kdpv - Reuters
Jika anda menyewa pelayan, maka anda tidak mempunyai kawalan penuh ke atasnya. Ini bermakna bahawa pada bila-bila masa orang yang terlatih khas boleh datang ke hoster dan meminta anda memberikan mana-mana data anda. Dan hoster akan memberi mereka kembali jika permintaan diformalkan mengikut undang-undang.
Anda benar-benar tidak mahu log pelayan web atau data pengguna anda bocor kepada orang lain. Adalah mustahil untuk membina pertahanan yang ideal. Hampir mustahil untuk melindungi diri anda daripada hoster yang memiliki hypervisor dan memberikan anda mesin maya. Tetapi mungkin ia akan dapat mengurangkan sedikit risiko. Menyulitkan kereta sewa tidaklah sia-sia seperti yang kelihatan pada pandangan pertama. Pada masa yang sama, mari kita lihat ancaman pengekstrakan data daripada pelayan fizikal.
Model ancaman
Sebagai peraturan, hoster akan cuba melindungi kepentingan pelanggan sebanyak mungkin mengikut undang-undang. Jika surat daripada pihak berkuasa rasmi hanya meminta log akses, hoster tidak akan memberikan tempat pembuangan semua mesin maya anda dengan pangkalan data. Sekurang-kurangnya tidak sepatutnya. Jika mereka meminta semua data, hoster akan menyalin cakera maya dengan semua fail dan anda tidak akan tahu mengenainya.
Tanpa mengira senario, matlamat utama anda adalah untuk membuat serangan terlalu sukar dan mahal. Biasanya terdapat tiga pilihan ancaman utama.
Rasmi
Selalunya, surat kertas dihantar ke pejabat rasmi hoster dengan keperluan untuk menyediakan data yang diperlukan mengikut peraturan yang berkaitan. Jika semuanya dilakukan dengan betul, hoster menyediakan log akses yang diperlukan dan data lain kepada pihak berkuasa rasmi. Biasanya mereka hanya meminta anda menghantar data yang diperlukan.
Kadangkala, jika benar-benar perlu, wakil agensi penguatkuasa undang-undang datang ke pusat data secara peribadi. Sebagai contoh, apabila anda mempunyai pelayan khusus anda sendiri dan data dari sana hanya boleh diambil secara fizikal.
Di semua negara, mendapatkan akses kepada harta persendirian, menjalankan carian dan aktiviti lain memerlukan bukti bahawa data itu mungkin mengandungi maklumat penting untuk penyiasatan jenayah. Di samping itu, waran geledah yang dilaksanakan mengikut semua peraturan diperlukan. Mungkin terdapat nuansa yang berkaitan dengan keistimewaan perundangan tempatan. Perkara utama yang perlu anda fahami ialah jika laluan rasmi adalah betul, wakil pusat data tidak akan membenarkan sesiapa melepasi pintu masuk.
Lebih-lebih lagi, di kebanyakan negara anda tidak boleh hanya mengeluarkan peralatan berjalan. Sebagai contoh, di Rusia, sehingga akhir tahun 2018, menurut Perkara 183 Kanun Prosedur Jenayah Persekutuan Rusia, bahagian 3.1, ia dijamin bahawa semasa penyitaan, penyitaan media storan elektronik telah dilakukan dengan penyertaan. seorang pakar. Atas permintaan pemilik sah media storan elektronik yang dirampas atau pemilik maklumat yang terkandung di dalamnya, pakar yang mengambil bahagian dalam rampasan itu, dengan kehadiran saksi, menyalin maklumat daripada media storan elektronik yang dirampas ke media storan elektronik lain.
Kemudian, malangnya, perkara ini telah dialih keluar daripada artikel itu.
Rahsia dan tidak rasmi
Ini sudah menjadi wilayah aktiviti rakan-rakan terlatih khas dari NSA, FBI, MI5 dan organisasi tiga surat yang lain. Selalunya, perundangan negara menyediakan kuasa yang sangat luas untuk struktur tersebut. Lebih-lebih lagi, hampir selalu terdapat larangan perundangan terhadap sebarang pendedahan langsung atau tidak langsung mengenai hakikat kerjasama dengan agensi penguatkuasaan undang-undang tersebut. Terdapat yang serupa di Rusia .
Sekiranya berlaku ancaman kepada data anda, ia hampir pasti akan dikeluarkan. Selain itu, sebagai tambahan kepada rampasan mudah, keseluruhan senjata tidak rasmi pintu belakang, kelemahan sifar hari, pengekstrakan data daripada RAM mesin maya anda dan kegembiraan lain boleh digunakan. Dalam kes ini, hoster akan diwajibkan untuk membantu pakar penguatkuasaan undang-undang sebanyak mungkin.
Pekerja yang tidak bertanggungjawab
Tidak semua orang sama baik. Salah seorang pentadbir pusat data mungkin memutuskan untuk membuat wang tambahan dan menjual data anda. Perkembangan selanjutnya bergantung pada kuasa dan aksesnya. Perkara yang paling menjengkelkan ialah pentadbir yang mempunyai akses kepada konsol virtualisasi mempunyai kawalan sepenuhnya ke atas mesin anda. Anda sentiasa boleh mengambil gambar bersama-sama dengan semua kandungan RAM dan kemudian perlahan-lahan mengkajinya.
VDS
Jadi anda mempunyai mesin maya yang diberikan oleh hoster kepada anda. Bagaimanakah anda boleh melaksanakan penyulitan untuk melindungi diri anda? Malah, boleh dikatakan tiada. Lebih-lebih lagi, malah pelayan khusus orang lain mungkin akan menjadi mesin maya di mana peranti yang diperlukan dimasukkan.
Jika tugas sistem jauh bukan hanya untuk menyimpan data, tetapi untuk melakukan beberapa pengiraan, maka satu-satunya pilihan untuk bekerja dengan mesin yang tidak dipercayai adalah dengan melaksanakan . Dalam kes ini, sistem akan menjalankan pengiraan tanpa keupayaan untuk memahami apa sebenarnya yang dilakukannya. Malangnya, kos overhed untuk melaksanakan penyulitan sedemikian adalah sangat tinggi sehingga penggunaan praktikalnya pada masa ini terhad kepada tugas yang sangat sempit.
Selain itu, pada masa mesin maya sedang berjalan dan melakukan beberapa tindakan, semua volum yang disulitkan berada dalam keadaan boleh diakses, jika tidak, OS tidak akan dapat berfungsi dengannya. Ini bermakna mempunyai akses kepada konsol virtualisasi, anda sentiasa boleh mengambil gambar mesin yang sedang berjalan dan mengekstrak semua kunci daripada RAM.
Banyak vendor telah cuba mengatur penyulitan perkakasan RAM supaya hos pun tidak mempunyai akses kepada data ini. Contohnya, teknologi Intel Software Guard Extensions, yang mengatur kawasan dalam ruang alamat maya yang dilindungi daripada membaca dan menulis dari luar kawasan ini oleh proses lain, termasuk kernel sistem pengendalian. Malangnya, anda tidak akan dapat mempercayai sepenuhnya teknologi ini, kerana anda akan terhad kepada mesin maya anda. Selain itu, contoh siap sedia sudah ada untuk teknologi ini. Namun, menyulitkan mesin maya tidaklah sia-sia seperti yang kelihatan.
Kami menyulitkan data pada VDS
Izinkan saya membuat tempahan dengan segera bahawa semua yang kami lakukan di bawah tidak merangkumi perlindungan sepenuhnya. Hipervisor akan membenarkan anda membuat salinan yang diperlukan tanpa menghentikan perkhidmatan dan tanpa anda sedari.
- Jika, atas permintaan, hoster memindahkan imej "sejuk" mesin maya anda, maka anda agak selamat. Ini adalah senario yang paling biasa.
- Jika hoster memberi anda gambaran penuh mesin yang sedang berjalan, maka semuanya agak teruk. Semua data akan dipasang dalam sistem dalam bentuk yang jelas. Di samping itu, adalah mungkin untuk menyelongkar RAM untuk mencari kunci peribadi dan data yang serupa.
Secara lalai, jika anda menggunakan OS daripada imej vanila, hoster tidak mempunyai akses root. Anda sentiasa boleh melekapkan media dengan imej penyelamat dan menukar kata laluan akar dengan memilih persekitaran mesin maya. Tetapi ini memerlukan but semula, yang akan diperhatikan. Selain itu, semua partition disulitkan yang dipasang akan ditutup.
Walau bagaimanapun, jika penggunaan mesin maya tidak datang daripada imej vanila, tetapi daripada imej yang telah disediakan terlebih dahulu, maka hoster selalunya boleh menambah akaun istimewa untuk membantu dalam situasi kecemasan pada pelanggan. Contohnya, untuk menukar kata laluan akar yang terlupa.
Walaupun dalam kes gambar lengkap, tidak semuanya begitu menyedihkan. Penyerang tidak akan menerima fail yang disulitkan jika anda memasangnya daripada sistem fail jauh mesin lain. Ya, secara teori, anda boleh memilih pembuangan RAM dan mengekstrak kunci penyulitan dari sana. Tetapi dalam amalan ini tidak begitu remeh dan sangat tidak mungkin proses itu akan melampaui pemindahan fail mudah.
Tempah kereta
Untuk tujuan ujian kami, kami mengambil mesin ringkas . Kami tidak memerlukan banyak sumber, jadi kami akan mengambil pilihan untuk membayar megahertz dan trafik yang sebenarnya dibelanjakan. Cukup sekadar main-main.
Dm-crypt klasik untuk keseluruhan partition tidak berlepas. Secara lalai, cakera diberikan dalam satu bahagian, dengan akar untuk keseluruhan partition. Mengecilkan partition ext4 pada partition yang dipasang pada akar boleh dikatakan sebagai bata terjamin dan bukannya sistem fail. Saya cuba) Rebana tidak membantu.
Mencipta bekas kripto
Oleh itu, kami tidak akan menyulitkan keseluruhan partition, tetapi akan menggunakan bekas kripto fail, iaitu VeraCrypt yang diaudit dan boleh dipercayai. Untuk tujuan kami ini sudah memadai. Pertama, kami menarik keluar dan memasang pakej dengan versi CLI dari laman web rasmi. Anda boleh menyemak tandatangan pada masa yang sama.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Sekarang kita akan mencipta bekas itu sendiri di suatu tempat di rumah kita supaya kita boleh melekapkannya secara manual selepas but semula. Dalam pilihan interaktif, tetapkan saiz bekas, kata laluan dan algoritma penyulitan. Anda boleh memilih sifir patriotik Grasshopper dan fungsi cincang Stribog.
veracrypt -t -c ~/my_super_secretSekarang mari pasang nginx, lekapkan bekas dan isi dengan maklumat rahsia.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngMari betulkan sedikit /var/www/html/index.nginx-debian.html untuk mendapatkan halaman yang diingini dan anda boleh menyemaknya.
Sambung dan semak
Bekas dipasang, data boleh diakses dan dihantar.
Dan inilah mesin selepas but semula. Data disimpan dengan selamat dalam ~/my_super_secret.
Jika anda benar-benar memerlukannya dan menginginkannya tegar, maka anda boleh menyulitkan keseluruhan OS supaya apabila anda but semula ia memerlukan sambungan melalui ssh dan memasukkan kata laluan. Ini juga akan mencukupi dalam senario menarik balik "data sejuk". Di sini dan penyulitan cakera jauh. Walaupun dalam kes VDS ia sukar dan berlebihan.
Logam kosong
Ia tidak begitu mudah untuk memasang pelayan anda sendiri di pusat data. Orang lain yang berdedikasi mungkin berubah menjadi mesin maya tempat semua peranti dipindahkan. Tetapi sesuatu yang menarik dari segi perlindungan bermula apabila anda mempunyai peluang untuk meletakkan pelayan fizikal anda yang dipercayai di pusat data. Di sini anda sudah boleh menggunakan sepenuhnya dm-crypt tradisional, VeraCrypt atau mana-mana penyulitan lain pilihan anda.
Anda perlu memahami bahawa jika jumlah penyulitan dilaksanakan, pelayan tidak akan dapat pulih sendiri selepas but semula. Ia adalah perlu untuk meningkatkan sambungan ke IP-KVM tempatan, IPMI atau antara muka lain yang serupa. Selepas itu kami memasukkan kunci induk secara manual. Skim ini kelihatan begitu-begitu dari segi kesinambungan dan toleransi kesalahan, tetapi tidak ada alternatif khas jika data itu sangat berharga.
Modul Keselamatan Perkakasan NCipher nShield F3
Pilihan yang lebih lembut menganggap bahawa data disulitkan dan kuncinya terletak terus pada pelayan itu sendiri dalam HSM (Modul Keselamatan Perkakasan) khas. Sebagai peraturan, ini adalah peranti yang sangat berfungsi yang bukan sahaja menyediakan kriptografi perkakasan, tetapi juga mempunyai mekanisme untuk mengesan percubaan penggodaman fizikal. Jika seseorang mula mengorek pelayan anda dengan penggiling sudut, HSM dengan bekalan kuasa bebas akan menetapkan semula kekunci yang disimpan dalam ingatannya. Penyerang akan mendapat daging cincang yang disulitkan. Dalam kes ini, but semula boleh berlaku secara automatik.
Mengalih keluar kunci adalah pilihan yang lebih pantas dan lebih berperikemanusiaan daripada mengaktifkan bom termit atau penangkap elektromagnet. Untuk peranti sedemikian, anda akan dipukul untuk masa yang sangat lama oleh jiran anda di rak di pusat data. Lebih-lebih lagi, dalam hal menggunakan penyulitan pada media itu sendiri, anda hampir tidak mengalami overhed. Semua ini berlaku secara telus kepada OS. Benar, dalam kes ini anda perlu mempercayai Samsung bersyarat dan berharap ia mempunyai AES256 yang jujur, dan bukan XOR yang cetek.
Pada masa yang sama, kita tidak boleh lupa bahawa semua port yang tidak diperlukan mesti dilumpuhkan secara fizikal atau hanya diisi dengan kompaun. Jika tidak, anda memberi peluang kepada penyerang untuk melaksanakannya . Jika anda mempunyai PCI Express atau Thunderbolt yang melekat, termasuk USB dengan sokongannya, anda terdedah. Penyerang akan dapat melakukan serangan melalui port ini dan mendapat akses terus ke memori dengan kunci.
Dalam versi yang sangat canggih, penyerang akan dapat melakukan serangan but sejuk. Pada masa yang sama, ia hanya menuangkan sebahagian besar nitrogen cecair ke dalam pelayan anda, secara kasar mengeluarkan kayu memori beku dan membuangnya dengan semua kunci. Selalunya, semburan penyejuk biasa dan suhu sekitar -50 darjah sudah cukup untuk melakukan serangan. Terdapat juga pilihan yang lebih tepat. Jika anda belum melumpuhkan pemuatan daripada peranti luaran, maka algoritma penyerang akan menjadi lebih mudah:
- Bekukan kayu memori tanpa membuka bekas
- Sambungkan pemacu kilat USB boleh boot anda
- Gunakan utiliti khas untuk mengalih keluar data daripada RAM yang terselamat daripada but semula kerana pembekuan.
Bahagikan dan menaklukkan
Ok, kami hanya mempunyai mesin maya, tetapi saya ingin entah bagaimana mengurangkan risiko kebocoran data.
Anda boleh, pada dasarnya, cuba menyemak semula seni bina dan mengedarkan storan dan pemprosesan data merentas bidang kuasa yang berbeza. Sebagai contoh, bahagian hadapan dengan kunci penyulitan adalah daripada hoster di Republik Czech, dan bahagian belakang dengan data yang disulitkan berada di suatu tempat di Rusia. Dalam kes percubaan rampasan standard, adalah sangat tidak mungkin bahawa agensi penguatkuasaan undang-undang akan dapat melaksanakan ini secara serentak dalam bidang kuasa yang berbeza. Selain itu, ini sebahagiannya menginsuranskan kami terhadap senario mengambil gambar.
Nah, atau anda boleh mempertimbangkan pilihan yang benar-benar tulen - penyulitan Hujung-ke-Akhir. Sudah tentu, ini melangkaui skop spesifikasi dan tidak membayangkan melakukan pengiraan pada sisi mesin jauh. Walau bagaimanapun, ini adalah pilihan yang boleh diterima dengan sempurna apabila ia datang untuk menyimpan dan menyegerakkan data. Sebagai contoh, ini sangat mudah dilaksanakan dalam Nextcloud. Pada masa yang sama, penyegerakan, versi dan barangan sampingan pelayan lain tidak akan hilang.
Dalam jumlah
Tiada sistem selamat yang sempurna. Matlamatnya adalah semata-mata untuk menjadikan serangan bernilai lebih daripada potensi keuntungan.
Beberapa pengurangan dalam risiko mengakses data pada tapak maya boleh dicapai dengan menggabungkan penyulitan dan storan berasingan dengan hoster yang berbeza.
Pilihan yang lebih kurang boleh dipercayai ialah menggunakan pelayan perkakasan anda sendiri.
Tetapi hoster masih perlu dipercayai satu cara atau yang lain. Seluruh industri bergantung pada ini.
Sumber: www.habr.com