kdpv - Reuters
Ef þú leigir netþjón, þá hefurðu ekki fulla stjórn á honum. Þetta þýðir að sérþjálfað fólk getur hvenær sem er komið til hýsingaraðilans og beðið þig um að útvega öll gögnin þín. Og gestgjafinn mun skila þeim til baka ef krafan er formleg samkvæmt lögum.
Þú vilt í raun ekki að vefþjónsskrár þínar eða notendagögn leki til neins annars. Það er ómögulegt að byggja upp fullkomna vörn. Það er næstum ómögulegt að verja þig fyrir hýsingaraðila sem á hypervisorinn og útvegar þér sýndarvél. En kannski verður hægt að minnka áhættuna aðeins. Dulkóðun bílaleigubíla er ekki eins gagnslaus og það virðist við fyrstu sýn. Á sama tíma skulum við skoða ógnirnar við að vinna gögn frá líkamlegum netþjónum.
Ógnalíkan
Að jafnaði mun gestgjafinn reyna að gæta hagsmuna viðskiptavinarins eins og kostur er samkvæmt lögum. Ef bréfið frá opinberum yfirvöldum bað aðeins um aðgangsskrár, mun hýsingaraðilinn ekki útvega allar sýndarvélar þínar með gagnagrunnum. Það ætti að minnsta kosti ekki. Ef þeir biðja um öll gögnin mun gestgjafinn afrita sýndardiskana með öllum skrám og þú munt ekki vita af því.
Burtséð frá atburðarásinni er aðalmarkmið þitt að gera árásina of erfiða og dýra. Venjulega eru þrjár helstu ógnarvalkostir.
Official
Oftast er pappírsbréf sent til opinberrar skrifstofu hýsingaraðila með kröfu um að afhenda nauðsynleg gögn í samræmi við viðeigandi reglugerð. Ef allt er gert rétt veitir hýsingaraðili nauðsynlegar aðgangsskrár og önnur gögn til opinberra yfirvalda. Venjulega biðja þeir þig bara um að senda nauðsynleg gögn.
Einstaka sinnum, ef brýna nauðsyn krefur, koma fulltrúar löggæslustofnana í eigin persónu í gagnaverið. Til dæmis, þegar þú ert með þinn eigin sérstaka netþjón og gögn þaðan er aðeins hægt að taka líkamlega.
Í öllum löndum krefst sönnunargagna um að gögnin geti innihaldið mikilvægar upplýsingar fyrir rannsókn glæps til að fá aðgang að einkaeignum, framkvæmd leit og annarra athafna. Auk þess þarf húsleitarheimild sem framkvæmd er í samræmi við allar reglur. Það geta verið blæbrigði tengd sérkennum staðbundinnar löggjafar. Aðalatriðið sem þú þarft að skilja er að ef opinber leið er rétt munu gagnaversfulltrúar ekki hleypa neinum framhjá innganginum.
Þar að auki, í flestum löndum er ekki einfaldlega hægt að draga út hlaupabúnað. Til dæmis, í Rússlandi, til ársloka 2018, samkvæmt 183. grein laga um meðferð sakamála í Rússlandi, hluta 3.1, var tryggt að við hald væri lagt hald á rafræna geymslumiðla með þátttöku. af sérfræðingi. Að beiðni löglegs eiganda rafrænna geymslumiðla sem lagt var hald á eða eiganda þeirra upplýsinga sem á þeim eru afritar sérfræðingur sem tekur þátt í haldlagningunni, að viðstöddum vitnum, upplýsingar af haldlagðu rafrænu geymslumiðlinum yfir á aðra rafræna geymslumiðla.
Svo var þessi liður því miður tekinn út úr greininni.
Leyndarmál og óopinbert
Þetta er nú þegar starfssvæði sérþjálfaðra félaga frá NSA, FBI, MI5 og öðrum þriggja stafa stofnunum. Oftast veitir löggjöf landa afar víðtækar heimildir til slíkra mannvirkja. Þar að auki er nánast alltaf löggjafarbann við hvers kyns beinni eða óbeinni birtingu á sjálfri samvinnu við slíkar löggæslustofnanir. Það eru svipaðar í Rússlandi .
Komi slík ógn við gögnin þín verða þau næstum örugglega tekin út. Þar að auki, auk einfalds grips, er hægt að nota allt óopinbera vopnabúrið af bakdyrum, núlldaga varnarleysi, gagnaútdrátt úr vinnsluminni sýndarvélarinnar þinnar og aðra gleði. Í þessu tilviki verður gestgjafi skylt að aðstoða löggæslusérfræðinga eins og hægt er.
Ótengdur starfsmaður
Það eru ekki allir jafn góðir. Einn af stjórnendum gagnavera gæti ákveðið að græða aukalega og selja gögnin þín. Frekari þróun fer eftir valdi hans og aðgengi. Það pirrandi er að stjórnandi með aðgang að sýndarvélinni hefur fulla stjórn á vélunum þínum. Þú getur alltaf tekið skyndimynd ásamt öllu innihaldi vinnsluminni og rannsakað það síðan hægt og rólega.
VDS
Þannig að þú ert með sýndarvél sem gestgjafinn gaf þér. Hvernig geturðu innleitt dulkóðun til að vernda þig? Reyndar nánast ekkert. Þar að auki, jafnvel hollur netþjónn einhvers annars gæti endað sem sýndarvél sem nauðsynleg tæki eru sett í.
Ef verkefni fjarkerfisins er ekki bara að geyma gögn, heldur að framkvæma einhverja útreikninga, þá væri eini kosturinn til að vinna með ótraust vél að innleiða . Í þessu tilviki mun kerfið framkvæma útreikninga án þess að geta skilið nákvæmlega hvað það er að gera. Því miður er kostnaður við að innleiða slíka dulkóðun svo hár að hagnýt notkun þeirra er eins og er takmörkuð við mjög þröng verkefni.
Auk þess, á því augnabliki sem sýndarvélin er í gangi og framkvæmir nokkrar aðgerðir, eru öll dulkóðuð bindi í aðgengilegu ástandi, annars mun stýrikerfið einfaldlega ekki geta unnið með þeim. Þetta þýðir að með aðgang að sýndarvélinni geturðu alltaf tekið skyndimynd af vél sem er í gangi og dregið alla lyklana úr vinnsluminni.
Margir söluaðilar hafa reynt að skipuleggja dulkóðun vélbúnaðar á vinnsluminni þannig að jafnvel hýsingaraðili hafi ekki aðgang að þessum gögnum. Til dæmis, Intel Software Guard Extensions tækni, sem skipuleggur svæði í sýndarvistfangarýminu sem eru varin fyrir lestri og ritun utan þessa svæðis með öðrum ferlum, þar á meðal stýrikerfiskjarnanum. Því miður muntu ekki geta treyst þessari tækni að fullu, þar sem þú verður takmarkaður við sýndarvélina þína. Auk þess eru þegar tilbúin dæmi fyrir þessa tækni. Samt sem áður er dulkóðun sýndarvéla ekki eins tilgangslaust og það kann að virðast.
Við dulkóðum gögn á VDS
Ég leyfi mér strax að setja fyrirvara um að allt sem við gerum hér að neðan jafngildir ekki fullri vernd. Yfirvísirinn gerir þér kleift að gera nauðsynleg afrit án þess að stöðva þjónustuna og án þess að þú takir eftir því.
- Ef gestgjafinn flytur „kalda“ mynd af sýndarvélinni þinni, að beiðni, þá ertu tiltölulega öruggur. Þetta er algengasta atburðarásin.
- Ef gestgjafinn gefur þér heildarmynd af hlaupandi vél, þá er allt frekar slæmt. Öll gögn verða sett inn í kerfið á skýru formi. Auk þess verður hægt að grúska í gegnum vinnsluminni í leit að einkalyklum og svipuðum gögnum.
Sjálfgefið, ef þú notaðir stýrikerfið frá vanillumynd, hefur hýsingaraðilinn ekki rótaraðgang. Þú getur alltaf tengt miðilinn með björgunarmyndinni og breytt rótarlykilorðinu með því að róta sýndarvélaumhverfið. En þetta mun krefjast endurræsingar, sem verður tekið eftir. Auk þess verður öllum uppsettum dulkóðuðu skiptingum lokað.
Hins vegar, ef uppsetning sýndarvélar kemur ekki frá vanillumynd, heldur frá fyrirfram undirbúinni mynd, þá getur gestgjafinn oft bætt við forréttindareikningi til að aðstoða í neyðartilvikum hjá viðskiptavininum. Til dæmis til að breyta rótarlykilorði sem gleymst hefur.
Jafnvel ef um algjöra skyndimynd er að ræða er ekki allt svo sorglegt. Árásarmaður mun ekki fá dulkóðaðar skrár ef þú settir þær upp úr ytra skráarkerfi annarrar vélar. Já, fræðilega séð geturðu valið vinnsluminni og dregið út dulkóðunarlyklana þaðan. En í reynd er þetta ekki mjög léttvægt og það er mjög ólíklegt að ferlið fari út fyrir einfaldan skráaflutning.
Pantaðu bíl
Í prófunartilgangi okkar tökum við einfalda vél inn . Við þurfum ekki mikið fjármagn, svo við tökum þann kost að borga fyrir megaherts og umferð sem raunverulega er eytt. Bara nóg til að leika sér með.
Klassíski dm-crypt fyrir alla skiptinguna fór ekki í gang. Sjálfgefið er að diskurinn sé gefinn í einu stykki, með rót fyrir alla skiptinguna. Að minnka ext4 skipting á rótfestu er nánast tryggður múrsteinn í stað skráarkerfis. Ég reyndi) Tamburínið hjálpaði ekki.
Að búa til dulmálsílát
Þess vegna munum við ekki dulkóða alla skiptinguna, heldur munum við nota dulritunarílát fyrir skrár, nefnilega endurskoðaða og áreiðanlega VeraCrypt. Í okkar tilgangi er þetta nóg. Fyrst drögum við út og setjum upp pakkann með CLI útgáfunni af opinberu vefsíðunni. Þú getur athugað undirskriftina á sama tíma.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Nú munum við búa til ílátið sjálft einhvers staðar á heimilinu okkar þannig að við getum fest hann handvirkt við endurræsingu. Í gagnvirka valkostinum skaltu stilla gámastærð, lykilorð og dulkóðunaralgrím. Þú getur valið þjóðrækinn dulmál Grasshopper og Stribog kjötkássaaðgerðina.
veracrypt -t -c ~/my_super_secretNú skulum við setja upp nginx, setja ílátið upp og fylla það af leynilegum upplýsingum.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngVið skulum leiðrétta /var/www/html/index.nginx-debian.html örlítið til að fá viðkomandi síðu og þú getur athugað hana.
Tengdu og athugaðu
Gámurinn er settur upp, gögnin eru aðgengileg og send.
Og hér er vélin eftir endurræsingu. Gögnin eru geymd á öruggan hátt í ~/my_super_secret.
Ef þú þarft virkilega á því að halda og vilt hafa það harðkjarna, þá geturðu dulkóðað allt stýrikerfið þannig að þegar þú endurræsir það krefst þess að tengjast í gegnum ssh og slá inn lykilorð. Þetta mun einnig nægja í þeirri atburðarás að einfaldlega afturkalla „köld gögn“. Hérna og dulkóðun á ytri diski. Þó að í tilviki VDS sé það erfitt og óþarfi.
Ber málmur
Það er ekki svo auðvelt að setja upp eigin netþjón í gagnaveri. Einhver annar getur reynst vera sýndarvél sem öll tæki eru flutt yfir í. En eitthvað áhugavert hvað varðar vernd hefst þegar þú hefur tækifæri til að setja trausta netþjóninn þinn í gagnaver. Hér getur þú nú þegar notað hefðbundna dm-crypt, VeraCrypt eða hvaða dulkóðun sem þú vilt.
Þú þarft að skilja að ef heildar dulkóðun er innleidd mun þjónninn ekki geta endurheimt sig á eigin spýtur eftir endurræsingu. Nauðsynlegt er að hækka tenginguna við staðbundið IP-KVM, IPMI eða annað svipað viðmót. Eftir það sláum við inn aðallykilinn handvirkt. Kerfið lítur svo út hvað varðar samfellu og bilanaþol, en það eru engir sérstakir kostir ef gögnin eru svo verðmæt.
NCipher nShield F3 Vélbúnaðaröryggiseining
Mýkri valkostur gerir ráð fyrir að gögnin séu dulkóðuð og lykillinn sé staðsettur beint á þjóninum sjálfum í sérstökum HSM (Hardware Security Module). Að jafnaði eru þetta mjög hagnýt tæki sem bjóða ekki aðeins upp á dulritun vélbúnaðar, heldur einnig með kerfi til að greina líkamlegar reiðhesturtilraunir. Ef einhver byrjar að pæla í netþjóninum þínum með hornsvörn mun HSM með sjálfstæðum aflgjafa endurstilla lyklana sem hann geymir í minni sínu. Árásarmaðurinn mun fá dulkóðaða hakkið. Í þessu tilviki getur endurræsingin átt sér stað sjálfkrafa.
Að fjarlægja lykla er miklu hraðari og mannúðlegri kostur en að virkja thermite sprengju eða rafsegulfanga. Fyrir slík tæki verður þú fyrir barðinu á þér í mjög langan tíma af nágrönnum þínum við rekkann í gagnaverinu. Ennfremur, ef um er að ræða notkun dulkóðun á miðlinum sjálfum, þú upplifir nánast engin kostnaður. Allt þetta gerist gagnsætt fyrir stýrikerfið. Satt, í þessu tilfelli verður þú að treysta skilyrtu Samsung og vona að hann hafi heiðarlegan AES256, en ekki banal XOR.
Á sama tíma megum við ekki gleyma því að allar óþarfa hafnir verða að vera líkamlega óvirkar eða einfaldlega fylltar með efnasambandi. Annars gefur þú árásarmönnum tækifæri til að framkvæma . Ef þú ert með PCI Express eða Thunderbolt sem stendur út, þar á meðal USB með stuðningi þess, ertu viðkvæmur. Árásarmaður mun geta framkvæmt árás í gegnum þessar hafnir og fengið beinan aðgang að minni með lyklum.
Í mjög háþróaðri útgáfu mun árásarmaðurinn geta framkvæmt kalt stígvélaárás. Á sama tíma hellir hann einfaldlega góðum skammti af fljótandi köfnunarefni inn á netþjóninn þinn, fjarlægir frosnu minnislyklana gróflega og tekur sorp af þeim með öllum lyklunum. Oft dugar venjulegur kæliúði og um -50 gráðu hita til að framkvæma árás. Það er líka nákvæmari valkostur. Ef þú hefur ekki slökkt á hleðslu frá ytri tækjum, þá verður reiknirit árásarmannsins enn einfaldara:
- Frystu minnislykla án þess að opna hulstrið
- Tengdu ræsanlega USB-drifið þitt
- Notaðu sérstök tól til að fjarlægja gögn úr vinnsluminni sem lifðu af endurræsingu vegna frystingar.
Skiptu og sigruðu
Allt í lagi, við höfum aðeins sýndarvélar, en ég vil einhvern veginn draga úr hættunni á gagnaleka.
Þú getur í grundvallaratriðum reynt að endurskoða arkitektúrinn og dreift gagnageymslu og vinnslu yfir mismunandi lögsagnarumdæmi. Til dæmis er framhliðin með dulkóðunarlyklum frá hýsingaraðilanum í Tékklandi og bakendi með dulkóðuðum gögnum er einhvers staðar í Rússlandi. Ef um hefðbundna tilraun til halds er að ræða er afar ólíklegt að löggæslustofnanir geti framkvæmt þetta samtímis í mismunandi lögsagnarumdæmum. Auk þess tryggir þetta okkur að hluta til að taka skyndimynd.
Jæja, eða þú getur íhugað algjörlega hreinan valkost - End-to-End dulkóðun. Auðvitað fer þetta út fyrir gildissvið forskriftarinnar og þýðir ekki að framkvæma útreikninga á hlið ytri vélarinnar. Hins vegar er þetta fullkomlega ásættanlegt val þegar kemur að því að geyma og samstilla gögn. Til dæmis er þetta mjög þægilegt útfært í Nextcloud. Á sama tíma mun samstilling, útgáfuútgáfa og önnur góðgæti á netþjóninum ekki hverfa.
Alls
Það eru engin fullkomlega örugg kerfi. Markmiðið er einfaldlega að gera árásina meira virði en hugsanlegan ávinning.
Nokkrar minnkun á hættu á að fá aðgang að gögnum á sýndarsíðu er hægt að ná með því að sameina dulkóðun og aðskilda geymslu með mismunandi hýsingum.
Meira og minna áreiðanlegur kostur er að nota eigin vélbúnaðarþjón.
En hýsingaraðilann verður samt að treysta á einn eða annan hátt. Allur iðnaðurinn hvílir á þessu.
Heimild: www.habr.com