kdpv - Reuters
Se alugas un servidor, non tes control total sobre el. Isto significa que, en calquera momento, persoas especialmente adestradas poden achegarse ao hospedador e solicitarche que proporciones calquera dos teus datos. E o hospedador devolveraas se a demanda se forma segundo a lei.
Realmente non queres que os rexistros do teu servidor web ou os datos do usuario se filtren a ninguén. É imposible construír unha defensa ideal. É case imposible protexerse dun host que posúe o hipervisor e que che proporciona unha máquina virtual. Pero quizais sexa posible reducir un pouco os riscos. Cifrar coches de aluguer non é tan inútil como parece a primeira vista. Ao mesmo tempo, vexamos as ameazas da extracción de datos dos servidores físicos.
Modelo de ameaza
Como regra xeral, o hospedador tentará protexer os intereses do cliente na medida do posible pola lei. Se a carta das autoridades oficiais só solicitaba rexistros de acceso, o servidor non proporcionará vertedoiros de todas as súas máquinas virtuais con bases de datos. Polo menos non debería. Se piden todos os datos, o host copiará os discos virtuais con todos os ficheiros e ti non o saberás.
Independentemente do escenario, o teu principal obxectivo é facer o ataque demasiado difícil e caro. Normalmente hai tres opcións de ameaza principais.
Oficial
Na maioría das veces, envíase unha carta en papel á oficina oficial do hospedador coa obriga de proporcionar os datos necesarios de acordo coa normativa pertinente. Se todo está feito correctamente, o host proporciona os rexistros de acceso necesarios e outros datos ás autoridades oficiais. Normalmente só che piden que envíes os datos necesarios.
Ocasionalmente, se é absolutamente necesario, representantes das axencias de aplicación da lei acoden persoalmente ao centro de datos. Por exemplo, cando tes o teu propio servidor dedicado e os datos de alí só se poden tomar fisicamente.
En todos os países, o acceso á propiedade privada, a realización de buscas e outras actividades requiren probas de que os datos poden conter información importante para a investigación dun delito. Ademais, requírese unha orde de busca executada de acordo con todas as normas. Pode haber matices relacionados coas peculiaridades da lexislación local. O principal que debes entender é que, se o camiño oficial é correcto, os representantes do centro de datos non deixarán que ninguén pase da entrada.
Ademais, na maioría dos países non pode simplemente sacar o equipo de execución. Por exemplo, en Rusia, ata finais de 2018, segundo o artigo 183 do Código de Procedimento Penal da Federación Rusa, parte 3.1, garantiuse que durante unha incautación, a incautación de medios de almacenamento electrónico realizouse coa participación. dun especialista. Por petición do titular legal dos soportes electrónicos incautados ou da información contida neles, o especialista que participe na incautación, en presenza de testemuñas, copia a información dos soportes electrónicos incautados noutros soportes de almacenamento electrónico.
Entón, por desgraza, este punto foi eliminado do artigo.
Secreto e non oficial
Este xa é o territorio de actividade de compañeiros especialmente adestrados da NSA, FBI, MI5 e outras organizacións de tres letras. Na maioría das veces, a lexislación dos países proporciona poderes moi amplos para tales estruturas. Ademais, case sempre existe unha prohibición lexislativa sobre calquera divulgación directa ou indirecta do feito mesmo da cooperación con tales axencias de aplicación da lei. Hai outros semellantes en Rusia .
No caso de que se produza unha ameaza para os teus datos, case seguramente serán eliminados. Ademais, ademais da simple incautación, pódese utilizar todo o arsenal non oficial de portas traseiras, vulnerabilidades de día cero, extracción de datos da memoria RAM da túa máquina virtual e outras alegrías. Neste caso, o hospedador estará obrigado a asistir na medida do posible aos especialistas en aplicación da lei.
Empregado sen escrúpulos
Non todas as persoas son igual de boas. Un dos administradores do centro de datos pode decidir gañar cartos extra e vender os seus datos. Os desenvolvementos posteriores dependen dos seus poderes e acceso. O máis molesto é que un administrador con acceso á consola de virtualización ten control total sobre as túas máquinas. Sempre podes facer unha instantánea xunto con todo o contido da memoria RAM e despois estudala lentamente.
VDS
Así que tes unha máquina virtual que che regalou o host. Como podes implementar o cifrado para protexerte? De feito, practicamente nada. Ademais, incluso o servidor dedicado doutra persoa pode acabar sendo unha máquina virtual na que se insiran os dispositivos necesarios.
Se a tarefa do sistema remoto non é só almacenar datos, senón realizar algúns cálculos, entón a única opción para traballar cunha máquina non fiable sería implementar . Neste caso, o sistema realizará cálculos sen poder comprender o que está a facer exactamente. Desafortunadamente, os custos xerais para implementar tal cifrado son tan elevados que o seu uso práctico está limitado actualmente a tarefas moi reducidas.
Ademais, no momento en que a máquina virtual está a executarse e realiza algunhas accións, todos os volumes cifrados están nun estado accesible, se non, o sistema operativo simplemente non poderá traballar con eles. Isto significa que tendo acceso á consola de virtualización, sempre podes facer unha instantánea dunha máquina en execución e extraer todas as claves da memoria RAM.
Moitos provedores tentaron organizar o cifrado de hardware da memoria RAM para que nin sequera o hospedador teña acceso a estes datos. Por exemplo, a tecnoloxía Intel Software Guard Extensions, que organiza áreas do espazo de enderezos virtuais que están protexidas contra a lectura e a escritura desde fóra desta área por outros procesos, incluído o núcleo do sistema operativo. Desafortunadamente, non poderás confiar plenamente nestas tecnoloxías, xa que estarás limitado á túa máquina virtual. Ademais, xa existen exemplos preparados para esta tecnoloxía. Aínda así, cifrar máquinas virtuais non é tan inútil como podería parecer.
Ciframos datos en VDS
Permítanme facer unha reserva de inmediato de que todo o que facemos a continuación non equivale a unha protección total. O hipervisor permitirache facer as copias necesarias sen deter o servizo e sen que te decates.
- Se, previa solicitude, o host transfire unha imaxe "fría" da túa máquina virtual, entón estás relativamente seguro. Este é o escenario máis común.
- Se o host dáche unha instantánea completa dunha máquina en funcionamento, entón todo está bastante mal. Todos os datos montaranse no sistema en forma clara. Ademais, poderase remexer na memoria RAM en busca de chaves privadas e datos similares.
De forma predeterminada, se implantou o sistema operativo desde unha imaxe de vainilla, o servidor non ten acceso root. Sempre podes montar o medio coa imaxe de rescate e cambiar o contrasinal de root mediante o chrooteo do ambiente da máquina virtual. Pero isto requirirá un reinicio, o que se notará. Ademais, todas as particións cifradas montadas pecharanse.
Non obstante, se o despregamento dunha máquina virtual non procede dunha imaxe de vainilla, senón dunha pre-preparada, entón o host pode moitas veces engadir unha conta privilexiada para axudar nunha situación de emerxencia no cliente. Por exemplo, para cambiar un contrasinal de root esquecido.
Mesmo no caso dunha instantánea completa, non todo é tan triste. Un atacante non recibirá ficheiros cifrados se os montaches desde o sistema de ficheiros remoto doutra máquina. Si, en teoría, pode escoller a memoria RAM e extraer as claves de cifrado de alí. Pero na práctica isto non é moi trivial e é moi improbable que o proceso vaia máis aló da simple transferencia de ficheiros.
Pedir un coche
Para os nosos propósitos de proba, incorporamos unha máquina sinxela . Non necesitamos moitos recursos, polo que tomaremos a opción de pagar os megahercios e o tráfico realmente gastado. Só o suficiente para xogar.
O clásico dm-crypt para toda a partición non despegou. Por defecto, o disco dáse nunha soa peza, con root para toda a partición. Reducir unha partición ext4 nunha montada en root é practicamente un ladrillo garantido en lugar dun sistema de ficheiros. Intentei) A pandeireta non axudou.
Creando un contenedor criptográfico
Polo tanto, non cifraremos toda a partición, senón que utilizaremos contedores de criptografía de ficheiros, é dicir, VeraCrypt auditado e fiable. Para os nosos propósitos é suficiente. En primeiro lugar, retiramos e instalamos o paquete coa versión CLI do sitio web oficial. Podes comprobar a sinatura ao mesmo tempo.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Agora imos crear o propio contedor nalgún lugar da nosa casa para que poidamos montalo manualmente ao reiniciar. Na opción interactiva, establece o tamaño do recipiente, o contrasinal e os algoritmos de cifrado. Podes escoller o cifrado patriótico Grasshopper e a función hash Stribog.
veracrypt -t -c ~/my_super_secretAgora imos instalar nginx, montar o contedor e enchelo con información secreta.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngCorrixemos lixeiramente /var/www/html/index.nginx-debian.html para obter a páxina desexada e podes comprobalo.
Conectar e comprobar
O contedor está montado, os datos son accesibles e enviados.
E aquí está a máquina despois do reinicio. Os datos almacénanse de forma segura en ~/my_super_secret.
Se realmente o necesitas e o queres duro, podes cifrar todo o sistema operativo para que, cando reinicies, necesites conectarte mediante ssh e introducir un contrasinal. Isto tamén será suficiente no escenario de simplemente retirar "datos fríos". Aquí e cifrado de disco remoto. Aínda que no caso do VDS é difícil e redundante.
Metal nu
Non é tan sinxelo instalar o teu propio servidor nun centro de datos. O dedicado doutra persoa pode resultar ser unha máquina virtual á que se transfiren todos os dispositivos. Pero algo interesante en termos de protección comeza cando tes a oportunidade de colocar o teu servidor físico de confianza nun centro de datos. Aquí xa podes usar completamente o tradicional dm-crypt, VeraCrypt ou calquera outro cifrado que elixas.
Debe entender que se se implementa o cifrado total, o servidor non poderá recuperarse por si só despois dun reinicio. Será necesario elevar a conexión á IP-KVM local, IPMI ou outra interface similar. Despois diso, introducimos manualmente a chave mestra. O esquema parece así en termos de continuidade e tolerancia a fallos, pero non hai alternativas especiais se os datos son tan valiosos.
Módulo de seguridade de hardware NCipher nShield F3
Unha opción máis suave supón que os datos están cifrados e que a chave está situada directamente no propio servidor nun HSM (Módulo de Seguridade de Hardware) especial. Por regra xeral, estes son dispositivos moi funcionais que non só proporcionan criptografía de hardware, senón que tamén teñen mecanismos para detectar intentos de piratería física. Se alguén comeza a buscar o teu servidor cunha esmeriladora angular, o HSM cunha fonte de alimentación independente restablecerá as claves que almacena na súa memoria. O atacante obterá a carne picada cifrada. Neste caso, o reinicio pode ocorrer automaticamente.
Quitar as chaves é unha opción moito máis rápida e humana que activar unha bomba de termita ou un pararradeira electromagnético. Para estes dispositivos, os teus veciños pegárache durante moito tempo no rack do centro de datos. Ademais, no caso de utilizar cifrado no propio medio, practicamente non experimentas sobrecarga. Todo isto ocorre de forma transparente co sistema operativo. É certo, neste caso tes que confiar no Samsung condicional e esperar que teña AES256 honesto, e non o XOR banal.
Ao mesmo tempo, non debemos esquecer que todos os portos innecesarios deben estar físicamente desactivados ou simplemente cheos de compostos. En caso contrario, dáslles aos atacantes a oportunidade de levar a cabo . Se tes PCI Express ou Thunderbolt, incluído o USB co seu soporte, es vulnerable. Un atacante poderá realizar un ataque a través destes portos e obter acceso directo á memoria con claves.
Nunha versión moi sofisticada, o atacante poderá realizar un ataque de arranque en frío. Ao mesmo tempo, simplemente verte unha boa porción de nitróxeno líquido no teu servidor, elimina aproximadamente as memorias conxeladas e quítaas con todas as claves. Moitas veces, un spray de arrefriamento regular e unha temperatura duns -50 graos son suficientes para levar a cabo un ataque. Tamén hai unha opción máis precisa. Se non desactivou a carga desde dispositivos externos, entón o algoritmo do atacante será aínda máis sinxelo:
- Conxela as memorias sen abrir a caixa
- Conecte a súa unidade flash USB de arranque
- Use utilidades especiais para eliminar os datos da RAM que sobreviviron ao reinicio debido á conxelación.
Divide e conquista
Ok, só temos máquinas virtuais, pero gustaríame reducir dalgún xeito os riscos de fuga de datos.
Pode, en principio, tentar revisar a arquitectura e distribuír o almacenamento e o procesamento de datos en diferentes xurisdicións. Por exemplo, o frontend con claves de cifrado é do servidor na República Checa e o backend con datos cifrados está nalgún lugar de Rusia. No caso dun intento de captura estándar, é moi improbable que as axencias de aplicación da lei poidan levalo a cabo simultaneamente en diferentes xurisdicións. Ademais, isto asegúranos parcialmente contra o escenario de facer unha instantánea.
Ben, ou pode considerar unha opción completamente pura: o cifrado de extremo a extremo. Por suposto, isto vai máis aló do alcance da especificación e non implica realizar cálculos no lado da máquina remota. Non obstante, esta é unha opción perfectamente aceptable cando se trata de almacenar e sincronizar datos. Por exemplo, isto implícase moi convenientemente en Nextcloud. Ao mesmo tempo, a sincronización, a versión e outras vantaxes do lado do servidor non desaparecerán.
En total
Non hai sistemas perfectamente seguros. O obxectivo é simplemente facer que o ataque valga máis que a ganancia potencial.
Pódese conseguir certa redución dos riscos de acceder aos datos nun sitio virtual combinando o cifrado e o almacenamento separado con diferentes servidores.
Unha opción máis ou menos fiable é utilizar o seu propio servidor de hardware.
Pero aínda haberá que confiar no hospedador dun xeito ou doutro. Toda a industria descansa nisto.
Fonte: www.habr.com