Cloudflare: 10 procent https-verkeer wordt onderschept
Meer dan tien procent van al het https-verkeer op internet wordt onderschept, zo stelt internetbedrijf Cloudflare aan de hand van eigen onderzoek. Https staat voor een beveiligde verbinding tussen website en bezoeker. In de praktijk zijn er echter tal van partijen die oplossingen bieden om dit verkeer te onderscheppen en vervolgens te inspecteren.
Bedrijven gebruiken deze oplossingen om bijvoorbeeld het https-verkeer op het eigen netwerk te controleren. Het gaat dan bijvoorbeeld om proxies tegen datalekkages of antivirusoplossingen die een "man-in-the-middle" uitvoeren om inkomend verkeer op malware te inspecteren. De diensten van Cloudflare zitten tussen een website of webapplicatie en de bezoeker hiervan. Het bedrijf biedt onder andere load balancing en oplossingen tegen ddos-aanvallen. Hierdoor ziet Cloudflare grote hoeveelheden verkeer voorbijkomen.
Cloudflare ontwikkelde een opensourcetool genaamd MITMEngine waarmee het kan zien of het verkeer tussen een gebruiker en website wordt onderschept. Het kijkt hiervoor naar verschillende onderdelen, zoals de gebruikte TLS-versie, gebruikte encryptie en andere eigenschappen van de versleutelde verbinding. Aan de hand hiervan stelt Cloudflare dat meer dan 10 procent van al het https-verkeer op internet wordt onderschept, met uitschieters naar 19 procent. Het meeste https-verkeer wordt onderschept via proxies. Het gaat dan met name om "https interceptors" van Blue Coat, een bedrijf dat een aantal jaren geleden door Symantec werd overgenomen.
Volgens Cloudflare is het belangrijk om de status van https-interceptors te volgen, om zo inzicht te krijgen wanneer er nieuwe beveiligingsmaatregelen worden uitgerold en het detecteren van problemen met veiligheidsprotocollen. Ook helpt het onderzoek bij het vinden van software die beveiligde verbindingen verzwakt. De cijfers die Cloudflare via de MITMEngine verzamelt zijn via deze pagina beschikbaar.
Dus die komt niet meer binnen.
Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.
Dus die komt niet meer binnen.
Ben heel benieuwd naar de reden dat je die niet meer vertrouwd. Kun je het eens uitleggen?
Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.
Helemaal mee eens. Bovendien is dit nieuws nogal ironisch, want Cloudflare zelf is een van de grootste MITM's als het om HTTPS gaat.
Helemaal mee eens. Bovendien is dit nieuws nogal ironisch, want Cloudflare zelf is een van de grootste MITM's als het om HTTPS gaat.
Wat kwalijker is zijn ISPs die op nationaal niveau proberen te monitoren. Geen idee of dat nog veelvuldig voorkomt. AV en andere endpoint security voor thuisgebruik zouden standaard moeten vragen om interceptie en de eindgebruiker de privacy impact duidelijk maken.
Dus die komt niet meer binnen.
Daarnaast is volgens mij dit certifiaat al lang ingetrokken?
https://crt.sh/?id=19538258
Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.
Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.
vervelend bedrijf ? Nee
Tijd gebruikers meent iets te beveiligen ? -> Ja zeker wel maar alleen wanneer je er zelf om vraagt.
Dus die komt niet meer binnen.
Ben heel benieuwd naar de reden dat je die niet meer vertrouwd. Kun je het eens uitleggen?
Ik ben een andere anoniem dan waar je op reageert, maar kan je wel van een antwoord voorzien.
Symantec (eigenaar van Bluecoat) heeft Bluecoat voorzien van generieke certificaten waarmee ze *al* het verkeer konden volgen.
https://www.theregister.co.uk/2016/05/27/blue_coat_ca_certs/
Dus die komt niet meer binnen.
Ben heel benieuwd naar de reden dat je die niet meer vertrouwd. Kun je het eens uitleggen?
Ik ben een andere anoniem dan waar je op reageert, maar kan je wel van een antwoord voorzien.
Symantec (eigenaar van Bluecoat) heeft Bluecoat voorzien van generieke certificaten waarmee ze *al* het verkeer konden volgen.
https://www.theregister.co.uk/2016/05/27/blue_coat_ca_certs/
Maar het certificaat is volgens mij al ingetrokken in 2017.
Klopt, zoek maar eens op hoe deze stijlfiguur heet. Cloudflare is een ontzettend vervelend bedrijf dat ten koste van de tijd van gebruikers meent iets te beveiligen.
vervelend bedrijf ? Nee
Tijd gebruikers meent iets te beveiligen ? -> Ja zeker wel maar alleen wanneer je er zelf om vraagt.
Je hebt kennelijk geen idee wat Cloudflare doet en hoe ze dat doen. Ik hoop niet dat je verantwoordelijk bent voor een website.
Dus die komt niet meer binnen.
Ben heel benieuwd naar de reden dat je die niet meer vertrouwd. Kun je het eens uitleggen?
Ik ben een andere anoniem dan waar je op reageert, maar kan je wel van een antwoord voorzien.
Symantec (eigenaar van Bluecoat) heeft Bluecoat voorzien van generieke certificaten waarmee ze *al* het verkeer konden volgen.
https://www.theregister.co.uk/2016/05/27/blue_coat_ca_certs/
Maar het certificaat is volgens mij al ingetrokken in 2017.
En wie garandeert dan dat het niet nog een keer gebeurd is, en verstrekt aan de overheid? Wie garandeert dat het niet nu al gebeurt?
Alle reden tot zorg.
Dat is heel wat anders dan wat veel https-interceptors doen waarbij de gebruiker verplicht een root certificaat van de interceptor software moet installeren.
En of hun metingen aan het verkeer dat bij hen uitkomt generaliseren naar *alle* https-verkeer... mischien niet.
Nu zegt een certificaat sowieso erg weinig, ontkom je niet aan allerlei "Honest Achmed"-bedrijfjes als certificaataanvrager, heb je als eindgebruiker helemaal niets te zeggen, en is PKI zelf ook enorm ruk. Dus dat we met z'n allen serieus die rommel blijven gebruiken is op zichzelf ook weer ironisch, ergens.
Dat zijn allemaal wel dingen om in het achterhoofd te houden. Blijft over, cloudflare merkt dat er toch best wat in https gerommeld wordt, naast het gerommel (en dat is echt niet alleen het "certificaat met toestemming gebruiken") van cloudflare zelf. Niet echt heel boeiend, maar wel weer een datapunt in deze zee van ellende.
En wie garandeert dan dat het niet nog een keer gebeurd is, en verstrekt aan de overheid? Wie garandeert dat het niet nu al gebeurt?
hoe kun je je bevolking constant surveilleren en controleren als het moet bij versnippering van de markt.
Daarom toezicht voor de vorm, maar beslist niet gaan opsplitsen of in gevaar brengen door mega-boetes,
die echt pijn kunnen doen. We eten er immers allemaal van, behalve het produkt dan, die betaalt het gelag.
Wie zijn het produkt u en degene, die dit schrijft.
Precies de reden dat sociaal medium platform, Facebook, niet drastisch wordt aangepakt,
er zijn afspraken mee te maken en dan moet je ze niet echt pijn gaan doen of aan de oren trekken.
In China gaan ze daar anders mee om. Maar die hebben de surveillance al centraal geregeld,
of je hebt een veelgebruikt alternatief als VKontakte in Federaal Rusland.
Clouddiensten verbergen connecties, ze werken als de onzichtbaarheidspilaar van rook en vuur in het antieke Egypte,
je moet alleen niet omkijken zoals de vrouw van Lot deed. ;)
J.O.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
