kdpv - Reuters
Jos vuokraat palvelimen, sinulla ei ole täydellistä hallintaa siihen. Tämä tarkoittaa, että erikoiskoulutetut ihmiset voivat milloin tahansa tulla isännöitsijälle ja pyytää sinua antamaan tietojasi. Ja majoittaja antaa ne takaisin, jos vaatimus on lainmukainen.
Et todellakaan halua verkkopalvelimesi lokien tai käyttäjätietojen vuotavan kenellekään muulle. Ihanteellista puolustusta on mahdotonta rakentaa. On lähes mahdotonta suojautua isännöitsijältä, joka omistaa hypervisorin ja tarjoaa sinulle virtuaalikoneen. Mutta ehkä on mahdollista vähentää riskejä hieman. Vuokra-autojen salaus ei ole niin hyödytöntä kuin miltä ensi silmäyksellä näyttää. Tarkastellaan samalla fyysisiltä palvelimilta tiedon poimimisen uhkia.
Uhkamalli
Pääsääntöisesti majoittaja yrittää suojella asiakkaan etuja niin paljon kuin mahdollista lailla. Jos virallisten viranomaisten kirjeessä pyydettiin vain pääsylokeja, isännöitsijä ei tarjoa kaikkien virtuaalikoneidensi kaatotiedostoja tietokantoineen. Ei ainakaan pitäisi. Jos he pyytävät kaikkia tietoja, isännöitsijä kopioi virtuaalilevyt kaikkine tiedostoineen, etkä tiedä siitä.
Skenaariosta riippumatta päätavoitteesi on tehdä hyökkäyksestä liian vaikea ja kallis. Pääuhkavaihtoehtoja on yleensä kolme.
Virkamies
Useimmiten majoittajan viralliseen toimistoon lähetetään paperikirje, jossa vaaditaan tarvittavien tietojen toimittamista asiaa koskevien määräysten mukaisesti. Jos kaikki on tehty oikein, isännöitsijä toimittaa tarvittavat pääsylokit ja muut tiedot viranomaisille. Yleensä he vain pyytävät sinua lähettämään tarvittavat tiedot.
Toisinaan lainvalvontaviranomaisten edustajat tulevat palvelinkeskukseen henkilökohtaisesti, jos se on ehdottoman tarpeellista. Esimerkiksi kun sinulla on oma palvelin ja sieltä voi ottaa tietoja vain fyysisesti.
Kaikissa maissa yksityisomistukseen pääsy, etsinnät ja muut toimet edellyttävät näyttöä siitä, että tiedoissa voi olla rikosten tutkinnan kannalta tärkeää tietoa. Lisäksi vaaditaan kaikkien määräysten mukaisesti laadittu etsintälupa. Paikallisen lainsäädännön erityispiirteisiin saattaa liittyä vivahteita. Tärkein asia, joka sinun on ymmärrettävä, on, että jos virallinen polku on oikea, palvelinkeskuksen edustajat eivät päästä ketään sisäänkäynnin ohi.
Lisäksi useimmissa maissa juoksulaitteita ei voi yksinkertaisesti vetää ulos. Esimerkiksi Venäjällä vuoden 2018 loppuun asti Venäjän federaation rikosprosessilain 183 §:n 3.1 osan mukaisesti taattiin, että takavarikoinnin aikana sähköisten tallennusvälineiden takavarikointi toteutettiin osallistumalla asiantuntijalta. Takavarikoitujen sähköisten tallennusvälineiden laillisen omistajan tai niillä olevien tietojen omistajan pyynnöstä takavarikointiin osallistuva asiantuntija kopioi todistajien läsnä ollessa tiedot takavarikoidusta sähköisestä tallennusvälineestä muille sähköisille tallennusvälineille.
Sitten valitettavasti tämä kohta poistettiin artikkelista.
Salainen ja epävirallinen
Tämä on jo NSA:n, FBI:n, MI5:n ja muiden kolmikirjaimien organisaatioiden erityisesti koulutettujen toverien toiminta-alue. Useimmiten maiden lainsäädäntö antaa erittäin laajat valtuudet tällaisille rakenteille. Lisäksi lainvalvontaviranomaisten kanssa tehtävän yhteistyön suora tai välillinen paljastaminen on lähes aina kiellettyä. Venäjällä on samanlaisia .
Jos tietoihisi kohdistuu tällainen uhka, ne melkein varmasti poistetaan. Lisäksi yksinkertaisen takavarikoinnin lisäksi voidaan käyttää koko epävirallista takaovien arsenaalia, nollapäivän haavoittuvuuksia, datan purkamista virtuaalikoneen RAM-muistista ja muita iloja. Tässä tapauksessa majoittaja on velvollinen auttamaan lainvalvontaasiantuntijoita niin paljon kuin mahdollista.
Häikäilemätön työntekijä
Kaikki ihmiset eivät ole yhtä hyviä. Yksi palvelinkeskuksen ylläpitäjistä voi päättää ansaita ylimääräistä rahaa ja myydä tietosi. Jatkokehitys riippuu hänen mahdollisuuksistaan ja pääsystä. Ärsyttävin asia on, että järjestelmänvalvojalla, jolla on pääsy virtualisointikonsoliin, on täydellinen hallinta koneistasi. Voit aina ottaa tilannekuvan koko RAM-muistin sisällöstä ja tutkia sitä sitten hitaasti.
vds
Joten sinulla on virtuaalikone, jonka isännöitsijä antoi sinulle. Kuinka voit ottaa salauksen käyttöön suojataksesi itsesi? Itse asiassa käytännössä ei mitään. Lisäksi jopa jonkun muun oma palvelin voi päätyä virtuaalikoneeksi, johon tarvittavat laitteet asetetaan.
Jos etäjärjestelmän tehtävänä ei ole vain tallentaa tietoja, vaan suorittaa joitain laskelmia, ainoa vaihtoehto työskennellä epäluotettavan koneen kanssa olisi toteuttaa . Tässä tapauksessa järjestelmä suorittaa laskelmia ilman kykyä ymmärtää, mitä se tarkalleen tekee. Valitettavasti tällaisen salauksen toteuttamisen yleiskustannukset ovat niin korkeat, että niiden käytännön käyttö rajoittuu tällä hetkellä hyvin kapeisiin tehtäviin.
Lisäksi sillä hetkellä, kun virtuaalikone on käynnissä ja suorittaa joitain toimintoja, kaikki salatut taltiot ovat käytettävissä, muuten käyttöjärjestelmä ei yksinkertaisesti pysty toimimaan niiden kanssa. Tämä tarkoittaa, että kun sinulla on pääsy virtualisointikonsoliin, voit aina ottaa tilannekuvan käynnissä olevasta koneesta ja purkaa kaikki avaimet RAM-muistista.
Monet toimittajat ovat yrittäneet järjestää RAM-muistin laitteistosalauksen niin, että edes isännöitsijällä ei ole pääsyä näihin tietoihin. Esimerkiksi Intel Software Guard Extensions -tekniikka, joka järjestää virtuaaliseen osoiteavaruuteen alueita, jotka ovat suojattu lukemiselta ja kirjoittamiselta alueen ulkopuolelta muilla prosesseilla, mukaan lukien käyttöjärjestelmän ydin. Valitettavasti et voi täysin luottaa näihin tekniikoihin, koska rajoitat virtuaalikoneesi. Lisäksi valmiita esimerkkejä on jo olemassa tälle tekniikalle. Silti virtuaalikoneiden salaus ei ole niin turhaa kuin miltä se saattaa näyttää.
Salaamme tiedot VDS:ssä
Haluan tehdä varauksen heti, että kaikki mitä teemme alla, ei ole täysimittaista suojaa. Hypervisorin avulla voit tehdä tarvittavat kopiot keskeyttämättä palvelua ja huomaamattasi.
- Jos isännöitsijä lähettää pyynnöstä "kylmän" kuvan virtuaalikoneestasi, olet suhteellisen turvassa. Tämä on yleisin skenaario.
- Jos isännöitsijä antaa sinulle täydellisen tilannekuvan käynnissä olevasta koneesta, kaikki on melko huonosti. Kaikki tiedot liitetään järjestelmään selkeässä muodossa. Lisäksi on mahdollista selata RAM-muistia etsiessään yksityisiä avaimia ja vastaavia tietoja.
Oletuksena, jos otit käyttöjärjestelmän käyttöön vaniljakuvasta, isännöitsijällä ei ole pääkäyttäjän oikeuksia. Voit aina liittää median pelastuskuvan kanssa ja vaihtaa pääkäyttäjän salasanan chrootamalla virtuaalikoneen ympäristön. Mutta tämä vaatii uudelleenkäynnistyksen, joka huomataan. Lisäksi kaikki asennetut salatut osiot suljetaan.
Jos virtuaalikoneen käyttöönotto ei kuitenkaan tule vaniljakuvasta, vaan valmiista, isännöitsijä voi usein lisätä etuoikeutetun tilin avuksi asiakkaan hätätilanteessa. Esimerkiksi unohtuneen pääkäyttäjän salasanan vaihtaminen.
Jopa täydellisen tilannekuvan tapauksessa kaikki ei ole niin surullista. Hyökkääjä ei saa salattuja tiedostoja, jos olet liittänyt ne toisen koneen etätiedostojärjestelmästä. Kyllä, teoriassa voit valita RAM-vedoksen ja purkaa salausavaimet sieltä. Mutta käytännössä tämä ei ole kovin triviaalia, ja on erittäin epätodennäköistä, että prosessi ylittäisi yksinkertaisen tiedostonsiirron.
Tilaa auto
Testitarkoituksiin otamme käyttöön yksinkertaisen koneen . Emme tarvitse paljoa resursseja, joten valitsemme mahdollisuuden maksaa tosiasiallisesti käytetystä megahertsistä ja liikenteestä. Juuri tarpeeksi leikkiä.
Klassinen dm-crypt koko osio ei lähtenyt nousuun. Oletusarvoisesti levy annetaan yhtenä kappaleena, ja koko osion juuri on. Ext4-osion pienentäminen juuriasennetussa on käytännössä taattu tiili tiedostojärjestelmän sijaan. Yritin) Tamburiini ei auttanut.
Salaussäilön luominen
Siksi emme salaa koko osiota, vaan käytämme tiedostojen salaussäilöjä, nimittäin tarkastettua ja luotettavaa VeraCryptiä. Meidän tarkoituksiinmme tämä riittää. Ensin vedämme ja asennamme paketin CLI-versiolla viralliselta verkkosivustolta. Voit tarkistaa allekirjoituksen samalla.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Nyt luomme itse kontin jonnekin kotiimme, jotta voimme asentaa sen manuaalisesti uudelleenkäynnistyksen yhteydessä. Aseta interaktiivisessa vaihtoehdossa säilön koko, salasana ja salausalgoritmit. Voit valita isänmaallisen salauksen Grasshopper ja Stribog-hajautustoiminnon.
veracrypt -t -c ~/my_super_secretAsennataan nyt nginx, asennetaan säiliö ja täytetään se salaisilla tiedoilla.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngKorjataan hieman /var/www/html/index.nginx-debian.html saadaksesi halutun sivun ja voit tarkistaa sen.
Yhdistä ja tarkista
Säiliö on asennettu, tiedot ovat käytettävissä ja lähetetään.
Ja tässä kone uudelleenkäynnistyksen jälkeen. Tiedot on tallennettu turvallisesti ~/my_super_secret-kansioon.
Jos todella tarvitset sitä ja haluat sen hardcorea, voit salata koko käyttöjärjestelmän niin, että kun käynnistät sen uudelleen, se vaatii yhteyden muodostamisen ssh:n kautta ja salasanan syöttämistä. Tämä riittää myös skenaariossa, jossa yksinkertaisesti poistetaan "kylmät tiedot". Tässä ja etälevyn salaus. Vaikka VDS:n tapauksessa se on vaikeaa ja tarpeetonta.
Paljas metalli
Oman palvelimen asentaminen datakeskukseen ei ole niin helppoa. Jonkun muun omistama voi osoittautua virtuaalikoneeksi, johon kaikki laitteet siirretään. Mutta jotain mielenkiintoista suojauksen kannalta alkaa, kun sinulla on mahdollisuus sijoittaa luotettava fyysinen palvelimesi datakeskukseen. Täällä voit jo täysin käyttää perinteistä dm-crypt, VeraCrypt tai mitä tahansa muuta valitsemaasi salausta.
Sinun on ymmärrettävä, että jos täydellinen salaus otetaan käyttöön, palvelin ei pysty palautumaan itsestään uudelleenkäynnistyksen jälkeen. Yhteys on nostettava paikalliseen IP-KVM-, IPMI- tai muuhun vastaavaan rajapintaan. Sen jälkeen syötämme pääavaimen manuaalisesti. Jatkuvuuden ja vikasietoisuuden suhteen kaavio näyttää niin ja niin hyvältä, mutta erityisiä vaihtoehtoja ei ole, jos data on niin arvokasta.
NCipher nShield F3 Hardware Security Module
Pehmeämpi vaihtoehto olettaa, että tiedot on salattu ja avain sijaitsee suoraan itse palvelimella erityisessä HSM:ssä (Hardware Security Module). Yleensä nämä ovat erittäin toimivia laitteita, jotka eivät vain tarjoa laitteistosalausta, vaan niillä on myös mekanismeja fyysisten hakkerointiyritysten havaitsemiseksi. Jos joku alkaa puuhailla palvelintasi kulmahiomakoneella, itsenäisellä virtalähteellä varustettu HSM nollaa muistiinsa tallentamat avaimet. Hyökkääjä saa salatun jauhelihan. Tässä tapauksessa uudelleenkäynnistys voi tapahtua automaattisesti.
Avainten poistaminen on paljon nopeampi ja inhimillisempi vaihtoehto kuin termiittipommin tai sähkömagneettisen pysäyttimen aktivoiminen. Tällaisissa laitteissa naapurisi hakkaavat sinua hyvin pitkään datakeskuksen telineessä. Lisäksi käytössä salaus itse mediaan, et koe käytännössä mitään ylimääräisiä kustannuksia. Kaikki tämä tapahtuu läpinäkyvästi käyttöjärjestelmälle. Totta, tässä tapauksessa sinun täytyy luottaa ehdolliseen Samsungiin ja toivoa, että sillä on rehellinen AES256, eikä banaali XOR.
Samalla emme saa unohtaa, että kaikki tarpeettomat portit on poistettava fyysisesti käytöstä tai yksinkertaisesti täytettävä yhdisteellä. Muuten annat hyökkääjille mahdollisuuden suorittaa . Jos sinulla on PCI Express tai Thunderbolt, mukaan lukien USB sen tuella, olet haavoittuvainen. Hyökkääjä voi suorittaa hyökkäyksen näiden porttien kautta ja päästä suoraan muistiin avainten avulla.
Hyvin kehittyneessä versiossa hyökkääjä pystyy suorittamaan kylmäkäynnistyshyökkäyksen. Samalla se yksinkertaisesti kaataa hyvän annoksen nestemäistä typpeä palvelimellesi, poistaa karkeasti jäätyneet muistitikut ja ottaa niistä kaatopaikan kaikilla avaimilla. Usein tavallinen jäähdytyssuihku ja noin -50 asteen lämpötila riittävät hyökkäykseen. On myös tarkempi vaihtoehto. Jos et ole poistanut latausta ulkoisista laitteista, hyökkääjän algoritmi on vielä yksinkertaisempi:
- Pakasta muistitikut avaamatta koteloa
- Liitä käynnistettävä USB-muistitikku
- Käytä erityisiä apuohjelmia tietojen poistamiseen RAM-muistista, joka selvisi uudelleenkäynnistyksen jäätymisen vuoksi.
Jaa ja valloita
Ok, meillä on vain virtuaalikoneita, mutta haluaisin jotenkin vähentää tietovuotojen riskejä.
Periaatteessa voit yrittää tarkistaa arkkitehtuuria ja jakaa tietojen tallennuksen ja käsittelyn eri lainkäyttöalueille. Esimerkiksi salausavaimilla varustettu käyttöliittymä on isännöitsijältä Tšekin tasavallasta, ja salatun datan taustaosa on jossain Venäjällä. Tavanomaisen takavarikkoyrityksen tapauksessa on erittäin epätodennäköistä, että lainvalvontaviranomaiset pystyvät suorittamaan sen samanaikaisesti eri lainkäyttöalueilla. Lisäksi tämä suojaa meidät osittain tilannekuvan ottamisesta.
No, tai voit harkita täysin puhdasta vaihtoehtoa - päästä päähän -salausta. Tietenkin tämä ylittää määrittelyn eikä tarkoita laskelmien suorittamista etäkoneen puolella. Tämä on kuitenkin täysin hyväksyttävä vaihtoehto tietojen tallentamisessa ja synkronoinnissa. Tämä on esimerkiksi erittäin kätevästi toteutettu Nextcloudissa. Samaan aikaan synkronointi, versiointi ja muut palvelinpuolen edut eivät katoa.
Yhteensä
Ei ole olemassa täysin turvallisia järjestelmiä. Tavoitteena on yksinkertaisesti tehdä hyökkäyksestä arvokkaampi kuin mahdollinen hyöty.
Virtuaalisivuston tietojen käyttöriskejä voidaan pienentää jossain määrin yhdistämällä salaus ja erillinen tallennus eri isännöitsijillä.
Enemmän tai vähemmän luotettava vaihtoehto on käyttää omaa laitteistopalvelinta.
Mutta isännöitsijään on silti luotettava tavalla tai toisella. Koko toimiala perustuu tähän.
Lähde: will.com