Компанії Cloudflare представив бібліотеку mitmengine, яка використовується для виявлення перехоплення трафіку HTTPSа також веб-сервіс Malcolm для візуального аналізу даних, накопичених у Cloudflare.
Код написаний мовою Go і поширюється за ліцензією BSD. Моніторинг трафіку Cloudflare за допомогою запропонованого інструменту показав, що перехоплюється приблизно 18% з'єднань HTTPS.
Перехоплення HTTPS
У більшості випадків Трафік HTTPS перехоплюється на стороні клієнта через активність різних локальних антивірусних програм, брандмауери, системи батьківського контролю, шкідливе програмне забезпечення (для викрадення паролів, заміни реклами або запуску коду майнінгу) або корпоративні системи інспекції дорожнього руху.
Такі системи додають ваш сертифікат TLS до списку сертифікатів у локальній системі і вони використовують його для перехоплення захищеного користувацького трафіку.
Запити клієнтів передається на сервер призначення від імені програмного забезпечення для перехоплення, після чого клієнту відповідають в рамках окремого з'єднання HTTPS, встановленого за допомогою сертифіката TLS із системи перехоплення.
У деяких випадках перехоплення організовується на стороні сервера, коли власник сервера передає приватний ключ третій стороніНаприклад, оператор зворотного проксі-сервера, система захисту CDN або DDoS, яка отримує запити на оригінальний сертифікат TLS і передає їх на вихідний сервер.
У будь-якому випадку, Перехоплення HTTPS підриває ланцюг довіри та створює додаткову ланку компромісу, що призводить до значного зниження рівня захисту з'єднання, залишаючи при цьому присутність захисту та не викликаючи підозр у користувачів.
Про mitmengine
Для ідентифікації HTTPS-перехоплення Cloudflare пропонується пакет mitmengine, який встановлює на сервер і дозволяє виявити перехоплення HTTPS, а також визначення того, які системи використовувались для перехоплення.
Суть методу визначення перехоплення шляхом порівняння специфічних для браузера характеристик обробки TLS з фактичним станом з'єднання.
На основі заголовка User Agent механізм визначає браузер, а потім оцінює, чи відповідають характеристики з'єднання TLSтакі як параметри TLS за замовчуванням, підтримувані розширення, оголошений набір шифрів, процедура визначення шифру, групи та формати еліптичних кривих відповідають цьому браузеру.
База даних підписів, яка використовується для перевірки, має приблизно 500 типових ідентифікаторів стеку TLS для браузерів та систем перехоплення.
Дані можна збирати в пасивному режимі за допомогою аналізу вмісту полів у повідомленні ClientHello, яке транслюється відкрито до встановлення зашифрованого каналу зв'язку.
TShark від аналізатора мережі Wireshark 3 використовується для захоплення трафіку.
Проект mitmengine також надає бібліотеку для інтеграції функцій визначення перехоплення в довільні обробники серверів.
У найпростішому випадку достатньо передати значення User Agent і TLS ClientHello поточного запиту, і бібліотека дасть ймовірність перехоплення та фактори, на основі яких зроблений той чи інший висновок.
На основі статистики дорожнього руху проходячи через мережу доставки вмісту Cloudflare, яка обробляє приблизно 10% всього Інтернет-трафіку, запущено веб-сервіс, який відображає зміну динаміки перехоплення за день.
Наприклад, місяць тому було зафіксовано перехоплення 13.27% сполук, 19 березня ця цифра становила 17.53%, а 13 березня вона досягла піку 19.02%.
Порівняння
Найпопулярнішим механізмом перехоплення є система фільтрації Symantec Bluecoat, на яку припадає 94.53% усіх виявлених запитів перехоплення.
Далі йде зворотний проксі-сервер Akamai (4.57%), Forcepoint (0.54%) та Barracuda (0.32%).
Більшість систем батьківського контролю та антивірусних програм не були включені до вибірки ідентифікованих перехоплювачів, оскільки для їх точної ідентифікації було зібрано недостатньо підписів.
У 52,35% випадків трафік настільних версій браузерів був перехоплений, а в 45,44% браузерів для мобільних пристроїв.
Що стосується операційних систем, статистика така: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), інші операційні системи (17.54%).
Фуенте: https://blog.cloudflare.com