კონფიდენციალური "ღრუბელი". ჩვენ ვეძებთ ღია გადაწყვეტილებების ალტერნატივას

ტრენინგით ინჟინერი ვარ, მაგრამ უფრო მეტს ვუკავშირდები მეწარმეებთან და წარმოების დირექტორებთან. რამდენიმე ხნის წინ სამრეწველო კომპანიის მფლობელმა რჩევა სთხოვა. მიუხედავად იმისა, რომ საწარმო დიდია და შეიქმნა 90-იან წლებში, მენეჯმენტი და ბუღალტერია ძველებურად მუშაობს ადგილობრივ ქსელში.

ეს მათი ბიზნესის მიმართ შიშისა და სახელმწიფოს მხრიდან გაზრდილი კონტროლის შედეგია. კანონები და რეგულაციები შეიძლება ძალიან ფართოდ იქნას განმარტებული ინსპექტირების ორგანოების მიერ. ამის მაგალითია საგადასახადო კოდექსში ცვლილებები, ხანდაზმულობის აღმოფხვრა საგადასახადო დარღვევებისთვის, ფაქტობრივი განადგურებისთვის საბანკო და აუდიტის საიდუმლოება.

შედეგად, ბიზნესის მფლობელმა დაიწყო გადაწყვეტილებების ძიება ინფორმაციის საიმედო შენახვისა და დოკუმენტების უსაფრთხო გადაცემისთვის. ვირტუალური "უსაფრთხო".

ჩვენ ვიმუშავეთ პრობლემაზე სრულ განაკვეთზე სისტემის ადმინისტრატორთან: გვჭირდებოდა არსებული პლატფორმების სიღრმისეული ანალიზი.

• სერვისი არ უნდა იყოს ღრუბელზე დაფუძნებული, ამ სიტყვის კლასიკური გაგებით, ე.ი. მესამე მხარის ორგანიზაციის ობიექტებში შენახვის გარეშე. მხოლოდ თქვენი სერვერი;
• საჭიროა გადაცემული და შენახული მონაცემების ძლიერი დაშიფვრა;
• საჭიროა ნებისმიერი მოწყობილობიდან შინაარსის სასწრაფოდ წაშლის შესაძლებლობა ღილაკზე დაჭერით;
• გამოსავალი შემუშავდა საზღვარგარეთ.

მე შევთავაზე მეოთხე პუნქტის ამოღება, რადგან... რუსულ აპლიკაციებს აქვთ ოფიციალური სერთიფიკატები. დირექტორმა პირდაპირ თქვა, რა უნდა გაკეთდეს ასეთი მოწმობებით.

არჩევა პარამეტრები

მე შევარჩიე სამი გამოსავალი (რაც მეტი არჩევანი, მით მეტი ეჭვი):

• ღია წყარო - პროექტი Syncthing.net , შეინარჩუნა ენთუზიაზმი დეველოპერი ჯეიკობ ბორგი.
• Resilio.com, რომელსაც ხელმძღვანელობს American Resilio Inc. (ადრე ამ სერვისს ერქვა BitTorrent Sync).
• პროექტი Pvtbox ელექტრონული სეიფი საწყისი pvtbox.net სინქრონიზაციის აპლიკაციები. კვიპროსის რეგისტრაცია.

კომპანიის მფლობელს ნაკლებად ესმის ტექნიკური სირთულეების შესახებ, ამიტომ მე დავაფორმატე ანგარიში თითოეული ვარიანტის დადებითი და უარყოფითი მხარეების სიების სახით.

ანალიზის შედეგები

სინქრონი

დადებითი:

• Საჯარო წყარო;
• მთავარი დეველოპერის აქტივობა;
• პროექტი ძალიან დიდი ხანია არსებობს;
• უფასო.

Cons:

• არ არსებობს კლიენტი iOS გარსისთვის;
• Slow Turn სერვერები (ისინი უფასოა, ამიტომ ანელებენ). Მათთვის ვინც
  უცნობია, Turn გამოიყენება მაშინ, როდესაც შეუძლებელია უშუალოდ დაკავშირება;
• კომპლექსური ინტერფეისის დაყენება (მოითხოვს მრავალწლიანი პროგრამირების გამოცდილებას);
• სწრაფი კომერციული მხარდაჭერის ნაკლებობა.

რეზილიო

დადებითი: მხარდაჭერა ყველა მოწყობილობისა და სწრაფი Turn სერვერებისთვის.

Cons: ერთი და ძალიან მნიშვნელოვანი არის მხარდაჭერის სამსახურის მიერ ნებისმიერი მოთხოვნის სრული უგულებელყოფა. ნულოვანი პასუხი, თუნდაც სხვადასხვა მისამართიდან დაწეროთ.

Pvtbox

დადებითი:

• მხარს უჭერს ყველა მოწყობილობას;
• Fast Turn სერვერები;
• ფაილის ჩამოტვირთვის შესაძლებლობა აპლიკაციის ინსტალაციის გარეშე;
• ადეკვატური დამხმარე სერვისი, მათ შორის. ტელეფონით.

Cons:

• ახალგაზრდა პროექტი (რამდენიმე მიმოხილვა და კარგი მიმოხილვა);
• საიტის ინტერფეისი არის ძალიან "ტექნიკური" და ყოველთვის არ არის ნათელი;
• არ არსებობს დეტალური დოკუმენტაცია; ბევრი საკითხი მოითხოვს მხარდაჭერას.

რა აირჩია მომხმარებელმა?

მისი პირველი შეკითხვაა: რა აზრი აქვს რაიმეს უფასოდ განვითარებას? სინქრონიზაცია მაშინვე მიატოვეს. არგუმენტები არ მუშაობდა.

რამდენიმე დღის შემდეგ მომხმარებელმა კატეგორიულად უარყო Resilio Sync მხარდაჭერის არარსებობის გამო, რადგან... გაურკვეველია სად წავიდეთ საგანგებო სიტუაციებში. პლუს უნდობლობა კომპანიის ამერიკული რეგისტრაციის მიმართ.

შემდგომი ანალიზისთვის რჩება Pvtbox Electronic სეიფი. ჩვენ ჩავატარეთ ამ პლატფორმის სრული ტექნიკური აუდიტი, რომელიც ფოკუსირებულია ინფორმაციის შენახვაზე, მონაცემთა გაშიფვრაზე და ინფორმაციის საცავში არაავტორიზებული შესვლის შესაძლებლობაზე.

აუდიტის პროცესი

ჩვენ გავაანალიზეთ კავშირები პროგრამის დასაწყისში, მუშაობის დროს და მშვიდ მდგომარეობაში. თანამედროვე სტანდარტების მიხედვით, ტრაფიკი თავდაპირველად დაშიფრულია. შევეცადოთ განვახორციელოთ MITM შეტევა და შევცვალოთ სერთიფიკატი ფრენის დროს Linux (Xubuntu Linux 18.04), Wireshark, მიტპროქსი. ამისათვის ჩვენ შემოვიყვანთ შუამავალს Pvtbox აპლიკაციასა და pvtbox.net სერვერს შორის (არსებობს მონაცემთა გაცვლა pvtbox.net სერვერთან https კავშირის საშუალებით).

ჩვენ ვხსნით აპლიკაციას, რათა დავრწმუნდეთ, რომ პროგრამა და ფაილების სინქრონიზაცია მუშაობს მასში. Linux-ში, თქვენ შეგიძლიათ დაუყოვნებლივ დააკვირდეთ შესვლას, თუ პროგრამას ტერმინალიდან გაუშვით.


გამორთეთ აპლიკაცია და შეცვალეთ pvtbox.net ჰოსტის მისამართი ფაილში / Etc / hosts სუპერმომხმარებლის პრივილეგიებით. ჩვენ ვცვლით მისამართს ჩვენი პროქსი სერვერის მისამართით.


ახლა მოდით მოვამზადოთ ჩვენი პროქსი სერვერი MITM შეტევისთვის კომპიუტერზე მისამართით 192.168.1.64 ჩვენს ლოკალურ ქსელში. ამისათვის დააინსტალირეთ mitmproxy პაკეტის ვერსია 4.0.4.

ჩვენ ვიწყებთ პროქსი სერვერს 443 პორტზე:
$ sudo mitmproxy -p 443

ჩვენ ვხსნით Pvtbox პროგრამას პირველ კომპიუტერზე, ვუყურებთ mitmproxy გამომავალს და აპლიკაციის ჟურნალებს.


მიტპროქსი იტყობინება, რომ კლიენტი არ ენდობა პროქსი სერვერის გაყალბებულ სერტიფიკატს. აპლიკაციის ჟურნალებში ასევე ვხედავთ, რომ პროქსი სერვერის სერთიფიკატი ვერ გადის შემოწმებას და პროგრამა უარს ამბობს მუშაობაზე.

პროქსი სერვერის სერთიფიკატის დაყენება მიტპროქსი კომპიუტერზე Pvtbox აპლიკაციით, რათა სერთიფიკატი "სანდო" გახდეს. დააინსტალირეთ ca-სერთიფიკატების პაკეტი თქვენს კომპიუტერში. შემდეგ დააკოპირეთ mitmproxy-ca-cert.pem სერტიფიკატი პროქსი სერვერის .mitmproxy დირექტორიადან კომპიუტერში Pvtbox აპლიკაციით /usr/local/share/ca-certificates დირექტორიაში.

ჩვენ ვასრულებთ ბრძანებებს:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -აცნობეთ PEM - out mitmproxy-ca-cert.crt
$sudo განახლება-ca-სერთიფიკატები


გაუშვით Pvtbox აპლიკაცია. სერთიფიკატი კვლავ ვერ დადასტურდა და პროგრამა უარს ამბობს მუშაობაზე. აპლიკაცია სავარაუდოდ იყენებს უსაფრთხოების მექანიზმს სერთიფიკატის დამაგრება.

მსგავსი თავდასხმა მასპინძელზეც განხორციელდა signalserver.pvtbox.net, ისევე როგორც თავად peer-2-peer კავშირი კვანძებს შორის. დეველოპერი მიუთითებს, რომ აპლიკაცია peer-2-peer კავშირების დასამყარებლად იყენებს ღია webrtc პროტოკოლს, რომელიც იყენებს პროტოკოლის ბოლოდან ბოლომდე დაშიფვრას. DTLSv1.2.

კლავიშები იქმნება თითოეული კავშირის დაყენებისთვის და გადაიცემა დაშიფრული არხით signalserver.pvtbox.net.

თეორიულად, შესაძლებელი იქნებოდა webrtc შეთავაზების ჩარევა და შეტყობინებებზე პასუხის გაცემა, იქ დაშიფვრის გასაღებების შეცვლა და ვებრტც-ის საშუალებით შემოსული ყველა შეტყობინების გაშიფვრა. მაგრამ შეუძლებელი იყო mitm შეტევის განხორციელება signalserver.pvtbox.net-ზე, ასე რომ არ არსებობს გზა signalserver.pvtbox.net-ით გაგზავნილი შეტყობინებების ჩარევისა და ჩანაცვლების საშუალება.

შესაბამისად, შეუძლებელია ამ შეტევის განხორციელება peer-2-peer კავშირზე.

ასევე აღმოჩენილია პროგრამით მიწოდებული სერთიფიკატები. ფაილი მდებარეობს მისამართზე /opt/pvtbox/certifi/cacert.pem. ეს ფაილი შეიცვალა ფაილით, რომელიც შეიცავს სანდო სერტიფიკატს ჩვენი mitmproxy პროქსისგან. შედეგი არ შეცვლილა - პროგრამამ უარი თქვა სისტემასთან დაკავშირებაზე, იგივე შეცდომა დაფიქსირდა ჟურნალში,
რომ სერტიფიკატი ვერ გაივლის შემოწმებას.

აუდიტის შედეგები

მე ვერ მოვახერხე მოძრაობის ჩარევა ან გაყალბება. ფაილების სახელები და მით უმეტეს მათი შიგთავსი გადაიცემა დაშიფრული ფორმით, გამოიყენება ბოლოდან ბოლომდე დაშიფვრა.აპლიკაცია ახორციელებს უსაფრთხოების უამრავ მექანიზმს, რომელიც ხელს უშლის მოსმენას და შეღწევას.

შედეგად, კომპანიამ შეიძინა ორი გამოყოფილი სერვერი (ფიზიკურად სხვადასხვა ადგილას) ინფორმაციაზე მუდმივი წვდომისთვის. პირველი სერვერი გამოიყენება ინფორმაციის მისაღებად, დასამუშავებლად და შესანახად, მეორე კი სარეზერვო ასლისთვის.

დირექტორის სამუშაო ტერმინალი და მობილური ტელეფონი iOS-ზე დაუკავშირდა მიღებულ ინდივიდუალურ ღრუბელს. სხვა თანამშრომლებს დაუკავშირდა Pvtbox-ის სრული განაკვეთის სისტემის ადმინისტრატორი და ტექნიკური მხარდაჭერა.

ბოლო პერიოდის განმავლობაში მეგობრისგან არანაირი პრეტენზია არ ყოფილა. იმედი მაქვს, რომ ჩემი მიმოხილვა დაეხმარება Habr-ის მკითხველებს მსგავს სიტუაციაში.

წყარო: www.habr.com