Umgehung der Erkennungsmechanismen von Sicherheitsfirmen eingesetzt ist schon immer ein Ziel für Cyber-Kriminelle. Und es scheint, sie haben einen neuen Weg gefunden, diese Bemühungen zu verbessern. Die neue Methode basiert auf SSL / TLS Signatur Randomisierung, und erhält den Namen Chiffre Verkümmerung gegeben.
Cipher Stunting - Wie funktioniert es?
Die neue Technik wurde von Akamai-Forschern beobachtet, die ihre Ergebnisse in einem Blog-Beitrag vorstellten. Die Chiffre Verkümmerung Technik hat sich zu einem „wachsende Bedrohung“, Da es tauchte erstmals Anfang 2018. Kurz gesagt, Cyber-Kriminelle SSL / TLS-Signaturen in ihrem Versuch sind Randomisierung der Entdeckung zu entgehen.
"Im Laufe der letzten Monate, Angreifer haben Manipulation mit SSL / TLS-Signaturen auf einer Skala noch nie gesehen von Akamai", Die Forscher stellten fest.
Die TLS Fingerabdrücke dass Akamai beobachtet vor Cipher Stunting in die Zehntausende gezählt werden konnten. Bald nach der ersten Beobachtung, dass Graf aufgebläht, um Millionen, und dann sprang vor kurzem auf Milliarden.
Genauer, von 18,652 deutliche Fingerabdrücke weltweit von Akamai im August beobachtet 2018, nach TLS Manipulation Kampagnen begannen am Anfang September letztes Jahr erscheinen,, erreichte die Zahl der Staffelung 255 Millionen Fälle im Oktober. Der Anstieg kam nach einer Reihe von Angriffen gegen Fluggesellschaft, Bankwesen, und Dating-Websites, das sind Ziele oft für Credential Stuffing Angriffe und Inhalt Schaben. Diese Zahlen wuchs später 1,355,334,179 Milliarden-Instanzen am Ende Februar festgestellt 2019.
Warum ist Fingerabdruck wichtig?
Die Beobachtung die Art und Weise Kunden bei der Einrichtung einer TLS-Verbindung verhalten ist für Fingerabdrucks Zwecke vorteilhaft, so dass wir zwischen Angreifern und legitimen Benutzern unterscheiden können. Wenn wir von Fingerabdrücken führen, wollen wir von allen Clients gesendet Komponenten der Verhandlung wählen. Im Fall von SSL / TLS-Verhandlungen, die ideale Komponente für Abnahme von Fingerabdrücken ist der ‚Client-Hallo’ Nachricht, die über unverschlüsselt gesendet, und ist obligatorisch für jeden Handschlag.
Das Hauptziel der Abnahme von Fingerabdrücken zwischen legitimen Kunden und Imitatoren zu unterscheiden, Proxy und gemeinsam genutzte IP-Erkennung, und TLS-Terminatoren.
Es ist darauf hinzuweisen, dass "der Verkehr beobachtet drängen viele der TLS ändert sich mit Client-Hallo von Schabern kam, suchen und vergleichen Bots."
Im August 2018, Akamai beobachtet 18,652 deutliche Fingerabdrücke global (0.00000159% aller potentiellen Fingerabdrücke). Einige dieser Fingerabdrücke sind in mehr als 30% des gesamten Internetverkehrs allein, und werden hauptsächlich zum gemeinsamen Browser und Betriebssystem-Client TLS Stapel zurückzuführen. Damals, es war mit Client-Hallo oder einer anderen Fingerabdruck Komponente keine Beweise für eine Manipulation.
Dinge im September geändert 2018, wenn die Forscher zuerst TLS bemerkt Manipulation über Chiffre Randomisierung über mehrere Branchen durchgeführt. Und wie bereits früher erwähnt in dem Artikel, Gegen Ende Februar des TLS Manipulation sprang fast 20% zu 1,355,334,179 Billion.
Dieses Wachstum macht die Fähigkeit, tiefe Einblicke in die Internet-Traffic zu haben wichtiger denn je, Die Forscher stellten fest.