🥇Ի՞նչ անել, եթե siloviki-ն գա ձեր հյուրընկալողի մոտ

kdpv - Reuters

Եթե դուք վարձակալում եք սերվեր, ապա դուք դրա վրա լիարժեք վերահսկողություն չունեք: Սա նշանակում է, որ ցանկացած պահի հատուկ վերապատրաստված մարդիկ կարող են գալ հոսթեր և խնդրել ձեզ տրամադրել ձեր ցանկացած տվյալ: Իսկ հյուրընկալողը կվերադարձնի դրանք, եթե պահանջը ձեւակերպվի օրենքով։

Դուք իսկապես չեք ցանկանում, որ ձեր վեբ սերվերի տեղեկամատյանները կամ օգտվողի տվյալները արտահոսեն մեկ ուրիշին: Անհնար է իդեալական պաշտպանություն կառուցել։ Գրեթե անհնար է պաշտպանվել ձեզ հոսթերից, որը պատկանում է հիպերվիզորին և տրամադրում է ձեզ վիրտուալ մեքենա: Բայց միգուցե հնարավոր լինի մի փոքր նվազեցնել ռիսկերը։ Վարձակալված մեքենաների կոդավորումն այնքան էլ անօգուտ չէ, որքան թվում է առաջին հայացքից: Միևնույն ժամանակ, եկեք դիտարկենք ֆիզիկական սերվերներից տվյալների արդյունահանման սպառնալիքները:

Սպառնալիքի մոդել

Որպես կանոն, հյուրընկալողը կփորձի օրենքով հնարավորինս պաշտպանել հաճախորդի շահերը։ Եթե պաշտոնական իշխանությունների նամակը պահանջել է միայն մուտքի տեղեկամատյաններ, ապա հոսթերը չի տրամադրի ձեր բոլոր վիրտուալ մեքենաների տվյալների բազաները: Գոնե չպիտի։ Եթե նրանք հարցնեն բոլոր տվյալները, ապա հոսթերը պատճենելու է վիրտուալ սկավառակները բոլոր ֆայլերով, և դուք դրա մասին չեք իմանա:

Անկախ սցենարից, ձեր հիմնական նպատակն է հարձակումը չափազանց բարդ և թանկ դարձնելը: Սովորաբար կան երեք հիմնական սպառնալիքների տարբերակներ.

Պաշտոնական

Ամենից հաճախ հյուրընկալողի պաշտոնական գրասենյակ ուղարկվում է թղթային նամակ՝ համապատասխան կանոնակարգին համապատասխան անհրաժեշտ տվյալներ տրամադրելու պահանջով: Եթե ամեն ինչ ճիշտ է արված, ապա հոսթերը տրամադրում է անհրաժեշտ մուտքի տեղեկամատյանները և այլ տվյալներ պաշտոնական իշխանություններին: Սովորաբար նրանք պարզապես խնդրում են ուղարկել անհրաժեշտ տվյալները։

Երբեմն, խիստ անհրաժեշտության դեպքում, իրավապահ մարմինների ներկայացուցիչներն անձամբ են գալիս տվյալների կենտրոն։ Օրինակ, երբ դուք ունեք ձեր սեփական հատուկ սերվերը, և այնտեղից տվյալները կարող են վերցվել միայն ֆիզիկապես:

Բոլոր երկրներում մասնավոր սեփականության հասանելիություն ձեռք բերելու համար, խուզարկություններ իրականացնելը և այլ գործողությունները պահանջում են ապացույցներ, որ տվյալները կարող են պարունակել կարևոր տեղեկություններ հանցագործության հետաքննության համար: Բացի այդ, պահանջվում է խուզարկության հրաման, որը կատարվում է բոլոր կանոնակարգերի համաձայն: Տեղական օրենսդրության առանձնահատկությունների հետ կապված կարող են լինել նրբերանգներ։ Հիմնական բանը, որ դուք պետք է հասկանաք, այն է, որ եթե պաշտոնական ուղին ճիշտ է, տվյալների կենտրոնի ներկայացուցիչները թույլ չեն տա որևէ մեկին անցնել մուտքի մոտ:

Ավելին, շատ երկրներում դուք չեք կարող պարզապես դուրս հանել աշխատող սարքավորումները: Օրինակ՝ Ռուսաստանում մինչև 2018 թվականի վերջը, ՌԴ քրեական դատավարության օրենսգրքի 183-րդ հոդվածի 3.1-ին մասի համաձայն, երաշխավորվում էր, որ առգրավման ժամանակ էլեկտրոնային կրիչի առգրավումն իրականացվել է մասնակցությամբ. մասնագետի։ Առգրավված էլեկտրոնային կրիչի օրինական սեփականատիրոջ կամ դրանցում պարունակվող տեղեկատվության սեփականատիրոջ խնդրանքով առգրավմանը մասնակցող մասնագետը վկաների ներկայությամբ առգրավված էլեկտրոնային կրիչից տեղեկատվությունը պատճենում է այլ էլեկտրոնային կրիչներ:

Հետո, ցավոք, հոդվածից հանվեց այս կետը։

Գաղտնի և ոչ պաշտոնական

Սա արդեն NSA-ի, FBI-ի, MI5-ի և այլ երեք տառանոց կազմակերպությունների հատուկ պատրաստված ընկերների գործունեության տարածքն է։ Ամենից հաճախ երկրների օրենսդրությունը չափազանց լայն լիազորություններ է նախատեսում նման կառույցների համար։ Ավելին, գրեթե միշտ օրենսդրական արգելք կա նման իրավապահ մարմինների հետ համագործակցության փաստի ուղղակի կամ անուղղակի բացահայտման վերաբերյալ։ Նմաններ կան Ռուսաստանում իրավական նորմեր.

Ձեր տվյալներին սպառնացող նման սպառնալիքի դեպքում դրանք գրեթե անկասկած կհանվեն: Ավելին, բացի պարզ առգրավումից, կարող են օգտագործվել հետնադռների ամբողջ ոչ պաշտոնական զինանոցը, զրոյական օրվա խոցելիությունը, տվյալների արդյունահանումը ձեր վիրտուալ մեքենայի RAM-ից և այլ ուրախություններ: Այս դեպքում հյուրընկալողը պարտավոր կլինի հնարավորինս աջակցել իրավապահ մարմինների մասնագետներին։

Անբարեխիղճ աշխատող

Ոչ բոլոր մարդիկ են հավասարապես լավը: Տվյալների կենտրոնի ադմինիստրատորներից մեկը կարող է որոշել լրացուցիչ գումար աշխատել և վաճառել ձեր տվյալները: Հետագա զարգացումները կախված են նրա լիազորություններից և հասանելիությունից: Ամենից զայրացնողն այն է, որ վիրտուալացման վահանակին հասանելիություն ունեցող ադմինիստրատորը լիովին վերահսկում է ձեր մեքենաները: Դուք միշտ կարող եք լուսանկարել RAM-ի բոլոր բովանդակության հետ միասին, այնուհետև կամաց-կամաց ուսումնասիրել այն:

VDS

Այսպիսով, դուք ունեք վիրտուալ մեքենա, որը տրամադրել է ձեզ: Ինչպե՞ս կարող եք գաղտնագրում իրականացնել ինքներդ ձեզ պաշտպանելու համար: Փաստորեն, գործնականում ոչինչ։ Ավելին, նույնիսկ ուրիշի նվիրված սերվերը կարող է ավարտվել որպես վիրտուալ մեքենա, որի մեջ տեղադրվում են անհրաժեշտ սարքերը:

Եթե հեռավոր համակարգի խնդիրը ոչ միայն տվյալների պահպանումն է, այլ որոշ հաշվարկներ կատարելը, ապա անվստահելի մեքենայի հետ աշխատելու միակ տարբերակը կլինի իրականացնել հոմոմորֆ գաղտնագրում. Այս դեպքում համակարգը կիրականացնի հաշվարկներ՝ առանց հասկանալու, թե կոնկրետ ինչ է անում։ Ցավոք, նման գաղտնագրման իրականացման համար ծախսերն այնքան բարձր են, որ դրանց գործնական օգտագործումը ներկայումս սահմանափակվում է շատ նեղ առաջադրանքներով:

Բացի այդ, այն պահին, երբ վիրտուալ մեքենան աշխատում է և կատարում է որոշ գործողություններ, բոլոր կոդավորված ծավալները հասանելի վիճակում են, հակառակ դեպքում ՕՀ-ն պարզապես չի կարողանա աշխատել դրանց հետ: Սա նշանակում է, որ մուտք ունենալով վիրտուալացման վահանակ, դուք միշտ կարող եք լուսանկարել աշխատող մեքենայի լուսանկարը և հանել բոլոր ստեղները RAM-ից:

Շատ վաճառողներ փորձել են կազմակերպել RAM-ի ապարատային կոդավորումը, որպեսզի նույնիսկ հոսթերը մուտք չունենա այս տվյալներին: Օրինակ՝ Intel Software Guard Extensions տեխնոլոգիան, որը կազմակերպում է տարածքներ վիրտուալ հասցեների տարածքում, որոնք պաշտպանված են այս տարածքից դուրս կարդալուց և գրելուց այլ գործընթացներով, ներառյալ օպերացիոն համակարգի միջուկը: Ցավոք, դուք չեք կարողանա լիովին վստահել այս տեխնոլոգիաներին, քանի որ սահմանափակվելու եք ձեր վիրտուալ մեքենայով: Բացի այդ, արդեն կան պատրաստի օրինակներ հաջող հարձակում այս տեխնոլոգիայի համար: Այնուամենայնիվ, վիրտուալ մեքենաների կոդավորումն այնքան էլ անիմաստ չէ, որքան կարող է թվալ:

Մենք գաղտնագրում ենք տվյալները VDS-ում

Թույլ տվեք անմիջապես վերապահում անել, որ այն ամենը, ինչ մենք անում ենք ստորև, չի նշանակում լիարժեք պաշտպանություն: Հիպերվիզորը թույլ կտա ձեզ կատարել անհրաժեշտ պատճենները՝ առանց ծառայությունը դադարեցնելու և առանց ձեր նկատելու:

Եթե, ըստ պահանջի, հոսթերը փոխանցում է ձեր վիրտուալ մեքենայի «սառը» պատկերը, ապա դուք համեմատաբար ապահով եք: Սա ամենատարածված սցենարն է:
Եթե հյուրընկալողը ձեզ տալիս է աշխատող մեքենայի ամբողջական պատկերը, ապա ամեն ինչ բավականին վատ է: Բոլոր տվյալները կտեղադրվեն համակարգում հստակ ձևով: Բացի այդ, հնարավոր կլինի փորփրել օպերատիվ հիշողությունը՝ մասնավոր բանալիներ և նմանատիպ տվյալներ փնտրելու համար։

Լռելյայնորեն, եթե դուք OS-ն տեղադրել եք վանիլային պատկերից, ապա հոսթերը չունի արմատային մուտք: Դուք միշտ կարող եք տեղադրել մեդիա փրկարարական պատկերով և փոխել արմատային գաղտնաբառը՝ սեղմելով վիրտուալ մեքենայի միջավայրը: Բայց սա կպահանջի վերաբեռնում, որը կնկատվի: Բացի այդ, բոլոր մոնտաժված կոդավորված միջնորմները կփակվեն:

Այնուամենայնիվ, եթե վիրտուալ մեքենայի տեղակայումը գալիս է ոչ թե վանիլային պատկերից, այլ նախապես պատրաստվածից, ապա հոսթերը հաճախ կարող է ավելացնել արտոնյալ հաշիվ՝ հաճախորդի մոտ արտակարգ իրավիճակներում օգնելու համար: Օրինակ՝ մոռացված արմատային գաղտնաբառը փոխելու համար։

Անգամ ամբողջական նկարի դեպքում ամեն ինչ այդքան տխուր չէ։ Հարձակվողը չի ստանա կոդավորված ֆայլեր, եթե դրանք մոնտաժել եք մեկ այլ մեքենայի հեռավոր ֆայլային համակարգից: Այո, տեսականորեն, դուք կարող եք ընտրել RAM-ի աղբավայրը և այնտեղից հանել գաղտնագրման բանալիները: Բայց գործնականում դա այնքան էլ չնչին չէ, և շատ քիչ հավանական է, որ գործընթացը դուրս գա պարզ ֆայլերի փոխանցման սահմաններից:

Պատվիրեք մեքենա

Մեր փորձարկման նպատակների համար մենք ներս ենք վերցնում պարզ մեքենա սերվերներ պատվիրելու բաժին. Մեզ շատ ռեսուրսներ պետք չեն, ուստի մենք կօգտվենք իրականում ծախսված մեգահերցի և տրաֆիկի համար վճարելու տարբերակից: Բավական է խաղալ շուրջը:

Դասական dm-crypt ամբողջ բաժանման համար չի հանվել: Լռելյայնորեն, սկավառակը տրվում է մեկ կտորով, արմատով ամբողջ բաժանման համար: ext4 միջնորմի կրճատումը արմատային մասի վրա գործնականում երաշխավորված աղյուս է ֆայլային համակարգի փոխարեն: Ես փորձեցի) Դափը չօգնեց։

Կրիպտո կոնտեյների ստեղծում

Հետևաբար, մենք չենք կոդավորի ամբողջ բաժինը, այլ կօգտագործենք ֆայլերի կրիպտո կոնտեյներներ, մասնավորապես՝ աուդիտի ենթարկված և հուսալի VeraCrypt-ը: Մեր նպատակների համար սա բավարար է։ Նախ, մենք հանում և տեղադրում ենք փաթեթը CLI տարբերակով պաշտոնական կայքից: Դուք կարող եք միաժամանակ ստուգել ստորագրությունը:

wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb

Այժմ մենք կստեղծենք բեռնարկղն ինքնին ինչ-որ տեղ մեր տանը, որպեսզի կարողանանք այն ձեռքով տեղադրել վերագործարկման ժամանակ: Ինտերակտիվ տարբերակում սահմանեք կոնտեյների չափը, գաղտնաբառը և գաղտնագրման ալգորիթմները: Դուք կարող եք ընտրել հայրենասիրական գաղտնագիրը Grasshopper և Stribog հեշ ֆունկցիան:

veracrypt -t -c ~/my_super_secret

Հիմա եկեք տեղադրենք nginx, տեղադրենք կոնտեյները և լրացնենք այն գաղտնի տեղեկություններով:

mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.png

Եկեք մի փոքր ուղղենք /var/www/html/index.nginx-debian.html՝ ցանկալի էջը ստանալու համար, և դուք կարող եք ստուգել այն:

Միացեք և ստուգեք

Բեռնարկղը տեղադրված է, տվյալները հասանելի են և ուղարկվում են:

Եվ ահա մեքենան վերագործարկումից հետո: Տվյալները ապահով կերպով պահվում են ~/my_super_secret-ում:

Եթե դուք իսկապես դրա կարիքն ունեք և ցանկանում եք, որ այն հարդքոր լինի, ապա կարող եք գաղտնագրել ամբողջ ՕՀ-ն այնպես, որ վերաբեռնելիս այն պահանջի միանալ ssh-ի միջոցով և մուտքագրել գաղտնաբառ: Սա բավարար կլինի նաև «սառը տվյալները» պարզապես հանելու սցենարի դեպքում։ Այստեղ dropbear-ի օգտագործման հրահանգներ և հեռավոր սկավառակի կոդավորումը: Չնայած VDS-ի դեպքում դժվար է ու ավելորդ։

Մերկ մետաղ

Դա այնքան էլ հեշտ չէ տեղադրել ձեր սեփական սերվերը տվյալների կենտրոնում: Ուրիշի նվիրյալը կարող է պարզվել, որ վիրտուալ մեքենա է, որի մեջ փոխանցվում են բոլոր սարքերը: Սակայն պաշտպանության առումով ինչ-որ հետաքրքիր բան սկսվում է այն ժամանակ, երբ դուք հնարավորություն ունեք տեղադրել ձեր վստահելի ֆիզիկական սերվերը տվյալների կենտրոնում: Այստեղ դուք արդեն կարող եք ամբողջությամբ օգտագործել ավանդական dm-crypt, VeraCrypt կամ ձեր ընտրած ցանկացած այլ կոդավորում:

Դուք պետք է հասկանաք, որ եթե ամբողջական կոդավորումն իրականացվի, ապա սերվերը չի կարողանա ինքնուրույն վերականգնել վերագործարկումից հետո: Անհրաժեշտ կլինի բարձրացնել կապը տեղական IP-KVM, IPMI կամ այլ նմանատիպ ինտերֆեյսի հետ: Որից հետո մենք ձեռքով մուտքագրում ենք հիմնական բանալին: Սխեման այսպես է թվում շարունակականության և սխալների հանդուրժողականության տեսանկյունից, սակայն հատուկ այլընտրանքներ չկան, եթե տվյալներն այդքան արժեքավոր են:

NCipher nShield F3 Սարքավորումների անվտանգության մոդուլ

Ավելի մեղմ տարբերակը ենթադրում է, որ տվյալները կոդավորված են, և բանալին գտնվում է անմիջապես սերվերի վրա՝ հատուկ HSM-ում (Hardware Security Module): Որպես կանոն, դրանք շատ ֆունկցիոնալ սարքեր են, որոնք ոչ միայն ապահովում են ապարատային գաղտնագրություն, այլ նաև ունեն ֆիզիկական հաքերային փորձերը հայտնաբերելու մեխանիզմներ։ Եթե ինչ-որ մեկը սկսի պտտվել ձեր սերվերի շուրջը անկյունային սրճաղացով, ապա անկախ սնուցման աղբյուր ունեցող HSM-ը կվերագործարկի այն բանալիները, որոնք պահում է իր հիշողության մեջ: Հարձակվողը կստանա գաղտնագրված աղացած միսը: Այս դեպքում վերաբեռնումը կարող է տեղի ունենալ ինքնաբերաբար:

Ստեղները հեռացնելը շատ ավելի արագ և մարդասիրական տարբերակ է, քան թերմիտային ռումբի կամ էլեկտրամագնիսական կալանչի ակտիվացումը: Նման սարքերի համար ձեզ շատ երկար ժամանակ ծեծի կենթարկեն ձեր հարևանները տվյալների կենտրոնի դարակում: Ընդ որում, օգտագործման դեպքում TCG Opal 2 գաղտնագրումը բուն լրատվամիջոցի վրա, դուք գործնականում ոչ մի գերավճար չեք զգում: Այս ամենը ՕՀ-ի հետ տեղի է ունենում թափանցիկ: Ճիշտ է, այս դեպքում պետք է վստահել պայմանական Samsung-ին ու հուսալ, որ նա ունի ազնիվ AES256, այլ ոչ թե բանական XOR։

Միևնույն ժամանակ, մենք չպետք է մոռանանք, որ բոլոր անհարկի նավահանգիստները պետք է ֆիզիկապես անջատված լինեն կամ պարզապես լցվեն բաղադրությամբ: Հակառակ դեպքում հարձակվողներին հնարավորություն եք տալիս իրականացնել DMA հարձակումներ. Եթե ունեք PCI Express կամ Thunderbolt-ը, ներառյալ USB-ն իր աջակցությամբ, դուք խոցելի եք: Հարձակվողը կկարողանա հարձակում իրականացնել այս նավահանգիստների միջոցով և ստեղներով անմիջական մուտք ունենալ դեպի հիշողություն:

Շատ բարդ տարբերակով հարձակվողը կկարողանա սառը կոշիկներով հարձակում իրականացնել։ Միևնույն ժամանակ, այն պարզապես հեղուկ ազոտի լավ չափաբաժին է լցնում ձեր սերվերի մեջ, կոպիտ կերպով հեռացնում է սառեցված հիշողության քարտերը և բոլոր ստեղներով աղբ է վերցնում դրանցից: Հաճախ հարձակում իրականացնելու համար բավական է սովորական սառեցնող սփրեյը և մոտ -50 աստիճան ջերմաստիճանը: Կա նաև ավելի ճշգրիտ տարբերակ. Եթե դուք չեք անջատել արտաքին սարքերից բեռնումը, ապա հարձակվողի ալգորիթմն ավելի պարզ կլինի.

Սառեցրեք հիշողության ձողերը՝ առանց գործը բացելու
Միացրեք ձեր bootable USB ֆլեշ կրիչը
Օգտագործեք հատուկ կոմունալ ծառայություններ RAM-ից այն տվյալները հեռացնելու համար, որոնք վերաբեռնվել են սառեցման պատճառով:

Բաժանել եւ նվաճել

Լավ, մենք ունենք միայն վիրտուալ մեքենաներ, բայց ես կցանկանայի ինչ-որ կերպ նվազեցնել տվյալների արտահոսքի ռիսկերը:
Դուք կարող եք, սկզբունքորեն, փորձել վերանայել ճարտարապետությունը և բաշխել տվյալների պահպանումն ու մշակումը տարբեր իրավասություններում: Օրինակ, գաղտնագրման բանալիներով ճակատը Չեխիայի հոսթերից է, իսկ գաղտնագրված տվյալների հետնամասը գտնվում է ինչ-որ տեղ Ռուսաստանում: Ստանդարտ առգրավման փորձի դեպքում չափազանց քիչ հավանական է, որ իրավապահ մարմինները կարողանան դա միաժամանակ իրականացնել տարբեր իրավասություններում: Գումարած, սա մասամբ ապահովագրում է մեզ նկարահանման սցենարից:

Դե, կամ կարող եք դիտարկել ամբողջովին մաքուր տարբերակ՝ End-to-End կոդավորումը: Անշուշտ, սա դուրս է ճշգրտման շրջանակներից և չի ենթադրում հաշվարկներ կատարել հեռավոր մեքենայի վրա: Այնուամենայնիվ, սա միանգամայն ընդունելի տարբերակ է, երբ խոսքը վերաբերում է տվյալների պահպանմանն ու համաժամացմանը: Օրինակ, սա շատ հարմար է իրականացվում Nextcloud-ում: Միևնույն ժամանակ, համաժամացումը, տարբերակների ձևավորումը և սերվերի կողմի այլ առավելությունները չեն անհետանա:

Ընդհանուր

Չկան կատարյալ անվտանգ համակարգեր: Նպատակը պարզապես հարձակումն ավելի արժեքավոր դարձնելն է, քան հնարավոր շահույթը:

Վիրտուալ կայքում տվյալների հասանելիության ռիսկերի որոշակի կրճատում կարելի է ձեռք բերել կոդավորումը և առանձին պահեստավորումը տարբեր հոսթերների հետ համատեղելով:

Քիչ թե շատ հուսալի տարբերակ է օգտագործել ձեր սեփական ապարատային սերվերը:

Բայց տանտիրոջը դեռ պետք է վստահել այս կամ այն կերպ: Ամբողջ արդյունաբերությունը հենվում է դրա վրա:

Source: www.habr.com

Ինչ անել, եթե siloviki-ն գա ձեր հյուրատուն