أنا مهندس بالتدريب، لكني أتواصل أكثر مع رواد الأعمال ومديري الإنتاج. منذ فترة طلب صاحب شركة صناعية النصيحة. على الرغم من أن المؤسسة كبيرة وتم إنشاؤها في التسعينيات، إلا أن الإدارة والمحاسبة تعمل بالطريقة القديمة على الشبكة المحلية.
وهذا نتيجة للمخاوف على أعمالهم وزيادة سيطرة الدولة. يمكن تفسير القوانين واللوائح على نطاق واسع جدًا من قبل سلطات التفتيش. ومن الأمثلة على ذلك تعديلات قانون الضرائب، للمخالفات الضريبية، التدمير الفعلي .
ونتيجة لذلك، بدأ صاحب العمل في البحث عن حلول للتخزين الموثوق للمعلومات والنقل الآمن للمستندات. افتراضية "آمنة".
لقد عملنا على حل المشكلة مع مسؤول النظام بدوام كامل: كنا بحاجة إلى تحليل متعمق للأنظمة الأساسية الحالية.
- لا ينبغي أن تكون الخدمة قائمة على السحابة، بالمعنى الكلاسيكي للكلمة، أي. بدون تخزين في مرافق تابعة لمنظمة طرف ثالث. الخادم الخاص بك فقط؛
- مطلوب تشفير قوي للبيانات المرسلة والمخزنة؛
- مطلوب القدرة على حذف المحتوى بشكل عاجل من أي جهاز بنقرة زر واحدة؛
- تم تطوير الحل في الخارج.
اقترحت حذف النقطة الرابعة، لأن... التطبيقات الروسية لديها شهادات رسمية. قال المدير مباشرة ما يجب فعله بهذه الشهادات.
اختيار الخيارات
لقد اخترت ثلاثة حلول (كلما زادت الخيارات، زادت الشكوك):
- المصدر المفتوح - المشروع ، يديرها المطور المتحمس جاكوب بورغ.
- ، تحت إشراف شركة American Resilio Inc. (كانت هذه الخدمة تسمى سابقًا BitTorrent Sync).
- مشروع من تطبيقات المزامنة. تسجيل قبرص.
يمتلك مالك الشركة القليل من الفهم للتعقيدات التقنية، لذلك قمت بتنسيق التقرير في شكل قوائم بإيجابيات وسلبيات كل خيار.
تحليل النتائج
Syncthing
الايجابيات:
- المصدر المفتوح
- نشاط المطور الرئيسي
- المشروع موجود منذ فترة طويلة جدًا.
- حر.
سلبيات:
- لا يوجد عميل لنظام iOS Shell؛
- خوادم بطيئة الدوران (وهي مجانية، لذا فهي بطيئة). لاولئك الذين
لا علم، يتم استخدام Turn عندما يكون من المستحيل الاتصال مباشرة؛ - إعداد واجهة معقدة (يتطلب سنوات عديدة من الخبرة في البرمجة)؛
- عدم وجود دعم تجاري سريع.
Resilio
الايجابيات: دعم لجميع الأجهزة والخوادم السريعة.
سلبيات: أحد الأمور المهمة للغاية هو التجاهل التام لأية طلبات من خدمة الدعم. لا توجد استجابة، حتى لو كنت تكتب من عناوين مختلفة.
Pvtbox
الايجابيات:
- يدعم جميع الأجهزة؛
- خوادم سريعة الدوران؛
- القدرة على تنزيل ملف دون تثبيت التطبيق؛
- خدمة الدعم الكافية، بما في ذلك. عن طريق الهاتف.
سلبيات:
- مشروع شاب (مراجعات قليلة ومراجعات جيدة)؛
- واجهة الموقع "تقنية" للغاية وليست واضحة دائمًا؛
- لا توجد وثائق مفصلة بدقة؛ العديد من القضايا تتطلب الدعم.
ماذا اختار العميل؟
سؤاله الأول هو: ما الفائدة من تطوير شيء ما مجانًا؟ تم التخلي عن المزامنة على الفور. الحجج لم تنجح.
وبعد بضعة أيام، رفض العميل بشكل قاطع Resilio Sync بسبب نقص الدعم، لأن... ليس من الواضح إلى أين تذهب في حالة الطوارئ. بالإضافة إلى عدم الثقة في تسجيل الشركة الأمريكي.
لمزيد من التحليل، تبقى خزنة Pvtbox الإلكترونية. لقد أجرينا تدقيقًا فنيًا كاملاً لهذه المنصة، مع التركيز على إمكانية اعتراض البيانات وفك تشفيرها والدخول غير المصرح به إلى مخزن المعلومات.
عملية التدقيق
قمنا بتحليل الاتصالات في بداية البرنامج وأثناء التشغيل وفي حالة الهدوء. يتم تشفير حركة المرور وفقًا للمعايير الحديثة في البداية. دعنا نحاول تنفيذ هجوم MITM واستبدال الشهادة بسرعة باستخدام لينكس (Xubuntu Linux 18.04)، ويريشارك, ميتمبروكسي. للقيام بذلك، سنقدم وسيطًا بين تطبيق Pvtbox وخادم pvtbox.net (يوجد تبادل للبيانات مع خادم pvtbox.net عبر اتصال https).
نقوم بتشغيل التطبيق للتأكد من أن مزامنة البرنامج والملفات تعمل فيه. في Linux، يمكنك ملاحظة التسجيل على الفور إذا قمت بتشغيل البرنامج من الوحدة الطرفية.
قم بإيقاف تشغيل التطبيق واستبدال عنوان مضيف pvtbox.net في الملف / الخ / المضيفين مع امتيازات المستخدم المتميز. نستبدل العنوان بعنوان الخادم الوكيل الخاص بنا.
لنقم الآن بإعداد الخادم الوكيل الخاص بنا لهجوم MITM على جهاز كمبيوتر يحمل العنوان 192.168.1.64 على شبكتنا المحلية. للقيام بذلك، قم بتثبيت إصدار حزمة mitmproxy 4.0.4.
نبدأ تشغيل الخادم الوكيل على المنفذ 443:
$ سودو ميتمبروكسي -ص 443
نقوم بتشغيل برنامج Pvtbox على الكمبيوتر الأول، وننظر إلى مخرجات mitmproxy وسجلات التطبيق.
ميتمبروكسي تقارير تفيد بأن العميل لا يثق في الشهادة المزيفة من الخادم الوكيل. في سجلات التطبيق نرى أيضًا أن شهادة الخادم الوكيل لا تجتاز عملية التحقق ويرفض البرنامج العمل.
تثبيت شهادة الخادم الوكيل ميتمبروكسي إلى جهاز كمبيوتر باستخدام تطبيق Pvtbox لجعل الشهادة "موثوقة". قم بتثبيت حزمة شهادات CA على جهاز الكمبيوتر الخاص بك. ثم انسخ شهادة mitmproxy-ca-cert.pem من دليل .mitmproxy للخادم الوكيل إلى الكمبيوتر باستخدام تطبيق Pvtbox في الدليل /usr/local/share/ca-certificates.
نقوم بتنفيذ الأوامر:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-certificates
قم بتشغيل تطبيق Pvtbox. فشل التحقق من الشهادة مرة أخرى ويرفض البرنامج العمل. ربما يستخدم التطبيق آلية أمنية تثبيت الشهادة.
وتم تنفيذ هجوم مماثل على المضيف إشارة الخادم.pvtbox.net, بالإضافة إلى اتصال نظير 2 نظير نفسه بين العقد. يشير المطور إلى أن تطبيق إنشاء اتصالات نظير 2 نظير يستخدم بروتوكول webrtc المفتوح، والذي يستخدم تشفير البروتوكول من طرف إلى طرف DTLSv1.2.
يتم إنشاء المفاتيح لكل إعداد اتصال ويتم إرسالها عبر قناة مشفرة عبر signalserver.pvtbox.net.
من الناحية النظرية، سيكون من الممكن اعتراض رسائل عرض webrtc والرد عليها، واستبدال مفاتيح التشفير هناك والقدرة على فك تشفير جميع الرسائل الواردة عبر webrtc. لكن لم يكن من الممكن تنفيذ هجوم mitm على signalserver.pvtbox.net، لذلك لا توجد طريقة لاعتراض واستبدال الرسائل المرسلة عبر signalserver.pvtbox.net.
وبناء على ذلك، لا يمكن تنفيذ هذا الهجوم على اتصال نظير 2 نظير.
كما تم اكتشاف ملف يحتوي على الشهادات المرفقة مع البرنامج. الملف موجود في /opt/pvtbox/certifi/cacert.pem. تم استبدال هذا الملف بملف يحتوي على شهادة موثوقة من وكيل mitmproxy الخاص بنا. لم تتغير النتيجة - رفض البرنامج الاتصال بالنظام، وقد لوحظ نفس الخطأ في السجل،
أن الشهادة لا تمر التحقق.
نتائج التدقيق
لم أتمكن من اعتراض أو محاكاة حركة المرور. يتم نقل أسماء الملفات، بل ومحتوياتها، في شكل مشفر؛ ويتم استخدام التشفير من طرف إلى طرف. ويطبق التطبيق عددًا من آليات الأمان التي تمنع التنصت والتسلل.
ونتيجة لذلك، اشترت الشركة خادمين مخصصين (فعليًا في مواقع مختلفة) للوصول الدائم إلى المعلومات. يتم استخدام الخادم الأول لتلقي المعلومات ومعالجتها وتخزينها، ويستخدم الثاني للنسخ الاحتياطي.
تم توصيل محطة عمل المخرج والهاتف المحمول الذي يعمل بنظام iOS بالسحابة الفردية الناتجة. تم ربط الموظفين الآخرين عن طريق مسؤول النظام بدوام كامل والدعم الفني لـ Pvtbox.
خلال الفترة الماضية، لم تكن هناك شكاوى من الصديق. آمل أن تساعد مراجعتي قراء حبر في وضع مماثل.
المصدر: www.habr.com