ProHoster > Blog > Rianachd > Dè nì thu ma thig siloviki chun neach-aoigheachd agad

Dè nì thu ma thig siloviki chun neach-aoigheachd agad

Dè nì thu ma thig siloviki chun neach-aoigheachd agadkdpv - Reuters

Ma gheibh thu frithealaiche air màl, chan eil làn smachd agad air. Tha seo a’ ciallachadh gum faod daoine le trèanadh sònraichte aig àm sam bith tighinn chun an ostail agus iarraidh ort an dàta agad a thoirt seachad. Agus bheir an neach-aoigheachd air ais iad ma thèid an t-iarrtas foirmeil a rèir an lagha.

Chan eil thu dha-rìribh ag iarraidh gun tèid na logaichean frithealaiche lìn no dàta cleachdaiche agad a-mach gu duine sam bith eile. Tha e do-dhèanta dìon math a thogail. Tha e cha mhòr do-dhèanta thu fhèin a dhìon bho neach-aoigheachd aig a bheil an hypervisor agus a bheir dhut inneal brìgheil. Ach is dòcha gum bi e comasach na cunnartan a lughdachadh beagan. Chan eil crioptachadh chàraichean màil cho gun fheum ’s a tha e coltach aig a’ chiad sealladh. Aig an aon àm, leig dhuinn sùil a thoirt air na cunnartan a thaobh toirt a-mach dàta bho luchd-frithealaidh fiosaigeach.

Modail bagairt

Mar riaghailt, feuchaidh an neach-aoigheachd ri ùidhean an neach-dèiligidh a dhìon cho mòr ‘s as urrainn fon lagh. Mura h-iarr an litir bho na h-ùghdarrasan oifigeil ach logaichean ruigsinneachd, cha toir an neach-aoigheachd seachad stòran-dàta de na h-innealan brìgheil agad gu lèir. Co-dhiù cha bu chòir. Ma dh’ iarras iad an dàta gu lèir, nì an òstair leth-bhreac de na diosgan brìgheil leis na faidhlichean gu lèir agus cha bhith fios agad mu dheidhinn.

Ge bith dè an suidheachadh, is e am prìomh amas agad an ionnsaigh a dhèanamh ro dhoirbh agus daor. Mar as trice tha trì prìomh roghainnean bagairt ann.

Oifigeil

Mar as trice, thèid litir pàipeir a chuir gu oifis oifigeil an neach-aoigheachd le riatanas an dàta riatanach a thoirt seachad a rèir an riaghlaidh iomchaidh. Ma thèid a h-uile càil a dhèanamh ceart, bheir an neach-aoigheachd na logaichean ruigsinneachd riatanach agus dàta eile dha na h-ùghdarrasan oifigeil. Mar as trice bidh iad dìreach ag iarraidh ort an dàta riatanach a chuir.

Aig amannan, ma tha sin riatanach, thig riochdairean bho bhuidhnean èigneachaidh lagha gu pearsanta chun ionad dàta. Mar eisimpleir, nuair a tha an frithealaiche sònraichte agad fhèin agus chan urrainnear dàta às an sin a thoirt ach gu corporra.

Anns a h-uile dùthaich, airson faighinn gu seilbh phrìobhaideach, a’ dèanamh rannsachaidhean agus gnìomhan eile tha feum air fianais gum faodadh fiosrachadh cudromach a bhith anns an dàta airson sgrùdadh eucoir. A bharrachd air an sin, tha feum air barantas sgrùdaidh air a chuir gu bàs a rèir nan riaghailtean uile. Is dòcha gu bheil nuances ann co-cheangailte ri feartan sònraichte reachdas ionadail. Is e am prìomh rud a dh'fheumas tu a thuigsinn ma tha an t-slighe oifigeil ceart, nach leig riochdairean an ionaid dàta duine seachad air an t-slighe a-steach.

A bharrachd air an sin, anns a’ mhòr-chuid de dhùthchannan chan urrainn dhut dìreach uidheamachd ruith a tharraing a-mach. Mar eisimpleir, anns an Ruis, gu deireadh 2018, a rèir Artaigil 183 de Chòd Modh-obrach Eucoir Caidreachas na Ruis, pàirt 3.1, chaidh gealltainn, rè grèim, gun deach meadhanan stòraidh dealanach a ghlacadh le com-pàirt. de speisealaiche. Le iarrtas bho neach-seilbh laghail nam meadhanan stòraidh dealanach a chaidh an glacadh no sealbhadair an fhiosrachaidh a tha orra, bidh an speisealaiche a tha an sàs anns an glacadh, an làthair luchd-fianais, a’ dèanamh lethbhreac den fhiosrachadh bho na meadhanan stòraidh dealanach a chaidh an glacadh gu meadhanan stòraidh dealanach eile.

An uairsin, gu mì-fhortanach, chaidh a 'phuing seo a thoirt air falbh bhon artaigil.

Dìomhair agus neo-oifigeil

Tha seo mar-thà na raon gnìomhachd de chompanaich air an trèanadh gu sònraichte bhon NSA, FBI, MI5 agus buidhnean trì litrichean eile. Mar as trice, tha reachdas dhùthchannan a’ toirt cumhachdan air leth farsaing airson structaran mar sin. A bharrachd air an sin, cha mhòr an-còmhnaidh casg reachdail air foillseachadh dìreach no neo-dhìreach air fìrinn co-obrachadh le leithid de bhuidhnean èigneachaidh lagha. Tha feadhainn coltach ris anns an Ruis riaghailtean laghail.

Ma tha an leithid de chunnart don dàta agad, cha mhòr gu cinnteach gun tèid an toirt a-mach. A bharrachd air an sin, a bharrachd air grèim sìmplidh, faodar an arsenal neo-oifigeil iomlan de dhorsan cùil, so-leòntachd latha neoni, toirt a-mach dàta bho RAM an inneal brìgheil agad, agus gàirdeachasan eile a chleachdadh. Anns a 'chùis seo, bidh e mar dhleastanas air an neach-aoigheachd eòlaichean cur an gnìomh lagha a chuideachadh cho mòr' sa ghabhas.

Neach-obrach neo-fhiosrachail

Chan eil a h-uile duine a cheart cho math. Faodaidh aon de luchd-rianachd an ionaid dàta co-dhùnadh airgead a bharrachd a dhèanamh agus an dàta agad a reic. Tha tuilleadh leasachaidhean an urra ris na cumhachdan agus an ruigsinneachd aige. Is e an rud as annasaiche gu bheil smachd iomlan aig rianadair aig a bheil cothrom air a’ chonsail virtualization air na h-innealan agad. Faodaidh tu an-còmhnaidh dealbh a ghabhail còmhla ris a h-uile susbaint san RAM agus an uairsin sgrùdadh slaodach a dhèanamh air.

VDS

Mar sin tha inneal brìgheil agad a thug an neach-aoigheachd dhut. Ciamar as urrainn dhut crioptachadh a chuir an gnìomh gus thu fhèin a dhìon? Gu dearbh, cha mhòr rud sam bith. A bharrachd air an sin, faodaidh eadhon frithealaiche sònraichte cuideigin eile a bhith na inneal brìgheil anns a bheil na h-innealan riatanach air an cuir a-steach.

Mura h-e obair an t-siostam iomallach dìreach dàta a stòradh, ach beagan àireamhachadh a dhèanamh, is e an aon roghainn a bhith ag obair le inneal neo-earbsach a bhith a’ cur an gnìomh. crioptachadh homomorphic. Anns a 'chùis seo, bidh an siostam a' dèanamh àireamhachadh gun a bhith comasach air tuigsinn dè dìreach a tha e a 'dèanamh. Gu mì-fhortanach, tha na cosgaisean os cionn a leithid de chrioptachadh cho àrd is gu bheil an cleachdadh practaigeach an-dràsta cuingealaichte ri gnìomhan glè chumhang.

A bharrachd air an sin, aig an àm nuair a tha an inneal brìgheil a ’ruith agus a’ coileanadh cuid de ghnìomhan, tha a h-uile leabhar crioptaichte ann an staid ruigsinneach, air neo cha bhith e comasach don OS obrachadh leotha. Tha seo a’ ciallachadh ma gheibh thu cothrom air a’ chonsail virtualization, faodaidh tu an-còmhnaidh dealbh a ghabhail de inneal ruith agus na h-iuchraichean gu lèir a thoirt a-mach à RAM.

Tha mòran de luchd-reic air feuchainn ri crioptachadh bathar-cruaidh de RAM a chuir air dòigh gus nach bi cothrom aig eadhon an neach-aoigheachd air an dàta seo. Mar eisimpleir, teicneòlas Intel Software Guard Extensions, a bhios ag eagrachadh raointean anns an àite seòlaidh brìgheil a tha air an dìon bho leughadh agus sgrìobhadh bho thaobh a-muigh na sgìre seo le pròiseasan eile, a ’toirt a-steach kernel an t-siostaim obrachaidh. Gu mì-fhortanach, cha bhith e comasach dhut earbsa iomlan a dhèanamh anns na teicneòlasan sin, oir bidh thu cuingealaichte ris an inneal brìgheil agad. A bharrachd air an sin, tha eisimpleirean deiseil ann mu thràth ionnsaigh soirbheachail airson an teicneòlas seo. Ach, chan eil crioptachadh innealan brìgheil cho gun fheum sa dh’ fhaodadh e a bhith.

Bidh sinn a’ crioptachadh dàta air VDS

Leig leam glèidheadh ​​​​sa bhad nach eil a h-uile dad a nì sinn gu h-ìosal a’ tighinn gu dìon làn-chuimseach. Leigidh an hypervisor leat na lethbhric riatanach a dhèanamh gun stad a chuir air an t-seirbheis agus gun a bhith mothachail dhut.

  • Ma tha, ma thèid iarraidh, an neach-aoigheachd a’ gluasad ìomhaigh “fuar” den inneal brìgheil agad, tha thu an ìre mhath sàbhailte. Is e seo an suidheachadh as cumanta.
  • Ma bheir an neach-aoigheachd dealbh slàn dhut de inneal ruith, tha a h-uile dad gu math dona. Thèid a h-uile dàta a chuir suas san t-siostam ann an cruth soilleir. A bharrachd air an sin, bidh e comasach ruith tro RAM a’ lorg iuchraichean prìobhaideach agus dàta coltach ris.

Gu gnàthach, ma chleachd thu an OS bho ìomhaigh vanilla, chan eil ruigsinneachd freumh aig an neach-aoigheachd. Faodaidh tu an-còmhnaidh na meadhanan a chuir suas leis an ìomhaigh teasairginn agus am facal-faire freumh atharrachadh le bhith a ’crootadh àrainneachd inneal brìgheil. Ach feumaidh seo ath-thòiseachadh, a thèid mothachadh. A bharrachd air an sin, thèid a h-uile sgaradh crioptaichte a dhùnadh.

Ach, mura h-eil cleachdadh inneal brìgheil a ’tighinn bho ìomhaigh vanilla, ach bho fhear a chaidh ullachadh ro-làimh, faodaidh an neach-aoigheachd gu tric cunntas sochair a chuir ris gus cuideachadh ann an suidheachadh èiginneach aig an neach-dèiligidh. Mar eisimpleir, gus facal-faire freumh a dhìochuimhnich atharrachadh.

Eadhon ann an cùis dealbh iomlan, chan eil a h-uile dad cho brònach. Chan fhaigh neach-ionnsaigh faidhlichean crioptaichte ma shuidhich thu iad bho shiostam faidhle iomallach inneal eile. Faodaidh, ann an teòiridh, faodaidh tu an dump RAM a thaghadh agus na h-iuchraichean crioptachaidh a thoirt a-mach às an sin. Ach ann an cleachdadh chan eil seo glè bheag agus tha e glè eu-coltach gum bi am pròiseas a 'dol seachad air gluasad faidhle sìmplidh.

Òrdaich càr

Dè nì thu ma thig siloviki chun neach-aoigheachd agad

Airson ar n-adhbharan deuchainn, bidh sinn a’ toirt inneal sìmplidh a-steach earrann airson frithealaichean òrdachadh. Chan eil feum againn air mòran ghoireasan, agus mar sin gabhaidh sinn an roghainn pàigheadh ​​​​airson an megahertz agus an trafaic a chaidh a chaitheamh. Dìreach gu leòr airson cluich leis.

Cha do dh'fhalbh an dm-crypt clasaigeach airson a' phàirt gu lèir. Gu gnàthach, tha an diosc air a thoirt seachad ann an aon phìos, le freumh airson a’ phàirt gu lèir. Tha a bhith a’ crìonadh sgaradh ext4 air fear le freumh gu ìre mhòr na bhreige cinnteach an àite siostam fhaidhlichean. Dh'fheuch mi) Cha do chuidich an tambourine.

A 'cruthachadh soitheach crypto

Mar sin, cha chuir sinn a-steach an sgaradh gu lèir, ach cleachdaidh sinn soithichean crypto faidhle, is e sin VeraCrypt sgrùdaichte agus earbsach. Airson ar n-adhbharan tha seo gu leòr. An toiseach, bidh sinn a’ tarraing a-mach agus a’ stàladh a’ phacaid leis an dreach CLI bhon làrach-lìn oifigeil. Faodaidh tu sgrùdadh a dhèanamh air an ainm-sgrìobhte aig an aon àm.

wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb

A-nis cruthaichidh sinn an soitheach fhèin am badeigin san dachaigh againn gus an urrainn dhuinn a chuir suas le làimh nuair a thèid ath-thòiseachadh. Anns an roghainn eadar-ghnìomhach, suidhich meud an t-soithich, facal-faire agus algorithms crioptachaidh. Faodaidh tu an cipher gràdhach Grasshopper agus gnìomh hash Stribog a thaghadh.

veracrypt -t -c ~/my_super_secret

A-nis leig dhuinn nginx a stàladh, cuir suas an soitheach agus lìon e le fiosrachadh dìomhair.

mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.png

Dèanamaid beagan ceart /var/www/html/index.nginx-debian.html gus an duilleag a tha thu ag iarraidh fhaighinn agus faodaidh tu sgrùdadh a dhèanamh air.

Dèan ceangal agus dèan cinnteach

Dè nì thu ma thig siloviki chun neach-aoigheachd agad
Tha an soitheach air a chuir suas, tha an dàta ruigsinneach agus air a chuir.

Dè nì thu ma thig siloviki chun neach-aoigheachd agad
Agus seo an inneal às deidh ath-thòiseachadh. Tha an dàta air a stòradh gu tèarainte ann an ~/my_super_secret.

Ma tha fìor fheum agad air agus gu bheil thu ga iarraidh, faodaidh tu an OS gu lèir a chrioptachadh gus am feum thu ceangal tro ssh agus facal-faire a chuir a-steach nuair a nì thu ath-thòiseachadh. Bidh seo cuideachd gu leòr ann an suidheachadh dìreach tarraing air ais “dàta fuar”. Seo Stiùireadh airson a bhith a 'cleachdadh dropbear agus crioptachadh diosc iomallach. Ged a tha e ann an cùis VDS tha e duilich agus gun fheum.

Meatailt lom

Chan eil e cho furasta am frithealaiche agad fhèin a stàladh ann an ionad dàta. Is dòcha gur e inneal brìgheil a th’ ann an coisrigte cuideigin eile anns am bi a h-uile inneal air a ghluasad. Ach tha rudeigin inntinneach a thaobh dìon a’ tòiseachadh nuair a bhios cothrom agad do fhrithealaiche corporra earbsach a chuir ann an ionad dàta. An seo faodaidh tu mu thràth làn chleachdadh dm-crypt traidiseanta, VeraCrypt no crioptachadh sam bith eile de do roghainn.

Feumaidh tu tuigsinn ma thèid crioptachadh iomlan a chuir an gnìomh, nach bi e comasach don fhrithealaiche faighinn air ais leis fhèin às deidh ath-thòiseachadh. Bidh e riatanach an ceangal ris an IP-KVM ionadail, IPMI no eadar-aghaidh eile den aon seòrsa àrdachadh. Às deidh sin cuiridh sinn a-steach am prìomh iuchair le làimh. Tha coltas cho math air an sgeama a thaobh leantalachd agus fulangas sgàinidhean, ach chan eil roghainnean sònraichte eile ann ma tha an dàta cho luachmhor.

Dè nì thu ma thig siloviki chun neach-aoigheachd agad
Modal tèarainteachd bathar-cruaidh NCipher nShield F3

Tha roghainn nas buige a’ gabhail ris gu bheil an dàta air a chrioptachadh agus gu bheil an iuchair suidhichte gu dìreach air an fhrithealaiche fhèin ann am modal sònraichte HSM (Modal Tèarainteachd Bathar-cruaidh). Mar riaghailt, tha iad sin nan innealan fìor ghnìomhach a tha chan ann a-mhàin a ’toirt seachad crioptachadh bathar-cruaidh, ach cuideachd aig a bheil dòighean airson oidhirpean hacaidh corporra a lorg. Ma thòisicheas cuideigin a’ gluasad timcheall an fhrithealaiche agad le grinder ceàrn, ath-shuidhichidh an HSM le solar cumhachd neo-eisimeileach na h-iuchraichean a bhios e a’ stòradh na chuimhne. Gheibh an neach-ionnsaigh am mincemeat crioptaichte. Anns a 'chùis seo, faodaidh an ath-thòiseachadh tachairt gu fèin-obrachail.

Tha toirt air falbh iuchraichean na roghainn fada nas luaithe agus nas daonnaiche na bhith a’ cur an gnìomh boma thermite no neach-grèim electromagnetic. Airson innealan mar seo, bidh do choimhearsnaich air do bhualadh airson ùine mhòr aig an raca san ionad dàta. A bharrachd air an sin, ann an cùis cleachdadh TCG Opal 2 a-nuas crioptachadh air na meadhanan fhèin, cha mhòr nach eil eòlas agad air cus. Bidh seo uile a’ tachairt gu follaiseach don OS. Fìor, anns a ’chùis seo feumaidh tu earbsa a bhith agad ann an Samsung cumhach agus an dòchas gu bheil AES256 onarach aige, agus chan e an XOR banal.

Aig an aon àm, cha bu chòir dhuinn dìochuimhneachadh gum feum a h-uile port neo-riatanach a bhith ciorramach gu corporra no dìreach air a lìonadh le todhar. Rud eile, bheir thu cothrom do luchd-ionnsaigh a dhèanamh DMA ionnsaighean. Ma tha PCI Express no Thunderbolt agad a’ cumail a-mach, a’ toirt a-steach USB leis an taic aige, tha thu so-leònte. Bidh neach-ionnsaigh comasach air ionnsaigh a dhèanamh tro na puirt sin agus faighinn gu dìreach gu cuimhne le iuchraichean.

Ann an dreach gu math adhartach, bidh e comasach don neach-ionnsaigh ionnsaigh bròg fuar a dhèanamh. Aig an aon àm, bidh e dìreach a ’dòrtadh cuibhreann math de nitrigin leaghaidh a-steach don t-seirbheisiche agad, gu ìre mhòr a’ toirt air falbh na bataichean cuimhne reòta agus a ’toirt dump bhuapa leis na h-iuchraichean gu lèir. Gu tric, tha spraeadh fuarachaidh cunbhalach agus teòthachd timcheall air -50 ceum gu leòr airson ionnsaigh a dhèanamh. Tha roghainn nas cruinne ann cuideachd. Mura h-eil thu air luchdachadh bho innealan taobh a-muigh a chiorramachadh, bidh algorithm an neach-ionnsaigh eadhon nas sìmplidh:

  1. Reubadh bataichean cuimhne gun a bhith a 'fosgladh a' chùis
  2. Ceangail an draibhear USB bootable agad
  3. Cleachd goireasan sònraichte gus dàta a thoirt air falbh bho RAM a thàinig beò às an ath-thòiseachadh mar thoradh air reothadh.

Roinn agus ceannsachadh

Ceart gu leòr, chan eil againn ach innealan brìgheil, ach bu mhath leam dòigh air choireigin na cunnartan bho aodion dàta a lughdachadh.
Faodaidh tu, ann am prionnsapal, feuchainn ris an ailtireachd ath-sgrùdadh agus stòradh agus giollachd dàta a sgaoileadh thairis air diofar uachdranasan. Mar eisimpleir, tha an aghaidh le iuchraichean crioptachaidh bhon òstair ann am Poblachd nan Seiceach, agus tha an backend le dàta crioptaichte an àiteigin san Ruis. A thaobh oidhirp glacaidh àbhaisteach, tha e glè eu-coltach gum bi e comasach dha buidhnean èigneachaidh lagha seo a dhèanamh aig an aon àm ann an diofar uachdranasan. A bharrachd air an sin, tha seo gu ìre gar toirt dhuinn an-aghaidh suidheachadh a bhith a’ togail dealbh.

Uill, no faodaidh tu beachdachadh air roghainn gu tur fìor-ghlan - crioptachadh End-to-End. Gu dearbh, tha seo a 'dol nas fhaide na raon an t-sònrachadh agus chan eil e a' ciallachadh a bhith a 'coileanadh àireamhachadh air taobh an inneal iomallach. Ach, tha seo na roghainn gu math iomchaidh nuair a thig e gu bhith a’ stòradh agus a’ sioncronadh dàta. Mar eisimpleir, tha seo air a chuir an gnìomh gu math goireasach ann an Nextcloud. Aig an aon àm, cha tèid sioncronadh, dreachdadh agus rudan math eile air taobh an fhrithealaiche air falbh.

Iomlan

Chan eil siostaman gu tur sàbhailte ann. Is e an amas dìreach an ionnsaigh a dhèanamh nas luachmhoire na a’ bhuannachd a dh’ fhaodadh a bhith ann.

Faodar beagan lughdachadh anns na cunnartan a thaobh faighinn gu dàta air làrach brìgheil le bhith a’ cothlamadh crioptachadh agus stòradh air leth le diofar luchd-aoigheachd.

Is e roghainn nas earbsaiche no nas lugha a bhith a’ cleachdadh an t-seirbheisiche bathar-cruaidh agad fhèin.

Ach feumaidh fhathast earbsa a bhith san neach-aoigheachd aon dòigh no dòigh eile. Tha an gnìomhachas gu lèir an urra ri seo.

Dè nì thu ma thig siloviki chun neach-aoigheachd agad

Dè nì thu ma thig siloviki chun neach-aoigheachd agad

Source: www.habr.com

Cuir beachd ann