför den privata nyckeln till en tredje partTill exempel den omvända proxyoperatören, CDN- eller DDoS-skyddssystemet, som tar emot förfrågningar om det ursprungliga TLS-certifikatet och överför dem till originalservern.
I vilket fall som helst HTTPS-avlyssning undergräver kedjan av förtroende och inför en ytterligare kompromisslänk, vilket leder till en betydande minskning av skyddsnivån anslutning, samtidigt som det ser ut att förekomsten av skydd och utan att orsaka misstankar för användarna.
Om mitmotor
För att identifiera HTTPS-avlyssning av Cloudflare erbjuds mitmengine-paketet, vilket installeras på servern och gör det möjligt att upptäcka HTTPS-avlyssning, samt bestämma vilka system som användes för avlyssningen.
Kärnan i metoden för att bestämma avlyssning genom att jämföra de webbläsarspecifika egenskaperna för TLS-bearbetning med det faktiska anslutningstillståndet.
Baserat på User Agent-rubriken bestämmer motorn webbläsaren och utvärderar sedan om TLS-anslutningsegenskapernasom TLS-standardparametrar, tillägg som stöds, deklarerad chiffersvit, chifferdefinitionsförfarande, grupper och elliptiska kurvformat motsvarar denna webbläsare.
Signaturdatabasen som används för verifiering har cirka 500 typiska TLS-stackidentifierare för webbläsare och avlyssningssystem.
Data kan samlas in i passivt läge genom att analysera fälternas innehåll i ClientHello-meddelandet, som sänds öppet innan du installerar den krypterade kommunikationskanalen.
TShark från Wireshark 3 nätverksanalysator används för att fånga trafik.
Mitmengine-projektet tillhandahåller också ett bibliotek för att integrera avlyssningsbestämningsfunktioner i godtyckliga serverhanterare.
I det enklaste fallet räcker det med att skicka värdena User Agent och TLS ClientHello för den aktuella begäran och biblioteket ger sannolikheten för avlyssning och de faktorer som baseras på vilken en eller annan slutsats gjordes.
Baserat på trafikstatistik passerar genom Cloudflare-innehållsleveransnätverket, vilket bearbetar cirka 10% av all internettrafik, lanseras en webbtjänst som speglar förändringen i avlyssningsdynamiken per dag.
Till exempel för en månad sedan registrerades avlyssningar för 13.27% av föreningarna, den 19 mars var siffran 17.53% och den 13 mars nådde den en topp på 19.02%.
Jämförelser
Den mest populära avlyssningsmotorn är Symantec Bluecoats filtreringssystem, som står för 94.53% av alla identifierade avlyssningsförfrågningar.
Detta följs av omvänd proxy för Akamai (4.57%), Forcepoint (0.54%) och Barracuda (0.32%).
De flesta antivirus- och föräldrakontrollsystem ingick inte i urvalet av identifierade avlyssnare, eftersom inte tillräckligt med signaturer samlades in för deras exakta identifiering.
I 52,35% av fallen avlyssnades trafiken mellan skrivbordsversionerna av webbläsarna och i 45,44% av webbläsarna för mobila enheter.
När det gäller operativsystem är statistiken följande: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), andra operativsystem (17.54%).
Fuente: https://blog.cloudflare.com