Vertraulech "Cloud". Mir sichen no enger Alternativ zu oppe Léisungen

Ech sinn en Ingenieur vu Formatioun, awer ech kommunizéieren méi mat Entrepreneuren a Produktiounsdirekteren. Virun enger Zäit huet de Proprietaire vun enger Industriefirma ëm Rot gefrot. Trotz der Tatsaach, datt d'Entreprise grouss ass a gouf an den 90er Joren geschaf, Gestioun an Comptablesmethod Aarbecht déi al äusgeleiert Manéier op engem lokal Reseau.

Dëst ass eng Konsequenz vun Ängschte fir hire Betrib a verstäerkter Kontroll vum Staat. Gesetzer a Reglementer kënne ganz breet vun Inspektiounsautoritéiten interpretéiert ginn. E Beispill sinn d'Ännerunge vum Tax Code, de Statut vun der Limitatioun eliminéiert fir Steier Violatioune, tatsächlech Zerstéierung Bank- an Auditgeheimnis.

Als Resultat huet de Geschäftsbesëtzer ugefaang no Léisunge fir zouverlässeg Späichere vun Informatioun a sécheren Transfer vun Dokumenter ze sichen. Virtuell "sécher".

Mir hunn um Problem mat engem Vollzäitsystem Administrateur geschafft: mir hunn eng detailléiert Analyse vun existente Plattformen gebraucht.

• de Service soll net Cloud-baséiert sinn, am klassesche Sënn vum Wuert, d.h. ouni Lagerung an den Ariichtungen vun enger Drëtt Partei Organisatioun. Nëmmen Äre Server;
• staark Verschlësselung vun iwwerdroen a gespäichert Donnéeën ass néideg;
• d'Kapazitéit fir dréngend Inhalt vun all Apparat mat engem Klick op de Knäppchen ze läschen ass obligatoresch;
• d'Léisung gouf am Ausland entwéckelt.

Ech hu proposéiert de véierte Punkt ze läschen, well ... Russesch Uwendungen hunn offiziell Certificaten. Den Direkter sot direkt, wat mat esou Certificaten soll gemaach ginn.

Wielt Optiounen

Ech hunn dräi Léisungen ausgewielt (wat méi Choixen, wat méi Zweifel):

• Open Source - Projet Syncthing.net , erhale vum begeeschterte Entwéckler Jacob Borg.
• Resilio.com, iwwerwaacht vum American Resilio Inc. (virdrun gouf dëse Service BitTorrent Sync genannt).
• De Projet Pvtbox Elektronesch sécher от pvtbox.net Synchroniséierung Uwendungen. Zypern Aschreiwung.

De Besëtzer vun der Firma huet wéineg Verständnis vun technesche Schwieregkeeten, also hunn ech de Bericht an der Form vun Lëschte vu Vir- an Nodeeler vun all Optioun formatéiert.

Resultater vun der Analyse

Syncthing

Plus:

• Open Source;
• Aktivitéit vun der Haaptentwéckler;
• De Projet gëtt et scho ganz laang;
• fräi.

Muecht:

• Et gëtt kee Client fir d'iOS Shell;
• Slow Turn Server (si si gratis, sou datt se méi lues sinn). Fir déi, déi
  net bewosst, Turn gëtt benotzt wann et onméiglech ass direkt ze verbannen;
• Komplex Interface Setup (erfuerdert vill Joer Programméierungserfarung);
• Mangel u séier kommerziell Ënnerstëtzung.

resilium

Pros: Ënnerstëtzung fir all Apparater a séier Turn Server.

Muecht: Eent a ganz bedeitend ass de komplette Verontreiung vun all Ufroe vum Supportservice. Null Äntwert, och wann Dir aus verschiddenen Adressen schreift.

Pvtbox

Pros:

• Ënnerstëtzt all Apparater;
• Fast Tour Serveren;
• Fäegkeet fir eng Datei erofzelueden ouni d'Applikatioun z'installéieren;
• Adäquate Ënnerstëtzung Service, inkl. iwwer Telefon.

Минусы:

• Young Projet (puer Kritik a gutt Kritik);
• D'Interface vum Site ass ganz "techy" an net ëmmer kloer;
• Et gëtt keng grëndlech detailléiert Dokumentatioun vill Themen erfuerderen Ënnerstëtzung.

Wat huet de Client gewielt?

Seng éischt Fro ass: Wat ass de Sënn fir eppes gratis z'entwéckelen? Syncthing gouf direkt opginn. D'Argumenter hunn net geklappt.

E puer Deeg méi spéit huet de Client Resilio Sync kategoresch refuséiert wéinst Mangel un Ënnerstëtzung, well ... Et ass net kloer, wou an enger Noutsituatioun goen soll. Plus Mësstrauen vun der Firma d'amerikanesch Aschreiwung.

Fir weider Analyse bleift de Pvtbox Electronic Safe. Mir hunn e vollen techneschen Audit vun dëser Plattform gemaach, konzentréiert sech op d'Méiglechkeet vun Offangen, Entschlësselung vun Daten an onerlaabten Entrée an d'Informatiounspäicherung.

Audit Prozess

Mir hunn d'Verbindungen am Ufank vum Programm analyséiert, während der Operatioun an an engem rouegen Zoustand. No modernen Normen ass Traffic am Ufank verschlësselt. Loosst eis probéieren e MITM Attack auszeféieren an den Zertifikat op der Flucht ze ersetzen Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Fir dëst ze maachen, wäerte mir en Tëschestatioun tëscht der Pvtbox Applikatioun an dem pvtbox.net Server aféieren (et gëtt en Datenaustausch mam pvtbox.net Server iwwer eng https Verbindung).

Mir starten d'Applikatioun fir sécherzestellen, datt de Programm an d'Dateisynchroniséierung dran funktionéieren. Linux Dir kënnt de Log direkt observéieren, wann Dir de Programm vum Terminal aus ausféiert.


Schalt d'Applikatioun aus an ersetzt d'pvtbox.net Hostadress an der Datei / etc / hun mat Superuser Privilegien. Mir ersetzen d'Adress duerch d'Adress vun eisem Proxy Server.


Loosst eis elo eise Proxy-Server op e MITM-Attack op engem Computer mat der Adress 192.168.1.64 op eisem lokalen Netzwierk virbereeden. Fir dëst ze maachen, installéiert d'mitmproxy Package Versioun 4.0.4.

Mir starten de Proxy Server um Hafen 443:
$ sudo mitmproxy -p 443

Mir starten de Pvtbox Programm um éischte Computer, kuckt op d'mitmproxy-Output an d'Applikatiounsprotokoller.


Mitmproxy mellt datt de Client de Spoofzertifika vum Proxy Server net vertraut. An den Applikatiounsprotokoller gesi mir och datt de Proxy Server Zertifikat net d'Verifizéierung passéiert an de Programm refuséiert ze schaffen.

Installatioun vun engem Proxy Server Zertifikat mitmproxy op e Computer mat der Pvtbox Applikatioun fir den Zertifika "vertrauen" ze maachen. Installéiert de ca-Certificate Package op Ärem Computer. Dann kopéiert de mitmproxy-ca-cert.pem Zertifikat vum .mitmproxy Verzeichnis vum Proxy Server op de Computer mat der Pvtbox Applikatioun an de /usr/local/share/ca-Certificates Verzeichnis.

Mir féieren d'Befehle aus:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-Certificaten


Lancéiere der Pvtbox Applikatioun. D'Zertifikat huet d'Verifizéierung erëm gescheitert an de Programm refuséiert ze schaffen. D'Applikatioun benotzt wahrscheinlech e Sécherheetsmechanismus Zertifikat Pinning.

En ähnlechen Attack gouf op den Host duerchgefouert signalserver.pvtbox.net, souwéi d'Peer-2-Peer Verbindung selwer tëscht Noden. Den Entwéckler weist datt d'Applikatioun fir Peer-2-Peer Verbindungen opzebauen den oppene webrtc Protokoll benotzt, deen Enn-zu-Enn Protokoll Verschlësselung benotzt DTLSv1.2.

Schlëssele gi fir all Verbindungsopstellung generéiert an iwwer e verschlësselte Kanal iwwer iwwerdroen signalserver.pvtbox.net.

Theoretesch wier et méiglech Webrtc Offer an Äntwert Messagen z'ënnerscheeden, d'Verschlësselungsschlësselen do z'ersetzen an all Messagen ze entschlësselen, déi iwwer Webrtc ukommen. Awer et war net méiglech eng mitm Attack op signalserver.pvtbox.net auszeféieren, sou datt et kee Wee gëtt fir Messagen ze interceptéieren an ze ersetzen, déi duerch signalserver.pvtbox.net geschéckt ginn.

Deementspriechend ass et net méiglech dës Attack op eng Peer-2-Peer Verbindung auszeféieren.

E Fichier mat Certificaten, déi mam Programm geliwwert goufen, gouf och entdeckt. D'Datei ass op /opt/pvtbox/certifi/cacert.pem. Dëse Fichier gouf duerch e Fichier ersat, deen e vertrauenswürdege Certificat vun eisem mitmproxy Proxy enthält. D'Resultat huet net geännert - de Programm huet refuséiert mat dem System ze verbannen, dee selwechte Feeler gouf am Logbuch observéiert,
datt d'Zertifikat net iwwerpréift.

Audit Resultater

Ech konnt den Traffic net interceptéieren oder spoofen. Dateinumm, an nach méi hir Inhalter, ginn a verschlësselte Form iwwerdroen D'Applikatioun implementéiert eng Rei vu Sécherheetsmechanismen, déi Oflauschterskandal an Infiltratioun verhënneren.

Als Resultat huet d'Firma zwee dedizéierten Server kaaft (kierperlech op verschiddene Plazen) fir permanenten Zougang zu Informatioun. Den éischte Server gëtt benotzt fir Informatioun ze kréien, ze veraarbechten an ze späicheren, deen zweete gëtt fir Backup benotzt.

D'Aarbechtsterminal vum Direkter an en Handy op iOS goufen un déi resultéierend eenzel Wollek verbonnen. Aner Mataarbechter goufen duerch de Vollzäitsystem Administrateur an technesch Ënnerstëtzung vun Pvtbox verbonne.

An der vergaangener Zäit gouf et keng Reklamatioune vum Frënd. Ech hoffen, datt meng Bewäertung den Habr Lieser an enger ähnlecher Situatioun hëlleft.

Source: will.com