Végzettségem szerint mérnök vagyok, de inkább vállalkozókkal, termelési igazgatókkal kommunikálok. Nemrég tanácsot kért egy ipari cég tulajdonosa. Annak ellenére, hogy a vállalkozás nagy, és a 90-es években jött létre, a menedzsment és a könyvelés a régi módon működik helyi hálózaton.
Ez a vállalkozásuktól való félelem és az állam fokozott ellenőrzésének a következménye. A törvényeket és rendeleteket az ellenőrző hatóságok nagyon tágan értelmezhetik. Ilyen például az adótörvény módosítása, adósértésekért, tényleges megsemmisítésért .
Ennek eredményeként a vállalkozás tulajdonosa elkezdett megoldásokat keresni az információk megbízható tárolására és a dokumentumok biztonságos továbbítására. Virtuális "széf".
Egy főállású rendszergazdával dolgoztunk a problémán: szükségünk volt a meglévő platformok mélyreható elemzésére.
- a szolgáltatás ne legyen felhő alapú, a szó klasszikus értelmében, i.e. harmadik fél szervezet létesítményeiben való tárolás nélkül. Csak a szervered;
- a továbbított és tárolt adatok erős titkosítása szükséges;
- a tartalom sürgős törlése bármely eszközről egy gombnyomással kötelező;
- a megoldást külföldön fejlesztették ki.
A negyedik pont eltávolítását javasoltam, mert... Az orosz alkalmazások hivatalos tanúsítvánnyal rendelkeznek. Az igazgató egyenesen megmondta, mit kell tenni az ilyen igazolásokkal.
Válasszon lehetőségeket
Három megoldást választottam (minél több választási lehetőség, annál több kétség):
- Nyílt forráskódú projekt , amelyet a lelkes fejlesztő Jacob Borg tart fenn.
- , amelyet az American Resilio Inc. felügyel. (korábban ezt a szolgáltatást BitTorrent Sync néven hívták).
- Terv -tól szinkronizálási alkalmazások. Ciprus regisztráció.
A cég tulajdonosa keveset ért a technikai bonyodalmakhoz, ezért a jelentést az egyes lehetőségek előnyeiről és hátrányairól szóló listák formájában formáztam meg.
Elemzési eredmények
Syncthing
Érvek:
- Nyílt forráskód;
- A fő fejlesztő tevékenysége;
- A projekt már nagyon régóta létezik;
- Ingyenes.
Hátrányok:
- Az iOS rendszerhéjhoz nincs kliens;
- Slow Turn szerverek (ingyenesek, tehát lelassulnak). Azoknak, akik
nincs tudatában, a Turn akkor használatos, ha lehetetlen közvetlenül csatlakozni; - Komplex interfész beállítás (több éves programozási tapasztalat szükséges);
- Gyors kereskedelmi támogatás hiánya.
rezilium
Előnyök: támogatja az összes eszközt és a gyors Turn szervereket.
Hátrányok: Az egyik és nagyon jelentős az, hogy a támogatási szolgáltatás teljes figyelmen kívül hagyja a kéréseket. Nulla válasz, még akkor is, ha különböző címekről ír.
Pvtbox
Előnyök:
- Támogatja az összes eszközt;
- Fast Turn szerverek;
- Lehetőség egy fájl letöltésére az alkalmazás telepítése nélkül;
- Megfelelő támogató szolgáltatás, beleértve telefonon keresztül.
Hátrányok:
- Fiatal projekt (kevés értékelés és jó értékelés);
- Az oldal felülete nagyon „technikus” és nem mindig egyértelmű;
- Nincs alaposan részletes dokumentáció, sok probléma támogatást igényel.
Mit választott a vásárló?
Első kérdése: mi értelme van valamit ingyen fejleszteni? A szinkronizálást azonnal felhagyták. Az érvek nem működtek.
Pár nappal később az ügyfél támogatás hiányában kategorikusan elutasította a Resilio Sync-et, mert... Nem világos, hová kell menni vészhelyzetben. Plusz a cég amerikai bejegyzésével szembeni bizalmatlanság.
A további elemzéshez a Pvtbox Electronic széf megmaradt. Teljes körű műszaki auditot hajtottunk végre ezen a platformon, különös tekintettel az adatok lehallgatásának, visszafejtésének és az információtárolóba való jogosulatlan belépés lehetőségére.
Ellenőrzési folyamat
A kapcsolatokat a program indításakor, üzem közben és nyugodt állapotban elemeztük. A modern szabványok szerinti forgalom kezdetben titkosított. Próbáljunk meg végrehajtani egy MITM támadást, és menet közben cseréljük ki a tanúsítványt Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Ennek érdekében bevezetünk egy közvetítőt a Pvtbox alkalmazás és a pvtbox.net szerver között (https kapcsolaton keresztül van adatcsere a pvtbox.net szerverrel).
Elindítjuk az alkalmazást, hogy megbizonyosodjunk arról, hogy a program és fájl szinkronizálás működik benne. Linuxban azonnal megfigyelhető a naplózás, ha a terminálról futtatja a programot.
Kapcsolja ki az alkalmazást, és cserélje ki a pvtbox.net gazdagép címét a fájlban / Etc / hosts szuperfelhasználói jogosultságokkal. A címet a proxy szerverünk címére cseréljük.
Most készítsük fel proxyszerverünket egy MITM-támadásra a helyi hálózatunkon lévő 192.168.1.64 címmel rendelkező számítógépen. Ehhez telepítse a mitmproxy csomag 4.0.4-es verzióját.
Elindítjuk a proxyszervert a 443-as porton:
$ sudo mitmproxy -p 443
Az első számítógépen elindítjuk a Pvtbox programot, megnézzük a mitmproxy kimenetét és az alkalmazásnaplókat.
Mitmproxy azt jelenti, hogy az ügyfél nem bízik a proxyszervertől származó hamis tanúsítványban. Az alkalmazásnaplókban azt is látjuk, hogy a proxy szerver tanúsítványa nem megy át az ellenőrzésen, és a program nem hajlandó működni.
Proxy szerver tanúsítvány telepítése mitmproxy a Pvtbox alkalmazással rendelkező számítógépre, hogy a tanúsítvány „megbízható legyen”. Telepítse a ca-certificates csomagot a számítógépére. Ezután másolja a mitmproxy-ca-cert.pem tanúsítványt a proxykiszolgáló .mitmproxy könyvtárából a Pvtbox alkalmazással rendelkező számítógépre a /usr/local/share/ca-certificates könyvtárba.
A következő parancsokat hajtjuk végre:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-certificates
Indítsa el a Pvtbox alkalmazást. A tanúsítvány ellenőrzése ismét sikertelen volt, és a program megtagadja a működést. Az alkalmazás valószínűleg biztonsági mechanizmust használ Tanúsítvány rögzítése.
Hasonló támadást hajtottak végre a házigazda ellen is signalserver.pvtbox.net, valamint magát a peer-2-peer kapcsolatot a csomópontok között. A fejlesztő jelzi, hogy a peer-2-peer kapcsolatok létrehozására szolgáló alkalmazás a nyílt webrtc protokollt használja, amely végpontok közötti protokoll titkosítást használ DTLSv1.2.
A rendszer minden kapcsolatbeállításhoz kulcsokat generál, és titkosított csatornán keresztül továbbítja őket signalserver.pvtbox.net.
Elméletileg lehetséges lenne a webrtc ajánlatok lehallgatása és megválaszolása, az ott található titkosítási kulcsok cseréje és a webrtc-n keresztül érkező összes üzenet visszafejtése. De nem lehetett mitm támadást végrehajtani a signalserver.pvtbox.net oldalon, így nincs mód a signalserver.pvtbox.net-en keresztül küldött üzenetek elfogására és cseréjére.
Ennek megfelelően ez a támadás nem hajtható végre egy peer-2-peer kapcsolaton.
A programhoz mellékelt tanúsítványokat tartalmazó fájl is felfedezésre került. A fájl a /opt/pvtbox/certifi/cacert.pem címen található. Ezt a fájlt egy olyan fájlra cseréltük, amely a mitmproxy proxytól származó megbízható tanúsítványt tartalmazza. Az eredmény nem változott - a program nem volt hajlandó csatlakozni a rendszerhez, ugyanaz a hiba volt megfigyelhető a naplóban,
hogy a tanúsítvány nem megy át az ellenőrzésen.
Ellenőrzési eredmények
Nem tudtam elfogni vagy meghamisítani a forgalmat. A fájlnevek és még inkább a tartalom továbbítása titkosított formában történik, végpontok közötti titkosítást alkalmaznak.Az alkalmazás számos olyan biztonsági mechanizmust valósít meg, amelyek megakadályozzák a lehallgatást és a beszivárgást.
Ennek eredményeként a vállalat vásárolt két dedikált szervert (fizikailag különböző helyeken) az információk állandó eléréséhez. Az első szerver az információk fogadására, feldolgozására és tárolására szolgál, a második pedig biztonsági mentésre szolgál.
Az így létrejött egyéni felhőhöz a rendezői munkaterminál és egy iOS-en futó mobiltelefon csatlakozott. A többi alkalmazottat a Pvtbox teljes munkaidős rendszergazdája és technikai támogatása kapcsolta össze.
Az elmúlt időszakban nem érkezett panasz a baráttól. Remélem, véleményem segíteni fog a hasonló helyzetben lévő Habr olvasóknak.
Forrás: will.com