Herramientas de intercepcion HTTPS disponibles desde Cloudflare

herramientas

Cloudfare anunció el lanzamiento de dos nuevas herramientas diseñadas para simplificar la verificación de si las conexiones TLS a un sitio web han sido interceptadas, para detectar clientes vulnerables y, posiblemente, notificarles cuando su seguridad se vea comprometida o degradada.

Las razones detrás de la intercepción de HTTPS pueden ser tanto benignas como maliciosas, y ocurren cuando las conexiones de Internet pasan por un proxy o un middlebox en lugar de conectar el cliente directamente al servidor, lo que lleva a situaciones denominadas "monstruo en el medio" por Cloudfare.

Un documento de investigación sobre el impacto en la seguridad de la intercepción de HTTPS a partir de 2017 encontró que la intercepción de la conexión de HTTPS es sorprendentemente generalizada, ya que "el 62% del tráfico que atraviesa un middlebox de red ha reducido la seguridad y el 58% de las conexiones de middlebox tienen vulnerabilidades graves".

Las nuevas herramientas ayudan a detectar y analizar las conexiones TLS interceptadas.

Además, después de analizar el comportamiento de los antivirus populares y los proxies corporativos, los investigadores descubrieron que "casi todos reducen la seguridad de la conexión y que muchos introducen vulnerabilidades (por ejemplo, no validan los certificados)".

Cloudfare anunció la introducción de dos nuevas herramientas , una biblioteca de código abierto para la detección de intercepción de HTTPS llamada MITMEngine y un panel de control que muestra las estadísticas de las conexiones TLS que se están interceptando, tal como lo observa Cloudflare en su red llamada MALCOLM.

Según la compañía, la intercepción de HTTPS puede ocurrir cuando los dispositivos vienen con un certificado raíz instalado que podría permitir a un tercero descifrar e inspeccionar el tráfico de Internet o cuando "un servidor de origen proporciona su clave privada TLS a un tercero (como un proxy inverso) que hace la terminación TLS ".

La intercepción de HTTPS puede ocurrir debido a:

  • Protección antivirus y servidores proxy corporativos diseñados para detectado contenido inapropiado, malware y las violaciones de datos
  • Proxies de malware que podría tanto robar información sensible e inyectar el contenido en el tráfico web
  • TLS de terminación hacia adelante proxies que gotea puede filtrar información privada o permitir la suplantación respuesta
  • Invertir proxies utilizado por los servidores de origen para mejorar la seguridad de las conexiones HTTPS del cliente

La biblioteca de Golang de detección de intercepción HTTPS MITMEngine de Cloudfare fue diseñada específicamente para ayudar a identificar la posibilidad de que la conexión HTTPS sea interceptada en una base por conexión a Internet mediante la ingestión de las huellas dactilares de Agentes de Usuario y Cliente TLS.

Al buscar las diferencias en toda la información que recopila, MITMEngine proporciona "detección precisa de la intercepción de HTTPS y la robusta toma de huellas dactilares TLS", siendo capaz de determinar cuándo se interceptan las conexiones de HTTPS, así como qué software podrían haber usado los posibles atacantes.

La compañía también presentó el panel de MALCOLM, una herramienta de acceso público diseñada para mostrar las "estadísticas de interceptación de HTTPS recopiladas por MITMengine (motor de Monster-In-The-Middle), el detector de intercepción de HTTPS de Cloudflare".

Fecha actualización el 2021-03-19. Fecha publicación el 2019-03-19. Categoría: herramientas Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer