Ég er verkfræðingur að mennt en er í meiri samskiptum við frumkvöðla og framleiðslustjóra. Fyrir nokkru spurði eigandi iðnfyrirtækis ráða. Þrátt fyrir þá staðreynd að fyrirtækið er stórt og var stofnað á tíunda áratugnum, vinna stjórnun og bókhald á gamla mátann á staðarneti.
Þetta er afleiðing af ótta um viðskipti þeirra og auknu eftirliti ríkisins. Lög og reglur geta verið túlkuð mjög vítt af skoðunaryfirvöldum. Sem dæmi má nefna breytingar á skattalögum, vegna skattalagabrota, raunverulegrar eyðingar .
Í kjölfarið fór eigandi fyrirtækisins að leita að lausnum fyrir áreiðanlega geymslu upplýsinga og öruggan flutning skjala. Sýndar „öruggt“.
Við unnum að vandanum með kerfisstjóra í fullu starfi: við þurftum ítarlega greiningu á núverandi kerfum.
- þjónustan á ekki að vera skýjatengd, í klassískum skilningi þess orðs, þ.e. án geymslu í aðstöðu þriðja aðila. Aðeins þjónninn þinn;
- Krafist er sterkrar dulkóðunar á sendum og geymdum gögnum;
- möguleikinn á að eyða efni úr hvaða tæki sem er með því að smella á hnapp er skylda;
- lausnin var þróuð erlendis.
Ég lagði til að fjórða liðurinn yrði fjarlægður vegna þess að... Rússneskar umsóknir hafa opinber vottorð. Forstjórinn sagði beint hvað ætti að gera við slík vottorð.
Veldu valkosti
Ég valdi þrjár lausnir (því fleiri val, því meiri efasemdir):
- Open Source - verkefni , viðhaldið af áhugasama framkvæmdaraðilanum Jacob Borg.
- , undir eftirliti American Resilio Inc. (áður hét þessi þjónusta BitTorrent Sync).
- Project frá samstillingarforrit. Skráning á Kýpur.
Eigandi fyrirtækisins hefur lítinn skilning á tæknilegum flækjum, svo ég sniði skýrsluna í formi lista yfir kosti og galla hvers valkosts.
Niðurstöður greininga
Syncthing
Kostir:
- Opinn uppspretta;
- Virkni aðalframkvæmdaraðila;
- Verkefnið hefur staðið yfir í mjög langan tíma;
- Ókeypis.
Gallar:
- Það er enginn viðskiptavinur fyrir iOS skelina;
- Slow Turn netþjónar (þeir eru ókeypis, svo þeir hægja á sér). Fyrir þá, sem
ekki kunnugt, Turn er notað þegar það er ómögulegt að tengja beint; - Flókin viðmótsuppsetning (þarf margra ára reynslu af forritunarmálum);
- Skortur á skjótum viðskiptastuðningi.
resilium
Kostir: stuðningur fyrir öll tæki og hraðvirka Turn netþjóna.
Gallar: Einn og mjög mikilvægur er algjör hunsa allar beiðnir stuðningsþjónustunnar. Núll svar, jafnvel þótt þú skrifir frá mismunandi heimilisföngum.
Pvtbox
Kostir:
- Styður öll tæki;
- Fast Turn netþjónar;
- Geta til að hlaða niður skrá án þess að setja upp forritið;
- Fullnægjandi stoðþjónusta, þ.m.t. í síma.
Gallar:
- Ungt verkefni (fáar umsagnir og góðar umsagnir);
- Viðmót síðunnar er mjög „tæknilegt“ og ekki alltaf skýrt;
- Það eru engin ítarleg skjöl; mörg mál krefjast stuðnings.
Hvað valdi viðskiptavinurinn?
Fyrsta spurning hans er: hver er tilgangurinn með því að þróa eitthvað ókeypis? Samstillingu var hætt samstundis. Rökin virkuðu ekki.
Nokkrum dögum síðar hafnaði viðskiptavinurinn Resilio Sync afdráttarlaust vegna skorts á stuðningi, vegna þess að... Ekki er ljóst hvert á að leita í neyðartilvikum. Auk vantrausts á bandarískri skráningu fyrirtækisins.
Fyrir frekari greiningu er Pvtbox Electronic öryggishólfið eftir. Við gerðum fulla tæknilega úttekt á þessum vettvangi, með áherslu á möguleikann á hlerun, afkóðun gagna og óleyfilega inngöngu í upplýsingageymsluna.
Endurskoðunarferli
Við greindum tengingarnar í upphafi forritsins, meðan á aðgerðinni stóð og í rólegu ástandi. Umferð samkvæmt nútímastöðlum er í upphafi dulkóðuð. Við skulum reyna að framkvæma MITM árás og skipta um skírteini á flugu með því að nota Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Til að gera þetta munum við kynna millilið milli Pvtbox forritsins og pvtbox.net þjónsins (það er gagnaskipti við pvtbox.net þjóninn í gegnum https tengingu).
Við ræsum forritið til að ganga úr skugga um að forritið og skráarsamstillingin virki í því. Í Linux geturðu strax fylgst með skráningu ef þú keyrir forritið frá flugstöðinni.
Slökktu á forritinu og skiptu um pvtbox.net hýsilfangið í skránni / Etc / vélar með ofurnotendaréttindum. Við skiptum út heimilisfanginu fyrir heimilisfang proxy-þjónsins okkar.
Nú skulum við undirbúa proxy-þjóninn okkar fyrir MITM árás á tölvu með heimilisfangið 192.168.1.64 á staðarnetinu okkar. Til að gera þetta skaltu setja upp mitmproxy pakkann útgáfu 4.0.4.
Við ræsum proxy-þjóninn á höfn 443:
$ sudo mitmproxy -p 443
Við ræsum Pvtbox forritið á fyrstu tölvunni, skoðum mitmproxy úttakið og forritaskrána.
Mitmproxy tilkynnir að viðskiptavinurinn treystir ekki svikavottorðinu frá proxy-þjóninum. Í forritaskránum sjáum við líka að vottorð umboðsþjóns stenst ekki staðfestingu og forritið neitar að virka.
Að setja upp vottorð fyrir proxy-miðlara mitmproxy í tölvu með Pvtbox forritinu til að gera skírteinið „traust“. Settu upp ca-vottorð pakkann á tölvunni þinni. Afritaðu síðan mitmproxy-ca-cert.pem vottorðið úr .mitmproxy skránni á proxy-þjóninum yfir á tölvuna með Pvtbox forritinu í /usr/local/share/ca-certificates skrána.
Við framkvæmum skipanirnar:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-vottorð
Ræstu Pvtbox forritið. Vottorðið mistókst aftur að sannreyna og forritið neitar að virka. Forritið notar líklega öryggiskerfi Skírteini fest.
Svipuð árás var gerð á gestgjafann signalserver.pvtbox.net, sem og peer-2-peer tengingin sjálf milli hnúta. Framkvæmdaraðilinn gefur til kynna að forritið til að koma á jafningja-2-jafningjatengingum notar opna webrtc-samskiptareglur, sem notar dulkóðun frá enda-til-enda samskiptareglum DTLSv1.2.
Lyklar eru búnir til fyrir hverja uppsetningu tengingar og sendir yfir dulkóðaða rás í gegnum merkjaþjónn.pvtbox.net.
Fræðilega séð væri hægt að hlera webrtc tilboð og svara skilaboðum, skipta um dulkóðunarlykla þar og vera hægt að afkóða öll skilaboð sem berast um webrtc. En það var ekki hægt að framkvæma mitm árás á signalserver.pvtbox.net, svo það er engin leið að stöðva og skipta út skilaboðum sem send eru í gegnum signalserver.pvtbox.net.
Samkvæmt því er ekki hægt að framkvæma þessa árás á peer-2-peer tengingu.
Einnig fannst skrá með skírteinum sem fylgdu forritinu. Skráin er staðsett á /opt/pvtbox/certifi/cacert.pem. Þessari skrá hefur verið skipt út fyrir skrá sem inniheldur traust vottorð frá mitmproxy proxy okkar. Niðurstaðan breyttist ekki - forritið neitaði að tengjast kerfinu, sama villa kom fram í skránni,
að vottorðið standist ekki sannprófun.
Niðurstöður endurskoðunar
Ég gat ekki stöðvað eða skopað umferð. Skráarnöfn, og enn frekar innihald þeirra, eru send á dulkóðuðu formi, dulkóðun frá enda til enda. Forritið útfærir fjölda öryggisaðferða sem koma í veg fyrir hlerun og innleiðingu.
Fyrir vikið keypti fyrirtækið tvo sérstaka netþjóna (líkamlega á mismunandi stöðum) fyrir varanlegan aðgang að upplýsingum. Fyrsti miðlarinn er notaður til að taka á móti, vinna úr og geyma upplýsingar, sá seinni er notaður til að taka afrit.
Vinnustöð forstjórans og farsími á iOS voru tengd við einstaka skýið sem varð til. Aðrir starfsmenn voru tengdir af kerfisstjóra í fullu starfi og tækniaðstoð Pvtbox.
Undanfarið tímabil hafa engar kvartanir borist frá vininum. Ég vona að umsögn mín muni hjálpa lesendum Habr í svipaðri stöðu.
Heimild: www.habr.com