kdpv – Reuters
Ha bérel egy szervert, akkor nincs teljes ellenőrzése felette. Ez azt jelenti, hogy speciálisan képzett emberek bármikor bejöhetnek a fogadóhoz, és kérhetik, hogy adja meg adatait. A házigazda pedig visszaadja őket, ha a követelést a törvény szerint formalizálják.
Valóban nem szeretné, hogy a webszerver naplói vagy felhasználói adatai máshoz szivárogjanak. Lehetetlen ideális védelmet építeni. Szinte lehetetlen megvédeni magát a hipervizort birtokló és virtuális gépet biztosító tárhelytől. De talán sikerül egy kicsit csökkenteni a kockázatokat. A bérautók titkosítása nem olyan haszontalan, mint amilyennek első pillantásra tűnik. Ugyanakkor nézzük meg a fizikai szerverekről történő adatkinyerés veszélyeit.
Fenyegetés modell
Általános szabály, hogy a házigazda a lehető legnagyobb mértékben törekszik az ügyfél érdekeinek védelmére. Ha a hivatalos hatóságoktól származó levél csak hozzáférési naplókat kért, akkor a tárhely nem biztosítja az összes virtuális géped adatbázissal rendelkező kiíratását. Legalábbis nem szabadna. Ha az összes adatot bekérik, a hoster átmásolja a virtuális lemezeket az összes fájllal, és Ön nem fog tudni róla.
A forgatókönyvtől függetlenül a fő cél az, hogy a támadást túl nehézzé és költségessé tegye. Általában három fő fenyegetési lehetőség létezik.
Hivatalos
Leggyakrabban papíralapú levelet küldenek a fogadó hivatalos irodájába azzal a kötelezettséggel, hogy a vonatkozó előírásoknak megfelelően megadják a szükséges adatokat. Ha minden helyesen történik, a tárhely a szükséges hozzáférési naplókat és egyéb adatokat a hivatalos hatóságok rendelkezésére bocsátja. Általában csak azt kérik, hogy küldje el a szükséges adatokat.
Alkalmanként, ha feltétlenül szükséges, a rendvédelmi szervek képviselői személyesen érkeznek az adatközpontba. Például ha van saját dedikált szervere, és onnan csak fizikailag lehet adatokat vinni.
Minden országban a magántulajdonhoz való hozzáféréshez, a házkutatásokhoz és egyéb tevékenységekhez bizonyítékra van szükség, hogy az adatok a bűncselekmények nyomozása szempontjából fontos információkat tartalmazhatnak. Ezenkívül minden előírásnak megfelelően végrehajtott házkutatási parancs szükséges. A helyi jogszabályok sajátosságaival kapcsolatos árnyalatok lehetnek. A legfontosabb dolog, amit meg kell értened, hogy ha a hivatalos útvonal helyes, az adatközpont képviselői nem engednek át senkit a bejáraton.
Ráadásul a legtöbb országban nem lehet egyszerűen kihúzni a futó felszerelést. Például Oroszországban 2018 végéig az Orosz Föderáció Büntetőeljárási Törvénykönyve 183. cikkének 3.1. pontja értelmében garantált volt, hogy a lefoglalás során az elektronikus adathordozók lefoglalását a részvétellel hajtották végre. egy szakemberé. A lefoglalt elektronikus adathordozó törvényes tulajdonosának, illetve az azokon szereplő információk tulajdonosának kérésére a lefoglalásban részt vevő szakember tanúk jelenlétében a lefoglalt elektronikus adathordozóról más elektronikus adathordozóra másolja át az információkat.
Aztán sajnos ez a pont kikerült a cikkből.
Titkos és nem hivatalos
Ez már az NSA, az FBI, az MI5 és más hárombetűs szervezetek speciálisan képzett elvtársak tevékenységi területe. Leggyakrabban az országok jogszabályai rendkívül széles jogkört biztosítanak az ilyen struktúráknak. Ezenkívül szinte mindig törvényi tilalom vonatkozik az ilyen bűnüldöző szervekkel való együttműködés tényének közvetlen vagy közvetett felfedésére. Oroszországban is vannak hasonlók .
Ha ilyen fenyegetés éri az Ön adatait, szinte biztosan kikerülnek. Sőt, az egyszerű lefoglalás mellett a hátsó ajtók, a nulladik napi sebezhetőségek, a virtuális gép RAM-jából való adatkinyerés és egyéb örömök teljes nem hivatalos arzenálja használható. Ebben az esetben a házigazda köteles a lehető legnagyobb mértékben segíteni a rendészeti szakembereknek.
Gátlástalan alkalmazott
Nem minden ember egyformán jó. Az egyik adatközpont-adminisztrátor dönthet úgy, hogy extra pénzt keres, és eladja adatait. A további fejlesztések hatáskörétől és hozzáférésétől függenek. A legbosszantóbb az, hogy a virtualizációs konzolhoz hozzáférő rendszergazda teljes mértékben felügyeli a gépeit. Mindig készíthet pillanatfelvételt a RAM teljes tartalmáról, majd lassan tanulmányozhatja azt.
VDS
Tehát van egy virtuális gépe, amelyet a tárhely adott. Hogyan valósíthat meg titkosítást önmaga védelmében? Valójában gyakorlatilag semmit. Sőt, még valaki más dedikált szervere is virtuális gép lesz, amelybe a szükséges eszközöket beillesztik.
Ha a távoli rendszer feladata nem csak az adatok tárolása, hanem bizonyos számítások elvégzése, akkor a nem megbízható géppel való munkavégzés egyetlen lehetősége a megvalósítás . Ebben az esetben a rendszer számításokat hajt végre anélkül, hogy megértené, mit csinál pontosan. Sajnos az ilyen titkosítás megvalósításának általános költségei olyan magasak, hogy gyakorlati felhasználásuk jelenleg nagyon szűk feladatokra korlátozódik.
Ráadásul abban a pillanatban, amikor a virtuális gép fut és bizonyos műveleteket hajt végre, az összes titkosított kötet hozzáférhető állapotban van, különben az operációs rendszer egyszerűen nem tud velük dolgozni. Ez azt jelenti, hogy a virtualizációs konzolhoz való hozzáféréssel bármikor pillanatképet készíthet egy futó gépről, és kibonthatja az összes kulcsot a RAM-ból.
Sok gyártó megkísérelte megszervezni a RAM hardveres titkosítását úgy, hogy még a tárhelynek se férhessen hozzá ezekhez az adatokhoz. Például az Intel Software Guard Extensions technológia, amely a virtuális címtérben olyan területeket szervez, amelyeket más folyamatok, köztük az operációs rendszer kernel védenek a területen kívülről érkező olvasástól és írástól. Sajnos nem fog tudni teljesen megbízni ezekben a technológiákban, mivel a virtuális gépére korlátozódik. Emellett már léteznek kész példák ehhez a technológiához. Ennek ellenére a virtuális gépek titkosítása nem olyan értelmetlen, mint amilyennek látszik.
VDS-en titkosítjuk az adatokat
Hadd tegyek egy fenntartást, hogy minden, amit alább teszünk, nem jelent teljes körű védelmet. A hypervisor lehetővé teszi a szükséges másolatok elkészítését anélkül, hogy a szolgáltatást leállítaná és anélkül, hogy észrevenné.
- Ha kérésre a tárhely „hideg” képet továbbít a virtuális gépéről, akkor Ön viszonylag biztonságban van. Ez a leggyakoribb forgatókönyv.
- Ha a hoster teljes pillanatképet ad egy futó gépről, akkor minden nagyon rossz. Minden adat áttekinthető formában kerül beillesztésre a rendszerbe. Emellett lehetőség lesz a RAM-ban turkálni privát kulcsok és hasonló adatok keresésére.
Alapértelmezés szerint, ha az operációs rendszert egy vanilla lemezképből telepítette, a tárhely nem rendelkezik root hozzáféréssel. Mindig csatlakoztathatja az adathordozót a mentési képfájllal, és megváltoztathatja a root jelszót a virtuálisgép-környezet chrootolásával. De ehhez újraindításra lesz szükség, amit észre fogunk venni. Ráadásul az összes csatlakoztatott titkosított partíció be lesz zárva.
Ha azonban egy virtuális gép üzembe helyezése nem egy vanília képből, hanem egy előre elkészített képből származik, akkor a tárhely gyakran hozzáadhat egy privilegizált fiókot, hogy segítsen a kliens vészhelyzetében. Például egy elfelejtett root jelszó megváltoztatásához.
Még egy komplett pillanatfelvétel esetén sem minden olyan szomorú. A támadó nem kap titkosított fájlokat, ha azokat egy másik gép távoli fájlrendszeréről csatolta. Igen, elméletileg kiválaszthatja a RAM kiíratását, és onnan kinyerheti a titkosítási kulcsokat. De a gyakorlatban ez nem túl triviális, és nagyon valószínűtlen, hogy a folyamat túlmutat az egyszerű fájlátvitelen.
Rendeljen autót
Tesztünkhöz egy egyszerű gépet veszünk be . Nincs szükségünk sok erőforrásra, ezért a ténylegesen elköltött megahertzek és forgalom kifizetésének lehetőségét választjuk. Csak annyi, hogy játszhass vele.
A klasszikus dm-crypt a teljes partícióra nem szállt fel. Alapértelmezés szerint a lemez egy darabban van megadva, gyökérrel a teljes partícióhoz. Az ext4-es partíció zsugorítása egy root-mountolt partíción gyakorlatilag garantált tégla a fájlrendszer helyett. Megpróbáltam) A tambura nem segített.
Kriptotároló létrehozása
Ezért nem a teljes partíciót titkosítjuk, hanem fájl-kriptotárolókat használunk, nevezetesen az auditált és megbízható VeraCrypt-et. Célunknak ez elegendő. Először húzzuk ki és telepítjük a csomagot a CLI verzióval a hivatalos webhelyről. Ezzel egyidejűleg ellenőrizheti az aláírást.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Most magát a tárolót fogjuk létrehozni valahol az otthonunkban, hogy újraindításkor manuálisan fel tudjuk szerelni. Az interaktív opcióban állítsa be a tároló méretét, a jelszót és a titkosítási algoritmusokat. Választhat a hazafias rejtjel Grasshopper és a Stribog hash függvény.
veracrypt -t -c ~/my_super_secretMost telepítsük az nginx-et, szereljük fel a tárolót, és töltsük meg titkos információkkal.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngKicsit javítsuk a /var/www/html/index.nginx-debian.html fájlt, hogy megkapjuk a kívánt oldalt, és ellenőrizhetjük.
Csatlakoztassa és ellenőrizze
A konténer fel van szerelve, az adatok elérhetők és elküldve.
És itt van a gép újraindítás után. Az adatokat biztonságosan tároljuk a ~/my_super_secret mappában.
Ha valóban szüksége van rá, és keményen akarja, akkor titkosíthatja az egész operációs rendszert, így az újraindításkor ssh-n keresztül kell csatlakozni, és meg kell adnia egy jelszót. Ez elegendő lesz a „hideg adatok” egyszerű visszavonása esetén is. Itt és távoli lemeztitkosítás. Bár a VDS esetében ez nehéz és felesleges.
Csak fém
Nem olyan egyszerű saját szervert telepíteni egy adatközpontba. Valaki más által dedikált virtuális gépnek bizonyulhat, amelybe az összes eszköz átkerül. A védelem szempontjából azonban valami érdekes kezdődik, amikor lehetősége nyílik megbízható fizikai szerverét egy adatközpontba helyezni. Itt már teljes mértékben használhatja a hagyományos dm-crypt, VeraCrypt vagy bármilyen más választott titkosítást.
Meg kell értenie, hogy ha teljes titkosítást alkalmaznak, a szerver nem fog tudni magától helyreállni az újraindítás után. Fel kell emelni a kapcsolatot a helyi IP-KVM-re, IPMI-re vagy más hasonló interfészre. Ezt követően kézzel beírjuk a főkulcsot. A séma a folytonosság és a hibatűrés szempontjából olyan-olyannak tűnik, de nincs különleges alternatíva, ha az adatok ennyire értékesek.
NCipher nShield F3 hardver biztonsági modul
Egy lágyabb lehetőség feltételezi, hogy az adatok titkosítva vannak, és a kulcs közvetlenül magán a szerveren található egy speciális HSM-ben (Hardware Security Module). Általában ezek nagyon funkcionális eszközök, amelyek nemcsak hardveres kriptográfiát biztosítanak, hanem mechanizmusokkal is rendelkeznek a fizikai hackelési kísérletek észlelésére. Ha valaki sarokcsiszolóval kezdi el piszkálni a szerverét, a független tápegységgel rendelkező HSM alaphelyzetbe állítja azokat a kulcsokat, amelyeket a memóriájában tárol. A támadó megkapja a titkosított darált. Ebben az esetben az újraindítás automatikusan megtörténhet.
A kulcsok eltávolítása sokkal gyorsabb és humánusabb megoldás, mint a termitbomba vagy az elektromágneses levezető aktiválása. Az ilyen eszközöknél nagyon sokáig verik a szomszédok az adatközpont rackjénél. Sőt felhasználás esetén magán az adathordozón történő titkosítással, gyakorlatilag semmilyen többletköltséget nem tapasztal. Mindez átláthatóan történik az operációs rendszer számára. Igaz, ebben az esetben bízni kell a feltételes Samsungban, és abban reménykedni, hogy őszinte AES256-tal rendelkezik, és nem a banális XOR-ban.
Ugyanakkor nem szabad megfeledkeznünk arról, hogy minden felesleges portot fizikailag le kell tiltani, vagy egyszerűen fel kell tölteni vegyülettel. Ellenkező esetben lehetőséget ad a támadóknak a végrehajtásra . Ha kilóg a PCI Express vagy a Thunderbolt, beleértve az USB-t is, akkor sebezhető. A támadó ezeken a portokon keresztül támadást hajthat végre, és kulcsokkal közvetlenül hozzáférhet a memóriához.
Egy nagyon kifinomult verzióban a támadó képes lesz hidegindításos támadást végrehajtani. Ugyanakkor egyszerűen beönt egy jó adag folyékony nitrogént a szerverébe, durván eltávolítja a lefagyott memóriakártyákat, és az összes kulccsal együtt kidobja őket. Gyakran egy rendszeres hűtőpermet és -50 fok körüli hőmérséklet is elegendő a támadás végrehajtásához. Van pontosabb lehetőség is. Ha nem tiltotta le a külső eszközökről történő betöltést, akkor a támadó algoritmusa még egyszerűbb lesz:
- Fagyassza le a memóriakártyákat a tok kinyitása nélkül
- Csatlakoztassa a rendszerindító USB flash meghajtót
- Speciális segédprogramokkal távolítsa el azokat a RAM-ból, amelyek túlélték az újraindítást a lefagyás miatt.
Oszd el és meghódold
Rendben, csak virtuális gépeink vannak, de szeretném valahogy csökkenteni az adatszivárgás kockázatát.
Elvileg megpróbálhatja felülvizsgálni az architektúrát, és elosztani az adattárolást és -feldolgozást a különböző joghatóságok között. Például a titkosítási kulcsokkal rendelkező frontend a Cseh Köztársaságban található tárhelyről származik, a titkosított adatokat tartalmazó háttér pedig valahol Oroszországban található. Szokásos lefoglalási kísérlet esetén rendkívül valószínűtlen, hogy a bűnüldöző szervek ezt egyidejűleg különböző joghatóságokban tudják végrehajtani. Ráadásul ez részben megvéd minket a pillanatfelvétel forgatókönyvétől.
Nos, vagy megfontolhat egy teljesen tiszta lehetőséget - a végpontok közötti titkosítást. Ez természetesen túlmutat a specifikáció keretein, és nem jelenti azt, hogy számításokat kell végezni a távoli gép oldalán. Ez azonban teljesen elfogadható lehetőség az adatok tárolása és szinkronizálása során. Ez például nagyon kényelmesen megvalósítható a Nextcloudban. Ugyanakkor a szinkronizálás, a verziókezelés és egyéb szerveroldali finomságok nem fognak eltűnni.
Összességében
Nincsenek tökéletesen biztonságos rendszerek. A cél egyszerűen az, hogy a támadás többet érjen, mint a potenciális nyereség.
Némileg csökkenthető a virtuális webhelyen lévő adatokhoz való hozzáférés kockázata a titkosítás és a különböző tárhelyekkel való külön tárolás kombinálásával.
Egy többé-kevésbé megbízható lehetőség a saját hardverszerver használata.
De a házigazdában így vagy úgy is meg kell bízni. Az egész iparág ezen nyugszik.
Forrás: will.com