Ingeniaria naiz prestakuntzaz, baina gehiago komunikatzen naiz ekintzaileekin eta produkzio zuzendariekin. Duela denbora pixka bat, industria enpresa bateko jabeak aholkularitza eskatu zuen. Enpresa handia izan eta 90eko hamarkadan sortu zen arren, kudeaketa eta kontabilitate modu zaharrean funtzionatzen dute tokiko sare batean.
Hau euren negozioarekiko beldurraren eta estatuaren kontrola areagotzearen ondorioa da. Legeak eta arauak oso modu zabalean interpreta ditzakete ikuskapen-agintariek. Adibide bat Zerga Kodearen aldaketak dira, zerga-urraketagatik, benetako suntsipena .
Ondorioz, negozioaren jabea informazioa biltegiratzeko eta dokumentuen transferentzia segururako irtenbideak bilatzen hasi zen. "Seguru" birtuala.
Arazoa lanaldi osoko sistema-administratzaile batekin landu genuen: zeuden plataformen azterketa sakona behar genuen.
- zerbitzuak ez luke hodeian oinarrituta egon behar, hitzaren zentzu klasikoan, hau da. hirugarren erakunde baten instalazioetan biltegiratu gabe. Zure zerbitzaria bakarrik;
- transmititutako eta gordetako datuen zifraketa sendoa behar da;
- beharrezkoa da edozein gailutako edukia botoi bat sakatzean premiazkoa ezabatzeko gaitasuna;
- irtenbidea atzerrian garatu zen.
Laugarren puntua kentzea proposatu nuen, zeren... Errusiako aplikazioek ziurtagiri ofizialak dituzte. Zuzendariak zuzenean esan zuen zer egin behar den ziurtagiri horiekin.
Aukeratu aukerak
Hiru irtenbide aukeratu ditut (zenbat eta aukera gehiago, orduan eta zalantza gehiago):
- Kode irekia - proiektua , Jacob Borg garatzaile sutsuak mantendua.
- , American Resilio Inc.-ek gainbegiratuta. (lehen BitTorrent Sync deitzen zen zerbitzu hau).
- Proiektu tik sinkronizazio aplikazioak. Zipreko erregistroa.
Konpainiaren jabeak konplexutasun teknikoak gutxi ulertzen ditu, beraz, txostena aukera bakoitzaren alde onen eta txarren zerrendan formatu nuen.
Analisiaren emaitzak
syncthing
Pros:
- Kode irekia;
- Garatzaile nagusiaren jarduera;
- Proiektua oso aspaldikoa da;
- Doan.
Cons:
- Ez dago iOS shell-erako bezerorik;
- Slow Turn zerbitzariak (doakoak dira, beraz, moteldu egiten dira). Horientzat, nork
ez jakitun, Turn zuzenean konektatzea ezinezkoa denean erabiltzen da; - Interfazearen konfigurazio konplexua (programazio-esperientzia behar da urte asko);
- Laguntza komertzial azkarren falta.
erresilioa
Pros: gailu guztien laguntza eta Turn zerbitzari azkarrak.
Cons: Bat eta oso esanguratsua laguntza-zerbitzuak edozein eskaerari erabat baztertzea da. Zero erantzuna, helbide ezberdinetatik idatzi arren.
Pvtbox
Pros:
- Gailu guztiak onartzen ditu;
- Fast Turn zerbitzariak;
- Fitxategi bat deskargatzeko gaitasuna aplikazioa instalatu gabe;
- Laguntza-zerbitzu egokia, barne. telefonoz.
Cons:
- Proiektu gaztea (kritika gutxi eta kritika onak);
- Gunearen interfazea oso "teknologikoa" da eta ez da beti argia;
- Ez dago dokumentazio zehatzik; arazo askok laguntza behar dute.
Zer aukeratu zuen bezeroak?
Bere lehen galdera hauxe da: zertarako balio du zerbait doan garatzeak? Sinkronizazioa bertan behera utzi zen berehala. Argudioek ez zuten funtzionatu.
Pare bat egun geroago, bezeroak kategorikoki baztertu zuen Resilio Sync laguntza faltagatik, zeren... Ez dago argi nora joan larrialdi egoera batean. Gainera, konpainiaren Amerikako erregistroarekiko mesfidantza.
Azterketa gehiago egiteko, Pvtbox Electronic kutxa gotorra geratzen da. Plataforma honen auditoria tekniko osoa egin genuen, atzemateko, datuak deszifratzeko eta baimenik gabeko informazioa biltegiratzeko aukeran arreta jarriz.
Ikuskaritza Prozesua
Programaren hasieran, funtzionamenduan eta egoera lasaian aztertu ditugu konexioak. Estandar modernoen araberako trafikoa hasieran zifratuta dago. Saia gaitezen MITM eraso bat egiten eta ziurtagiria hegan ordezkatzen Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Horretarako, bitartekari bat sartuko dugu Pvtbox aplikazioaren eta pvtbox.net zerbitzariaren artean (https konexio baten bidez pvtbox.net zerbitzariarekin datu-trukea dago).
Aplikazioa abiarazten dugu programa eta fitxategien sinkronizazioak bertan funtzionatzen duela ziurtatzeko. Linux-en, berehala ikus dezakezu programa terminaletik exekutatzen baduzu.
Itzali aplikazioa eta ordeztu pvtbox.net ostalariaren helbidea fitxategian / Etc / hosts supererabiltzaile pribilegioekin. Helbidea gure proxy zerbitzariaren helbidearekin ordezkatzen dugu.
Orain presta dezagun gure proxy zerbitzaria gure sare lokalean 192.168.1.64 helbidea duen ordenagailu batean MITM erasorako. Horretarako, instalatu mitmproxy paketearen 4.0.4 bertsioa.
Proxy zerbitzaria 443 atakan abiarazten dugu:
$ sudo mitmproxy -p 443
Pvtbox programa abiarazten dugu lehen ordenagailuan, begiratu mitmproxy irteera eta aplikazioen erregistroak.
Mitmproxy jakinarazi du bezeroak ez duela fidatzen proxy zerbitzariaren faltsutze-ziurtagiria. Aplikazioen erregistroetan ere ikusten dugu proxy zerbitzariaren ziurtagiriak ez duela egiaztapena gainditzen eta programak funtzionatzeari uko egiten diola.
Proxy zerbitzariaren ziurtagiria instalatzea mitmproxy Pvtbox aplikazioa duen ordenagailu batera ziurtagiria "fidagarria" izan dadin. Instalatu ca-certificates paketea zure ordenagailuan. Ondoren, kopiatu mitmproxy-ca-cert.pem ziurtagiria proxy zerbitzariaren .mitmproxy direktoriotik Pvtbox aplikazioa duen ordenagailura /usr/local/share/ca-certificates direktoriora.
Komandoak exekutatzen ditugu:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-certificates
Abiarazi Pvtbox aplikazioa. Ziurtagiriak huts egin du berriro egiaztatzen eta programak funtzionatzeari uko egiten dio. Aplikazioa seguruenik segurtasun mekanismo bat erabiltzen ari da Ziurtagiria finkatzea.
Antzeko erasoa egin zioten anfitrioiari signalserver.pvtbox.net, baita nodoen arteko peer-2-peer konexioa bera ere. Garatzaileak adierazten du peer-2-peer konexioak ezartzeko aplikazioak webrtc protokolo irekia erabiltzen duela, zeinak muturreko protokolo enkriptatzea erabiltzen duela. DTLSv1.2.
Gakoak konexio konfigurazio bakoitzerako sortzen dira eta enkriptatutako kanal baten bidez transmititzen dira signalserver.pvtbox.net.
Teorian, posible izango litzateke webrtc eskaintza atzematea eta mezuak erantzutea, han zifratze-gakoak ordezkatzea eta webrtc bidez iristen diren mezu guztiak deszifratu ahal izatea. Baina ezin izan zen mitm erasorik egin signalserver.pvtbox.net-en, beraz, ez dago modurik signalserver.pvtbox.net bidez bidalitako mezuak atzemateko eta ordezkatzeko.
Horren arabera, ezin da eraso hau peer-2-peer konexio batean egin.
Programarekin batera emandako ziurtagiriak dituen fitxategi bat ere aurkitu da. Fitxategia /opt/pvtbox/certifi/cacert.pem helbidean dago. Fitxategi hau gure mitmproxy proxyaren ziurtagiri fidagarri bat duen fitxategi batekin ordezkatu da. Emaitza ez zen aldatu - programak sistemara konektatzeari uko egin zion, akats bera ikusi zen erregistroan,
ziurtagiriak egiaztapena gainditzen ez duela.
Ikuskaritzaren emaitzak
Ezin izan dut trafikoa atzeman edo faltsutu. Fitxategien izenak, eta are gehiago haien edukia, zifratuta transmititzen dira, muturreko enkriptatzea erabiltzen da.Aplikazioak entzuteak eta infiltrazioak saihesten dituzten hainbat segurtasun mekanismo ezartzen ditu.
Ondorioz, konpainiak bi zerbitzari dedikatu erosi zituen (fisikoki kokapen ezberdinetan) informaziora behin betiko sartzeko. Lehenengo zerbitzaria informazioa jaso, prozesatu eta gordetzeko erabiltzen da, bigarrena babeskopia egiteko.
Zuzendariaren lan terminala eta iOS-eko telefono mugikor bat konektatu ziren sortutako hodei indibidualera. Beste langile batzuk Pvtbox-en lanaldi osoko sistemaren administratzaileak eta laguntza teknikoak konektatu zituzten.
Azken denboran, ez da lagunaren kexarik egon. Nire iritziak antzeko egoeran dauden Habr irakurleei laguntzea espero dut.
Iturria: www.habr.com