ProHoster > Blog > internetové správy > Dôverný „oblak“. Hľadáme alternatívu k otvoreným riešeniam

Dôverný „oblak“. Hľadáme alternatívu k otvoreným riešeniam

Som vyštudovaný inžinier, ale viac komunikujem s podnikateľmi a výrobnými riaditeľmi. Pred časom požiadal o radu majiteľ priemyselného podniku. Napriek tomu, že podnik je veľký a vznikol v 90. rokoch, manažment a účtovníctvo funguje staromódnym spôsobom na lokálnej sieti.

Ide o dôsledok obáv o ich podnikanie a zvýšenej kontroly zo strany štátu. Zákony a nariadenia môžu kontrolné orgány vykladať veľmi široko. Príkladom sú novely daňového poriadku, odstránenie premlčacej doby za daňové priestupky, skutočné zničenie bankové a audítorské tajomstvo.

V dôsledku toho majiteľ firmy začal hľadať riešenia na spoľahlivé ukladanie informácií a bezpečný prenos dokumentov. Virtuálny „trezor“.

Na probléme sme pracovali so správcom systému na plný úväzok: potrebovali sme hĺbkovú analýzu existujúcich platforiem.

  • služba by nemala byť cloudová, v klasickom zmysle slova, t.j. bez skladovania v zariadeniach organizácie tretej strany. Iba váš server;
  • vyžaduje sa silné šifrovanie prenášaných a uložených údajov;
  • možnosť urýchlene odstrániť obsah z akéhokoľvek zariadenia kliknutím na tlačidlo je povinná;
  • riešenie bolo vyvinuté v zahraničí.

Navrhol som vypustiť štvrtý bod, pretože... Ruské aplikácie majú oficiálne certifikáty. Riaditeľ priamo povedal, čo sa má s takýmito certifikátmi robiť.

Vyberte možnosti

Vybral som tri riešenia (čím viac možností, tým viac pochybností):

Majiteľ spoločnosti má malé pochopenie pre technické zložitosti, preto som správu naformátoval vo forme zoznamov kladov a záporov každej možnosti.

Výsledky analýzy

Syncthing

Pros:

  • Open source;
  • Činnosť hlavného vývojára;
  • Projekt existuje už veľmi dlho;
  • Zadarmo.

Nevýhody:

  • Neexistuje žiadny klient pre prostredie iOS;
  • Slow Turn servery (sú zadarmo, takže sa spomaľujú). Pre tých, ktorí
    Nevedomý, Turn sa používa, keď nie je možné pripojiť sa priamo;
  • Komplexné nastavenie rozhrania (vyžaduje mnohoročné skúsenosti s programovaním);
  • Nedostatok rýchlej obchodnej podpory.

rezílium

Pros: podpora pre všetky zariadenia a rýchle servery Turn.

Nevýhody: Jednou a veľmi významnou je úplné ignorovanie akýchkoľvek požiadaviek zo strany podpornej služby. Nulová odozva, aj keď píšete z rôznych adries.

Pvtbox

Pros:

  • Podporuje všetky zariadenia;
  • servery rýchleho otáčania;
  • Schopnosť stiahnuť súbor bez inštalácie aplikácie;
  • Adekvátna podporná služba, vrát. telefonicky.

Zápory:

  • Mladý projekt (málo recenzií a dobrých recenzií);
  • Rozhranie stránky je veľmi „technické“ a nie vždy jasné;
  • Neexistuje žiadna podrobná dokumentácia, mnohé problémy vyžadujú podporu.

Čo si zákazník vybral?

Jeho prvá otázka znie: aký má zmysel vyvíjať niečo zadarmo? Synchronizácia bola okamžite ukončená. Argumenty nefungovali.

O pár dní neskôr zákazník kategoricky odmietol Resilio Sync z dôvodu nedostatku podpory, pretože... Nie je jasné, kam sa obrátiť v núdzovej situácii. Plus nedôvera v americkú registráciu spoločnosti.

Pre ďalšiu analýzu zostáva elektronický trezor Pvtbox. Vykonali sme úplný technický audit tejto platformy so zameraním na možnosť odpočúvania, dešifrovania údajov a neoprávneného vstupu do úložiska informácií.

Proces auditu

Spoje sme analyzovali pri štarte programu, počas prevádzky aj v kľudnom stave. Prevádzka podľa moderných štandardov je spočiatku šifrovaná. Skúsme vykonať útok MITM a nahradiť certifikát za behu pomocou Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Za týmto účelom zavedieme prostredníka medzi aplikáciou Pvtbox a serverom pvtbox.net (výmena dát so serverom pvtbox.net prebieha cez https pripojenie).

Spustíme aplikáciu, aby sme sa uistili, že v nej funguje synchronizácia programu a súborov. V Linuxe môžete okamžite sledovať protokolovanie, ak spustíte program z terminálu.
Dôverný „oblak“. Hľadáme alternatívu k otvoreným riešeniam

Vypnite aplikáciu a nahraďte adresu hostiteľa pvtbox.net v súbore / Etc / hosts s oprávneniami superužívateľa. Adresu nahradíme adresou nášho proxy servera.
Dôverný „oblak“. Hľadáme alternatívu k otvoreným riešeniam

Teraz pripravme náš proxy server na MITM útok na počítač s adresou 192.168.1.64 v našej lokálnej sieti. Ak to chcete urobiť, nainštalujte balík mitmproxy verzie 4.0.4.

Spustíme proxy server na porte 443:
$ sudo mitmproxy -p 443

Na prvom počítači spustíme program Pvtbox, pozrieme sa na výstup mitmproxy a protokoly aplikácií.
Dôverný „oblak“. Hľadáme alternatívu k otvoreným riešeniam

Mitmproxy hlási, že klient nedôveruje spoof certifikátu z proxy servera. V protokoloch aplikácie tiež vidíme, že certifikát proxy servera neprešiel overením a program odmieta pracovať.

Inštalácia certifikátu proxy servera mitmproxy do počítača s aplikáciou Pvtbox, aby bol certifikát „dôveryhodný“. Nainštalujte si do počítača balík ca-certificates. Potom skopírujte certifikát mitmproxy-ca-cert.pem z adresára .mitmproxy proxy servera do počítača s aplikáciou Pvtbox do adresára /usr/local/share/ca-certificates.

Vykonávame príkazy:
$ sudo openssl x509 -v mitmproxy-ca-cert.pem -informujte PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-certifikáty
Dôverný „oblak“. Hľadáme alternatívu k otvoreným riešeniam

Spustite aplikáciu Pvtbox. Overenie certifikátu opäť zlyhalo a program odmieta pracovať. Aplikácia pravdepodobne používa bezpečnostný mechanizmus Pripnutie certifikátu.

Podobný útok bol vykonaný aj na hostiteľa signalserver.pvtbox.net, ako aj samotné peer-2-peer spojenie medzi uzlami. Vývojár uvádza, že aplikácia na vytváranie pripojení typu peer-2-peer používa otvorený protokol webrtc, ktorý využíva šifrovanie protokolu typu end-to-end DTLSv1.2.

Kľúče sa generujú pre každé nastavenie pripojenia a prenášajú sa cez šifrovaný kanál signalserver.pvtbox.net.

Teoreticky by bolo možné zachytiť ponuky a odpovede webrtc, nahradiť tam šifrovacie kľúče a byť schopné dešifrovať všetky správy prichádzajúce cez webrtc. Nebolo však možné vykonať mitm útok na signalserver.pvtbox.net, takže neexistuje spôsob, ako zachytiť a nahradiť správy odoslané cez signalserver.pvtbox.net.

Preto nie je možné vykonať tento útok na peer-2-peer spojenie.

Objavil sa aj súbor s certifikátmi dodaný s programom. Súbor sa nachádza na adrese /opt/pvtbox/certifi/cacert.pem. Tento súbor bol nahradený súborom, ktorý obsahuje dôveryhodný certifikát od nášho mitmproxy proxy. Výsledok sa nezmenil - program sa odmietol pripojiť k systému, v protokole bola pozorovaná rovnaká chyba,
že certifikát neprejde overením.

Výsledky auditu

Nepodarilo sa mi zachytiť alebo sfalšovať premávku. Názvy súborov a najmä ich obsah sú prenášané v šifrovanej podobe, využíva sa end-to-end šifrovanie Aplikácia implementuje množstvo bezpečnostných mechanizmov, ktoré zabraňujú odpočúvaniu a infiltrácii.

V dôsledku toho spoločnosť zakúpila dva dedikované servery (fyzicky na rôznych miestach) pre trvalý prístup k informáciám. Prvý server slúži na príjem, spracovanie a ukladanie informácií, druhý slúži na zálohovanie.

K výslednému individuálnemu cloudu bol pripojený pracovný terminál riaditeľa a mobilný telefón na iOS. Ďalších zamestnancov prepojil systémový administrátor na plný úväzok a technická podpora Pvtbox.

Za posledné obdobie sa od priateľa nevyskytli žiadne sťažnosti. Dúfam, že moja recenzia pomôže čitateľom Habr v podobnej situácii.

Zdroj: hab.com

Pridať komentár