kdpv - jounal Reuters
Si ou lwe yon sèvè, Lè sa a, ou pa gen tout kontwòl sou li. Sa vle di ke nenpòt ki lè moun ki resevwa fòmasyon espesyal ka vin jwenn hoster la epi mande w bay nenpòt nan done ou yo. Ak hoster la pral remèt yo si demann lan ofisyèlman dapre lalwa.
Ou reyèlman pa vle mòso bwa sèvè entènèt ou oswa done itilizatè yo koule bay nenpòt lòt moun. Li enposib pou konstwi yon defans idéal. Li prèske enposib pwoteje tèt ou kont yon hoster ki posede hypervisor la epi ki ba ou yon machin vityèl. Men, petèt li pral posib diminye risk yo yon ti kras. Cryptage machin lokasyon yo pa tankou initil jan li sanble nan premye gade. An menm tan an, ann gade menas yo fè ekstraksyon done ki soti nan serveurs fizik yo.
Modèl menas
Kòm yon règ, hoster la pral eseye pwoteje enterè yo nan kliyan an otank posib dapre lalwa. Si lèt otorite ofisyèl yo te sèlman mande mòso bwa aksè, hoster la pa pral bay depo tout machin vityèl ou yo ak baz done. Omwen li pa ta dwe. Si yo mande pou tout done yo, hoster la pral kopye disk vityèl yo ak tout dosye yo epi ou pa pral konnen sou li.
Kèlkeswa senaryo a, objektif prensipal ou a se fè atak la twò difisil ak chè. Anjeneral gen twa opsyon prensipal menas.
Ofisyèl
Pi souvan, yo voye yon lèt papye nan biwo ofisyèl hoster la ak yon kondisyon pou bay done ki nesesè yo an akò ak règleman ki enpòtan an. Si tout bagay fèt kòrèkteman, hoster la bay otorite ofisyèl yo mòso bwa aksè ki nesesè yo ak lòt done yo. Anjeneral yo jis mande w voye done ki nesesè yo.
Okazyonèlman, si absoliman nesesè, reprezantan ajans ki fè respekte lalwa vin nan sant done an pèsòn. Pou egzanp, lè ou gen pwòp sèvè dedye ou ak done ki soti nan la ka sèlman pran fizikman.
Nan tout peyi, jwenn aksè nan pwopriyete prive, fè rechèch ak lòt aktivite mande pou prèv ke done yo ka gen enfòmasyon enpòtan pou envestigasyon yon krim. Anplis de sa, yon manda rechèch egzekite an akò ak tout règleman yo obligatwa. Ka gen nuans ki gen rapò ak sengularite yo nan lejislasyon lokal yo. Bagay pwensipal lan ou bezwen konprann se ke si chemen ofisyèl la kòrèk, reprezantan sant done yo pa pral kite pèsonn pase antre a.
Anplis, nan pifò peyi ou pa ka tou senpleman rale ekipman kouri. Pou egzanp, nan Larisi, jouk nan fen 2018, dapre Atik 183 nan Kòd la nan Pwosedi Kriminèl nan Federasyon Larisi la, pati 3.1, li te garanti ke pandan yon kriz malkadi, sezi a nan medya depo elektwonik te pote soti ak patisipasyon an. nan yon espesyalis. Sou demann pwopriyetè legal la nan medya depo elektwonik sezi a oswa pwopriyetè a nan enfòmasyon ki sou yo, espesyalis k ap patisipe nan sezi a, nan prezans temwen, kopi enfòmasyon ki soti nan medya yo sezi elektwonik depo nan lòt medya depo elektwonik.
Lè sa a, malerezman, pwen sa a te retire nan atik la.
Sekrè ak ofisyèl
Sa a se deja teritwa a nan aktivite nan kamarad ki resevwa fòmasyon espesyal nan NSA a, FBI, MI5 ak lòt òganizasyon twa lèt. Pi souvan, lejislasyon peyi yo bay pouvwa ekstrèmman laj pou estrikti sa yo. Anplis, prèske toujou gen yon entèdiksyon lejislatif sou nenpòt divilgasyon dirèk oswa endirèk nan reyalite a menm nan koperasyon ak ajans ki fè respekte lalwa sa yo. Gen menm jan an nan Larisi .
Nan evènman an nan yon menas konsa nan done ou yo, yo pral prèske sètènman dwe retire. Anplis de sa nan senp kriz malkadi, tout asenal ofisyèl la nan backdoor, vilnerabilite zewo-jou, ekstraksyon done soti nan RAM nan machin vityèl ou a, ak lòt lajwa ka itilize. Nan ka sa a, hoster la pral oblije ede espesyalis ki fè respekte lalwa otank posib.
Anplwaye san skrupil
Se pa tout moun ki egalman bon. Youn nan administratè sant done yo ka deside fè lajan anplis epi vann done ou yo. Pli lwen devlopman depann de pouvwa li ak aksè. Bagay ki pi anmèdan se ke yon administratè ki gen aksè nan konsole Virtualization la gen kontwòl konplè sou machin ou yo. Ou ka toujou pran yon snapshot ansanm ak tout sa ki nan RAM a ak Lè sa a, tou dousman etidye li.
VDS
Se konsa, ou gen yon machin vityèl ke hoster la te ba ou. Ki jan ou ka aplike cryptage pou pwoteje tèt ou? An reyalite, pratikman pa gen anyen. Anplis, menm sèvè dedye yon lòt moun ka fini se yon machin vityèl nan ki aparèy ki nesesè yo mete.
Si travay la nan sistèm nan aleka se pa sèlman nan magazen done, men fè kèk kalkil, Lè sa a, opsyon a sèlman pou travay ak yon machin ki pa fè konfyans ta dwe aplike. . Nan ka sa a, sistèm lan pral fè kalkil san yo pa kapasite nan konprann ki sa egzakteman li ap fè. Malerezman, depans jeneral yo pou mete ann aplikasyon chifreman sa yo tèlman wo ke itilizasyon pratik yo kounye a limite a sa sèlman travay trè etwat.
Anplis de sa, nan moman sa a lè machin vityèl la ap kouri ak fè kèk aksyon, tout komèsan chiffres yo nan yon eta aksesib, otreman OS la tou senpleman pa yo pral kapab travay avèk yo. Sa vle di ke gen aksè a konsole Virtualization la, ou ka toujou pran yon snapshot nan yon machin k ap kouri ak ekstrè tout kle yo soti nan RAM.
Anpil machann yo te eseye òganize chifreman pyès ki nan konpitè RAM pou menm hoster la pa gen aksè a done sa yo. Pou egzanp, Intel Software Guard Extensions teknoloji, ki òganize zòn nan espas adrès vityèl ki pwoteje kont lekti ak ekri soti andeyò zòn sa a pa lòt pwosesis, ki gen ladan nwayo a sistèm opere. Malerezman, ou pa pral kapab konplètman fè konfyans teknoloji sa yo, paske ou pral limite a machin vityèl ou. Anplis de sa, egzanp pare yo deja egziste pou teknoloji sa a. Toujou, chifreman machin vityèl se pa tankou initil jan li ta ka sanble.
Nou ankripte done sou VDS
Kite m 'fè yon rezèvasyon touswit ke tout sa nou fè anba a pa monte nan yon pwoteksyon konplè. Hypervisor la pral pèmèt ou fè kopi ki nesesè yo san yo pa sispann sèvis la epi san ou pa remake.
- Si, sou demann, hoster la transfere yon imaj "frèt" nan machin vityèl ou a, Lè sa a, ou relativman an sekirite. Sa a se senaryo ki pi komen.
- Si hoster la ba ou yon snapshot konplè sou yon machin k ap kouri, Lè sa a, tout bagay se trè move. Tout done yo pral monte nan sistèm nan nan fòm klè. Anplis de sa, li pral posib yo fouye nan RAM nan rechèch nan kle prive ak done menm jan an.
Pa default, si ou te deplwaye eksplwatasyon an soti nan yon imaj vaniy, hoster la pa gen aksè rasin. Ou ka toujou monte medya yo ak imaj sekou a epi chanje modpas rasin lan pa chrooting anviwònman machin vityèl la. Men, sa a pral mande pou yon rdemare, ki pral remake. Anplis de sa, tout patisyon chiffres ki monte yo pral fèmen.
Sepandan, si deplwaman yon machin vityèl pa soti nan yon imaj vaniy, men nan yon imaj ki te prepare davans, Lè sa a, hoster a ka souvan ajoute yon kont privilejye pou ede nan yon sitiyasyon ijans nan kliyan an. Pou egzanp, chanje yon modpas rasin bliye.
Menm nan ka a nan yon snapshot konplè, se pa tout bagay se konsa tris. Yon atakè pa pral resevwa fichye chiffres si ou monte yo nan sistèm fichye aleka nan yon lòt machin. Wi, nan teyori, ou ka chwazi pil fatra RAM la ak ekstrè kle yo chifreman soti nan la. Men, nan pratik sa a se pa trè trivial epi li trè fasil ke pwosesis la pral ale pi lwen pase transfè dosye senp.
Kòmande yon machin
Pou rezon tès nou an, nou pran yon machin senp nan . Nou pa bezwen anpil resous, kidonk nou pral pran opsyon pou peye pou megahertz la ak trafik aktyèlman depanse. Jis ase pou jwe ak.
Klasik dm-crypt pou tout patisyon an pa t 'dekole. Pa default, disk la bay nan yon sèl pyès, ak rasin pou patisyon an antye. Réduire yon patisyon ext4 sou yon rasin-monte yon sèl se pratikman yon brik garanti olye de yon sistèm fichye. Mwen te eseye) Tambourin a pa ede.
Kreye yon veso kript
Se poutèt sa, nou pa pral ankripte patisyon an antye, men nou pral sèvi ak resipyan kript dosye, sètadi VeraCrypt odit ak serye. Pou rezon nou sa a se ase. Premyèman, nou rale epi enstale pake a ak vèsyon an CLI soti nan sit entènèt ofisyèl la. Ou ka tcheke siyati a an menm tan.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Koulye a, nou pral kreye veso a tèt li yon kote nan kay nou an pou nou ka monte li manyèlman lè rdemare. Nan opsyon entèaktif la, mete gwosè veso a, modpas ak algoritm chifreman. Ou ka chwazi sif patriyotik Grasshopper ak fonksyon Stribog hash.
veracrypt -t -c ~/my_super_secretKoulye a, ann enstale nginx, monte veso a epi ranpli li ak enfòmasyon sekrè.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngAnn korije yon ti kras /var/www/html/index.nginx-debian.html pou jwenn paj vle a epi ou ka tcheke li.
Konekte epi tcheke
Se veso a monte, done yo aksesib epi voye.
Ak isit la se machin nan apre rdemare. Done yo byen estoke nan ~/my_super_secret.
Si ou reyèlman bezwen li epi ou vle li difisil, Lè sa a, ou ka ankripte eksplwatasyon an antye pou ke lè ou rdemare li mande pou konekte via ssh epi antre nan yon modpas. Sa a pral ase tou nan senaryo a nan tou senpleman retire "done frèt". Isit la ak chifreman disk aleka. Malgre ke nan ka a nan VDS li difisil ak redondants.
Bare metal
Li pa tèlman fasil enstale sèvè pwòp ou a nan yon sant done. Yon lòt moun devwe ka tounen yon machin vityèl kote tout aparèy yo transfere. Men, yon bagay enteresan an tèm de pwoteksyon kòmanse lè ou gen opòtinite pou mete sèvè fizik ou fè konfyans nan yon sant done. Isit la ou ka deja konplètman itilize tradisyonèl dm-crypt, VeraCrypt oswa nenpòt lòt chifreman ou chwazi.
Ou bezwen konprann ke si total chifreman aplike, sèvè a pa pral kapab refè poukont li apre yon rdemare. Li pral nesesè pou ogmante koneksyon an nan lokal IP-KVM, IPMI oswa lòt koòdone ki sanble. Apre sa nou manyèlman antre kle mèt la. Konplo a sanble konsa an tèm de kontinwite ak tolerans fay, men pa gen okenn altènativ espesyal si done yo gen anpil valè.
NCipher nShield F3 Materyèl Sekirite Modil
Yon opsyon ki douser sipoze ke done yo chiffres ak kle a sitiye dirèkteman sou sèvè a li menm nan yon HSM espesyal (Hardware Security Modil). Kòm yon règ, sa yo se aparèy trè fonksyonèl ki pa sèlman bay kriptografi kenkayri, men tou, gen mekanis pou detekte tantativ piratage fizik. Si yon moun kòmanse pike nan sèvè ou a ak yon moulen ang, HSM a ak yon ekipman pou pouvwa endepandan pral reset kle yo ke li estoke nan memwa li. Atakè a pral jwenn mincemeat chiffres la. Nan ka sa a, rdemare a ka rive otomatikman.
Retire kle yo se yon opsyon ki pi rapid ak plis imen pase aktive yon bonm thermite oswa aparèy elektwomayetik. Pou aparèy sa yo, ou pral bat pou yon tan trè long pa vwazen ou nan etajè a nan sant done a. Anplis, in the case of itilize chifreman sou medya nan tèt li, ou fè eksperyans nòmalman pa anlè. Tout bagay sa a rive transparan OS la. Se vre, nan ka sa a ou dwe fè konfyans Samsung nan kondisyonèl ak espere ke li gen AES256 onèt, epi yo pa XOR la ordinèr.
An menm tan an, nou pa dwe bliye ke tout pò ki pa nesesè yo dwe fizikman andikape oswa tou senpleman ranpli ak konpoze. Sinon, ou bay atakè yo opòtinite pou pote soti . Si ou gen PCI Express oswa Thunderbolt kole deyò, ki gen ladan USB ak sipò li yo, ou vilnerab. Yon atakè yo pral kapab pote soti nan yon atak nan pò sa yo ak jwenn aksè dirèk nan memwa ak kle.
Nan yon vèsyon trè sofistike, atakè a yo pral kapab pote soti nan yon atak bòt frèt. An menm tan an, li tou senpleman vide yon bon pòsyon nan nitwojèn likid nan sèvè ou a, apeprè retire baton memwa yo nan frizè epi pran yon pil fatra nan men yo ak tout kle yo. Souvan, yon espre refwadisman regilye ak yon tanperati alantou -50 degre yo ase pote soti nan yon atak. Genyen tou yon opsyon ki pi egzat. Si ou pa te enfim chaje soti nan aparèy ekstèn, Lè sa a, algorithm atakè a pral menm pi senp:
- Glase baton memwa san yo pa louvri ka a
- Konekte kondwi flash USB demaraj ou a
- Sèvi ak sèvis piblik espesyal pou retire done nan RAM ki te siviv rdemare akòz konjelasyon an.
Divize ak konkeri
Oke, nou gen sèlman machin vityèl, men mwen ta renmen yon jan kanmenm redwi risk ki genyen nan flit done.
Ou ka, nan prensip, eseye revize achitekti a epi distribye depo done ak pwosesis atravè diferan jiridiksyon. Pou egzanp, entèfas la ak kle chifreman se soti nan hoster la nan Repiblik Tchekoslovaki, ak backend la ak done chiffres se yon kote nan Larisi. Nan ka yon tantativ sezi estanda, li trè fasil ke ajans ki fè respekte lalwa yo pral kapab fè sa ansanm nan diferan jiridiksyon. Anplis de sa, sa a pasyèlman asire nou kont senaryo a nan pran yon snapshot.
Oke, oswa ou ka konsidere yon opsyon konplètman pi bon kalite - Fen-a-End chifreman. Natirèlman, sa a ale pi lwen pase sijè ki abòde lan spesifikasyon epi li pa vle di fè kalkil sou bò machin aleka a. Sepandan, sa a se yon opsyon parfe akseptab lè li rive estoke ak senkronize done. Pou egzanp, sa a trè fasilman aplike nan Nextcloud. An menm tan an, senkronizasyon, vèsyon ak lòt kado sèvè-bò pa pral ale.
Nan total
Pa gen okenn sistèm parfe an sekirite. Objektif la se tou senpleman fè atak la vo plis pase benefis potansyèl la.
Gen kèk rediksyon nan risk ki genyen nan aksè nan done sou yon sit vityèl ka reyalize lè w konbine chifreman ak depo separe ak hosters diferan.
Yon opsyon plis oswa mwens serye se sèvi ak pwòp sèvè pyès ki nan konpitè ou.
Men, hoster a ap toujou gen fè konfyans yon fason oswa yon lòt. Endistri a tout antye repoze sou sa a.
Sous: www.habr.com