image

Cloudflare: 10 procent https-verkeer wordt onderschept

dinsdag 19 maart 2019, 16:14 door Redactie, 20 reacties

Meer dan tien procent van al het https-verkeer op internet wordt onderschept, zo stelt internetbedrijf Cloudflare aan de hand van eigen onderzoek. Https staat voor een beveiligde verbinding tussen website en bezoeker. In de praktijk zijn er echter tal van partijen die oplossingen bieden om dit verkeer te onderscheppen en vervolgens te inspecteren.

Bedrijven gebruiken deze oplossingen om bijvoorbeeld het https-verkeer op het eigen netwerk te controleren. Het gaat dan bijvoorbeeld om proxies tegen datalekkages of antivirusoplossingen die een "man-in-the-middle" uitvoeren om inkomend verkeer op malware te inspecteren. De diensten van Cloudflare zitten tussen een website of webapplicatie en de bezoeker hiervan. Het bedrijf biedt onder andere load balancing en oplossingen tegen ddos-aanvallen. Hierdoor ziet Cloudflare grote hoeveelheden verkeer voorbijkomen.

Cloudflare ontwikkelde een opensourcetool genaamd MITMEngine waarmee het kan zien of het verkeer tussen een gebruiker en website wordt onderschept. Het kijkt hiervoor naar verschillende onderdelen, zoals de gebruikte TLS-versie, gebruikte encryptie en andere eigenschappen van de versleutelde verbinding. Aan de hand hiervan stelt Cloudflare dat meer dan 10 procent van al het https-verkeer op internet wordt onderschept, met uitschieters naar 19 procent. Het meeste https-verkeer wordt onderschept via proxies. Het gaat dan met name om "https interceptors" van Blue Coat, een bedrijf dat een aantal jaren geleden door Symantec werd overgenomen.

Volgens Cloudflare is het belangrijk om de status van https-interceptors te volgen, om zo inzicht te krijgen wanneer er nieuwe beveiligingsmaatregelen worden uitgerold en het detecteren van problemen met veiligheidsprotocollen. Ook helpt het onderzoek bij het vinden van software die beveiligde verbindingen verzwakt. De cijfers die Cloudflare via de MITMEngine verzamelt zijn via deze pagina beschikbaar.

Image

Reacties (20)
19-03-2019, 16:21 door Anoniem
Ze bedoelen dat ze 10% van de Internet gebruikers pesten met niet op te lossen puzzels.
19-03-2019, 16:51 door Anoniem
Blue Coat certificaat heb ik enige tijd terug mijn vertrouwen ingetrokken.
Dus die komt niet meer binnen.
19-03-2019, 17:05 door Anoniem
Door Anoniem: Ze bedoelen dat ze 10% van de Internet gebruikers pesten met niet op te lossen puzzels.
Volgens mij staat dat er niet.
19-03-2019, 17:31 door Anoniem
Door Anoniem:
Door Anoniem: Ze bedoelen dat ze 10% van de Internet gebruikers pesten met niet op te lossen puzzels.
Volgens mij staat dat er niet.

Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.
19-03-2019, 18:26 door Anoniem
Door Anoniem: Blue Coat certificaat heb ik enige tijd terug mijn vertrouwen ingetrokken.
Dus die komt niet meer binnen.

Ben heel benieuwd naar de reden dat je die niet meer vertrouwd. Kun je het eens uitleggen?
19-03-2019, 20:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ze bedoelen dat ze 10% van de Internet gebruikers pesten met niet op te lossen puzzels.
Volgens mij staat dat er niet.

Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.

Helemaal mee eens. Bovendien is dit nieuws nogal ironisch, want Cloudflare zelf is een van de grootste MITM's als het om HTTPS gaat.
19-03-2019, 21:38 door MathFox
Door Anoniem:
Helemaal mee eens. Bovendien is dit nieuws nogal ironisch, want Cloudflare zelf is een van de grootste MITM's als het om HTTPS gaat.
It takes a thief to catch a thief!
20-03-2019, 04:19 door Anoniem
Als bedrijf heb je ook weinig keuze. Als malware HTTPS kan gebruiken voor C&C of exfiltratie moet je er wel op inbreken. Niets is 100% veilig dus er kan altijd malware het netwerk binnen glippen of wellicht een rogue insider.

Wat kwalijker is zijn ISPs die op nationaal niveau proberen te monitoren. Geen idee of dat nog veelvuldig voorkomt. AV en andere endpoint security voor thuisgebruik zouden standaard moeten vragen om interceptie en de eindgebruiker de privacy impact duidelijk maken.
20-03-2019, 08:22 door Anoniem
Door Anoniem: Blue Coat certificaat heb ik enige tijd terug mijn vertrouwen ingetrokken.
Dus die komt niet meer binnen.
Heb jij ook enig idee waarover je precies praat?

Daarnaast is volgens mij dit certifiaat al lang ingetrokken?
https://crt.sh/?id=19538258

Door Anoniem:
Door Anoniem:
Door Anoniem: Ze bedoelen dat ze 10% van de Internet gebruikers pesten met niet op te lossen puzzels.
Volgens mij staat dat er niet.

Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.
Waarom is het een ontzettend vervelend bedrijf ? Ik heb echt nog nooit problemen mee gehad. Alles werkt goed, ze bieden nette en goede diensten aan.
20-03-2019, 08:40 door Anoniem

Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.

vervelend bedrijf ? Nee
Tijd gebruikers meent iets te beveiligen ? -> Ja zeker wel maar alleen wanneer je er zelf om vraagt.
20-03-2019, 08:49 door Anoniem
Wat ze eigenlijk zeggen: wij onderscheppen 10% van het internetverkeer, en daarvan wordt minimaal 13-20% (van het https verkeer) ook nog eens door anderen onderschept. Cloudflare zou moeten overwegen hier een dienst van te maken. ;-)
20-03-2019, 10:23 door Anoniem
Door Anoniem:
Door Anoniem: Blue Coat certificaat heb ik enige tijd terug mijn vertrouwen ingetrokken.
Dus die komt niet meer binnen.

Ben heel benieuwd naar de reden dat je die niet meer vertrouwd. Kun je het eens uitleggen?

Ik ben een andere anoniem dan waar je op reageert, maar kan je wel van een antwoord voorzien.

Symantec (eigenaar van Bluecoat) heeft Bluecoat voorzien van generieke certificaten waarmee ze *al* het verkeer konden volgen.

https://www.theregister.co.uk/2016/05/27/blue_coat_ca_certs/
20-03-2019, 10:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Blue Coat certificaat heb ik enige tijd terug mijn vertrouwen ingetrokken.
Dus die komt niet meer binnen.

Ben heel benieuwd naar de reden dat je die niet meer vertrouwd. Kun je het eens uitleggen?

Ik ben een andere anoniem dan waar je op reageert, maar kan je wel van een antwoord voorzien.

Symantec (eigenaar van Bluecoat) heeft Bluecoat voorzien van generieke certificaten waarmee ze *al* het verkeer konden volgen.

https://www.theregister.co.uk/2016/05/27/blue_coat_ca_certs/

Maar het certificaat is volgens mij al ingetrokken in 2017.
20-03-2019, 10:35 door Anoniem
Oh....
het is een als onderzoek verklede commercial.
20-03-2019, 11:48 door Anoniem
Door Anoniem:

Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.

vervelend bedrijf ? Nee
Tijd gebruikers meent iets te beveiligen ? -> Ja zeker wel maar alleen wanneer je er zelf om vraagt.

Je hebt kennelijk geen idee wat Cloudflare doet en hoe ze dat doen. Ik hoop niet dat je verantwoordelijk bent voor een website.
20-03-2019, 13:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Blue Coat certificaat heb ik enige tijd terug mijn vertrouwen ingetrokken.
Dus die komt niet meer binnen.

Ben heel benieuwd naar de reden dat je die niet meer vertrouwd. Kun je het eens uitleggen?

Ik ben een andere anoniem dan waar je op reageert, maar kan je wel van een antwoord voorzien.

Symantec (eigenaar van Bluecoat) heeft Bluecoat voorzien van generieke certificaten waarmee ze *al* het verkeer konden volgen.

https://www.theregister.co.uk/2016/05/27/blue_coat_ca_certs/

Maar het certificaat is volgens mij al ingetrokken in 2017.

En wie garandeert dan dat het niet nog een keer gebeurd is, en verstrekt aan de overheid? Wie garandeert dat het niet nu al gebeurt?

Alle reden tot zorg.
20-03-2019, 13:41 door eMilt
Bovendien is dit nieuws nogal ironisch, want Cloudflare zelf is een van de grootste MITM's als het om HTTPS gaat.
Het is geen MITM als de eigenaar van de website er bewust voor kiest. Bovendien gebruiken ze gewoon het TLS certificaat van de domeinnaam van de website met toestemming van de eigenaar van website.

Dat is heel wat anders dan wat veel https-interceptors doen waarbij de gebruiker verplicht een root certificaat van de interceptor software moet installeren.
20-03-2019, 18:02 door Anoniem
Door eMilt:
Bovendien is dit nieuws nogal ironisch, want Cloudflare zelf is een van de grootste MITM's als het om HTTPS gaat.
Het is geen MITM als de eigenaar van de website er bewust voor kiest. Bovendien gebruiken ze gewoon het TLS certificaat van de domeinnaam van de website met toestemming van de eigenaar van website.
Het geeft wel te denken. Vaak is het verkeer van cloudflare naar de achterliggende site dan weer http zonder s.

En of hun metingen aan het verkeer dat bij hen uitkomt generaliseren naar *alle* https-verkeer... mischien niet.

Dat is heel wat anders dan wat veel https-interceptors doen waarbij de gebruiker verplicht een root certificaat van de interceptor software moet installeren.
Andere use case. En de belangen liggen een tikkie anders. Je moet ze nog steeds maar op hun blauwe ogen vertrouwen.

Nu zegt een certificaat sowieso erg weinig, ontkom je niet aan allerlei "Honest Achmed"-bedrijfjes als certificaataanvrager, heb je als eindgebruiker helemaal niets te zeggen, en is PKI zelf ook enorm ruk. Dus dat we met z'n allen serieus die rommel blijven gebruiken is op zichzelf ook weer ironisch, ergens.

Dat zijn allemaal wel dingen om in het achterhoofd te houden. Blijft over, cloudflare merkt dat er toch best wat in https gerommeld wordt, naast het gerommel (en dat is echt niet alleen het "certificaat met toestemming gebruiken") van cloudflare zelf. Niet echt heel boeiend, maar wel weer een datapunt in deze zee van ellende.
21-03-2019, 08:42 door Anoniem
Door Anoniem:
En wie garandeert dan dat het niet nog een keer gebeurd is, en verstrekt aan de overheid? Wie garandeert dat het niet nu al gebeurt?
Wie garandeert dat...... Er is zoveel waar je geen controle over hebt. Gewoon normaal gaan leven en je niet zorgen maken om alles wat kan gebeuren.

Alle reden tot zorg.
Gewoon gaan leven en met realistische issues bezig houden
22-03-2019, 13:47 door Anoniem
Data retentie en data surveillance is wel degelijk een issue. Daar hebben we deze grote bedrijven voor,
hoe kun je je bevolking constant surveilleren en controleren als het moet bij versnippering van de markt.

Daarom toezicht voor de vorm, maar beslist niet gaan opsplitsen of in gevaar brengen door mega-boetes,
die echt pijn kunnen doen. We eten er immers allemaal van, behalve het produkt dan, die betaalt het gelag.
Wie zijn het produkt u en degene, die dit schrijft.

Precies de reden dat sociaal medium platform, Facebook, niet drastisch wordt aangepakt,
er zijn afspraken mee te maken en dan moet je ze niet echt pijn gaan doen of aan de oren trekken.

In China gaan ze daar anders mee om. Maar die hebben de surveillance al centraal geregeld,
of je hebt een veelgebruikt alternatief als VKontakte in Federaal Rusland.

Clouddiensten verbergen connecties, ze werken als de onzichtbaarheidspilaar van rook en vuur in het antieke Egypte,
je moet alleen niet omkijken zoals de vrouw van Lot deed. ;)

J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.