kdpv - Reuters
Ako iznajmite server, onda nemate potpunu kontrolu nad njim. To znači da u bilo koje vrijeme posebno obučeni ljudi mogu doći kod hostera i zamoliti vas da dostavite bilo koji od vaših podataka. A hoster će ih vratiti ako se zahtjev formalizira u skladu sa zakonom.
Zaista ne želite da zapisnici vašeg web servera ili korisnički podaci procure nekom drugom. Nemoguće je izgraditi idealnu odbranu. Gotovo je nemoguće zaštititi se od hostera koji posjeduje hipervizor i koji vam pruža virtuelnu mašinu. Ali možda će biti moguće malo smanjiti rizike. Šifriranje automobila za iznajmljivanje nije tako beskorisno kao što se čini na prvi pogled. U isto vrijeme, pogledajmo prijetnje ekstrakcije podataka sa fizičkih servera.
Model pretnje
Po pravilu, hoster će nastojati da zakonski zaštiti interese klijenta koliko god je to moguće. Ako se u pismu od zvaničnih vlasti traže samo pristupni zapisnici, hoster neće dati dumpove svih vaših virtuelnih mašina sa bazama podataka. Barem ne bi trebalo. Ako zatraže sve podatke, hoster će kopirati virtuelne diskove sa svim fajlovima, a vi za to nećete znati.
Bez obzira na scenario, vaš glavni cilj je da napad učinite pretežkim i skupim. Obično postoje tri glavne opcije prijetnji.
Službeno
Najčešće se službenoj kancelariji hostera šalje papirnati dopis sa zahtjevom da dostavi potrebne podatke u skladu sa relevantnim propisom. Ako je sve urađeno kako treba, hoster dostavlja službenim vlastima potrebne evidencije pristupa i druge podatke. Obično samo traže da pošaljete potrebne podatke.
Povremeno, ako je neophodno, u data centar lično dolaze predstavnici agencija za provođenje zakona. Na primjer, kada imate vlastiti namjenski server i podaci odatle se mogu uzeti samo fizički.
U svim zemljama, pristup privatnoj imovini, vršenje pretresa i druge aktivnosti zahtijevaju dokaze da podaci mogu sadržavati važne informacije za istragu zločina. Osim toga, potreban je nalog za pretres koji je izvršen u skladu sa svim propisima. Mogu postojati nijanse vezane za posebnosti lokalnog zakonodavstva. Glavna stvar koju trebate razumjeti je da ako je službena putanja ispravna, predstavnici data centra neće nikoga pustiti da prođe ulaz.
Štaviše, u većini zemalja ne možete jednostavno izvući opremu za trčanje. Na primjer, u Rusiji je do kraja 2018. godine, prema članu 183. Zakona o krivičnom postupku Ruske Federacije, dio 3.1, bilo zagarantovano da je tokom zapljene izvršena zaplena medija za elektronsko skladištenje uz učešće specijaliste. Na zahtjev zakonitog vlasnika oduzetog elektronskog medija za pohranu podataka ili vlasnika podataka koji se na njima nalaze, specijalista koji učestvuje u oduzimanju, u prisustvu svjedoka, kopira podatke sa oduzetog elektronskog medija za pohranu podataka na drugi elektronski medij.
Tada je, nažalost, ova tačka uklonjena iz članka.
Tajno i nezvanično
Ovo je već područje djelovanja posebno obučenih drugova iz NSA, FBI, MI5 i drugih tropisnih organizacija. Najčešće, zakonodavstvo zemalja predviđa izuzetno široka ovlaštenja za takve strukture. Štaviše, gotovo uvijek postoji zakonska zabrana bilo kakvog direktnog ili indirektnog otkrivanja same činjenice saradnje sa takvim agencijama za provođenje zakona. Sličnih ima i u Rusiji .
U slučaju takve prijetnje vašim podacima, oni će gotovo sigurno biti uklonjeni. Štoviše, osim jednostavne zapljene, može se koristiti i cijeli neslužbeni arsenal backdoor-a, ranjivosti nultog dana, ekstrakcija podataka iz RAM-a vaše virtuelne mašine i drugih radosti. U tom slučaju, hoster će biti dužan pomoći stručnjacima za provođenje zakona koliko god je to moguće.
Beskrupulozan zaposlenik
Nisu svi ljudi podjednako dobri. Jedan od administratora data centra može odlučiti zaraditi dodatni novac i prodati vaše podatke. Dalji razvoj događaja zavisi od njegovih ovlašćenja i pristupa. Najneugodnije je to što administrator sa pristupom virtualizacijskoj konzoli ima potpunu kontrolu nad vašim mašinama. Uvijek možete napraviti snimak zajedno sa svim sadržajem RAM-a i zatim ga polako proučavati.
VDS
Dakle, imate virtuelnu mašinu koju vam je dao hoster. Kako možete implementirati enkripciju da biste se zaštitili? U stvari, praktično ništa. Štaviše, čak i nečiji namenski server može završiti kao virtuelna mašina u koju se ubacuju potrebni uređaji.
Ako zadatak udaljenog sistema nije samo pohranjivanje podataka, već i izvođenje nekih proračuna, tada bi jedina opcija za rad sa nepouzdanom mašinom bila implementacija . U ovom slučaju, sistem će izvršiti proračune bez mogućnosti da shvati šta tačno radi. Nažalost, režijski troškovi implementacije takve enkripcije su toliko visoki da je njihova praktična upotreba trenutno ograničena na vrlo uske zadatke.
Osim toga, u trenutku kada virtualna mašina radi i izvodi neke radnje, svi šifrirani volumeni su u dostupnom stanju, inače OS jednostavno neće moći raditi s njima. To znači da imate pristup konzoli za virtuelizaciju, uvek možete napraviti snimak računara koji radi i izdvojiti sve ključeve iz RAM-a.
Mnogi dobavljači su pokušali organizirati hardversko šifriranje RAM-a tako da čak ni hoster nema pristup ovim podacima. Na primjer, Intel Software Guard Extensions tehnologija, koja organizira područja u virtuelnom adresnom prostoru koja su zaštićena od čitanja i pisanja izvan ove oblasti od strane drugih procesa, uključujući kernel operativnog sistema. Nažalost, nećete moći u potpunosti vjerovati ovim tehnologijama, jer ćete biti ograničeni na svoju virtualnu mašinu. Osim toga, već postoje gotovi primjeri za ovu tehnologiju. Ipak, šifriranje virtuelnih mašina nije toliko besmisleno kao što se čini.
Šifrujemo podatke na VDS
Dozvolite mi da odmah napravim rezervaciju da sve što radimo u nastavku ne predstavlja potpunu zaštitu. Hipervizor će vam omogućiti da napravite potrebne kopije bez zaustavljanja usluge i bez vaše primjedbe.
- Ako na zahtjev hoster prenese „hladnu“ sliku vaše virtuelne mašine, onda ste relativno sigurni. Ovo je najčešći scenario.
- Ako vam hoster da potpunu sliku rada mašine, onda je sve prilično loše. Svi podaci će biti montirani u sistem u jasnom obliku. Osim toga, bit će moguće preturati po RAM-u u potrazi za privatnim ključevima i sličnim podacima.
Podrazumevano, ako ste postavili OS sa vanilla slike, hoster nema root pristup. Uvijek možete montirati medij sa slikom za spašavanje i promijeniti root lozinku tako što ćete chrootirati okruženje virtuelne mašine. Ali to će zahtijevati ponovno pokretanje, što će se primijetiti. Osim toga, sve montirane šifrirane particije će biti zatvorene.
Međutim, ako implementacija virtuelne mašine ne dolazi od vanilla slike, već od unapred pripremljene, tada hoster često može dodati privilegovani nalog kako bi pomogao u hitnoj situaciji kod klijenta. Na primjer, da promijenite zaboravljenu root lozinku.
Čak i u slučaju potpunog snimka, nije sve tako tužno. Napadač neće primiti šifrirane datoteke ako ste ih montirali sa udaljenog sistema datoteka druge mašine. Da, u teoriji, možete odabrati RAM deponiju i odatle izvući ključeve za šifriranje. Ali u praksi to nije baš trivijalno i malo je vjerovatno da će proces ići dalje od jednostavnog prijenosa datoteka.
Naručite auto
Za potrebe našeg testiranja, uzimamo jednostavnu mašinu . Ne treba nam puno resursa, pa ćemo uzeti opciju plaćanja megaherca i stvarno potrošenog prometa. Dovoljno za igranje.
Klasični dm-crypt za cijelu particiju nije poletio. Po defaultu, disk se daje u jednom komadu, sa root-om za cijelu particiju. Smanjenje ext4 particije na root montiranoj je praktično zagarantovana cigla umjesto sistema datoteka. Pokušao sam) Tambura nije pomogla.
Kreiranje kripto kontejnera
Stoga nećemo šifrirati cijelu particiju, već ćemo koristiti kripto kontejnere datoteka, odnosno revidirani i pouzdani VeraCrypt. Za naše potrebe ovo je dovoljno. Prvo izvlačimo i instaliramo paket sa CLI verzijom sa službene web stranice. Istovremeno možete provjeriti i potpis.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Sada ćemo kreirati sam kontejner negdje u našem domu tako da ga možemo ručno montirati nakon ponovnog pokretanja. U interaktivnoj opciji postavite veličinu spremnika, lozinku i algoritme šifriranja. Možete odabrati patriotsku šifru Skakavac i heš funkciju Stribog.
veracrypt -t -c ~/my_super_secretSada instalirajmo nginx, montiramo kontejner i ispunimo ga tajnim informacijama.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngIspravimo malo /var/www/html/index.nginx-debian.html da dobijemo željenu stranicu i možete je provjeriti.
Povežite se i provjerite
Kontejner je montiran, podaci su dostupni i poslani.
A evo i mašine nakon ponovnog pokretanja. Podaci su sigurno pohranjeni u ~/my_super_secret.
Ako vam je zaista potreban i želite da bude hardcore, onda možete šifrirati cijeli OS tako da prilikom ponovnog pokretanja zahtijeva povezivanje preko ssh-a i unos lozinke. Ovo će također biti dovoljno u scenariju jednostavnog povlačenja „hladnih podataka“. Evo i šifriranje udaljenog diska. Iako je u slučaju VDS-a to teško i suvišno.
Goli metal
Nije tako lako instalirati sopstveni server u data centru. Nečiji namenski može se pokazati kao virtuelna mašina u koju se prenose svi uređaji. Ali nešto zanimljivo u smislu zaštite počinje kada imate priliku da svoj pouzdani fizički server postavite u centar podataka. Ovdje već možete u potpunosti koristiti tradicionalnu dm-crypt, VeraCrypt ili bilo koju drugu enkripciju po vašem izboru.
Morate razumjeti da ako se implementira potpuna enkripcija, server se neće moći sam oporaviti nakon ponovnog pokretanja. Biće potrebno podići vezu na lokalni IP-KVM, IPMI ili drugi sličan interfejs. Nakon toga ručno unosimo glavni ključ. Shema izgleda tako-tako u smislu kontinuiteta i tolerancije grešaka, ali ne postoje posebne alternative ako su podaci toliko vrijedni.
NCipher nShield F3 Hardverski sigurnosni modul
Mekša opcija pretpostavlja da su podaci šifrirani i da se ključ nalazi direktno na samom serveru u posebnom HSM-u (Hardware Security Module). U pravilu se radi o vrlo funkcionalnim uređajima koji ne samo da pružaju hardversku kriptografiju, već imaju i mehanizme za otkrivanje fizičkih pokušaja hakovanja. Ako neko počne da čačka po vašem serveru ugaonom brusilicom, HSM sa nezavisnim napajanjem će resetovati ključeve koje pohranjuje u svojoj memoriji. Napadač će dobiti šifrovano mleveno meso. U tom slučaju, ponovno pokretanje se može dogoditi automatski.
Vađenje ključeva je mnogo brža i humanija opcija od aktiviranja termitne bombe ili elektromagnetnog odvodnika. Za takve uređaje, komšije će vas jako dugo tući na stalku u data centru. Štaviše, u slučaju korišćenja enkripcije na samom mediju, ne doživljavate gotovo nikakve dodatne troškove. Sve ovo se dešava transparentno za OS. Istina, u ovom slučaju morate vjerovati uslovnom Samsungu i nadati se da ima pošten AES256, a ne banalni XOR.
Istovremeno, ne smijemo zaboraviti da svi nepotrebni portovi moraju biti fizički onemogućeni ili jednostavno napunjeni smjesom. U suprotnom, dajete napadačima priliku da izvedu . Ako imate PCI Express ili Thunderbolt koji viri, uključujući USB sa podrškom, vi ste ranjivi. Napadač će moći izvršiti napad preko ovih portova i dobiti direktan pristup memoriji pomoću ključeva.
U veoma sofisticiranoj verziji, napadač će moći da izvede napad hladnog pokretanja. U isto vrijeme, jednostavno ulijeva dobar dio tekućeg dušika u vaš server, grubo uklanja zamrznute memorijske stikove i uzima ih sa svim ključevima. Često je za izvođenje napada dovoljan običan rashladni sprej i temperatura od oko -50 stepeni. Postoji i preciznija opcija. Ako niste onemogućili učitavanje s vanjskih uređaja, tada će algoritam napadača biti još jednostavniji:
- Zamrznite memorijske kartice bez otvaranja kućišta
- Povežite USB fleš disk za pokretanje
- Koristite posebne uslužne programe za uklanjanje podataka iz RAM-a koji su preživjeli ponovno pokretanje zbog zamrzavanja.
Podijeli i vladaj
Ok, imamo samo virtuelne mašine, ali bih želeo da nekako smanjim rizike od curenja podataka.
Možete, u principu, pokušati revidirati arhitekturu i distribuirati skladištenje i obradu podataka u različitim jurisdikcijama. Na primjer, frontend s ključevima za šifriranje je od hostera u Češkoj, a backend sa šifriranim podacima je negdje u Rusiji. U slučaju standardnog pokušaja zapljene, vrlo je malo vjerovatno da će agencije za provođenje zakona to moći istovremeno izvršiti u različitim jurisdikcijama. Osim toga, ovo nas djelimično osigurava od scenarija snimanja.
Pa, ili možete razmotriti potpuno čistu opciju - end-to-end enkripciju. Naravno, ovo nadilazi opseg specifikacije i ne podrazumijeva izvođenje proračuna na strani udaljene mašine. Međutim, ovo je sasvim prihvatljiva opcija kada je u pitanju pohranjivanje i sinkronizacija podataka. Na primjer, ovo je vrlo zgodno implementirano u Nextcloudu. U isto vrijeme, sinhronizacija, verzioniranje i druge dobrote na strani servera neće nestati.
Ukupno
Ne postoje savršeno sigurni sistemi. Cilj je jednostavno učiniti napad vrednijim od potencijalnog dobitka.
Određeno smanjenje rizika pristupa podacima na virtuelnom sajtu može se postići kombinovanjem enkripcije i odvojenog skladištenja sa različitim hosterima.
Manje-više pouzdana opcija je korištenje vlastitog hardverskog servera.
Ali hosteru će se ipak morati vjerovati na ovaj ili onaj način. Cijela industrija počiva na tome.
izvor: www.habr.com