kdpv – Ройтерс
Ако наемете сървър, тогава нямате пълен контрол върху него. Това означава, че по всяко време специално обучени хора могат да дойдат при хостера и да ви помолят да предоставите каквито и да е ваши данни. И домакинът ще ги върне, ако търсенето е формализирано съгласно закона.
Наистина не искате регистрационните файлове на вашия уеб сървър или потребителски данни да изтичат на някой друг. Невъзможно е да се изгради идеална защита. Почти невъзможно е да се защитите от хостър, който притежава хипервайзора и ви предоставя виртуална машина. Но може би ще бъде възможно малко да се намалят рисковете. Криптирането на коли под наем не е толкова безполезно, колкото изглежда на пръв поглед. В същото време нека разгледаме заплахите от извличане на данни от физически сървъри.
Модел на заплаха
По правило домакинът ще се опита да защити интересите на клиента, доколкото е възможно по закон. Ако писмото от официалните власти изисква само регистрационни файлове за достъп, хостингът няма да предостави дъмпове на всички ваши виртуални машини с бази данни. Поне не би трябвало. Ако поискат всички данни, хостингът ще копира виртуалните дискове с всички файлове и вие няма да разберете за това.
Независимо от сценария, основната ви цел е да направите атаката твърде трудна и скъпа. Обикновено има три основни опции за заплаха.
Официален
Най-често се изпраща писмо на хартиен носител до официалния офис на хостера с изискване за предоставяне на необходимите данни съгласно съответната наредба. Ако всичко е направено правилно, хостингът предоставя необходимите регистрационни файлове за достъп и други данни на официалните власти. Обикновено те просто ви молят да изпратите необходимите данни.
Понякога, ако е абсолютно необходимо, представители на правоприлагащите органи идват лично в центъра за данни. Например, когато имате собствен специален сървър и данните от него могат да бъдат взети само физически.
Във всички държави получаването на достъп до частна собственост, извършването на претърсвания и други дейности изисква доказателства, че данните може да съдържат важна информация за разследването на престъпление. Освен това е необходима заповед за обиск, издадена в съответствие с всички разпоредби. Възможно е да има нюанси, свързани с особеностите на местното законодателство. Основното, което трябва да разберете, е, че ако официалният път е правилен, представителите на центъра за данни няма да пуснат никого през входа.
Освен това в повечето страни не можете просто да извадите оборудването за бягане. Например в Русия до края на 2018 г., съгласно член 183 от Наказателно-процесуалния кодекс на Руската федерация, част 3.1, беше гарантирано, че по време на изземване изземването на електронни носители за съхранение се извършва с участието на на специалист. По искане на законния собственик на иззетите електронни носители или на собственика на информацията, съдържаща се в тях, специалистът, участващ в изземването, в присъствието на свидетели копира информация от иззетите електронни носители на други електронни носители.
След това, за съжаление, тази точка беше премахната от статията.
Тайно и неофициално
Това вече е територия на дейност на специално обучени другари от НСА, ФБР, МИ5 и други трибуквени организации. Най-често законодателството на страните предоставя изключително широки правомощия на такива структури. Освен това почти винаги съществува законодателна забрана за пряко или непряко разкриване на самия факт на сътрудничество с такива правоприлагащи органи. Има подобни в Русия .
В случай на такава заплаха за вашите данни, те почти сигурно ще бъдат извадени. Освен това, в допълнение към простото изземване, може да се използва целият неофициален арсенал от задни вратички, уязвимости от нулев ден, извличане на данни от RAM на вашата виртуална машина и други радости. В този случай домакинът ще бъде длъжен да съдейства максимално на специалистите от правоприлагащите органи.
Безскрупулен служител
Не всички хора са еднакво добри. Един от администраторите на центъра за данни може да реши да направи допълнителни пари и да продаде вашите данни. По-нататъшното развитие зависи от неговите правомощия и достъп. Най-досадното е, че администратор с достъп до конзолата за виртуализация има пълен контрол над вашите машини. Винаги можете да направите моментна снимка заедно с цялото съдържание на RAM паметта и след това бавно да я изучавате.
VDS
Така че имате виртуална машина, която ви е предоставил хостингът. Как можете да приложите криптиране, за да се защитите? Всъщност, практически нищо. Освен това дори специален сървър на някой друг може да се окаже виртуална машина, в която са вмъкнати необходимите устройства.
Ако задачата на отдалечената система не е просто да съхранява данни, а да извършва някои изчисления, тогава единствената възможност за работа с ненадеждна машина би била внедряването . В този случай системата ще извършва изчисления, без да може да разбере какво точно прави. За съжаление, режийните разходи за прилагане на такова криптиране са толкова високи, че практическото им използване в момента е ограничено до много тесни задачи.
Плюс това, в момента, когато виртуалната машина работи и извършва някои действия, всички криптирани томове са в достъпно състояние, в противен случай операционната система просто няма да може да работи с тях. Това означава, че като имате достъп до конзолата за виртуализация, винаги можете да направите моментна снимка на работеща машина и да извлечете всички ключове от RAM.
Много доставчици са се опитали да организират хардуерно криптиране на RAM, така че дори хостът да няма достъп до тези данни. Например технологията Intel Software Guard Extensions, която организира области във виртуалното адресно пространство, които са защитени от четене и запис извън тази област от други процеси, включително ядрото на операционната система. За съжаление, няма да можете да се доверите напълно на тези технологии, тъй като ще бъдете ограничени до вашата виртуална машина. Освен това вече съществуват готови примери за тази технология. Все пак криптирането на виртуални машини не е толкова безсмислено, колкото може да изглежда.
Ние криптираме данни на VDS
Нека веднага направя уговорка, че всичко, което правим по-долу, не означава пълноценна защита. Хипервайзорът ще ви позволи да направите необходимите копия, без да спирате услугата и без да забележите.
- Ако при поискване хостът прехвърли „студено“ изображение на вашата виртуална машина, тогава сте относително сигурни. Това е най-честият сценарий.
- Ако хостът ви даде пълна моментна снимка на работеща машина, тогава всичко е доста зле. Всички данни ще бъдат монтирани в системата в чист вид. Освен това ще може да се рови в RAM в търсене на лични ключове и подобни данни.
По подразбиране, ако сте разположили операционната система от ванилен образ, хостът няма root достъп. Винаги можете да монтирате носителя със спасителното изображение и да промените паролата на root чрез chroot средата на виртуалната машина. Но това ще изисква рестартиране, което ще бъде забелязано. Освен това всички монтирани криптирани дялове ще бъдат затворени.
Ако обаче внедряването на виртуална машина не идва от ванилен образ, а от предварително подготвен такъв, тогава хостът често може да добави привилегирован акаунт, за да помогне при спешна ситуация при клиента. Например, за да промените забравена root парола.
Дори в случай на пълна моментна снимка, не всичко е толкова тъжно. Нападателят няма да получи криптирани файлове, ако сте ги монтирали от отдалечената файлова система на друга машина. Да, на теория можете да изберете дъмпа на RAM и да извлечете ключовете за криптиране от там. Но на практика това не е много тривиално и е много малко вероятно процесът да надхвърли обикновеното прехвърляне на файлове.
Поръчайте кола
За нашите тестови цели ние използваме проста машина . Нямаме нужда от много ресурси, така че ще вземем опцията да плащаме за действително изразходваните мегахерци и трафик. Достатъчно за игра.
Класическият dm-crypt за целия дял не излетя. По подразбиране дискът се дава цял, с root за целия дял. Свиването на ext4 дял на root-монтиран е практически гарантирана тухла вместо файлова система. Опитах) Тамбурината не помогна.
Създаване на крипто контейнер
Следователно няма да шифроваме целия дял, а ще използваме файлови крипто контейнери, а именно одитиран и надежден VeraCrypt. За нашите цели това е достатъчно. Първо изваждаме и инсталираме пакета с CLI версията от официалния уебсайт. Можете да проверите подписа едновременно.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Сега ще създадем самия контейнер някъде в нашия дом, за да можем да го монтираме ръчно при рестартиране. В интерактивната опция задайте размера на контейнера, паролата и алгоритмите за криптиране. Можете да изберете патриотичния шифър Grasshopper и хеш функцията Stribog.
veracrypt -t -c ~/my_super_secretСега нека инсталираме nginx, монтираме контейнера и го напълним със секретна информация.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngНека коригираме леко /var/www/html/index.nginx-debian.html, за да получим желаната страница и можете да я проверите.
Свържете и проверете
Контейнерът е монтиран, данните са достъпни и изпратени.
И ето машината след рестартиране. Данните се съхраняват сигурно в ~/my_super_secret.
Ако наистина имате нужда от него и го искате хардкор, тогава можете да шифровате цялата операционна система, така че когато рестартирате, да изисква свързване чрез ssh и въвеждане на парола. Това също ще бъде достатъчно в сценария на просто изтегляне на „студени данни“. Тук и криптиране на отдалечен диск. Въпреки че в случая с VDS е трудно и излишно.
Чист метал
Не е толкова лесно да инсталирате собствен сървър в център за данни. Посветеният на някой друг може да се окаже виртуална машина, в която се прехвърлят всички устройства. Но нещо интересно по отношение на защитата започва, когато имате възможност да поставите вашия доверен физически сървър в център за данни. Тук вече можете напълно да използвате традиционното dm-crypt, VeraCrypt или всяко друго криптиране по ваш избор.
Трябва да разберете, че ако се приложи пълно криптиране, сървърът няма да може да се възстанови сам след рестартиране. Ще бъде необходимо да се повдигне връзката към локалния IP-KVM, IPMI или друг подобен интерфейс. След което ръчно въвеждаме главния ключ. Схемата изглежда така-така от гледна точка на непрекъснатост и отказоустойчивост, но няма специални алтернативи, ако данните са толкова ценни.
NCipher nShield F3 хардуерен модул за сигурност
По-мек вариант предполага, че данните са криптирани и ключът се намира директно на самия сървър в специален HSM (Hardware Security Module). По правило това са много функционални устройства, които не само осигуряват хардуерна криптография, но и имат механизми за откриване на физически опити за хакване. Ако някой започне да рови из сървъра ви с ъглошлайф, HSM с независимо захранване ще нулира ключовете, които съхранява в паметта си. Нападателят ще получи криптираната кайма. В този случай рестартирането може да се извърши автоматично.
Премахването на ключове е много по-бърз и по-хуманен вариант от активирането на термитна бомба или електромагнитен отводител. За такива устройства ще бъдете бити много дълго от съседите си по стелажа в центъра за данни. Освен това, в случай на използване криптиране на самата медия, вие практически нямате допълнителни разходи. Всичко това се случва прозрачно за ОС. Вярно е, че в този случай трябва да се доверите на условния Samsung и да се надявате, че има честен AES256, а не баналния XOR.
В същото време не трябва да забравяме, че всички ненужни портове трябва да бъдат физически деактивирани или просто запълнени със съединение. В противен случай вие давате възможност на нападателите да изпълнят . Ако имате PCI Express или Thunderbolt, включително USB с неговата поддръжка, вие сте уязвими. Нападателят ще може да извърши атака през тези портове и да получи директен достъп до паметта с ключове.
В една много усъвършенствана версия нападателят ще може да извърши студена атака. В същото време той просто излива добра порция течен азот във вашия сървър, грубо премахва замразените памети и взема дъмп от тях с всички ключове. Често обикновен охлаждащ спрей и температура около -50 градуса са достатъчни за извършване на атака. Има и по-точен вариант. Ако не сте деактивирали зареждането от външни устройства, тогава алгоритъмът на атакуващия ще бъде още по-прост:
- Замразете паметта, без да отваряте кутията
- Свържете вашето стартиращо USB флаш устройство
- Използвайте специални помощни програми, за да премахнете данни от RAM, които са преживели рестартирането поради замръзване.
Разделете и завладете
Добре, имаме само виртуални машини, но бих искал по някакъв начин да намаля рисковете от изтичане на данни.
По принцип можете да опитате да преразгледате архитектурата и да разпределите съхранението и обработката на данни в различни юрисдикции. Например фронтендът с ключове за криптиране е от хостера в Чехия, а бекендът с криптирани данни е някъде в Русия. В случай на стандартен опит за изземване е изключително малко вероятно правоприлагащите органи да могат да извършат това едновременно в различни юрисдикции. Плюс това, това частично ни застрахова срещу сценария за правене на моментна снимка.
Е, или можете да помислите за напълно чист вариант - криптиране от край до край. Разбира се, това излиза извън обхвата на спецификацията и не предполага извършване на изчисления от страна на отдалечената машина. Това обаче е напълно приемлива опция, когато става въпрос за съхранение и синхронизиране на данни. Например, това е много удобно реализирано в Nextcloud. В същото време синхронизирането, управлението на версии и други екстри от страна на сървъра няма да изчезнат.
Общо
Няма напълно сигурни системи. Целта е просто атаката да струва повече от потенциалната печалба.
Известно намаляване на рисковете от достъп до данни на виртуален сайт може да се постигне чрез комбиниране на криптиране и отделно съхранение с различни хостове.
Повече или по-малко надежден вариант е да използвате собствен хардуерен сървър.
Но хостът все пак ще трябва да се довери по един или друг начин. Цялата индустрия се крепи на това.
Източник: www.habr.com