kdpv - Reuters
Jika Anda menyewa server, maka Anda tidak memiliki kendali penuh atas server tersebut. Artinya, kapan saja, orang yang terlatih khusus dapat mendatangi hoster dan meminta Anda memberikan data apa pun. Dan tuan rumah akan mengembalikannya jika permintaan itu diformalkan menurut hukum.
Anda benar-benar tidak ingin log server web atau data pengguna Anda bocor ke orang lain. Tidak mungkin membangun pertahanan yang ideal. Hampir tidak mungkin melindungi diri Anda dari hoster yang memiliki hypervisor dan memberi Anda mesin virtual. Tapi mungkin risikonya bisa sedikit dikurangi. Mengenkripsi mobil sewaan tidak sia-sia seperti yang terlihat pada pandangan pertama. Pada saat yang sama, mari kita lihat ancaman ekstraksi data dari server fisik.
Model ancaman
Sebagai aturan, tuan rumah akan berusaha melindungi kepentingan klien sebanyak mungkin berdasarkan hukum. Jika surat dari otoritas resmi hanya meminta log akses, hoster tidak akan menyediakan dump semua mesin virtual Anda dengan database. Setidaknya seharusnya tidak demikian. Jika mereka meminta semua data, hoster akan menyalin disk virtual dengan semua file dan Anda tidak akan mengetahuinya.
Apa pun skenarionya, tujuan utama Anda adalah membuat serangan menjadi terlalu sulit dan mahal. Biasanya ada tiga opsi ancaman utama.
resmi
Paling sering, surat kertas dikirim ke kantor resmi tuan rumah dengan persyaratan untuk memberikan data yang diperlukan sesuai dengan peraturan terkait. Jika semuanya dilakukan dengan benar, hoster memberikan log akses yang diperlukan dan data lainnya kepada otoritas resmi. Biasanya mereka hanya meminta Anda mengirimkan data yang diperlukan.
Kadang-kadang, jika benar-benar diperlukan, perwakilan lembaga penegak hukum datang langsung ke pusat data. Misalnya, ketika Anda memiliki server khusus dan data dari sana hanya dapat diambil secara fisik.
Di semua negara, mendapatkan akses terhadap properti pribadi, melakukan penggeledahan, dan aktivitas lainnya memerlukan bukti bahwa data tersebut mungkin berisi informasi penting untuk penyelidikan kejahatan. Selain itu, surat perintah penggeledahan yang dilaksanakan sesuai dengan semua peraturan juga diperlukan. Mungkin ada perbedaan terkait dengan kekhasan peraturan daerah. Hal utama yang perlu Anda pahami adalah jika jalur resminya benar, perwakilan pusat data tidak akan membiarkan siapa pun melewati pintu masuk.
Terlebih lagi, di sebagian besar negara Anda tidak bisa begitu saja mengeluarkan peralatan lari. Misalnya, di Rusia, hingga akhir tahun 2018, menurut Pasal 183 KUHAP Federasi Rusia, bagian 3.1, dijamin bahwa selama penyitaan, penyitaan media penyimpanan elektronik dilakukan dengan partisipasi dari seorang spesialis. Atas permintaan pemilik sah media penyimpanan elektronik yang disita atau pemilik informasi yang terkandung di dalamnya, ahli yang ikut serta dalam penyitaan, di hadapan saksi, menyalin informasi dari media penyimpanan elektronik yang disita ke media penyimpanan elektronik lainnya.
Sayangnya, poin ini dihapus dari artikel.
Rahasia dan tidak resmi
Ini sudah menjadi wilayah aktivitas kawan-kawan yang terlatih khusus dari NSA, FBI, MI5 dan organisasi tiga huruf lainnya. Seringkali, undang-undang suatu negara memberikan kewenangan yang sangat luas untuk struktur tersebut. Selain itu, hampir selalu ada larangan legislatif terhadap pengungkapan langsung atau tidak langsung mengenai fakta kerja sama dengan lembaga penegak hukum tersebut. Ada yang serupa di Rusia .
Jika terjadi ancaman terhadap data Anda, hampir pasti data tersebut akan dihapus. Selain itu, selain penyitaan sederhana, seluruh gudang pintu belakang tidak resmi, kerentanan zero-day, ekstraksi data dari RAM mesin virtual Anda, dan kesenangan lainnya dapat digunakan. Dalam hal ini, tuan rumah wajib membantu petugas penegak hukum semaksimal mungkin.
Karyawan yang tidak bermoral
Tidak semua orang sama baiknya. Salah satu administrator pusat data mungkin memutuskan untuk menghasilkan uang tambahan dan menjual data Anda. Perkembangan lebih lanjut bergantung pada kekuatan dan aksesnya. Hal yang paling menjengkelkan adalah administrator dengan akses ke konsol virtualisasi memiliki kendali penuh atas mesin Anda. Anda selalu dapat mengambil snapshot beserta seluruh isi RAM dan kemudian mempelajarinya secara perlahan.
VDS
Jadi, Anda memiliki mesin virtual yang diberikan oleh hoster kepada Anda. Bagaimana Anda bisa menerapkan enkripsi untuk melindungi diri Anda sendiri? Faktanya, praktis tidak ada apa-apa. Selain itu, bahkan server khusus orang lain mungkin akan menjadi mesin virtual tempat perangkat yang diperlukan dimasukkan.
Jika tugas sistem jarak jauh bukan hanya untuk menyimpan data, tetapi untuk melakukan beberapa perhitungan, maka satu-satunya pilihan untuk bekerja dengan mesin yang tidak dipercaya adalah dengan mengimplementasikannya. . Dalam hal ini, sistem akan melakukan penghitungan tanpa kemampuan untuk memahami apa sebenarnya yang dilakukannya. Sayangnya, biaya overhead untuk menerapkan enkripsi tersebut sangat tinggi sehingga penggunaan praktisnya saat ini terbatas pada tugas-tugas yang sangat sempit.
Selain itu, saat mesin virtual sedang berjalan dan melakukan tindakan tertentu, semua volume terenkripsi berada dalam status dapat diakses, jika tidak, OS tidak akan dapat bekerja dengannya. Ini berarti bahwa dengan memiliki akses ke konsol virtualisasi, Anda selalu dapat mengambil snapshot dari mesin yang sedang berjalan dan mengekstrak semua kunci dari RAM.
Banyak vendor telah mencoba mengatur enkripsi perangkat keras pada RAM sehingga hoster pun tidak memiliki akses ke data ini. Misalnya, teknologi Intel Software Guard Extensions, yang mengatur area di ruang alamat virtual yang dilindungi dari pembacaan dan penulisan dari luar area ini oleh proses lain, termasuk kernel sistem operasi. Sayangnya, Anda tidak akan dapat sepenuhnya mempercayai teknologi ini, karena Anda akan terbatas pada mesin virtual Anda. Selain itu, contoh yang sudah jadi sudah ada untuk teknologi ini. Namun, mengenkripsi mesin virtual tidaklah sia-sia kelihatannya.
Kami mengenkripsi data di VDS
Izinkan saya segera membuat reservasi bahwa semua yang kami lakukan di bawah ini tidak berarti perlindungan penuh. Hypervisor akan memungkinkan Anda membuat salinan yang diperlukan tanpa menghentikan layanan dan tanpa Anda sadari.
- Jika, berdasarkan permintaan, penghosting mentransfer gambar "dingin" dari mesin virtual Anda, maka Anda relatif aman. Ini adalah skenario yang paling umum.
- Jika penghosting memberikan gambaran lengkap tentang mesin yang sedang berjalan, maka semuanya buruk. Semua data akan terpasang di sistem dalam bentuk yang jelas. Selain itu, dimungkinkan untuk mengobrak-abrik RAM untuk mencari kunci pribadi dan data serupa.
Secara default, jika Anda menerapkan OS dari image vanilla, hoster tidak memiliki akses root. Anda selalu dapat memasang media dengan gambar penyelamat dan mengubah kata sandi root dengan melakukan chroot pada lingkungan mesin virtual. Tapi ini memerlukan reboot, yang akan diperhatikan. Ditambah lagi, semua partisi terenkripsi yang terpasang akan ditutup.
Namun, jika penerapan mesin virtual tidak berasal dari image vanilla, tetapi dari image yang telah disiapkan sebelumnya, maka hoster sering kali dapat menambahkan akun istimewa untuk membantu dalam situasi darurat di klien. Misalnya saja untuk mengganti password root yang terlupa.
Bahkan dalam kasus gambaran lengkap, tidak semuanya begitu menyedihkan. Penyerang tidak akan menerima file terenkripsi jika Anda memasangnya dari sistem file jarak jauh di mesin lain. Ya, secara teori, Anda dapat memilih dump RAM dan mengekstrak kunci enkripsi dari sana. Namun dalam praktiknya, hal ini bukanlah hal yang sepele dan sangat kecil kemungkinannya bahwa prosesnya akan lebih dari sekadar transfer file sederhana.
Pesan mobil
Untuk tujuan pengujian kami, kami menggunakan mesin sederhana . Kami tidak memerlukan banyak sumber daya, jadi kami akan mengambil opsi untuk membayar megahertz dan lalu lintas yang benar-benar dihabiskan. Cukup untuk bermain-main.
Dm-crypt klasik untuk seluruh partisi tidak diluncurkan. Secara default, disk diberikan dalam keadaan utuh, dengan root untuk seluruh partisi. Mengecilkan partisi ext4 pada partisi yang dipasang di root secara praktis merupakan jaminan bukan sistem file. Saya mencoba) Rebana tidak membantu.
Membuat wadah kripto
Oleh karena itu, kami tidak akan mengenkripsi seluruh partisi, tetapi akan menggunakan wadah kripto file, yaitu VeraCrypt yang telah diaudit dan andal. Untuk tujuan kami, ini sudah cukup. Pertama, kita keluarkan dan instal paket dengan versi CLI dari situs resminya. Anda dapat memeriksa tanda tangan secara bersamaan.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Sekarang kita akan membuat containernya sendiri di suatu tempat di rumah kita sehingga kita bisa memasangnya secara manual saat reboot. Dalam opsi interaktif, atur ukuran wadah, kata sandi, dan algoritma enkripsi. Anda dapat memilih cipher patriotik Grasshopper dan fungsi hash Stribog.
veracrypt -t -c ~/my_super_secretSekarang mari kita instal nginx, pasang containernya dan isi dengan informasi rahasia.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngMari kita koreksi sedikit /var/www/html/index.nginx-debian.html untuk mendapatkan halaman yang diinginkan dan Anda dapat memeriksanya.
Hubungkan dan periksa
Kontainer sudah terpasang, data dapat diakses dan dikirim.
Dan inilah mesinnya setelah reboot. Data disimpan dengan aman di ~/my_super_secret.
Jika Anda benar-benar membutuhkannya dan menginginkannya secara hardcore, maka Anda dapat mengenkripsi seluruh OS sehingga ketika Anda reboot memerlukan koneksi melalui ssh dan memasukkan kata sandi. Ini juga akan cukup dalam skenario penarikan βdata dinginβ. Di Sini dan enkripsi disk jarak jauh. Meskipun dalam kasus VDS hal ini sulit dan mubazir.
logam kosong
Tidak mudah memasang server Anda sendiri di pusat data. Didedikasikan orang lain mungkin berupa mesin virtual tempat semua perangkat ditransfer. Namun sesuatu yang menarik dalam hal perlindungan dimulai ketika Anda memiliki kesempatan untuk menempatkan server fisik tepercaya Anda di pusat data. Di sini Anda sudah dapat sepenuhnya menggunakan dm-crypt tradisional, VeraCrypt, atau enkripsi lain pilihan Anda.
Anda perlu memahami bahwa jika enkripsi total diterapkan, server tidak akan dapat pulih dengan sendirinya setelah reboot. Penting untuk meningkatkan koneksi ke IP-KVM lokal, IPMI atau antarmuka serupa lainnya. Setelah itu kita masukkan master key secara manual. Skema ini terlihat biasa-biasa saja dalam hal kontinuitas dan toleransi kesalahan, namun tidak ada alternatif khusus jika datanya sangat berharga.
Modul Keamanan Perangkat Keras NCipher nShield F3
Opsi yang lebih lembut mengasumsikan bahwa data dienkripsi dan kuncinya terletak langsung di server itu sendiri dalam HSM (Hardware Security Module) khusus. Biasanya, ini adalah perangkat yang sangat fungsional yang tidak hanya menyediakan kriptografi perangkat keras, namun juga memiliki mekanisme untuk mendeteksi upaya peretasan fisik. Jika seseorang mulai mengaduk-aduk server Anda dengan penggiling sudut, HSM dengan catu daya independen akan mengatur ulang kunci yang disimpannya di memorinya. Penyerang akan mendapatkan daging cincang terenkripsi. Dalam hal ini, reboot dapat terjadi secara otomatis.
Menghapus kunci adalah pilihan yang jauh lebih cepat dan manusiawi daripada mengaktifkan bom termit atau arester elektromagnetik. Untuk perangkat seperti itu, Anda akan dikalahkan dalam waktu yang sangat lama oleh tetangga Anda di rak pusat data. Apalagi dalam hal penggunaan enkripsi pada media itu sendiri, Anda hampir tidak mengalami overhead. Semua ini terjadi secara transparan pada OS. Benar, dalam hal ini Anda harus mempercayai kondisi Samsung dan berharap ia memiliki AES256 yang jujur, dan bukan XOR yang dangkal.
Pada saat yang sama, kita tidak boleh lupa bahwa semua port yang tidak diperlukan harus dinonaktifkan secara fisik atau diisi dengan senyawa. Jika tidak, Anda memberikan kesempatan kepada penyerang untuk melakukan aksinya . Jika Anda memiliki PCI Express atau Thunderbolt, termasuk USB dengan dukungannya, Anda rentan. Seorang penyerang akan dapat melakukan serangan melalui port ini dan mendapatkan akses langsung ke memori dengan kunci.
Dalam versi yang sangat canggih, penyerang akan mampu melakukan serangan cold boot. Pada saat yang sama, ia hanya menuangkan sebagian besar nitrogen cair ke server Anda, secara kasar mengeluarkan stik memori yang dibekukan dan membuangnya dengan semua kunci. Seringkali, semprotan pendingin biasa dan suhu sekitar -50 derajat sudah cukup untuk melancarkan serangan. Ada juga opsi yang lebih akurat. Jika Anda belum menonaktifkan pemuatan dari perangkat eksternal, algoritma penyerang akan lebih sederhana:
- Bekukan memory stick tanpa membuka casingnya
- Hubungkan flash drive USB Anda yang dapat di-boot
- Gunakan utilitas khusus untuk menghapus data dari RAM yang selamat dari reboot karena macet.
Bagilah dan taklukkan
Oke, kami hanya memiliki mesin virtual, tapi saya ingin mengurangi risiko kebocoran data.
Pada prinsipnya, Anda dapat mencoba merevisi arsitektur dan mendistribusikan penyimpanan dan pemrosesan data ke berbagai yurisdiksi. Misalnya, frontend dengan kunci enkripsi berasal dari hoster di Republik Ceko, dan backend dengan data terenkripsi berasal dari Rusia. Dalam kasus upaya penyitaan standar, sangat kecil kemungkinannya lembaga penegak hukum dapat melakukan upaya penyitaan secara bersamaan di yurisdiksi yang berbeda. Selain itu, ini sebagian menjamin kita terhadap skenario pengambilan gambar.
Ya, atau Anda dapat mempertimbangkan opsi yang sepenuhnya murni - Enkripsi ujung ke ujung. Tentu saja, ini melampaui cakupan spesifikasi dan tidak berarti melakukan perhitungan di sisi mesin jarak jauh. Namun, ini adalah opsi yang dapat diterima dalam hal penyimpanan dan sinkronisasi data. Misalnya, ini diterapkan dengan sangat mudah di Nextcloud. Pada saat yang sama, sinkronisasi, pembuatan versi, dan manfaat lain dari sisi server tidak akan hilang.
Total
Tidak ada sistem yang benar-benar aman. Tujuannya hanyalah untuk membuat serangan itu bernilai lebih dari potensi keuntungannya.
Beberapa pengurangan risiko mengakses data di situs virtual dapat dicapai dengan menggabungkan enkripsi dan penyimpanan terpisah dengan hoster yang berbeda.
Pilihan yang kurang lebih dapat diandalkan adalah dengan menggunakan server perangkat keras Anda sendiri.
Namun hoster tetap harus dipercaya. Seluruh industri bergantung pada hal ini.
Sumber: www.habr.com