Cloudflare釋出新資安檢測工具,方便網站檢查TLS連線是否遭到攔截,檢測易受攻擊的用戶端,並在安全性受威脅或是降級時通知他們。新工具為檢測HTTPS攔截(HTTPS interception)的開源函式庫MITMEngine,以及Cloudflare使用MITMEngine打造,用來監控自家網路,顯示HTTPS攔截統計資料的儀表板MALCOLM

在最單純的HTTPS連接情況下,客戶端瀏覽器和伺服器建立TLS連接,以發送請求和下載內容,但在網際網路上,許多連接並非直接從瀏覽器連線到網站的伺服器,而是經過許多中介,這些中介可能出於惡意或是良善的目的進行HTTPS攔截。

Cloudflare引用了2017年的研究指出,HTTPS攔截在網際網路上普遍發生,而且62%的流量經過中介後安全性下降,因此現在Cloudflare提供HTTPS攔截偵測工具,讓使用者知道網站連線是否遭到攔截。Cloudflare提到,檢測HTTPS攔截可以幫助伺服器辨識,可疑或是易受攻擊的客戶端,伺服器可以使用這些資訊,通知用戶他們的連線可能遭到降級或是存在風險。

另外,內容檢查系統也會削弱TLS連接的安全性,當使用者的連線通過較舊的中介,則其連線就可能被降級使用較舊的TLS版本,這樣即便在瀏覽器端跟伺服器端都支援較新版本,但當伺服器端無從得知連線遭HTTPS攔截,就無法使用較新TLS版本的功能。

Cloudflare釋出的MITMEngine工具,能夠精確的偵測HTTPS攔截,還具有強健的TLS指紋辨識能力。Cloudflare提到。不少TLS客戶端實作能被以唯一客戶端Hello訊息辨識,因此要辨識遭到截獲的HTTPS請求,伺服器可以查詢與請求的HTTP用戶代理相對應簽章,並檢查客戶端Hello訊息與該簽章是否相符,簽章不符就表示可以能是欺騙代理或是遭攔截的HTTPS。

MITMEngine是一個開源的HTTPS攔截偵測器,為Go語言撰寫的函式庫,可用取得用戶代理和TLS客戶端的指紋,並回傳HTTPS攔截的可能性,以及用於識別攔截的要素。透過比較資料的差異,MITMEngine能夠精確地偵測HTTPS攔截,還能判斷攔截的時間以及可能使用的軟體。

另一個可供大眾存取的儀表板工具MALCOLM,則顯示使用MITMEngine收集的HTTPS攔截統計資料,而這些資料來自Cloudflare的網路,Cloudflare將MITMEngine應用在他們的網路上,觀察網路請求的HTTPS攔截。

Cloudflare表示,他們使用MITMEngine和MALCOLM兩個工具,能夠持續追蹤超過網際網路10%流量的HTTPS攔截狀態,以作為部署新的安全功能或是協定上的參考,也能密切關注可疑軟體。


Advertisement

更多 iThome相關內容