كي بي في – رويترز
إذا استأجرت خادمًا، فلن يكون لديك السيطرة الكاملة عليه. هذا يعني أنه في أي وقت يمكن للأشخاص المدربين بشكل خاص القدوم إلى المضيف ويطلبون منك تقديم أي من بياناتك. وسيقوم المضيف بإعادتهم إذا تم إضفاء الطابع الرسمي على الطلب وفقًا للقانون.
أنت حقًا لا تريد أن تتسرب سجلات خادم الويب أو بيانات المستخدم إلى أي شخص آخر. من المستحيل بناء دفاع مثالي. يكاد يكون من المستحيل حماية نفسك من المضيف الذي يمتلك برنامج Hypervisor ويزودك بجهاز افتراضي. ولكن ربما سيكون من الممكن تقليل المخاطر قليلاً. تشفير السيارات المستأجرة ليس عديم الفائدة كما يبدو للوهلة الأولى. وفي الوقت نفسه، دعونا نلقي نظرة على التهديدات المتعلقة باستخراج البيانات من الخوادم الفعلية.
نموذج التهديد
كقاعدة عامة، سيحاول المضيف حماية مصالح العميل قدر الإمكان بموجب القانون. إذا كانت الرسالة الواردة من السلطات الرسمية تطلب فقط سجلات الوصول، فلن يوفر المضيف عمليات تفريغ لجميع أجهزتك الافتراضية مع قواعد البيانات. على الأقل لا ينبغي. إذا طلبوا جميع البيانات، فسيقوم المضيف بنسخ الأقراص الافتراضية بجميع الملفات ولن تعرف ذلك.
بغض النظر عن السيناريو، هدفك الرئيسي هو جعل الهجوم صعبًا ومكلفًا للغاية. عادة ما تكون هناك ثلاثة خيارات رئيسية للتهديد.
رسمي
في أغلب الأحيان، يتم إرسال خطاب ورقي إلى المكتب الرسمي للمضيف مع ضرورة تقديم البيانات اللازمة وفقًا للوائح ذات الصلة. إذا تم كل شيء بشكل صحيح، فإن المضيف يوفر سجلات الوصول اللازمة وغيرها من البيانات إلى السلطات الرسمية. عادةً ما يطلبون منك فقط إرسال البيانات الضرورية.
في بعض الأحيان، إذا لزم الأمر، يأتي ممثلو وكالات إنفاذ القانون إلى مركز البيانات شخصيًا. على سبيل المثال، عندما يكون لديك خادم مخصص خاص بك، فلا يمكن الحصول على البيانات منه إلا فعليًا.
في جميع البلدان، يتطلب الوصول إلى الممتلكات الخاصة وإجراء عمليات البحث وغيرها من الأنشطة أدلة على أن البيانات قد تحتوي على معلومات مهمة للتحقيق في جريمة ما. بالإضافة إلى ذلك، يلزم إصدار أمر تفتيش وفقًا لجميع اللوائح. قد تكون هناك فروق دقيقة تتعلق بخصائص التشريعات المحلية. الشيء الرئيسي الذي تحتاج إلى فهمه هو أنه إذا كان المسار الرسمي صحيحًا، فلن يسمح ممثلو مركز البيانات لأي شخص بتجاوز المدخل.
علاوة على ذلك، في معظم البلدان، لا يمكنك ببساطة سحب معدات الجري. على سبيل المثال، في روسيا، حتى نهاية عام 2018، وفقًا للمادة 183 من قانون الإجراءات الجنائية للاتحاد الروسي، الجزء 3.1، تم ضمان أنه أثناء عملية الاستيلاء، تم الاستيلاء على وسائط التخزين الإلكترونية بمشاركة من متخصص. بناءً على طلب المالك القانوني لوسائط التخزين الإلكترونية المضبوطة أو صاحب المعلومات الواردة فيها، يقوم المختص المشارك في عملية الضبط وبحضور شهود، بنسخ المعلومات من وسائط التخزين الإلكترونية المضبوطة إلى وسائط تخزين إلكترونية أخرى.
ثم للأسف تم حذف هذه النقطة من المقال.
سرية وغير رسمية
هذه هي بالفعل منطقة نشاط الرفاق المدربين تدريباً خاصاً من وكالة الأمن القومي ومكتب التحقيقات الفيدرالي وجهاز MI5 وغيرها من المنظمات المكونة من ثلاثة أحرف. في أغلب الأحيان، توفر تشريعات البلدان صلاحيات واسعة للغاية لمثل هذه الهياكل. علاوة على ذلك، هناك دائمًا حظر تشريعي على أي كشف مباشر أو غير مباشر عن حقيقة التعاون مع وكالات إنفاذ القانون هذه. هناك مماثلة في روسيا .
في حالة وجود مثل هذا التهديد لبياناتك، فمن المؤكد تقريبًا أنه سيتم إزالتها. علاوة على ذلك، بالإضافة إلى الاستيلاء البسيط، يمكن استخدام الترسانة غير الرسمية الكاملة من الأبواب الخلفية، ونقاط الضعف في يوم الصفر، واستخراج البيانات من ذاكرة الوصول العشوائي لجهازك الافتراضي، وغيرها من الأشياء الممتعة. في هذه الحالة، سيكون المضيف ملزما بمساعدة المتخصصين في إنفاذ القانون قدر الإمكان.
موظف عديم الضمير
ليس كل الناس جيدين بنفس القدر. قد يقرر أحد مسؤولي مركز البيانات جني أموال إضافية وبيع بياناتك. المزيد من التطورات تعتمد على صلاحياته وإمكانية وصوله. الأمر الأكثر إزعاجًا هو أن المسؤول الذي لديه حق الوصول إلى وحدة التحكم الافتراضية لديه سيطرة كاملة على أجهزتك. يمكنك دائمًا التقاط لقطة مع جميع محتويات ذاكرة الوصول العشوائي (RAM) ثم دراستها ببطء.
VDS
إذن لديك جهاز افتراضي قدمه لك المضيف. كيف يمكنك تنفيذ التشفير لحماية نفسك؟ في الواقع، لا شيء عمليا. علاوة على ذلك، حتى الخادم المخصص لشخص آخر قد ينتهي به الأمر إلى أن يصبح جهازًا افتراضيًا يتم إدخال الأجهزة الضرورية فيه.
إذا كانت مهمة النظام البعيد ليست مجرد تخزين البيانات، بل إجراء بعض العمليات الحسابية، فإن الخيار الوحيد للعمل مع جهاز غير موثوق به سيكون التنفيذ . في هذه الحالة، سيقوم النظام بإجراء العمليات الحسابية دون القدرة على فهم ما يفعله بالضبط. ولسوء الحظ، فإن التكاليف العامة لتنفيذ مثل هذا التشفير مرتفعة للغاية بحيث يقتصر استخدامها العملي حاليًا على مهام ضيقة للغاية.
بالإضافة إلى ذلك، في الوقت الحالي عندما يتم تشغيل الجهاز الظاهري وتنفيذ بعض الإجراءات، تكون جميع وحدات التخزين المشفرة في حالة يمكن الوصول إليها، وإلا فإن نظام التشغيل ببساطة لن يتمكن من العمل معهم. وهذا يعني أنه من خلال الوصول إلى وحدة التحكم الافتراضية، يمكنك دائمًا التقاط لقطة لجهاز قيد التشغيل واستخراج كافة المفاتيح من ذاكرة الوصول العشوائي (RAM).
لقد حاول العديد من البائعين تنظيم تشفير الأجهزة لذاكرة الوصول العشوائي (RAM) بحيث لا يتمكن حتى المضيف من الوصول إلى هذه البيانات. على سبيل المثال، تقنية Intel Software Guard Extensions، التي تنظم المناطق في مساحة العنوان الافتراضية المحمية من القراءة والكتابة من خارج هذه المنطقة بواسطة عمليات أخرى، بما في ذلك نواة نظام التشغيل. لسوء الحظ، لن تتمكن من الثقة الكاملة بهذه التقنيات، حيث ستقتصر على جهازك الظاهري. بالإضافة إلى ذلك، هناك بالفعل أمثلة جاهزة لهذه التكنولوجيا. ومع ذلك، فإن تشفير الأجهزة الافتراضية ليس عديم الفائدة كما قد يبدو.
نقوم بتشفير البيانات على VDS
اسمحوا لي أن أبدي تحفظًا على الفور بأن كل ما نقوم به أدناه لا يرقى إلى مستوى الحماية الكاملة. سيسمح لك برنامج Hypervisor بعمل النسخ اللازمة دون إيقاف الخدمة ودون أن تلاحظ ذلك.
- إذا قام المضيف، بناءً على طلبه، بنقل صورة "باردة" لجهازك الافتراضي، فأنت آمن نسبيًا. هذا هو السيناريو الأكثر شيوعا.
- إذا أعطاك المضيف لقطة كاملة لجهاز قيد التشغيل، فكل شيء سيء للغاية. سيتم تركيب جميع البيانات في النظام بشكل واضح. بالإضافة إلى ذلك، سيكون من الممكن البحث في ذاكرة الوصول العشوائي (RAM) بحثًا عن المفاتيح الخاصة والبيانات المماثلة.
افتراضيًا، إذا قمت بنشر نظام التشغيل من صورة فانيليا، فلن يتمتع المضيف بإمكانية الوصول إلى الجذر. يمكنك دائمًا تحميل الوسائط بصورة الإنقاذ وتغيير كلمة مرور الجذر عن طريق تنظيم بيئة الجهاز الظاهري. ولكن هذا سوف يتطلب إعادة التشغيل، والتي سيتم ملاحظتها. بالإضافة إلى ذلك، سيتم إغلاق جميع الأقسام المشفرة المثبتة.
ومع ذلك، إذا لم يكن نشر الجهاز الظاهري يأتي من صورة فانيليا، ولكن من صورة معدة مسبقًا، فيمكن للمضيف غالبًا إضافة حساب مميز للمساعدة في حالة الطوارئ لدى العميل. على سبيل المثال، لتغيير كلمة مرور الجذر المنسية.
حتى في حالة اللقطة الكاملة، ليس كل شيء حزينًا جدًا. لن يتلقى المهاجم الملفات المشفرة إذا قمت بتثبيتها من نظام الملفات البعيد لجهاز آخر. نعم، من الناحية النظرية، يمكنك اختيار تفريغ ذاكرة الوصول العشوائي (RAM) واستخراج مفاتيح التشفير من هناك. ولكن من الناحية العملية، هذا ليس بالأمر التافه للغاية ومن غير المرجح أن تتجاوز العملية مجرد نقل الملفات.
اطلب سيارة
لأغراض الاختبار لدينا، نأخذ آلة بسيطة . لا نحتاج إلى الكثير من الموارد، لذلك سنتخذ خيار الدفع مقابل الميغاهيرتز وحركة المرور التي تم إنفاقها بالفعل. يكفي فقط للعب مع.
لم يتم تنفيذ برنامج dm-crypt الكلاسيكي للقسم بأكمله. بشكل افتراضي، يتم توفير القرص كقطعة واحدة، مع جذر للقسم بأكمله. يعد تقليص قسم ext4 على قسم مثبت على الجذر بمثابة لبنة مضمونة عمليًا بدلاً من نظام الملفات. حاولت) الدف لم يساعد.
إنشاء حاوية تشفير
لذلك، لن نقوم بتشفير القسم بأكمله، ولكننا سنستخدم حاويات تشفير الملفات، وهي VeraCrypt المدققة والموثوقة. لأغراضنا هذا يكفي. أولاً، نقوم بسحب وتثبيت الحزمة بإصدار CLI من الموقع الرسمي. يمكنك التحقق من التوقيع في نفس الوقت.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
سنقوم الآن بإنشاء الحاوية نفسها في مكان ما في منزلنا حتى نتمكن من تركيبها يدويًا عند إعادة التشغيل. في الخيار التفاعلي، قم بتعيين حجم الحاوية وكلمة المرور وخوارزميات التشفير. يمكنك اختيار التشفير الوطني Grasshopper ووظيفة التجزئة Stribog.
veracrypt -t -c ~/my_super_secretلنقم الآن بتثبيت nginx، وتركيب الحاوية وملئها بالمعلومات السرية.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngدعونا نصحح قليلاً /var/www/html/index.nginx-debian.html للحصول على الصفحة المطلوبة ويمكنك التحقق منها.
الاتصال والتحقق
تم تركيب الحاوية، ويمكن الوصول إلى البيانات وإرسالها.
وهنا الجهاز بعد إعادة التشغيل يتم تخزين البيانات بشكل آمن في ~/my_super_secret.
إذا كنت في حاجة إليه حقًا وتريده بشدة، فيمكنك تشفير نظام التشغيل بأكمله بحيث يتطلب عند إعادة التشغيل الاتصال عبر ssh وإدخال كلمة المرور. وسيكون هذا كافيًا أيضًا في سيناريو سحب "البيانات الباردة" ببساطة. هنا وتشفير القرص البعيد. على الرغم من أنه في حالة VDS يكون الأمر صعبًا وزائدًا عن الحاجة.
المعدن
ليس من السهل تثبيت الخادم الخاص بك في مركز البيانات. قد يتحول جهاز شخص آخر مخصص إلى جهاز افتراضي يتم نقل جميع الأجهزة إليه. ولكن شيئًا مثيرًا للاهتمام فيما يتعلق بالحماية يبدأ عندما تتاح لك الفرصة لوضع خادمك الفعلي الموثوق به في مركز بيانات. هنا يمكنك بالفعل استخدام تشفير dm-crypt التقليدي أو VeraCrypt أو أي تشفير آخر من اختيارك.
عليك أن تفهم أنه إذا تم تنفيذ التشفير الكامل، فلن يتمكن الخادم من التعافي من تلقاء نفسه بعد إعادة التشغيل. سيكون من الضروري رفع الاتصال بـ IP-KVM المحلي أو IPMI أو أي واجهة أخرى مماثلة. وبعد ذلك نقوم بإدخال المفتاح الرئيسي يدويًا. يبدو المخطط سيئًا من حيث الاستمرارية والتسامح مع الأخطاء، ولكن لا توجد بدائل خاصة إذا كانت البيانات ذات قيمة كبيرة.
وحدة أمان الأجهزة NCipher nShield F3
يفترض الخيار الأكثر ليونة أن البيانات مشفرة وأن المفتاح موجود مباشرة على الخادم نفسه في وحدة HSM (وحدة أمان الأجهزة) الخاصة. كقاعدة عامة، هذه أجهزة وظيفية للغاية لا توفر تشفير الأجهزة فحسب، بل لديها أيضًا آليات للكشف عن محاولات القرصنة الفعلية. إذا بدأ شخص ما في التنقيب في الخادم الخاص بك باستخدام مطحنة زاوية، فسيقوم جهاز HSM المزود بمصدر طاقة مستقل بإعادة ضبط المفاتيح التي يخزنها في ذاكرته. سوف يحصل المهاجم على اللحم المفروم المشفر. في هذه الحالة، يمكن أن تتم إعادة التشغيل تلقائيًا.
تعد إزالة المفاتيح خيارًا أسرع بكثير وأكثر إنسانية من تفعيل قنبلة الثرمايت أو مانع الكهرومغناطيسي. بالنسبة لمثل هذه الأجهزة، سوف تتعرض للضرب لفترة طويلة جدًا من قبل جيرانك على الرف في مركز البيانات. وعلاوة على ذلك، في حالة استخدام التشفير على الوسائط نفسها، لن تواجه أي حمل فعليًا. كل هذا يحدث بشفافية لنظام التشغيل. صحيح، في هذه الحالة، عليك أن تثق بشركة Samsung الشرطية ونأمل أن يكون لديها AES256 صادقًا، وليس XOR العادي.
في الوقت نفسه، يجب ألا ننسى أن جميع المنافذ غير الضرورية يجب تعطيلها فعليًا أو ببساطة ملؤها بالمركب. وإلا فإنك تمنح المهاجمين الفرصة لتنفيذها . إذا كان لديك PCI Express أو Thunderbolt عالقًا، بما في ذلك USB مع دعمه، فأنت عرضة للخطر. سيتمكن المهاجم من تنفيذ هجوم عبر هذه المنافذ والوصول المباشر إلى الذاكرة باستخدام المفاتيح.
وفي نسخة متطورة للغاية، سيتمكن المهاجم من تنفيذ هجوم التمهيد البارد. وفي الوقت نفسه، يقوم ببساطة بصب جزء كبير من النيتروجين السائل في الخادم الخاص بك، ويزيل شرائح الذاكرة المجمدة تقريبًا ويتخلص منها بكل المفاتيح. في كثير من الأحيان، يكون رذاذ التبريد العادي ودرجة الحرارة حوالي -50 درجة كافية لتنفيذ الهجوم. هناك أيضًا خيار أكثر دقة. إذا لم تقم بتعطيل التحميل من الأجهزة الخارجية، فستكون خوارزمية المهاجم أبسط:
- قم بتجميد بطاقات الذاكرة دون فتح العلبة
- قم بتوصيل محرك أقراص فلاش USB القابل للتشغيل
- استخدم أدوات مساعدة خاصة لإزالة البيانات من ذاكرة الوصول العشوائي (RAM) التي نجت من إعادة التشغيل بسبب التجميد.
فرق تسد
حسنًا، لدينا أجهزة افتراضية فقط، ولكنني أرغب في تقليل مخاطر تسرب البيانات بطريقة أو بأخرى.
يمكنك، من حيث المبدأ، محاولة مراجعة البنية وتوزيع تخزين البيانات ومعالجتها عبر ولايات قضائية مختلفة. على سبيل المثال، الواجهة الأمامية التي تحتوي على مفاتيح التشفير هي من المضيف في جمهورية التشيك، والواجهة الخلفية التي تحتوي على بيانات مشفرة موجودة في مكان ما في روسيا. وفي حالة محاولة الاستيلاء القياسية، فمن المستبعد جدًا أن تتمكن وكالات إنفاذ القانون من تنفيذ ذلك في وقت واحد في ولايات قضائية مختلفة. بالإضافة إلى ذلك، فإن هذا يؤمن لنا جزئيًا ضد سيناريو التقاط لقطة.
حسنًا، أو يمكنك التفكير في خيار خالص تمامًا - التشفير الشامل. وبطبيعة الحال، هذا يتجاوز نطاق المواصفات ولا يعني إجراء العمليات الحسابية على جانب الجهاز البعيد. ومع ذلك، يعد هذا خيارًا مقبولًا تمامًا عندما يتعلق الأمر بتخزين البيانات ومزامنتها. على سبيل المثال، يتم تنفيذ هذا بشكل مريح للغاية في Nextcloud. في الوقت نفسه، لن تختفي المزامنة والإصدارات وغيرها من الأشياء الجيدة من جانب الخادم.
في المجموع
لا توجد أنظمة آمنة تماما. الهدف ببساطة هو جعل الهجوم يستحق أكثر من المكاسب المحتملة.
يمكن تحقيق بعض التخفيض في مخاطر الوصول إلى البيانات على موقع افتراضي من خلال الجمع بين التشفير والتخزين المنفصل مع مضيفين مختلفين.
الخيار الأكثر أو الأقل موثوقية هو استخدام خادم الأجهزة الخاص بك.
ولكن لا يزال يتعين الوثوق بالمضيف بطريقة أو بأخرى. الصناعة بأكملها تعتمد على هذا.
المصدر: www.habr.com