🥇Konfidenciāls “mākonis”. Meklē alternatīvu atvērtiem risinājumiem

Pēc izglītības esmu inženieris, bet vairāk komunicēju ar uzņēmējiem un ražošanas direktoriem. Pirms kāda laika rūpnieciskā uzņēmuma īpašnieks lūdza padomu. Neskatoties uz to, ka uzņēmums ir liels un izveidots 90. gados, vietējā tīklā vadība un grāmatvedība darbojas vecmodīgi.

Tās ir sekas bailēm par viņu biznesu un pastiprinātai valsts kontrolei. Pārbaudes iestādes likumus un noteikumus var interpretēt ļoti plaši. Piemērs ir grozījumi Nodokļu kodeksā, novēršot noilgumu par nodokļu pārkāpumiem, faktisku iznīcināšanu banku un audita noslēpums.

Rezultātā uzņēmuma īpašnieks sāka meklēt risinājumus drošai informācijas glabāšanai un drošai dokumentu pārsūtīšanai. Virtuālais "seifs".

Mēs strādājām pie problēmas ar pilna laika sistēmas administratoru: mums bija nepieciešama esošo platformu padziļināta analīze.

serviss nedrīkst būt uz mākoņa bāzes, šī vārda klasiskajā izpratnē, t.i. bez uzglabāšanas trešās puses organizācijas telpās. Tikai jūsu serveris;
nepieciešama spēcīga pārsūtīto un saglabāto datu šifrēšana;
iespēja steidzami dzēst saturu no jebkuras ierīces, noklikšķinot uz pogas, ir obligāta;
risinājums izstrādāts ārzemēs.

Es ierosināju izņemt ceturto punktu, jo... Krievijas pieteikumiem ir oficiāli sertifikāti. Direktore tieši pateica, kas ar tādiem sertifikātiem jādara.

Izvēlieties opcijas

Es izvēlējos trīs risinājumus (jo vairāk izvēles, jo vairāk šaubu):

Atvērtā koda projekts Syncthing.net , kuru uztur entuziasma pilns izstrādātājs Jēkabs Borgs.
Resilio.com, ko uzrauga American Resilio Inc. (iepriekš šo pakalpojumu sauca BitTorrent Sync).
Projekts Pvtbox elektroniskais seifs no pvtbox.net sinhronizācijas lietojumprogrammas. Kipras reģistrācija.

Uzņēmuma īpašniekam ir maza izpratne par tehniskajiem sarežģījumiem, tāpēc es noformēju ziņojumu katras iespējas plusu un mīnusu sarakstu veidā.

Analīzes rezultāti

Syncthing

Plusi:

Atvērtais avots;
Galvenā izstrādātāja darbība;
Projekts pastāv jau ļoti ilgu laiku;
Bezmaksas.

Mīnusi:

IOS apvalkam nav klienta;
Slow Turn serveri (tie ir bezmaksas, tāpēc tie palēnina). Tiem, kuri
nezina, Turn tiek izmantots, ja nav iespējams tieši pieslēgties;
Sarežģīta saskarnes iestatīšana (nepieciešama daudzu gadu programmēšanas pieredze);
Ātra komerciālā atbalsta trūkums.

rezilijs

Plusi: atbalsts visām ierīcēm un ātrajiem Turn serveriem.

Mīnusi: Viens un ļoti nozīmīgs ir atbalsta dienesta pieprasījumu pilnīga ignorēšana. Nulle atbildes, pat ja rakstāt no dažādām adresēm.

Pvtbox

Plusi:

Atbalsta visas ierīces;
Fast Turn serveri;
Iespēja lejupielādēt failu bez lietojumprogrammas instalēšanas;
Adekvāts atbalsta dienests, t.sk. pa telefonu.

Mīnusi:

Jauns projekts (maz atsauksmes un labas atsauksmes);
Vietnes saskarne ir ļoti “tehniska” un ne vienmēr skaidra;
Nav pilnībā detalizētas dokumentācijas; daudzām problēmām ir nepieciešams atbalsts.

Ko klients izvēlējās?

Viņa pirmais jautājums ir: kāda jēga kaut ko izstrādāt bez maksas? Sinhronizācija tika nekavējoties pārtraukta. Argumenti nedarbojās.

Pāris dienas vēlāk klients atbalsta trūkuma dēļ kategoriski noraidīja Resilio Sync, jo... Nav skaidrs, kur vērsties ārkārtas situācijā. Plus neuzticēšanās uzņēmuma reģistrācijai Amerikā.

Tālākai analīzei paliek Pvtbox Electronic seifs. Mēs veicām pilnu šīs platformas tehnisko auditu, koncentrējoties uz datu pārtveršanas, atšifrēšanas un nesankcionētas iekļūšanas informācijas krātuvē iespējamību.

Audita process

Mēs analizējām savienojumus programmas sākumā, darbības laikā un mierīgā stāvoklī. Satiksme atbilstoši mūsdienu standartiem sākotnēji tiek šifrēta. Mēģināsim veikt MITM uzbrukumu un nomainīt sertifikātu lidojumā, izmantojot Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Lai to izdarītu, mēs ieviesīsim starpnieku starp lietojumprogrammu Pvtbox un serveri pvtbox.net (izmantojot https savienojumu, notiek datu apmaiņa ar pvtbox.net serveri).

Mēs palaižam lietojumprogrammu, lai pārliecinātos, ka tajā darbojas programmas un failu sinhronizācija. Operētājsistēmā Linux varat nekavējoties novērot reģistrēšanu, ja palaižat programmu no termināļa.

Izslēdziet lietojumprogrammu un failā aizstājiet pvtbox.net resursdatora adresi / Etc / hosts ar superlietotāja privilēģijām. Mēs aizstājam adresi ar mūsu starpniekservera adresi.

Tagad sagatavosim starpniekserveri MITM uzbrukumam datoram ar adresi 192.168.1.64 mūsu lokālajā tīklā. Lai to izdarītu, instalējiet mitmproxy pakotnes versiju 4.0.4.

Mēs startējam starpniekserveri portā 443:
$ sudo mitmproxy -p 443

Mēs palaižam Pvtbox programmu pirmajā datorā, apskatām mitmproxy izvadi un lietojumprogrammu žurnālus.

Mitmproxy ziņo, ka klients neuzticas viltus sertifikātam no starpniekservera. Lietojumprogrammu žurnālos mēs arī redzam, ka starpniekservera sertifikāts neiztur verifikāciju un programma atsakās darboties.

Starpniekservera sertifikāta instalēšana mitmproxy datoram ar lietojumprogrammu Pvtbox, lai sertifikāts būtu “uzticams”. Instalējiet savā datorā ca-certificates pakotni. Pēc tam kopējiet mitmproxy-ca-cert.pem sertifikātu no starpniekservera .mitmproxy direktorija uz datoru ar Pvtbox lietojumprogrammu direktorijā /usr/local/share/ca-certificates.

Mēs izpildām komandas:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -informēt PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-certificates

Palaidiet lietojumprogrammu Pvtbox. Sertifikātu vēlreiz neizdevās pārbaudīt, un programma atsakās darboties. Lietojumprogramma, iespējams, izmanto drošības mehānismu Sertifikāta piespraušana.

Līdzīgs uzbrukums tika veikts arī saimniekam signalserver.pvtbox.net, kā arī pašu peer-2-peer savienojumu starp mezgliem. Izstrādātājs norāda, ka lietojumprogramma peer-2-peer savienojumu izveidei izmanto atvērto webrtc protokolu, kurā tiek izmantota pilnīga protokola šifrēšana DTLSv1.2.

Katrai savienojuma iestatīšanai tiek ģenerētas atslēgas un pārsūtītas pa šifrētu kanālu, izmantojot signalserver.pvtbox.net.

Teorētiski būtu iespējams pārtvert webrtc piedāvājumu un atbildēt uz ziņojumiem, nomainīt tur esošās šifrēšanas atslēgas un varētu atšifrēt visus ziņojumus, kas ienāk caur webrtc. Bet nebija iespējams veikt mitm uzbrukumu signalserver.pvtbox.net, tāpēc nav iespējams pārtvert un aizstāt ziņojumus, kas nosūtīti caur signalserver.pvtbox.net.

Attiecīgi nav iespējams veikt šo uzbrukumu peer-2-peer savienojumam.

Tika atklāts arī fails ar sertifikātiem, kas piegādāti kopā ar programmu. Fails atrodas vietnē /opt/pvtbox/certifi/cacert.pem. Šis fails ir aizstāts ar failu, kurā ir uzticams sertifikāts no mūsu mitmproxy starpniekservera. Rezultāts nemainījās - programma atteicās izveidot savienojumu ar sistēmu, tā pati kļūda tika novērota žurnālā,
ka sertifikāts neiztur pārbaudi.

Audita rezultāti

Es nevarēju pārtvert vai izkrāpt satiksmi. Failu nosaukumi un vēl jo vairāk to saturs tiek pārsūtīti šifrētā veidā, tiek izmantota pilnīga šifrēšana Lietojumprogramma ievieš vairākus drošības mehānismus, kas novērš noklausīšanos un iefiltrēšanos.

Rezultātā uzņēmums iegādājās divus īpašus serverus (fiziski dažādās vietās), lai nodrošinātu pastāvīgu piekļuvi informācijai. Pirmais serveris tiek izmantots informācijas saņemšanai, apstrādei un uzglabāšanai, otrais tiek izmantots dublēšanai.

Režisora darba terminālis un mobilais tālrunis operētājsistēmā iOS tika savienoti ar izveidoto individuālo mākoni. Pārējos darbiniekus savienoja pilnas slodzes sistēmas administrators un Pvtbox tehniskais atbalsts.

Pēdējā laika periodā no drauga sūdzību nav bijis. Es ceru, ka mans pārskats palīdzēs Habr lasītājiem līdzīgā situācijā.

Avots: www.habr.com

Konfidenciāls "mākonis". Mēs meklējam alternatīvu atvērtiem risinājumiem