บริษัท Cloudflare เปิดตัวไลบรารี mitmengine ที่ใช้ตรวจจับการสกัดกั้นการรับส่งข้อมูล HTTPSตลอดจนบริการเว็บ Malcolm สำหรับการวิเคราะห์ด้วยภาพของข้อมูลที่สะสมใน Cloudflare
รหัสนี้เขียนด้วยภาษา Go และเผยแพร่ภายใต้ใบอนุญาต BSD. การตรวจสอบปริมาณการใช้งานของ Cloudflare โดยใช้เครื่องมือที่นำเสนอแสดงให้เห็นว่าประมาณ 18% ของการเชื่อมต่อ HTTPS ถูกสกัดกั้น
การสกัดกั้น HTTPS
ในกรณีส่วนใหญ่ การรับส่งข้อมูล HTTPS ถูกดักจับทางฝั่งไคลเอ็นต์เนื่องจากกิจกรรมของแอปพลิเคชันป้องกันไวรัสในตัวเครื่องต่างๆไฟร์วอลล์ระบบควบคุมโดยผู้ปกครองมัลแวร์ (เพื่อขโมยรหัสผ่านแทนที่โฆษณาหรือเปิดโค้ดการขุด) หรือระบบตรวจสอบการจราจรขององค์กร
ระบบดังกล่าวจะเพิ่มใบรับรอง TLS ของคุณในรายการใบรับรองบนระบบโลคัล และใช้เพื่อสกัดกั้นการรับส่งข้อมูลของผู้ใช้ที่ได้รับการป้องกัน
คำขอของลูกค้า ส่งไปยังเซิร์ฟเวอร์ปลายทางในนามของซอฟต์แวร์สกัดกั้นหลังจากนั้นไคลเอ็นต์จะได้รับคำตอบภายในการเชื่อมต่อ HTTPS แยกต่างหากที่สร้างขึ้นโดยใช้ใบรับรอง TLS จากระบบสกัดกั้น
ในบางกรณี การสกัดกั้นจะถูกจัดระเบียบที่ฝั่งเซิร์ฟเวอร์เมื่อเจ้าของเซิร์ฟเวอร์โอนคีย์ส่วนตัวไปยังบุคคลที่สามตัวอย่างเช่นตัวดำเนินการ reverse proxy ระบบป้องกัน CDN หรือ DDoS ซึ่งรับคำขอใบรับรอง TLS ดั้งเดิมและส่งไปยังเซิร์ฟเวอร์ดั้งเดิม
ไม่ว่าในกรณีใด การสกัดกั้น HTTPS ทำลายห่วงโซ่แห่งความไว้วางใจและแนะนำการเชื่อมโยงเพิ่มเติมของการประนีประนอมทำให้ระดับการป้องกันลดลงอย่างมาก การเชื่อมต่อในขณะที่ออกจากลักษณะที่มีการป้องกันและไม่ก่อให้เกิดความสงสัยแก่ผู้ใช้
เกี่ยวกับ mitmengine
ในการระบุการสกัดกั้น HTTPS โดย Cloudflare มีการนำเสนอแพ็คเกจ mitmengine ซึ่ง ติดตั้งบนเซิร์ฟเวอร์และอนุญาตให้ตรวจพบการสกัดกั้น HTTPSตลอดจนการพิจารณาว่าระบบใดถูกใช้ในการสกัดกั้น
สาระสำคัญของวิธีกำหนดการสกัดกั้นโดยการเปรียบเทียบลักษณะเฉพาะของเบราว์เซอร์ของการประมวลผล TLS กับสถานะการเชื่อมต่อจริง
ตามส่วนหัวของตัวแทนผู้ใช้เอ็นจินจะกำหนดเบราว์เซอร์จากนั้นประเมินว่าลักษณะการเชื่อมต่อ TLS หรือไม่เช่นพารามิเตอร์เริ่มต้น TLS ส่วนขยายที่รองรับชุดการเข้ารหัสที่ประกาศไว้ขั้นตอนการกำหนดรหัสกลุ่มและรูปแบบเส้นโค้งวงรีจะสอดคล้องกับเบราว์เซอร์นี้
ฐานข้อมูลลายเซ็นที่ใช้สำหรับการตรวจสอบมีตัวระบุสแต็ก TLS ทั่วไปประมาณ 500 ตัวสำหรับเบราว์เซอร์และระบบสกัดกั้น
สามารถรวบรวมข้อมูลในโหมดพาสซีฟได้โดยการวิเคราะห์เนื้อหาของฟิลด์ ในข้อความ ClientHello ซึ่งออกอากาศอย่างเปิดเผยก่อนที่จะติดตั้งช่องทางการสื่อสารที่เข้ารหัส
TShark จากตัววิเคราะห์เครือข่าย Wireshark 3 ใช้เพื่อดักจับทราฟฟิก
โครงการ mitmengine ยังมีไลบรารีสำหรับการรวมฟังก์ชันการกำหนดการสกัดกั้นเข้ากับตัวจัดการเซิร์ฟเวอร์โดยพลการ
ในกรณีที่ง่ายที่สุดก็เพียงพอแล้วที่จะส่งผ่านค่า User Agent และ TLS ClientHello ของคำขอปัจจุบันและไลบรารีจะให้ความน่าจะเป็นของการสกัดกั้นและปัจจัยตามข้อสรุปอย่างใดอย่างหนึ่ง
ตามสถิติการเข้าชม ผ่านเครือข่ายการจัดส่งเนื้อหา Cloudflare ซึ่ง ประมวลผลประมาณ 10% ของปริมาณการใช้อินเทอร์เน็ตทั้งหมดมีการเปิดตัวบริการเว็บที่สะท้อนถึงการเปลี่ยนแปลงของการสกัดกั้นในแต่ละวัน
ตัวอย่างเช่นเดือนที่แล้วมีการบันทึกการสกัดกั้น 13.27% ของสารประกอบในวันที่ 19 มีนาคมตัวเลขคือ 17.53% และในวันที่ 13 มีนาคมถึงจุดสูงสุดที่ 19.02%
การเปรียบเทียบ
เครื่องมือสกัดกั้นที่ได้รับความนิยมมากที่สุดคือระบบกรองของ Symantec Bluecoat ซึ่งคิดเป็น 94.53% ของคำขอสกัดกั้นที่ระบุทั้งหมด
ตามด้วย reverse proxy ของ Akamai (4.57%), Forcepoint (0.54%) และ Barracuda (0.32%)
ระบบป้องกันไวรัสและระบบควบคุมโดยผู้ปกครองส่วนใหญ่ไม่รวมอยู่ในตัวอย่างของตัวดักจับที่ระบุเนื่องจากมีการรวบรวมลายเซ็นไม่เพียงพอสำหรับการระบุตัวตนที่แน่นอน
ใน 52,35% ของกรณีนี้การรับส่งข้อมูลของเบราว์เซอร์เวอร์ชันเดสก์ท็อปถูกดักจับและ 45,44% ของเบราว์เซอร์สำหรับโทรศัพท์มือถือ
ในแง่ของระบบปฏิบัติการมีสถิติดังนี้: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), ระบบปฏิบัติการอื่น ๆ (17.54%)
Fuente: https://blog.cloudflare.com