kdpv - Reuters
Nëse merrni me qira një server, atëherë nuk keni kontroll të plotë mbi të. Kjo do të thotë që në çdo kohë njerëz të trajnuar posaçërisht mund të vijnë te hosti dhe t'ju kërkojnë të jepni ndonjë nga të dhënat tuaja. Dhe strehuesi do t'i kthejë ato nëse kërkesa zyrtarizohet sipas ligjit.
Ju me të vërtetë nuk dëshironi që regjistrat e serverit tuaj të internetit ose të dhënat e përdoruesit të rrjedhin te dikush tjetër. Është e pamundur të ndërtosh një mbrojtje ideale. Është pothuajse e pamundur të mbroheni nga një host që zotëron hipervizorin dhe ju ofron një makinë virtuale. Por ndoshta do të jetë e mundur të zvogëlohen sadopak rreziqet. Kriptimi i makinave me qira nuk është aq i padobishëm sa duket në shikim të parë. Në të njëjtën kohë, le të shohim kërcënimet e nxjerrjes së të dhënave nga serverët fizikë.
Modeli i kërcënimit
Si rregull, pritësi do të përpiqet të mbrojë interesat e klientit sa më shumë që të jetë e mundur me ligj. Nëse letra nga autoritetet zyrtare kërkonte vetëm regjistrat e aksesit, hosti nuk do të sigurojë deponime të të gjitha makinave tuaja virtuale me baza të dhënash. Të paktën nuk duhet. Nëse ata kërkojnë të gjitha të dhënat, hosti do të kopjojë disqet virtuale me të gjithë skedarët dhe ju nuk do të dini për këtë.
Pavarësisht nga skenari, qëllimi juaj kryesor është ta bëni sulmin shumë të vështirë dhe të shtrenjtë. Zakonisht ekzistojnë tre opsione kryesore të kërcënimit.
zyrtar
Më shpesh, një letër në letër dërgohet në zyrën zyrtare të strehuesit me kërkesën për të siguruar të dhënat e nevojshme në përputhje me rregulloren përkatëse. Nëse gjithçka është bërë në mënyrë korrekte, hosti u siguron autoriteteve zyrtare regjistrat e nevojshëm të aksesit dhe të dhëna të tjera. Zakonisht ata thjesht ju kërkojnë të dërgoni të dhënat e nevojshme.
Herë pas here, nëse është absolutisht e nevojshme, përfaqësuesit e agjencive të zbatimit të ligjit vijnë personalisht në qendrën e të dhënave. Për shembull, kur keni serverin tuaj të dedikuar dhe të dhënat nga atje mund të merren vetëm fizikisht.
Në të gjitha vendet, marrja e aksesit në pronën private, kryerja e kërkimeve dhe aktiviteteve të tjera kërkon prova që të dhënat mund të përmbajnë informacione të rëndësishme për hetimin e një krimi. Përveç kësaj, kërkohet një urdhër kontrolli i ekzekutuar në përputhje me të gjitha rregulloret. Mund të ketë nuanca që lidhen me veçoritë e legjislacionit vendor. Gjëja kryesore që duhet të kuptoni është se nëse rruga zyrtare është e saktë, përfaqësuesit e qendrës së të dhënave nuk do të lënë askënd të kalojë hyrjen.
Për më tepër, në shumicën e vendeve nuk mund të nxirrni thjesht pajisjet e funksionimit. Për shembull, në Rusi, deri në fund të vitit 2018, sipas nenit 183 të Kodit të Procedurës Penale të Federatës Ruse, pjesa 3.1, garantohej që gjatë një sekuestroje, sekuestrimi i mediave elektronike të ruajtjes ishte kryer me pjesëmarrjen të një specialisti. Me kërkesë të pronarit ligjor të mjeteve të ruajtjes elektronike të sekuestruara ose pronarit të informacionit që gjendet në to, specialisti pjesëmarrës në sekuestrim, në prani të dëshmitarëve, kopjon informacionin nga mjetet ruajtëse elektronike të sekuestruara në mjete të tjera ruajtëse elektronike.
Pastaj, për fat të keq, kjo pikë u hoq nga artikulli.
Sekrete dhe jozyrtare
Ky është tashmë territori i veprimtarisë së shokëve të trajnuar posaçërisht nga NSA, FBI, MI5 dhe organizata të tjera me tre shkronja. Më shpesh, legjislacioni i vendeve siguron kompetenca jashtëzakonisht të gjera për struktura të tilla. Për më tepër, pothuajse gjithmonë ka një ndalim legjislativ për çdo zbulim të drejtpërdrejtë ose të tërthortë të vetë faktit të bashkëpunimit me agjenci të tilla ligjzbatuese. Ka të ngjashme në Rusi .
Në rast të një kërcënimi të tillë për të dhënat tuaja, ato pothuajse me siguri do të hiqen. Për më tepër, përveç kapjes së thjeshtë, mund të përdoret i gjithë arsenali jozyrtar i dyerve të pasme, dobësitë e ditës zero, nxjerrja e të dhënave nga RAM-i i makinës suaj virtuale dhe gëzime të tjera. Në këtë rast, pritësi do të jetë i detyruar të ndihmojë sa më shumë specialistët e zbatimit të ligjit.
Punonjës i paskrupullt
Jo të gjithë njerëzit janë njësoj të mirë. Një nga administratorët e qendrës së të dhënave mund të vendosë të fitojë para shtesë dhe të shesë të dhënat tuaja. Zhvillimet e mëtejshme varen nga fuqitë dhe aksesi i tij. Gjëja më e bezdisshme është se një administrator me akses në tastierën e virtualizimit ka kontroll të plotë mbi makinat tuaja. Mund të bëni gjithmonë një fotografi së bashku me të gjitha përmbajtjet e RAM-it dhe më pas ta studioni ngadalë.
VDS
Pra, ju keni një makinë virtuale që ju dha hosti. Si mund të zbatoni enkriptimin për të mbrojtur veten? Në fakt, praktikisht asgjë. Për më tepër, edhe serveri i dedikuar i dikujt tjetër mund të përfundojë të jetë një makinë virtuale në të cilën futen pajisjet e nevojshme.
Nëse detyra e sistemit në distancë nuk është vetëm ruajtja e të dhënave, por kryerja e disa llogaritjeve, atëherë e vetmja mundësi për të punuar me një makinë të pabesueshme do të ishte zbatimi . Në këtë rast, sistemi do të kryejë llogaritjet pa aftësinë për të kuptuar se çfarë saktësisht po bën. Fatkeqësisht, kostot e përgjithshme për zbatimin e një kriptimi të tillë janë aq të larta sa përdorimi i tyre praktik aktualisht është i kufizuar në detyra shumë të ngushta.
Plus, në momentin kur makina virtuale po funksionon dhe kryen disa veprime, të gjitha vëllimet e koduara janë në një gjendje të arritshme, përndryshe OS thjesht nuk do të jetë në gjendje të punojë me ta. Kjo do të thotë që duke pasur akses në tastierën e virtualizimit, gjithmonë mund të bëni një fotografi të një makinerie që funksionon dhe të nxirrni të gjithë çelësat nga RAM-i.
Shumë shitës janë përpjekur të organizojnë enkriptimin e harduerit të RAM-it në mënyrë që edhe hosti të mos ketë akses në këto të dhëna. Për shembull, teknologjia Intel Software Guard Extensions, e cila organizon zona në hapësirën e adresave virtuale që mbrohen nga leximi dhe shkrimi nga jashtë kësaj zone nga procese të tjera, duke përfshirë kernelin e sistemit operativ. Fatkeqësisht, nuk do të mund t'u besoni plotësisht këtyre teknologjive, pasi do të kufizoheni në makinën tuaj virtuale. Për më tepër, shembuj të gatshëm tashmë ekzistojnë për këtë teknologji. Megjithatë, kriptimi i makinave virtuale nuk është aq i kotë sa mund të duket.
Ne kodojmë të dhënat në VDS
Më lejoni të bëj një rezervë menjëherë se gjithçka që bëjmë më poshtë nuk përbën mbrojtje të plotë. Hipervizori do t'ju lejojë të bëni kopjet e nevojshme pa ndërprerë shërbimin dhe pa e vënë re.
- Nëse, sipas kërkesës, hosteri transferon një imazh "të ftohtë" të makinës tuaj virtuale, atëherë ju jeni relativisht të sigurt. Ky është skenari më i zakonshëm.
- Nëse hosti ju jep një pamje të plotë të një makinerie që funksionon, atëherë gjithçka është shumë e keqe. Të gjitha të dhënat do të montohen në sistem në formë të qartë. Për më tepër, do të jetë e mundur të gërmoni nëpër RAM në kërkim të çelësave privatë dhe të dhënave të ngjashme.
Si parazgjedhje, nëse keni vendosur sistemin operativ nga një imazh vanilje, hosti nuk ka qasje rrënjësore. Mund të montoni gjithmonë median me imazhin e shpëtimit dhe të ndryshoni fjalëkalimin e rrënjës duke përdorur mjedisin e makinës virtuale. Por kjo do të kërkojë një rindezje, e cila do të vërehet. Plus, të gjitha ndarjet e montuara të koduara do të mbyllen.
Megjithatë, nëse vendosja e një makinerie virtuale nuk vjen nga një imazh vanilje, por nga një i përgatitur paraprakisht, atëherë hosti shpesh mund të shtojë një llogari të privilegjuar për të ndihmuar në një situatë emergjente te klienti. Për shembull, për të ndryshuar një fjalëkalim të harruar të rrënjës.
Edhe në rastin e një fotografie të plotë, jo gjithçka është aq e trishtuar. Një sulmues nuk do të marrë skedarë të koduar nëse i keni montuar nga sistemi i skedarëve në distancë të një makinerie tjetër. Po, në teori, mund të zgjidhni hapësirën e RAM-it dhe të nxirrni çelësat e enkriptimit nga atje. Por në praktikë kjo nuk është shumë e parëndësishme dhe ka shumë pak gjasa që procesi të shkojë përtej transferimit të thjeshtë të skedarëve.
Porosit një makinë
Për qëllimet tona të testimit, ne marrim një makinë të thjeshtë . Ne nuk kemi nevojë për shumë burime, kështu që ne do të marrim opsionin për të paguar për megahertz dhe trafikun e shpenzuar në të vërtetë. Sa për të luajtur me të.
Kripti klasik dm për të gjithë ndarjen nuk u ngrit. Si parazgjedhje, disku jepet në një pjesë, me rrënjë për të gjithë ndarjen. Tkurrja e një ndarjeje ext4 në një ndarje të montuar në rrënjë është praktikisht një tullë e garantuar në vend të një sistemi skedarësh. Provova) Dajre nuk ndihmoi.
Krijimi i një kontejneri kripto
Prandaj, ne nuk do të kodojmë të gjithë ndarjen, por do të përdorim kontejnerë kripto skedarësh, përkatësisht VeraCrypt të audituar dhe të besueshëm. Për qëllimet tona kjo është e mjaftueshme. Së pari, ne nxjerrim dhe instalojmë paketën me versionin CLI nga faqja zyrtare e internetit. Ju mund të kontrolloni nënshkrimin në të njëjtën kohë.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Tani do të krijojmë vetë kontejnerin diku në shtëpinë tonë në mënyrë që ta montojmë manualisht pas rindezjes. Në opsionin interaktiv, vendosni madhësinë e kontejnerit, fjalëkalimin dhe algoritmet e enkriptimit. Ju mund të zgjidhni shifrën patriotike Grasshopper dhe funksionin hash Stribog.
veracrypt -t -c ~/my_super_secretTani le të instalojmë nginx, montojmë kontejnerin dhe e mbushim me informacion sekret.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngLe të korrigjojmë pak /var/www/html/index.nginx-debian.html për të marrë faqen e dëshiruar dhe mund ta kontrolloni.
Lidheni dhe kontrolloni
Kontejneri është montuar, të dhënat janë të aksesueshme dhe dërgohen.
Dhe këtu është makina pas rindezjes. Të dhënat ruhen në mënyrë të sigurt në ~/my_super_secret.
Nëse vërtet ju nevojitet dhe e dëshironi të fortë, atëherë mund të kriptoni të gjithë OS në mënyrë që kur të rindizni të kërkojë lidhjen përmes ssh dhe futjen e një fjalëkalimi. Kjo do të jetë e mjaftueshme edhe në skenarin e thjesht tërheqjes së "të dhënave të ftohta". Këtu dhe enkriptimi i diskut në distancë. Edhe pse në rastin e VDS është e vështirë dhe e tepërt.
Metal i pastër
Nuk është aq e lehtë të instalosh serverin tënd në një qendër të dhënash. Dedikimi i dikujt tjetër mund të rezultojë të jetë një makinë virtuale në të cilën transferohen të gjitha pajisjet. Por diçka interesante përsa i përket mbrojtjes fillon kur ju keni mundësinë të vendosni serverin tuaj fizik të besuar në një qendër të dhënash. Këtu tashmë mund të përdorni plotësisht dm-crypt tradicionale, VeraCrypt ose çdo kriptim tjetër sipas zgjedhjes suaj.
Duhet të kuptoni se nëse zbatohet kriptimi total, serveri nuk do të jetë në gjendje të rikuperohet vetë pas një rindezjeje. Do të jetë e nevojshme të ngrihet lidhja me IP-KVM lokale, IPMI ose ndërfaqe të tjera të ngjashme. Pas së cilës ne futim manualisht çelësin kryesor. Skema duket kaq e tillë për sa i përket vazhdimësisë dhe tolerancës së gabimeve, por nuk ka alternativa të veçanta nëse të dhënat janë kaq të vlefshme.
Moduli i Sigurisë së Hardware NCipher nShield F3
Një opsion më i butë supozon që të dhënat janë të koduara dhe çelësi ndodhet direkt në vetë serverin në një HSM të veçantë (Moduli i Sigurisë së Hardware). Si rregull, këto janë pajisje shumë funksionale që jo vetëm që ofrojnë kriptografi harduerike, por gjithashtu kanë mekanizma për zbulimin e përpjekjeve fizike të hakimit. Nëse dikush fillon të rrotullohet rreth serverit tuaj me një mulli këndi, HSM me një furnizim të pavarur energjie do të rivendosë çelësat që ruan në memorien e tij. Sulmuesi do të marrë mishin e grirë të koduar. Në këtë rast, rindezja mund të ndodhë automatikisht.
Heqja e çelësave është një opsion shumë më i shpejtë dhe më human sesa aktivizimi i një bombe termiti ose shkarkuesi elektromagnetik. Për pajisje të tilla, do të rriheni për një kohë shumë të gjatë nga fqinjët tuaj në raftin në qendrën e të dhënave. Për më tepër, në rastin e përdorimit kriptimi në vetë median, praktikisht nuk përjetoni shpenzime të larta. E gjithë kjo ndodh në mënyrë transparente për OS. Vërtetë, në këtë rast duhet t'i besoni Samsung-ut të kushtëzuar dhe të shpresoni që ai të ketë AES256 të ndershëm, dhe jo XOR-in banal.
Në të njëjtën kohë, nuk duhet të harrojmë se të gjitha portet e panevojshme duhet të çaktivizohen fizikisht ose thjesht të mbushen me kompleks. Përndryshe, ju u jepni sulmuesve mundësinë për të kryer . Nëse keni PCI Express ose Thunderbolt të dalë jashtë, duke përfshirë USB me mbështetjen e tij, ju jeni të prekshëm. Një sulmues do të jetë në gjendje të kryejë një sulm përmes këtyre porteve dhe të fitojë qasje të drejtpërdrejtë në memorie me çelësa.
Në një version shumë të sofistikuar, sulmuesi do të jetë në gjendje të kryejë një sulm me çizme të ftohta. Në të njëjtën kohë, ai thjesht derdh një pjesë të mirë të azotit të lëngshëm në serverin tuaj, heq përafërsisht shkopinjtë e ngrirë të memories dhe merr një hale prej tyre me të gjithë çelësat. Shpesh, një spërkatje e rregullt ftohëse dhe një temperaturë rreth -50 gradë janë të mjaftueshme për të kryer një sulm. Ekziston edhe një opsion më i saktë. Nëse nuk e keni çaktivizuar ngarkimin nga pajisjet e jashtme, atëherë algoritmi i sulmuesit do të jetë edhe më i thjeshtë:
- Ngrini shkopinj memorie pa e hapur kasën
- Lidhni USB flash drive-in tuaj të bootable
- Përdorni shërbime speciale për të hequr të dhënat nga RAM-i që i mbijetuan rindezjes për shkak të ngrirjes.
Ndani dhe sundoni
Ok, ne kemi vetëm makina virtuale, por do të doja të reduktoja disi rreziqet e rrjedhjes së të dhënave.
Në parim, mund të përpiqeni të rishikoni arkitekturën dhe të shpërndani ruajtjen dhe përpunimin e të dhënave nëpër juridiksione të ndryshme. Për shembull, pjesa e përparme me çelësa kriptimi është nga hosti në Republikën Çeke, dhe pjesa e përparme me të dhëna të koduara është diku në Rusi. Në rastin e një tentative standarde sekuestrimi, ka shumë pak gjasa që agjencitë e zbatimit të ligjit të jenë në gjendje ta kryejnë këtë njëkohësisht në juridiksione të ndryshme. Plus, kjo na siguron pjesërisht kundër skenarit të marrjes së një fotografie.
Epo, ose mund të konsideroni një opsion krejtësisht të pastër - Kriptimi nga fundi në fund. Sigurisht, kjo shkon përtej qëllimit të specifikimit dhe nuk nënkupton kryerjen e llogaritjeve në anën e makinës në distancë. Sidoqoftë, ky është një opsion krejtësisht i pranueshëm kur bëhet fjalë për ruajtjen dhe sinkronizimin e të dhënave. Për shembull, kjo zbatohet shumë mirë në Nextcloud. Në të njëjtën kohë, sinkronizimi, versionimi dhe të mirat e tjera të serverit nuk do të zhduken.
Në total
Nuk ka sisteme krejtësisht të sigurta. Qëllimi është thjesht që sulmi të vlejë më shumë se fitimi i mundshëm.
Njëfarë reduktimi në rreziqet e aksesimit të të dhënave në një faqe virtuale mund të arrihet duke kombinuar enkriptimin dhe ruajtjen e veçantë me hoste të ndryshëm.
Një opsion pak a shumë i besueshëm është të përdorni serverin tuaj të harduerit.
Por strehuesi do të duhet ende t'i besohet në një mënyrë ose në një tjetër. E gjithë industria mbështetet në këtë.
Burimi: www.habr.com