kdpv - Reuters
Če najamete strežnik, potem nad njim nimate popolnega nadzora. To pomeni, da lahko kadarkoli posebej usposobljene osebe pridejo do gostitelja in vas prosijo, da posredujete svoje podatke. In gostitelj jih bo vrnil, če bo povpraševanje formalizirano v skladu z zakonom.
Resnično ne želite, da vaši dnevniki spletnega strežnika ali uporabniški podatki odtečejo komu drugemu. Nemogoče je zgraditi idealno obrambo. Skoraj nemogoče se je zaščititi pred gostiteljem, ki ima v lasti hipervizor in vam nudi virtualni stroj. Morda pa bo mogoče tveganje nekoliko zmanjšati. Šifriranje najetih avtomobilov ni tako neuporabno, kot se zdi na prvi pogled. Ob tem si poglejmo še grožnje pridobivanja podatkov s fizičnih strežnikov.
Model grožnje
Gostitelj bo praviloma skušal v največji možni meri zakonsko zaščititi interese naročnika. Če je pismo uradnih organov zahtevalo samo dnevnike dostopa, gostitelj ne bo zagotovil izpisov vseh vaših virtualnih strojev z bazami podatkov. Vsaj ne bi smelo. Če zahteva vse podatke, bo gostitelj kopiral virtualne diske z vsemi datotekami in za to ne boste vedeli.
Ne glede na scenarij je vaš glavni cilj narediti napad pretežak in drag. Običajno obstajajo tri glavne možnosti grožnje.
Uradni
Najpogosteje se uradni pisarni gostitelja pošlje papirno pismo z zahtevo po predložitvi potrebnih podatkov v skladu z ustreznim predpisom. Če je vse opravljeno pravilno, gostitelj uradnim organom posreduje potrebne dnevnike dostopa in druge podatke. Običajno vas samo prosijo, da pošljete potrebne podatke.
Občasno, če je nujno potrebno, pridejo v podatkovni center osebno predstavniki organov pregona. Na primer, ko imate svoj namenski strežnik in podatke od tam lahko vzamete le fizično.
V vseh državah je za pridobitev dostopa do zasebne lastnine, izvajanje preiskav in drugih dejavnosti potreben dokaz, da lahko podatki vsebujejo pomembne informacije za preiskavo kaznivega dejanja. Poleg tega je potrebna odredba za preiskavo, ki je bila izvedena v skladu z vsemi predpisi. Obstajajo lahko nianse, povezane s posebnostmi lokalne zakonodaje. Glavna stvar, ki jo morate razumeti, je, da če je uradna pot pravilna, predstavniki podatkovnega centra ne bodo nikogar spustili mimo vhoda.
Poleg tega v večini držav ne morete preprosto izvleči tekaške opreme. Na primer, v Rusiji je bilo do konca leta 2018 v skladu s členom 183 Zakonika o kazenskem postopku Ruske federacije, del 3.1, zagotovljeno, da se med zasegom zaseg elektronskih nosilcev podatkov izvede s sodelovanjem specialista. Na zahtevo zakonitega lastnika zaseženih elektronskih nosilcev podatkov ali lastnika informacij na njih strokovnjak, ki sodeluje pri zasegu, v navzočnosti prič prepiše podatke z zaseženih elektronskih nosilcev podatkov na druge elektronske nosilce podatkov.
Potem je bila ta točka na žalost odstranjena iz članka.
Tajno in neuradno
To je že območje delovanja posebej usposobljenih tovarišev iz NSA, FBI, MI5 in drugih tričrkovnih organizacij. Najpogosteje zakonodaja držav zagotavlja izjemno široka pooblastila za takšne strukture. Poleg tega skoraj vedno obstaja zakonska prepoved kakršnega koli neposrednega ali posrednega razkritja samega dejstva sodelovanja s takšnimi organi pregona. V Rusiji so podobni .
V primeru takšne grožnje vašim podatkom bodo ti skoraj zagotovo odstranjeni. Še več, poleg preprostega zasega je mogoče uporabiti celoten neuradni arzenal stranskih vrat, ranljivosti ničelnega dne, črpanje podatkov iz RAM-a vašega virtualnega stroja in druge radosti. V tem primeru bo gostitelj dolžan čim bolj pomagati strokovnjakom organov kazenskega pregona.
Brezobzirni delavec
Niso vsi ljudje enako dobri. Morda se bo kdo od skrbnikov podatkovnega centra odločil dodatno zaslužiti in prodati vaše podatke. Nadaljnji razvoj je odvisen od njegovih moči in dostopa. Najbolj moteče je, da ima skrbnik z dostopom do konzole za virtualizacijo popoln nadzor nad vašimi stroji. Vedno lahko naredite posnetek skupaj z vso vsebino RAM-a in ga nato počasi preučujete.
VDS
Torej imate virtualni stroj, ki vam ga je podaril gostitelj. Kako lahko implementirate šifriranje, da se zaščitite? Pravzaprav praktično nič. Še več, celo namenski strežnik nekoga drugega lahko postane virtualni stroj, v katerega so vstavljene potrebne naprave.
Če naloga oddaljenega sistema ni samo shranjevanje podatkov, ampak izvajanje nekaterih izračunov, potem bi bila edina možnost za delo z nezaupljivim strojem implementacija . V tem primeru bo sistem izvedel izračune, ne da bi razumel, kaj točno počne. Na žalost so režijski stroški za izvedbo takega šifriranja tako visoki, da je njihova praktična uporaba trenutno omejena na zelo ozka opravila.
Poleg tega so v trenutku, ko se virtualni stroj izvaja in izvaja nekatera dejanja, vsi šifrirani nosilci v dostopnem stanju, sicer OS preprosto ne bo mogel delati z njimi. To pomeni, da lahko z dostopom do konzole za virtualizacijo vedno naredite posnetek delujočega stroja in ekstrahirate vse ključe iz RAM-a.
Mnogi prodajalci so poskušali organizirati strojno šifriranje RAM-a, tako da niti gostitelj nima dostopa do teh podatkov. Na primer tehnologija Intel Software Guard Extensions, ki organizira področja v virtualnem naslovnem prostoru, ki so zaščitena pred branjem in pisanjem zunaj tega območja z drugimi procesi, vključno z jedrom operacijskega sistema. Na žalost tem tehnologijam ne boste mogli popolnoma zaupati, saj boste omejeni na svoj virtualni stroj. Poleg tega že obstajajo pripravljeni primeri za to tehnologijo. Kljub temu šifriranje virtualnih strojev ni tako nesmiselno, kot se morda zdi.
Šifriramo podatke na VDS
Naj takoj rezerviram, da vse, kar počnemo spodaj, ne pomeni popolne zaščite. Hipervizor vam bo omogočil, da naredite potrebne kopije, ne da bi ustavili storitev in ne da bi vas opazili.
- Če gostitelj na zahtevo prenese "hladno" sliko vašega virtualnega stroja, potem ste razmeroma varni. To je najpogostejši scenarij.
- Če gostitelj da popoln posnetek delujočega stroja, potem je vse precej slabo. Vsi podatki bodo nameščeni v sistemu v jasni obliki. Poleg tega bo mogoče pobrskati po RAM-u v iskanju zasebnih ključev in podobnih podatkov.
Če ste operacijski sistem namestili iz slike vanilije, gostitelj privzeto nima korenskega dostopa. Vedno lahko namestite medij z rešilno sliko in spremenite korensko geslo s chroot okoljem navideznega stroja. Toda to bo zahtevalo ponovni zagon, kar bo opaziti. Poleg tega bodo vse nameščene šifrirane particije zaprte.
Vendar, če uvedba virtualnega stroja ne izvira iz gotove slike, ampak iz vnaprej pripravljene, potem lahko gostitelj pogosto doda privilegiran račun za pomoč v izrednih razmerah pri stranki. Na primer, da spremenite pozabljeno root geslo.
Tudi v primeru popolnega posnetka ni vse tako žalostno. Napadalec ne bo prejel šifriranih datotek, če ste jih priklopili iz oddaljenega datotečnega sistema drugega računalnika. Da, teoretično lahko izberete izpis RAM-a in od tam izvlečete šifrirne ključe. Toda v praksi to ni zelo trivialno in zelo malo verjetno je, da bo postopek presegel preprost prenos datotek.
Naroči avto
Za naše testne namene vzamemo preprost stroj . Ne potrebujemo veliko sredstev, zato bomo izbrali možnost plačevanja dejansko porabljenih megahercev in prometa. Ravno dovolj za igranje.
Klasična dm-kripta za celotno particijo ni zaživela. Privzeto je disk dan v enem kosu, s korenom za celotno particijo. Zmanjšanje particije ext4 na particijo, nameščeno v root, je praktično zagotovljena opeka namesto datotečnega sistema. Poskušal sem) Tambura ni pomagala.
Ustvarjanje kripto vsebnika
Zato ne bomo šifrirali celotne particije, ampak bomo uporabili datotečne kripto vsebnike, in sicer revidiran in zanesljiv VeraCrypt. Za naše namene to zadostuje. Najprej iz uradne spletne strani izvlečemo in namestimo paket z različico CLI. Hkrati lahko preverite podpis.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Zdaj bomo ustvarili vsebnik nekje v našem domu, da ga bomo lahko ročno namestili ob ponovnem zagonu. V interaktivni možnosti nastavite velikost vsebnika, geslo in algoritme šifriranja. Izberete lahko domoljubno šifro Grasshopper in zgoščevalno funkcijo Stribog.
veracrypt -t -c ~/my_super_secretZdaj pa namestimo nginx, priklopimo vsebnik in ga napolnimo s tajnimi podatki.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngRahlo popravimo /var/www/html/index.nginx-debian.html, da dobimo želeno stran in jo lahko preverite.
Poveži in preveri
Kontejner je montiran, podatki dostopni in poslani.
In tukaj je stroj po ponovnem zagonu. Podatki so varno shranjeni v ~/my_super_secret.
Če ga res potrebujete in želite, da je hardcore, potem lahko šifrirate celoten OS, tako da ob ponovnem zagonu zahteva povezavo prek ssh in vnos gesla. To bo zadostovalo tudi v primeru preprostega umika »hladnih podatkov«. Tukaj in oddaljeno šifriranje diska. Čeprav je v primeru VDS težko in odveč.
Gola kovina
Namestitev lastnega strežnika v podatkovnem centru ni tako enostavna. Namenski nekdo drug se lahko izkaže za virtualni stroj, v katerega se prenesejo vse naprave. Toda nekaj zanimivega v smislu zaščite se začne, ko imate možnost postaviti svoj zaupanja vreden fizični strežnik v podatkovni center. Tukaj že lahko v celoti uporabljate tradicionalno dm-crypt, VeraCrypt ali katero koli drugo šifriranje po vaši izbiri.
Zavedati se morate, da če je izvedeno popolno šifriranje, se strežnik po ponovnem zagonu ne bo mogel obnoviti sam. Potrebno bo dvigniti povezavo na lokalni IP-KVM, IPMI ali drug podoben vmesnik. Nato ročno vnesemo glavni ključ. Shema je videti tako-tako v smislu kontinuitete in tolerance napak, vendar ni posebnih alternativ, če so podatki tako dragoceni.
Varnostni modul strojne opreme NCipher nShield F3
Mehkejša možnost predvideva, da so podatki šifrirani, ključ pa se nahaja neposredno na samem strežniku v posebnem HSM (Hardware Security Module). Praviloma gre za zelo funkcionalne naprave, ki ne zagotavljajo samo strojne kriptografije, ampak imajo tudi mehanizme za zaznavanje fizičnih poskusov vdiranja. Če bo nekdo začel brskati po vašem strežniku s kotnim brusilnikom, bo HSM z neodvisnim napajanjem ponastavil ključe, ki jih hrani v svojem pomnilniku. Napadalec bo dobil šifrirano mleto meso. V tem primeru se lahko ponovni zagon izvede samodejno.
Odstranjevanje ključev je veliko hitrejša in bolj humana možnost kot aktiviranje termitne bombe ali elektromagnetnega odvodnika. Za takšne naprave vas bodo zelo dolgo tepli sosedje na stojalu v podatkovnem centru. Še več, v primeru uporabe šifriranja na samem mediju, ne občutite skoraj nobenih dodatnih stroškov. Vse to se dogaja pregledno v OS. Res je, v tem primeru morate zaupati pogojnemu Samsungu in upati, da ima pošten AES256 in ne banalni XOR.
Hkrati ne smemo pozabiti, da morajo biti vsa nepotrebna vrata fizično onemogočena ali preprosto napolnjena s spojino. V nasprotnem primeru daste napadalcem priložnost za izvedbo . Če imate PCI Express ali Thunderbolt, vključno z USB z njegovo podporo, ste ranljivi. Napadalec bo lahko izvedel napad prek teh vrat in pridobil neposreden dostop do pomnilnika s ključi.
V zelo izpopolnjeni različici bo napadalec lahko izvedel napad s hladnim zagonom. Ob tem vam v strežnik enostavno nalije dobršno porcijo tekočega dušika, grobo odstrani zmrznjene pomnilniške ključke in z vseh ključev vzame dump iz njih. Pogosto sta za izvedbo napada dovolj običajen hladilni sprej in temperatura okoli -50 stopinj. Obstaja tudi natančnejša možnost. Če niste onemogočili nalaganja iz zunanjih naprav, bo napadalčev algoritem še enostavnejši:
- Zamrznite spominske ključke brez odpiranja ohišja
- Priključite zagonski bliskovni pogon USB
- S posebnimi pripomočki odstranite podatke iz RAM-a, ki so preživeli ponovni zagon zaradi zamrznitve.
Delite in osvojite
V redu, imamo samo virtualne stroje, vendar bi rad nekako zmanjšal tveganje uhajanja podatkov.
Načeloma lahko poskusite spremeniti arhitekturo in porazdeliti shranjevanje in obdelavo podatkov med različne jurisdikcije. Na primer, frontend s šifrirnimi ključi je od gostitelja na Češkem, backend s šifriranimi podatki pa nekje v Rusiji. V primeru standardnega poskusa zasega je zelo malo verjetno, da bodo organi kazenskega pregona to lahko izvedli hkrati v različnih jurisdikcijah. Poleg tega nas to delno zavaruje pred scenarijem fotografiranja.
No, ali pa lahko razmislite o popolnoma čisti možnosti - šifriranje od konca do konca. Seveda to presega obseg specifikacije in ne pomeni izvajanja izračunov na strani oddaljenega stroja. Vendar je to povsem sprejemljiva možnost, ko gre za shranjevanje in sinhronizacijo podatkov. Na primer, to je zelo priročno implementirano v Nextcloud. Hkrati pa sinhronizacija, različice in druge dobrote na strani strežnika ne bodo izginile.
Skupno
Popolnoma varnih sistemov ni. Cilj je preprosto narediti napad vreden več kot potencialni dobiček.
Nekaj zmanjšanja tveganj pri dostopu do podatkov na virtualnem mestu je mogoče doseči s kombiniranjem šifriranja in ločenega shranjevanja pri različnih gostiteljih.
Bolj ali manj zanesljiva možnost je uporaba lastnega strojnega strežnika.
A gostitelju bo tako ali tako vseeno treba zaupati. Na tem sloni vsa industrija.
Vir: www.habr.com