ProHoster > Блог > interretaj novaĵoj > Konfidenca "nubo". Ni serĉas alternativon al malfermaj solvoj

Konfidenca "nubo". Ni serĉas alternativon al malfermaj solvoj

Mi estas inĝeniero per trejnado, sed mi komunikas pli kun entreprenistoj kaj produktaj direktoroj. Antaŭ iom da tempo, la posedanto de industria kompanio petis konsilon. Malgraŭ la fakto, ke la entrepreno estas granda kaj estis kreita en la 90-aj jaroj, administrado kaj kontado funkcias malmoderne en loka reto.

Ĉi tio estas sekvo de timoj por ilia komerco kaj pliigita kontrolo de la ŝtato. Leĝoj kaj regularoj povas esti interpretitaj tre larĝe fare de inspektadminstracioj. Ekzemplo estas la amendoj al la Impostokodo, forigante la statuton de limigoj por impostmalobservoj, efektiva detruo banka kaj revizia sekreteco.

Kiel rezulto, la komercisto komencis serĉi solvojn por fidinda konservado de informoj kaj sekura translokigo de dokumentoj. Virtuala "sekura".

Ni laboris pri la problemo kun plentempa sistemadministranto: ni bezonis profundan analizon de ekzistantaj platformoj.

  • la servo ne estu nubbazita, en la klasika senco de la vorto, t.e. sen stokado ĉe la instalaĵoj de tria organizo. Nur via servilo;
  • forta ĉifrado de transdonitaj kaj stokitaj datumoj estas postulata;
  • la kapablo urĝe forigi enhavon de iu ajn aparato per klako de butono estas deviga;
  • la solvo estis disvolvita eksterlande.

Mi proponis forigi la kvaran punkton, ĉar... Rusaj aplikaĵoj havas oficialajn atestojn. La direktoro rekte diris, kion oni devas fari kun tiaj atestiloj.

Elektante opciojn

Mi elektis tri solvojn (ju pli da elektoj, des pli da duboj):

La posedanto de la kompanio malmulte komprenas teknikajn komplikaĵojn, do mi formatis la raporton en la formo de listoj de avantaĝoj kaj malavantaĝoj de ĉiu opcio.

Analizrezultoj

Sinktono

Puloj:

  • Malferma fonto;
  • Agado de la ĉefa programisto;
  • La projekto ekzistas de tre longa tempo;
  • Senpaga.

Kons:

  • Ne ekzistas kliento por la iOS-ŝelo;
  • Slow Turn-serviloj (ili estas senpagaj, do ili malrapidiĝas). Por tiuj, kiuj
    ne konsciante, Turnu estas uzata kiam estas neeble konekti rekte;
  • Kompleksa interfaco-aranĝo (postulas multajn jarojn da programada sperto);
  • Manko de rapida komerca subteno.

resilio

Pros: subteno por ĉiuj aparatoj kaj rapidaj Turn-serviloj.

Kons: Unu kaj tre signifa estas la kompleta malrespekto de ajnaj petoj de la subtena servo. Nula respondo, eĉ se vi skribas de malsamaj adresoj.

Pvtkesto

Pros:

  • Subtenas ĉiujn aparatojn;
  • Rapidaj Turnaj serviloj;
  • Kapablo elŝuti dosieron sen instali la aplikaĵon;
  • Adekvata helpservo, inkl. per telefono.

Miksoj:

  • Juna projekto (malmultaj recenzoj kaj bonaj recenzoj);
  • La interfaco de la retejo estas tre "teknika" kaj ne ĉiam klara;
  • Ne estas ĝisfunde detala dokumentado; multaj aferoj postulas subtenon.

Kion elektis la kliento?

Lia unua demando estas: kio estas senpage disvolvi ion? Sinkronigado estis tuj forlasita. La argumentoj ne funkciis.

Kelkajn tagojn poste, la kliento kategorie malakceptis Resilio Sync pro manko de subteno, ĉar... Ne estas klare kien iri en kriz-situacio. Plie malfido pri la usona registrado de la kompanio.

Por plia analizo, la Pvtbox Elektronika monŝranko restas. Ni faris plenan teknikan revizion de ĉi tiu platformo, koncentriĝante al la ebleco de interkapto, malĉifrado de datumoj kaj neaŭtorizita eniro en la informstokadon.

Kontrola Procezo

Ni analizis la konektojn je la komenco de la programo, dum funkciado kaj en trankvila stato. Trafiko laŭ modernaj normoj estas komence ĉifrita. Ni provu efektivigi MITM-atakon kaj anstataŭigi la atestilon sur la flugo uzante Linukso (Xubuntu Linukso 18.04), Wireshark, Mitmproxy. Por fari tion, ni enkondukos peranton inter la aplikaĵo Pvtbox kaj la servilo pvtbox.net (estas interŝanĝo de datumoj kun la servilo pvtbox.net per https-konekto).

Ni lanĉas la aplikaĵon por certigi, ke la programo kaj dosiera sinkronigado funkcias en ĝi. En Linukso, vi povas tuj observi ensalutadon se vi rulas la programon de la terminalo.
Konfidenca "nubo". Ni serĉas alternativon al malfermaj solvoj

Malŝaltu la aplikaĵon kaj anstataŭigu la gastigandreson de pvtbox.net en la dosiero / ktp / gastigantoj kun privilegioj de superuzanto. Ni anstataŭigas la adreson per la adreso de nia prokura servilo.
Konfidenca "nubo". Ni serĉas alternativon al malfermaj solvoj

Nun ni preparu nian prokuran servilon por MITM-atako sur komputilo kun la adreso 192.168.1.64 en nia loka reto. Por fari tion, instalu la pakaĵon mitmproxy version 4.0.4.

Ni startas la prokuran servilon sur la haveno 443:
$ sudo mitmproxy -p 443

Ni lanĉas la programon Pvtbox en la unua komputilo, rigardu la mitmproxy-produktaĵon kaj aplikajn protokolojn.
Konfidenca "nubo". Ni serĉas alternativon al malfermaj solvoj

Mitmproxy raportas, ke la kliento ne fidas la falsan atestilon de la prokura servilo. En la aplikaĵaj protokoloj ni ankaŭ vidas, ke la atestilo de prokura servilo ne trapasas kontrolon kaj la programo rifuzas funkcii.

Instalante atestilon de prokura servilo mitmproxy al komputilo kun la aplikaĵo Pvtbox por fari la atestilon "fidinda". Instalu la pakaĵon ca-certificates en via komputilo. Poste kopiu la atestilon mitmproxy-ca-cert.pem el la dosierujo .mitmproxy de la prokura servilo al la komputilo kun la aplikaĵo Pvtbox en la dosierujon /usr/local/share/ca-certificates.

Ni plenumas la komandojn:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-certificates
Konfidenca "nubo". Ni serĉas alternativon al malfermaj solvoj

Lanĉu la aplikaĵon Pvtbox. La atestilo denove malsukcesis kontroli kaj la programo rifuzas funkcii. La aplikaĵo verŝajne uzas sekurecan mekanismon Atestilo alpinglado.

Simila atako estis farita kontraŭ la gastiganto signalserver.pvtbox.net, same kiel la kunul-2-kunulkonekto mem inter nodoj. La programisto indikas, ke la aplikaĵo por starigo de samuloj-2-kunularoj uzas la malfermitan webrtc-protokolon, kiu uzas fin-al-finan protokolan ĉifradon. DTLSv1.2.

Ŝlosiloj estas generitaj por ĉiu koneksa agordo kaj elsenditaj tra ĉifrita kanalo per signalserver.pvtbox.net.

Teorie, eblus kapti webrtc-oferton kaj respondi mesaĝojn, anstataŭigi tie la ĉifrajn ŝlosilojn kaj povi malĉifri ĉiujn mesaĝojn alvenantajn per webrtc. Sed ne eblis fari mitm-atakon ĉe signalserver.pvtbox.net, do ne estas maniero kapti kaj anstataŭigi mesaĝojn senditajn per signalserver.pvtbox.net.

Sekve, ne eblas efektivigi ĉi tiun atakon kontraŭ samulo-2-kunulo.

Dosiero kun atestiloj liveritaj kun la programo ankaŭ estis malkovrita. La dosiero troviĝas ĉe /opt/pvtbox/certifi/cacert.pem. Ĉi tiu dosiero estis anstataŭigita per dosiero, kiu enhavas fidindan atestilon de nia mitmproxy prokurilo. La rezulto ne ŝanĝiĝis - la programo rifuzis konekti al la sistemo, la sama eraro estis observita en la protokolo,
ke la atestilo ne trapasas kontrolon.

Kontrolaj rezultoj

Mi ne povis kapti aŭ parodi trafikon. Dosiernomoj, kaj des pli ilia enhavo, estas transdonitaj en ĉifrita formo, estas uzata ĉifrado de fino al rando.La aplikaĵo efektivigas kelkajn sekurecajn mekanismojn kiuj malhelpas subaŭskultadon kaj enfiltriĝon.

Kiel rezulto, la firmao aĉetis du diligentajn servilojn (fizike en malsamaj lokoj) por permanenta aliro al informoj. La unua servilo estas uzata por ricevi, prilabori kaj konservi informojn, la dua estas uzata por sekurkopio.

La laborterminalo de la direktoro kaj poŝtelefono en iOS estis konektitaj al la rezulta individua nubo. Aliaj dungitoj estis ligitaj fare de la plentempa sistemadministranto kaj teknika subteno de Pvtbox.

Dum la pasinta tempo, ne estis plendoj de la amiko. Mi esperas, ke mia recenzo helpos Habr-legantojn en simila situacio.

fonto: www.habr.com

Aldoni komenton