Cloudflare anunció el lanzamiento de dos nuevas herramientas diseñadas para simplificar la verificación de conexiones TLS a un sitio web cuando han sido interceptadas, con el propósito de detectar clientes vulnerables y realizar el respectivo comunicado cuando su seguridad se vea comprometida o afectada.
Las razones detrás de la intercepción de HTTPS pueden ser tanto benignas como maliciosas, y ocurren cuando las conexiones de Internet pasan por un proxy o un middlebox en lugar de conectar el cliente directamente al servidor, lo que lleva a situaciones denominadas "monster-in-the-middle" término dado por Cloudflare.
Las primera herramienta consiste en una biblioteca de código abierto para la detección de intercepción de HTTPS llamada MITMEngine y un panel de control que muestra las estadísticas de las conexiones TLS que se están interceptando.
Según Cloudflare, una intercepción HTTPS puede ocurrir debido a:
• Protección antivirus y servidores proxy corporativos diseñados para detectar contenido inapropiado, malware y violaciones de datos.
• Proxies de malware que podrían tanto robar información sensible e inyectar el contenido en el tráfico web.
• Forward Proxies de terminación TLS que pueden filtrar información privada o permitir la suplantación de respuesta.
• Proxies inversos utilizados por los servidores de origen para mejorar la seguridad de las conexiones HTTPS del cliente.
La biblioteca de Golang de detección de intercepción HTTPS MITMEngine de Cloudfare fue diseñada específicamente para ayudar a identificar la posibilidad de que la conexión HTTPS sea interceptada en una base por conexión a Internet mediante la ingestión de las huellas dactilares de Agentes de Usuario y Cliente TLS.
Al buscar las diferencias en toda la información que recopila, MITMEngine proporciona detección precisa de la intercepción de HTTPS y la robusta toma de huellas dactilares TLS, siendo capaz de determinar cuándo se interceptan las conexiones de HTTPS, así como qué software podrían haber usado los posibles atacantes.
La compañía también presentó el panel de MALCOLM, una herramienta de acceso público diseñada para mostrar las "estadísticas de interceptación de HTTPS recopiladas por MITMengine (motor de Monster-In-The-Middle), el detector de intercepción de HTTPS de Cloudflare".
En el gráfico anterior, Cloudflare rastreó el porcentaje de conexiones HTTPS interceptadas en su red durante los últimos 30 días. Como se detalla en el link de referencia, el estado desconocido se genera cuando no hay huellas dactilares de referencia para un navegador o bot en particular; como resultado, no es posible evaluar si se ha producido una intercepción HTTPS.
REFERENCIA
COMENTARIOS