Би инженер мэргэжилтэй ч бизнес эрхлэгчид, үйлдвэрлэлийн захирал нартай илүү харилцдаг. Хэсэг хугацааны өмнө нэгэн аж үйлдвэрийн компанийн эзэн зөвлөгөө авахыг хүссэн. Хэдийгээр 90-ээд онд байгуулагдсан аж ахуйн нэгж нь том хэмжээтэй ч удирдлага, нягтлан бодох бүртгэл нь дотоод сүлжээнд хуучин хэв маягаар ажилладаг.
Энэ нь тэдний бизнест айдас, төрийн хяналт нэмэгдсэний үр дагавар юм. Хууль тогтоомжийг хяналтын байгууллага маш өргөн хүрээнд тайлбарлаж болно. Жишээ нь Татварын хуульд нэмэлт, өөрчлөлт оруулах, татварын зөрчил, бодит устгалын хувьд .
Үүний үр дүнд бизнес эрхлэгч мэдээллийг найдвартай хадгалах, баримт бичгийг найдвартай шилжүүлэх шийдлүүдийг хайж эхэлсэн. Виртуал "аюулгүй".
Бид бүрэн цагийн системийн администратортой хамтран ажиллаж байсан: одоо байгаа платформуудын талаар гүнзгий дүн шинжилгээ хийх шаардлагатай байсан.
- Үйлчилгээ нь үүлэнд суурилсан байх ёсгүй, энэ үгийн сонгодог утгаараа, i.e. гуравдагч этгээдийн байгууллагын байгууламжид хадгалахгүйгээр. Зөвхөн таны сервер;
- дамжуулагдсан болон хадгалагдсан өгөгдлийг хүчтэй шифрлэх шаардлагатай;
- нэг товчлуур дээр дарахад дурын төхөөрөмжөөс агуулгыг яаралтай устгах чадвар шаардлагатай;
- шийдлийг гадаадад боловсруулсан.
Би дөрөв дэх заалтыг хасах санал тавьсан, учир нь... ОХУ-ын өргөдөл нь албан ёсны гэрчилгээтэй байдаг. Ийм гэрчилгээг яах ёстойг захирал шууд хэлсэн.
Сонголтуудыг сонгох
Би гурван шийдлийг сонгосон (илүү олон сонголт байх тусам эргэлзээ төрүүлнэ):
- Нээлттэй эх сурвалж - төсөл , урам зоригтой хөгжүүлэгч Жейкоб Борг удирддаг.
- , American Resilio Inc-ийн хяналтанд байдаг. (өмнө нь энэ үйлчилгээг BitTorrent Sync гэж нэрлэдэг байсан).
- Төсөл нь синхрончлолын програмууд. Кипр улсын бүртгэл.
Компанийн эзэн техникийн нарийн төвөгтэй байдлын талаар бага ойлголттой байдаг тул би тайланг сонголт бүрийн давуу болон сул талуудын жагсаалт хэлбэрээр форматласан.
Шинжилгээний үр дүн
syncthing
Плюсы:
- Нээлттэй эх сурвалж;
- Үндсэн хөгжүүлэгчийн үйл ажиллагаа;
- Төсөл маш удаан хугацаанд хэрэгжиж байна;
- Үнэгүй.
Нөхцөл байдал:
- iOS бүрхүүлд үйлчлүүлэгч байхгүй;
- Slow Turn серверүүд (тэдгээр нь үнэ төлбөргүй байдаг тул удаашруулдаг). Тэдний хувьд, хэн
мэдэхгүй, Turn нь шууд холбогдох боломжгүй үед ашиглагддаг; - Интерфейсийн нарийн төвөгтэй тохиргоо (олон жилийн програмчлалын туршлага шаарддаг);
- Хурдан арилжааны дэмжлэг дутмаг.
Ресилио
Нөхцөл: бүх төхөөрөмжүүд болон хурдан эргүүлэх серверүүдийг дэмжих.
Нөхцөл байдал: Нэг бөгөөд маш чухал зүйл бол дэмжлэг үзүүлэх үйлчилгээний аливаа хүсэлтийг үл тоомсорлох явдал юм. Өөр өөр хаягаас бичсэн ч гэсэн тэг хариу.
Pvtbox
Нөхцөл:
- Бүх төхөөрөмжийг дэмждэг;
- Хурдан эргүүлэх серверүүд;
- Програмыг суулгахгүйгээр файл татаж авах чадвар;
- Хангалттай дэмжлэг үзүүлэх үйлчилгээ, үүнд. утсаар.
Минусы:
- Залуу төсөл (цөөн тойм, сайн тойм);
- Сайтын интерфейс нь маш "техник" бөгөөд үргэлж тодорхой байдаггүй;
- Нарийвчилсан баримт бичиг байхгүй, олон асуудалд дэмжлэг шаардлагатай байдаг.
Үйлчлүүлэгч юу сонгосон бэ?
Түүний эхний асуулт бол ямар нэг зүйлийг үнэ төлбөргүй хөгжүүлэх нь ямар учиртай юм бэ? Синхрончлолыг нэн даруй зогсоосон. Аргументууд үр дүнд хүрсэнгүй.
Хэдэн өдрийн дараа хэрэглэгч дэмжлэг байхгүйн улмаас Resilio Sync-ээс эрс татгалзсан, учир нь... Онцгой байдлын үед хаашаа явах нь тодорхойгүй байна. Дээрээс нь тус компанийн Америкийн бүртгэлд үл итгэх байдал.
Цаашид дүн шинжилгээ хийхийн тулд Pvtbox электрон сейф хэвээр байна. Бид энэ платформд бүрэн техникийн аудит хийж, мэдээллийг саатуулах, шифрийг тайлах, мэдээллийн санд зөвшөөрөлгүй нэвтрэх зэрэгт анхаарлаа хандуулсан.
Аудитын үйл явц
Хөтөлбөрийн эхэнд, үйл ажиллагааны явцад болон тайван байдалд бид холболтыг шинжилсэн. Орчин үеийн стандартын дагуу урсгалыг эхлээд шифрлэдэг. MITM халдлага хийж, гэрчилгээг ашиглан шууд солихыг хичээцгээе Линукс (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Үүнийг хийхийн тулд бид Pvtbox програм болон pvtbox.net серверийн хооронд зуучлагчийг нэвтрүүлэх болно (https холболтоор pvtbox.net сервертэй өгөгдөл солилцох боломжтой).
Програм болон файлын синхрончлол үүн дотор ажиллаж байгаа эсэхийг шалгахын тулд бид програмыг ажиллуулна. Линукс дээр, хэрэв та програмыг терминалаас ажиллуулбал бүртгэлийг шууд ажиглаж болно.
Програмыг унтрааж, файл дахь pvtbox.net хост хаягийг солино уу / etc / hosts -г үзнэ үү супер хэрэглэгчийн давуу эрхтэй. Бид хаягийг прокси серверийнхээ хаягаар солино.
Одоо локал сүлжээндээ 192.168.1.64 хаягтай компьютер дээр MITM халдлагад прокси серверээ бэлтгэцгээе. Үүнийг хийхийн тулд mitmproxy багцын 4.0.4 хувилбарыг суулгана уу.
Бид прокси серверийг 443 порт дээр эхлүүлнэ:
$ sudo mitmproxy -p 443
Бид Pvtbox програмыг эхний компьютер дээр ажиллуулж, mitmproxy гаралт болон програмын бүртгэлийг харна уу.
Mitmproxy үйлчлүүлэгч прокси серверийн хуурамч гэрчилгээнд итгэдэггүй гэж мэдээлдэг. Програмын бүртгэлээс бид прокси серверийн гэрчилгээ баталгаажуулалтыг даваагүй бөгөөд програм ажиллахаас татгалзаж байгааг харж байна.
Прокси серверийн гэрчилгээг суулгаж байна mitmproxy Сертификатыг "итгэмжлэгдсэн" болгохын тулд Pvtbox програмтай компьютерт шилжүүлнэ үү. Компьютер дээрээ CA сертификатын багцыг суулгана уу. Дараа нь mitmproxy-ca-cert.pem сертификатыг прокси серверийн .mitmproxy лавлахаас Pvtbox програмтай компьютерт /usr/local/share/ca-certificates лавлах руу хуулна.
Бид тушаалуудыг гүйцэтгэдэг:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-сертификатууд
Pvtbox програмыг ажиллуулна уу. Гэрчилгээг дахин шалгаж чадаагүй бөгөөд програм ажиллахаас татгалзав. Аппликешн нь аюулгүй байдлын механизм ашиглаж байгаа байх Сертификат бэхлэх.
Үүнтэй адил халдлага зохион байгуулагч руу хийсэн байна signalserver.pvtbox.net, түүнчлэн зангилаа хоорондын peer-2-peer холболт өөрөө. Хөгжүүлэгч нь хоёр үе тэнгийн холболт үүсгэх програм нь төгсгөл хоорондын протоколын шифрлэлтийг ашигладаг нээлттэй webrtc протоколыг ашигладаг болохыг харуулж байна. DTLSv1.2.
Түлхүүрүүдийг холболтын тохиргоо бүрд үүсгэж, шифрлэгдсэн сувгаар дамжуулдаг signalserver.pvtbox.net.
Онолын хувьд, webrtc-ийн санал болон мессежийг таслан зогсоох, шифрлэлтийн түлхүүрүүдийг сольж, webrtc-ээр дамжуулан ирсэн бүх мессежийг тайлах боломжтой. Гэхдээ signalserver.pvtbox.net дээр mitm халдлага хийх боломжгүй байсан тул signalserver.pvtbox.net-ээр илгээсэн мессежийг таслан зогсоох, солих арга байхгүй.
Үүний дагуу, энэ халдлагыг peer-2-peer холболт дээр хийх боломжгүй юм.
Хөтөлбөрт нийлүүлсэн гэрчилгээ бүхий файл мөн олдсон. Файл нь /opt/pvtbox/certifi/cacert.pem хаягаар байрлана. Энэ файлыг манай mitmproxy проксигийн итгэмжлэгдсэн гэрчилгээ агуулсан файлаар сольсон. Үр дүн өөрчлөгдөөгүй - програм системд холбогдохоос татгалзсан, бүртгэлд ижил алдаа ажиглагдсан.
гэрчилгээ баталгаажуулалтад тэнцээгүй.
Аудитын үр дүн
Би замын хөдөлгөөнийг таслан зогсоож, хуурамчаар үйлдэж чадсангүй. Файлын нэр, тэр ч байтугай тэдгээрийн агуулгыг шифрлэгдсэн хэлбэрээр дамжуулдаг; төгсгөлөөс төгсгөл хүртэл шифрлэлтийг ашигладаг. Энэ програм нь чагнаж, нэвтрэхээс сэргийлдэг хэд хэдэн хамгаалалтын механизмыг хэрэгжүүлдэг.
Үүний үр дүнд тус компани мэдээлэлд байнгын нэвтрэх зорилгоор хоёр тусгай сервер (бие махбодийн хувьд өөр өөр байршилд) худалдаж авсан. Эхний сервер нь мэдээллийг хүлээн авах, боловсруулах, хадгалахад ашиглагддаг бол хоёр дахь нь нөөцлөлтөд ашиглагддаг.
Захирлын ажлын терминал болон iOS дээрх гар утас нь үүссэн бие даасан үүлэнд холбогдсон. Бусад ажилчдыг Pvtbox-ын бүрэн цагийн системийн администратор, техникийн дэмжлэгээр холбосон.
Өнгөрсөн хугацаанд найзаас ямар нэгэн гомдол гараагүй. Миний тойм үүнтэй төстэй нөхцөл байдалд Хабр уншигчдад тусална гэж найдаж байна.
Эх сурвалж: www.habr.com