La seguridad en HTTP3 (QUIC - Quick UDP Internet Connections). Parte 4

Continuamos con la cadena de artículos sobre el protocolo HTTP/3, con el fin de analizar el uso actual que se está haciendo de QUIC en las comunicaciones, para su posterior investigación.

Implementación y soporte de QUIC en los distintos navegadores

Uno de los principales puntos en el análisis que realizamos es la obtención de estadísticas en cuanto a soporte de los diversos navegadores Web. Al ser un protocolo promovido por Google y desarrollado de manera open source, se encuentra como parte nativa del desarrollo de Chromium, el proyecto open source bajo el que se apoya Google Chrome y sobre el que se basan la mayoría de los navegadores actuales.

Esto implica que más del 70% de la navegación que se hace a día de hoy se lleva a cabo a través de navegadores que soportan QUIC.

Uso de QUIC en Google Chrome

El 64% de la navegación web se realiza en la actualidad mediante Google Chrome, por ello, ha sido el navegador seleccionado para focalizar el presente estudio. De igual manera, los ejemplos prácticos aplicados, las herramientas utilizadas y la tecnología viene soportada por la propia de Chromium, presente en todos los navegadores que lo utilizan como referencia.

Dentro de las herramientas de tráfico de red de Chrome, se referencia el protocolo, mostrando el uso del protocolo QUIC cuando está habilitado, cómo se puede ver en la siguiente figura:


Por otro lado, dentro de las herramientas de inspección y debug del navegador (chrome://net-internals), se incluyen las capacidades de inspección de las sesiones QUIC activas. 

Con respecto al uso del protocolo, Chrome trae por defecto habilitado este protocolo, aunque a través de la modificación del flag #enable-quic dentro de su configuración se puede deshabilitar su uso.


Cómo analizar tráfico QUIC

Como continuación del análisis realizado sobre el estado actual de QUIC, se ha puesto de manifiesto que las herramientas de red de las que se disponen actualmente son escasas y que, en la mayoría de los casos, no están preparadas para trabajar con este protocolo. A excepción de tecnologías como Wireshark, y cuya implementación de QUIC ha sido llevada a cabo por el propio equipo que impulsó HTTP sobre QUIC, bajo el desarrollo de Alexis La Goutte.

La falta de herramientas que soportan el protocolo, está obligando a que los analistas de seguridad se vean obligados a desarrollar sus propios scripts para analizar QUIC durante las inspecciones de red, para así poder automatizar el análisis de patrones de amenazas. Tecnologías como NetworkMiner, Fiddler, Cain&Abel o Packet Analyzer aún no soportan este protocolo, dificultando las tareas de inspección.

Estandarización del uso 

Aunque actualmente solo un 1,8% de los servicios web hacen uso del protocolo QUIC, es un hecho constatado que las grandes compañías de Internet apoyan el uso e implantación, o al menos así lo han ido comunicando en los últimos meses compañías como Cloudflare, Akamai o el propio Google en sus entornos cloud

En posteriores artículos de la cadena hablaremos sobre los nuevos vectores de ataque, y compartiremos con vosotros una implementación que presentamos en Euskalhack.

Saludos!