Je suis ingénieur de formation, mais je communique davantage avec les entrepreneurs et les directeurs de production. Il y a quelque temps, le propriétaire d’une entreprise industrielle a demandé conseil. Malgré le fait que l'entreprise soit grande et ait été créée dans les années 90, la gestion et la comptabilité fonctionnent à l'ancienne sur un réseau local.
C’est une conséquence des craintes pour leurs entreprises et du contrôle accru de l’État. Les lois et réglementations peuvent être interprétées de manière très large par les autorités d’inspection. Un exemple est les modifications apportées au Code des impôts, pour les infractions fiscales, destruction effective .
En conséquence, le propriétaire de l'entreprise a commencé à rechercher des solutions pour un stockage fiable des informations et un transfert sécurisé des documents. "Coffre-fort" virtuel.
Nous avons travaillé sur le problème avec un administrateur système à temps plein : nous avions besoin d'une analyse approfondie des plateformes existantes.
- le service ne doit pas être basé sur le cloud, au sens classique du terme, c'est-à-dire sans stockage dans les installations d'un organisme tiers. Uniquement votre serveur ;
- Un cryptage fort des données transmises et stockées est requis ;
- la possibilité de supprimer d’urgence du contenu de n’importe quel appareil en un seul clic est obligatoire ;
- la solution a été développée à l’étranger.
J'ai proposé de supprimer le quatrième point, car... Les applications russes ont des certificats officiels. Le directeur a directement expliqué ce qu'il fallait faire de ces certificats.
Choisissez des options
J'ai sélectionné trois solutions (plus il y a de choix, plus il y a de doutes) :
- Open Source - projet , maintenu par le développeur enthousiaste Jacob Borg.
- , supervisé par American Resilio Inc. (auparavant, ce service s'appelait BitTorrent Sync).
- Projet à partir de applications de synchronisation. Enregistrement à Chypre.
Le propriétaire de l'entreprise comprend peu les subtilités techniques, j'ai donc formaté le rapport sous la forme de listes d'avantages et d'inconvénients de chaque option.
Les résultats d'analyse
Syncthing
Avantages:
- Open source;
- Activité du développeur principal ;
- Le projet existe depuis très longtemps ;
- Gratuit.
Inconvénients:
- Il n'y a pas de client pour le shell iOS ;
- Serveurs Slow Turn (ils sont gratuits, donc ils ralentissent). Pour ceux qui
je ne le sais pas, Turn est utilisé lorsqu'il est impossible de se connecter directement ; - Configuration d'interface complexe (nécessite de nombreuses années d'expérience en programmation);
- Manque de support commercial rapide.
Résilio
Avantages: prise en charge de tous les appareils et des serveurs Turn rapides.
Inconvénients: L’un d’entre eux, très important, est le mépris total de toute demande de la part du service d’assistance. Aucune réponse, même si vous écrivez depuis des adresses différentes.
Boîte privée
Avantages:
- Prend en charge tous les appareils ;
- Serveurs Fast Turn ;
- Possibilité de télécharger un fichier sans installer l'application ;
- Service d'assistance adéquat, incl. par téléphone.
Moins:
- Jeune projet (peu de critiques et bonnes critiques) ;
- L’interface du site est très « technique » et pas toujours claire ;
- Il n'existe pas de documentation détaillée ; de nombreux problèmes nécessitent une assistance.
Qu'a choisi le client ?
Sa première question est : à quoi ça sert de développer quelque chose gratuitement ? La synchronisation a été immédiatement abandonnée. Les arguments n’ont pas fonctionné.
Quelques jours plus tard, le client a catégoriquement rejeté Resilio Sync en raison d'un manque de support, car... On ne sait pas où aller en cas d’urgence. Plus la méfiance à l’égard de l’enregistrement américain de l’entreprise.
Pour une analyse plus approfondie, le coffre-fort électronique Pvtbox demeure. Nous avons réalisé un audit technique complet de cette plateforme, en nous concentrant sur la possibilité d'interception, de décryptage de données et d'entrée non autorisée dans le stockage d'informations.
Processus de vérification
Nous avons analysé les connexions au début du programme, en cours de fonctionnement et dans un état calme. Le trafic selon les normes modernes est initialement crypté. Essayons de mener une attaque MITM et de remplacer le certificat à la volée en utilisant Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Pour ce faire, nous allons introduire un intermédiaire entre l'application Pvtbox et le serveur pvtbox.net (il y a un échange de données avec le serveur pvtbox.net via une connexion https).
Nous lançons l'application pour nous assurer que la synchronisation du programme et des fichiers y fonctionne. Sous Linux, vous pouvez immédiatement observer la journalisation si vous exécutez le programme depuis le terminal.
Éteignez l'application et remplacez l'adresse de l'hôte pvtbox.net dans le fichier / Etc / hosts avec les privilèges de superutilisateur. Nous remplaçons l'adresse par l'adresse de notre serveur proxy.
Préparons maintenant notre serveur proxy à une attaque MITM sur un ordinateur portant l'adresse 192.168.1.64 sur notre réseau local. Pour ce faire, installez le package mitmproxy version 4.0.4.
Nous démarrons le serveur proxy sur le port 443 :
$ sudo mitmproxy -p 443
Nous lançons le programme Pvtbox sur le premier ordinateur, examinons la sortie de mitmproxy et les journaux d'application.
Mitmproxy signale que le client ne fait pas confiance au faux certificat du serveur proxy. Dans les journaux d'application, nous voyons également que le certificat du serveur proxy ne réussit pas la vérification et que le programme refuse de fonctionner.
Installation d'un certificat de serveur proxy mimpproxy à un ordinateur avec l'application Pvtbox pour rendre le certificat « fiable ». Installez le package ca-certificates sur votre ordinateur. Copiez ensuite le certificat mitmproxy-ca-cert.pem du répertoire .mitmproxy du serveur proxy sur l'ordinateur avec l'application Pvtbox dans le répertoire /usr/local/share/ca-certificates.
Nous exécutons les commandes :
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$ sudo update-ca-certificats
Lancez l'application Pvtbox. La vérification du certificat a encore échoué et le programme refuse de fonctionner. L'application utilise probablement un mécanisme de sécurité Épinglage de certificat.
Une attaque similaire a été menée contre l'hôte signalserver.pvtbox.net, ainsi que la connexion peer-2-peer elle-même entre les nœuds. Le développeur indique que l'application permettant d'établir des connexions peer-2-peer utilise le protocole ouvert webrtc, qui utilise le cryptage du protocole de bout en bout. DTLSv1.2.
Les clés sont générées pour chaque configuration de connexion et transmises sur un canal crypté via signalserver.pvtbox.net.
Théoriquement, il serait possible d'intercepter les messages d'offre et de réponse webrtc, d'y remplacer les clés de chiffrement et de pouvoir décrypter tous les messages arrivant via webrtc. Mais il n'a pas été possible de mener une attaque mitm sur signalserver.pvtbox.net, il n'y a donc aucun moyen d'intercepter et de remplacer les messages envoyés via signalserver.pvtbox.net.
Il n’est donc pas possible de réaliser cette attaque sur une connexion peer-2-peer.
Un fichier contenant les certificats fournis avec le programme a également été découvert. Le fichier se trouve dans /opt/pvtbox/certifi/cacert.pem. Ce fichier a été remplacé par un fichier contenant un certificat de confiance de notre proxy mitmproxy. Le résultat n'a pas changé - le programme a refusé de se connecter au système, la même erreur a été observée dans le journal,
que le certificat ne passe pas la vérification.
Résultats de l'audit
Je n'ai pas pu intercepter ou usurper le trafic. Les noms de fichiers, et plus encore leur contenu, sont transmis sous forme cryptée, un cryptage de bout en bout est utilisé. L'application met en œuvre un certain nombre de mécanismes de sécurité qui empêchent les écoutes clandestines et les infiltrations.
En conséquence, l’entreprise a acheté deux serveurs dédiés (physiquement situés dans des endroits différents) pour un accès permanent aux informations. Le premier serveur est utilisé pour recevoir, traiter et stocker des informations, le second est utilisé pour la sauvegarde.
Le terminal de travail du directeur et un téléphone mobile sous iOS ont été connectés au cloud individuel résultant. D'autres employés étaient connectés par l'administrateur système à temps plein et le support technique de Pvtbox.
Au cours de la dernière période, aucune plainte n’a été reçue de la part de l’ami. J'espère que ma critique aidera les lecteurs de Habr dans une situation similaire.
Source: habr.com