PÄc izglÄ«tÄ«bas esmu inženieris, bet vairÄk komunicÄju ar uzÅÄmÄjiem un ražoÅ”anas direktoriem. Pirms kÄda laika rÅ«pnieciskÄ uzÅÄmuma Ä«paÅ”nieks lÅ«dza padomu. Neskatoties uz to, ka uzÅÄmums ir liels un izveidots 90. gados, vietÄjÄ tÄ«klÄ vadÄ«ba un grÄmatvedÄ«ba darbojas vecmodÄ«gi.
TÄs ir sekas bailÄm par viÅu biznesu un pastiprinÄtai valsts kontrolei. PÄrbaudes iestÄdes likumus un noteikumus var interpretÄt ļoti plaÅ”i. PiemÄrs ir grozÄ«jumi Nodokļu kodeksÄ, novÄrÅ”ot noilgumu par nodokļu pÄrkÄpumiem, faktisku iznÄ«cinÄÅ”anu banku un audita noslÄpums.
RezultÄtÄ uzÅÄmuma Ä«paÅ”nieks sÄka meklÄt risinÄjumus droÅ”ai informÄcijas glabÄÅ”anai un droÅ”ai dokumentu pÄrsÅ«tÄ«Å”anai. VirtuÄlais "seifs".
MÄs strÄdÄjÄm pie problÄmas ar pilna laika sistÄmas administratoru: mums bija nepiecieÅ”ama esoÅ”o platformu padziļinÄta analÄ«ze.
serviss nedrÄ«kst bÅ«t uz mÄkoÅa bÄzes, Ŕī vÄrda klasiskajÄ izpratnÄ, t.i. bez uzglabÄÅ”anas treÅ”Äs puses organizÄcijas telpÄs. Tikai jÅ«su serveris;
nepiecieÅ”ama spÄcÄ«ga pÄrsÅ«tÄ«to un saglabÄto datu Å”ifrÄÅ”ana;
iespÄja steidzami dzÄst saturu no jebkuras ierÄ«ces, noklikŔķinot uz pogas, ir obligÄta;
risinÄjums izstrÄdÄts ÄrzemÄs.
Es ierosinÄju izÅemt ceturto punktu, jo... Krievijas pieteikumiem ir oficiÄli sertifikÄti. Direktore tieÅ”i pateica, kas ar tÄdiem sertifikÄtiem jÄdara.
IzvÄlieties opcijas
Es izvÄlÄjos trÄ«s risinÄjumus (jo vairÄk izvÄles, jo vairÄk Å”aubu):
AtvÄrtÄ koda projekts Syncthing.net , kuru uztur entuziasma pilns izstrÄdÄtÄjs JÄkabs Borgs.
Resilio.com, ko uzrauga American Resilio Inc. (iepriekŔ Ŕo pakalpojumu sauca BitTorrent Sync).
UzÅÄmuma Ä«paÅ”niekam ir maza izpratne par tehniskajiem sarežģījumiem, tÄpÄc es noformÄju ziÅojumu katras iespÄjas plusu un mÄ«nusu sarakstu veidÄ.
AnalÄ«zes rezultÄti
Syncthing
Plusi:
AtvÄrtais avots;
GalvenÄ izstrÄdÄtÄja darbÄ«ba;
Projekts pastÄv jau ļoti ilgu laiku;
Bezmaksas.
MÄ«nusi:
IOS apvalkam nav klienta;
Slow Turn serveri (tie ir bezmaksas, tÄpÄc tie palÄnina). Tiem, kuri
nezina, Turn tiek izmantots, ja nav iespÄjams tieÅ”i pieslÄgties;
Sarežģīta saskarnes iestatÄ«Å”ana (nepiecieÅ”ama daudzu gadu programmÄÅ”anas pieredze);
Ätra komerciÄlÄ atbalsta trÅ«kums.
rezilijs
Plusi: atbalsts visÄm ierÄ«cÄm un Ätrajiem Turn serveriem.
MÄ«nusi: Viens un ļoti nozÄ«mÄ«gs ir atbalsta dienesta pieprasÄ«jumu pilnÄ«ga ignorÄÅ”ana. Nulle atbildes, pat ja rakstÄt no dažÄdÄm adresÄm.
Pvtbox
Plusi:
Atbalsta visas ierīces;
Fast Turn serveri;
IespÄja lejupielÄdÄt failu bez lietojumprogrammas instalÄÅ”anas;
AdekvÄts atbalsta dienests, t.sk. pa telefonu.
MÄ«nusi:
Jauns projekts (maz atsauksmes un labas atsauksmes);
Vietnes saskarne ir ļoti ātehniskaā un ne vienmÄr skaidra;
Nav pilnÄ«bÄ detalizÄtas dokumentÄcijas; daudzÄm problÄmÄm ir nepiecieÅ”ams atbalsts.
Ko klients izvÄlÄjÄs?
ViÅa pirmais jautÄjums ir: kÄda jÄga kaut ko izstrÄdÄt bez maksas? SinhronizÄcija tika nekavÄjoties pÄrtraukta. Argumenti nedarbojÄs.
PÄris dienas vÄlÄk klients atbalsta trÅ«kuma dÄļ kategoriski noraidÄ«ja Resilio Sync, jo... Nav skaidrs, kur vÄrsties ÄrkÄrtas situÄcijÄ. Plus neuzticÄÅ”anÄs uzÅÄmuma reÄ£istrÄcijai AmerikÄ.
TÄlÄkai analÄ«zei paliek Pvtbox Electronic seifs. MÄs veicÄm pilnu Ŕīs platformas tehnisko auditu, koncentrÄjoties uz datu pÄrtverÅ”anas, atÅ”ifrÄÅ”anas un nesankcionÄtas iekļūŔanas informÄcijas krÄtuvÄ iespÄjamÄ«bu.
Audita process
MÄs analizÄjÄm savienojumus programmas sÄkumÄ, darbÄ«bas laikÄ un mierÄ«gÄ stÄvoklÄ«. Satiksme atbilstoÅ”i mÅ«sdienu standartiem sÄkotnÄji tiek Å”ifrÄta. MÄÄ£inÄsim veikt MITM uzbrukumu un nomainÄ«t sertifikÄtu lidojumÄ, izmantojot Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Lai to izdarÄ«tu, mÄs ieviesÄ«sim starpnieku starp lietojumprogrammu Pvtbox un serveri pvtbox.net (izmantojot https savienojumu, notiek datu apmaiÅa ar pvtbox.net serveri).
MÄs palaižam lietojumprogrammu, lai pÄrliecinÄtos, ka tajÄ darbojas programmas un failu sinhronizÄcija. OperÄtÄjsistÄmÄ Linux varat nekavÄjoties novÄrot reÄ£istrÄÅ”anu, ja palaižat programmu no terminÄļa.
IzslÄdziet lietojumprogrammu un failÄ aizstÄjiet pvtbox.net resursdatora adresi / Etc / hosts ar superlietotÄja privilÄÄ£ijÄm. MÄs aizstÄjam adresi ar mÅ«su starpniekservera adresi.
Tagad sagatavosim starpniekserveri MITM uzbrukumam datoram ar adresi 192.168.1.64 mÅ«su lokÄlajÄ tÄ«klÄ. Lai to izdarÄ«tu, instalÄjiet mitmproxy pakotnes versiju 4.0.4.
MÄs palaižam Pvtbox programmu pirmajÄ datorÄ, apskatÄm mitmproxy izvadi un lietojumprogrammu žurnÄlus.
Mitmproxy ziÅo, ka klients neuzticas viltus sertifikÄtam no starpniekservera. Lietojumprogrammu žurnÄlos mÄs arÄ« redzam, ka starpniekservera sertifikÄts neiztur verifikÄciju un programma atsakÄs darboties.
Starpniekservera sertifikÄta instalÄÅ”ana mitmproxy datoram ar lietojumprogrammu Pvtbox, lai sertifikÄts bÅ«tu āuzticamsā. InstalÄjiet savÄ datorÄ ca-certificates pakotni. PÄc tam kopÄjiet mitmproxy-ca-cert.pem sertifikÄtu no starpniekservera .mitmproxy direktorija uz datoru ar Pvtbox lietojumprogrammu direktorijÄ /usr/local/share/ca-certificates.
Palaidiet lietojumprogrammu Pvtbox. SertifikÄtu vÄlreiz neizdevÄs pÄrbaudÄ«t, un programma atsakÄs darboties. Lietojumprogramma, iespÄjams, izmanto droŔības mehÄnismu SertifikÄta piesprauÅ”ana.
LÄ«dzÄ«gs uzbrukums tika veikts arÄ« saimniekam signalserver.pvtbox.net, kÄ arÄ« paÅ”u peer-2-peer savienojumu starp mezgliem. IzstrÄdÄtÄjs norÄda, ka lietojumprogramma peer-2-peer savienojumu izveidei izmanto atvÄrto webrtc protokolu, kurÄ tiek izmantota pilnÄ«ga protokola Å”ifrÄÅ”ana DTLSv1.2.
Katrai savienojuma iestatÄ«Å”anai tiek Ä£enerÄtas atslÄgas un pÄrsÅ«tÄ«tas pa Å”ifrÄtu kanÄlu, izmantojot signalserver.pvtbox.net.
TeorÄtiski bÅ«tu iespÄjams pÄrtvert webrtc piedÄvÄjumu un atbildÄt uz ziÅojumiem, nomainÄ«t tur esoÅ”Äs Å”ifrÄÅ”anas atslÄgas un varÄtu atÅ”ifrÄt visus ziÅojumus, kas ienÄk caur webrtc. Bet nebija iespÄjams veikt mitm uzbrukumu signalserver.pvtbox.net, tÄpÄc nav iespÄjams pÄrtvert un aizstÄt ziÅojumus, kas nosÅ«tÄ«ti caur signalserver.pvtbox.net.
AttiecÄ«gi nav iespÄjams veikt Å”o uzbrukumu peer-2-peer savienojumam.
Tika atklÄts arÄ« fails ar sertifikÄtiem, kas piegÄdÄti kopÄ ar programmu. Fails atrodas vietnÄ /opt/pvtbox/certifi/cacert.pem. Å is fails ir aizstÄts ar failu, kurÄ ir uzticams sertifikÄts no mÅ«su mitmproxy starpniekservera. RezultÄts nemainÄ«jÄs - programma atteicÄs izveidot savienojumu ar sistÄmu, tÄ pati kļūda tika novÄrota žurnÄlÄ,
ka sertifikÄts neiztur pÄrbaudi.
Audita rezultÄti
Es nevarÄju pÄrtvert vai izkrÄpt satiksmi. Failu nosaukumi un vÄl jo vairÄk to saturs tiek pÄrsÅ«tÄ«ti Å”ifrÄtÄ veidÄ, tiek izmantota pilnÄ«ga Å”ifrÄÅ”ana Lietojumprogramma ievieÅ” vairÄkus droŔības mehÄnismus, kas novÄrÅ” noklausÄ«Å”anos un iefiltrÄÅ”anos.
RezultÄtÄ uzÅÄmums iegÄdÄjÄs divus Ä«paÅ”us serverus (fiziski dažÄdÄs vietÄs), lai nodroÅ”inÄtu pastÄvÄ«gu piekļuvi informÄcijai. Pirmais serveris tiek izmantots informÄcijas saÅemÅ”anai, apstrÄdei un uzglabÄÅ”anai, otrais tiek izmantots dublÄÅ”anai.
Režisora āādarba terminÄlis un mobilais tÄlrunis operÄtÄjsistÄmÄ iOS tika savienoti ar izveidoto individuÄlo mÄkoni. PÄrÄjos darbiniekus savienoja pilnas slodzes sistÄmas administrators un Pvtbox tehniskais atbalsts.
PÄdÄjÄ laika periodÄ no drauga sÅ«dzÄ«bu nav bijis. Es ceru, ka mans pÄrskats palÄ«dzÄs Habr lasÄ«tÄjiem lÄ«dzÄ«gÄ situÄcijÄ.