Cloudflare ได้ปล่อยเครื่องมือ HTTPS Interception ออกมาให้ใช้งานแล้ว โดยเครื่องมือนี้จะช่วยในการตรวจสอบการเชื่อมต่อของ TLS (Transport Layer Security) กับเว็บไซต์ที่ถูกดักจับ เพื่อป้องกันปัญหาช่องโหว่ของเครื่องผู้ใช้ และแจ้งเตือนทันทีเมื่อระบบรักษาความปลอดภัยถูกของผู้ใช้ถูกบุกรุก หรือใช้เวอร์ชั่นเก่า
เนื่องจากมีรายงานถึงผลกระทบทางด้านความปลอดภัยในปี 2017 ของ HTTPS interception พบว่า มีการดักจับการเชื่อมต่อ HTTPS เพิ่มขึ้นอย่างน่าตกใจ โดยร้อยละ 62 ของผู้เข้าชมเว็บนั้นเข้าเว็บผ่านระบบเครือข่าย middlebox ที่มีการลดระบบรักษาความปลอดภัย และ ร้อยละ 58 ของ middlebox ที่เชื่อมต่อนั้นมีช่องโหว่ที่มีระดับความรุนแรงสูง
ทาง Cloudflare จึงประกาศเปิดตัวเครื่องมือใหม่ซึ่งเป็นไลบรารีแบบโอเพ่นซอร์สที่ชื่อว่า MITMEngine กับ MALCOLM เพื่อเป็นตัวช่วยในการตรวจจับและวิเคราะห์การเชื่อมต่อ TLS
โดย MITMEngine จะใช้ตรวจจับ HTTPS interception ส่วน MALCOLM จะเป็น dashboard แสดงสถิติการเชื่อมต่อ TLS ที่ถูกดักจับในบนเครือข่ายของ Cloudflare
สำหรับ HTTPS interception เป็นกระบวนการที่ผลิตภัณฑ์ด้านความมั่นคงปลอดภัยทำหน้าที่เป็น Man-in-the-Middle Proxy ระหว่างเซิร์ฟเวอร์และเครื่องผู้ใช้สำหรับดักจับทราฟฟิก HTTPS จากนั้นถอดรหัสให้กลายเป็น Plaintext เพื่อตรวจสอบมัลแวร์หรือภัยคุกคามที่แฝงมากับทราฟฟิก แล้วเข้ารหัสกลับคืนก่อนส่งต่อทราฟฟิกไปยังเป้าหมาย (อ้างอิง: TechtalkThai) ซึ่ง HTTPS interception จะเกิดขึ้นได้ก็ต่อเมื่อ
- proxy ของ Antivirus และขององค์กรนั้นถูกออกแบบมาเพื่อตรวจจับความไม่เหมาะสมของเนื้อหา, มัลแวร์ และการรั่วไหลของข้อมูล
- proxy ของมัลแวร์สามารถขโมยได้ทั้งข้อมูลที่สำคัญและแทรกโฆษณาลงในทราฟฟิกที่ต้องเข้ารหัส ทำให้แฮกเกอร์สามารถแก้ไขเนื้อหาที่ส่งกลับไปให้ผู้ใช้ได้
- proxy ของการ forward TLS ที่ไม่ใช้งานแล้วมีการรั่วไหลทำให้มีการรั่วไหลของข้อมูลส่วนตัว หรืออนุญาตให้มีการเปลี่ยนแปลงข้อมูลได้
- การย้อนกลับของ proxy จากการปรับปรุงระบบรักษาความปลอดภัยในการเชื่อมต่อ HTTPS ระหว่างเซิร์ฟเวอร์ต้นทางกับเครื่องผู้ใช้
สำหรับรายละเอียดเพิ่มเติมสามารถดูได้ที่ CloudFlare: Monsters in the Middleboxes: Introducing Two New Tools for Detecting HTTPS Interception
ที่มา: Bleeping Computer