Nga trajnimi jam inxhinier, por më shumë komunikoj me sipërmarrësit dhe drejtorët e prodhimit. Pak kohë më parë, pronari i një kompanie industriale kërkoi këshilla. Përkundër faktit se ndërmarrja është e madhe dhe u krijua në vitet '90, menaxhimi dhe kontabiliteti funksionojnë në mënyrën e vjetër në një rrjet lokal.
Kjo është pasojë e frikës për biznesin e tyre dhe rritjes së kontrollit nga shteti. Ligjet dhe rregulloret mund të interpretohen gjerësisht nga autoritetet inspektuese. Një shembull janë ndryshimet në Kodin Tatimor, për shkelje tatimore, shkatërrim faktik .
Si rezultat, pronari i biznesit filloi të kërkojë zgjidhje për ruajtjen e besueshme të informacionit dhe transferimin e sigurt të dokumenteve. Virtual "i sigurt".
Ne punuam për problemin me një administrator të sistemit me kohë të plotë: na duhej një analizë e thellë e platformave ekzistuese.
- shërbimi nuk duhet të jetë i bazuar në cloud, në kuptimin klasik të fjalës, d.m.th. pa ruajtje në objektet e një organizate të palës së tretë. Vetëm serveri juaj;
- kërkohet një kriptim i fortë i të dhënave të transmetuara dhe të ruajtura;
- aftësia për të fshirë urgjentisht përmbajtjen nga çdo pajisje me klikimin e një butoni është e detyrueshme;
- zgjidhja u zhvillua jashtë vendit.
Unë propozova të hiqet pika e katërt, sepse... Aplikimet ruse kanë certifikata zyrtare. Drejtori ka thënë drejtpërdrejt se çfarë duhet bërë me certifikata të tilla.
Zgjedhja e opsioneve
Zgjodha tre zgjidhje (sa më shumë zgjedhje, aq më shumë dyshime):
- Open Source - projekt , e mbajtur nga zhvilluesi entuziast Jacob Borg.
- , i mbikëqyrur nga American Resilio Inc. (më parë ky shërbim quhej BitTorrent Sync).
- Projekt nga aplikacionet e sinkronizimit. Regjistrimi në Qipro.
Pronari i kompanisë ka pak njohuri për ndërlikimet teknike, kështu që unë e formatova raportin në formën e listave të mirat dhe të këqijat e secilit opsion.
Rezultatet e analizës
Syncthing
Rekuizitë:
- Burim i hapur;
- Aktiviteti i zhvilluesit kryesor;
- Projekti ka ekzistuar për një kohë shumë të gjatë;
- Falas.
Cons:
- Nuk ka klient për guaskën iOS;
- Serverët Slow Turn (ata janë të lirë, kështu që ata ngadalësohen). Për ata që
i pavetëdijshëm, Turn përdoret kur është e pamundur të lidhesh drejtpërdrejt; - Vendosja komplekse e ndërfaqes (kërkon shumë vite përvojë programimi);
- Mungesa e mbështetjes së shpejtë tregtare.
resilium
Pro: mbështetje për të gjitha pajisjet dhe serverët e kthesës së shpejtë.
Cons: Një dhe shumë domethënëse është mospërfillja e plotë e çdo kërkese nga shërbimi mbështetës. Zero përgjigje, edhe nëse shkruani nga adresa të ndryshme.
Pvtbox
Pro:
- Mbështet të gjitha pajisjet;
- Serverët e kthesës së shpejtë;
- Aftësia për të shkarkuar një skedar pa instaluar aplikacionin;
- Shërbimi adekuat mbështetës, përfshirë. nga telefoni.
Cons:
- Projekti i ri (pak komente dhe vlerësime të mira);
- Ndërfaqja e faqes është shumë "teknike" dhe jo gjithmonë e qartë;
- Nuk ka dokumentacion tërësisht të detajuar; shumë çështje kërkojnë mbështetje.
Çfarë zgjodhi klienti?
Pyetja e tij e parë është: cili është qëllimi për të zhvilluar diçka falas? Sinkronizimi u braktis menjëherë. Argumentet nuk funksionuan.
Disa ditë më vonë, klienti refuzoi kategorikisht Resilio Sync për shkak të mungesës së mbështetjes, sepse... Nuk është e qartë se ku të shkohet në një situatë emergjente. Plus mosbesimi ndaj regjistrimit amerikan të kompanisë.
Për analiza të mëtejshme, kasaforta Pvtbox Electronic mbetet. Kemi kryer një auditim të plotë teknik të kësaj platforme, duke u fokusuar në mundësinë e përgjimit, deshifrimit të të dhënave dhe hyrjes së paautorizuar në ruajtjen e informacionit.
Procesi i auditimit
Ne analizuam lidhjet në fillim të programit, gjatë funksionimit dhe në një gjendje të qetë. Trafiku sipas standardeve moderne fillimisht është i koduar. Le të përpiqemi të kryejmë një sulm MITM dhe të zëvendësojmë certifikatën në fluturim duke përdorur Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Për ta bërë këtë, ne do të prezantojmë një ndërmjetës midis aplikacionit Pvtbox dhe serverit pvtbox.net (ka shkëmbim të dhënash me serverin pvtbox.net nëpërmjet një lidhjeje https).
Ne e hapim aplikacionin për t'u siguruar që sinkronizimi i programit dhe skedarit funksionon në të. Në Linux, ju mund të vëzhgoni menjëherë regjistrimin nëse e drejtoni programin nga terminali.
Fikni aplikacionin dhe zëvendësoni adresën e hostit pvtbox.net në skedar / Etc / hosts me privilegje superpërdoruesi. Ne e zëvendësojmë adresën me adresën e serverit tonë proxy.
Tani le të përgatisim serverin tonë proxy për një sulm MITM në një kompjuter me adresën 192.168.1.64 në rrjetin tonë lokal. Për ta bërë këtë, instaloni versionin 4.0.4 të paketës mitmproxy.
Ne fillojmë serverin proxy në portin 443:
$ sudo mitmproxy -p 443
Ne lëshojmë programin Pvtbox në kompjuterin e parë, shikojmë daljen e mitmproxy dhe regjistrat e aplikacionit.
Mitmproxy raporton se klienti nuk i beson certifikatës së mashtrimit nga serveri proxy. Në regjistrat e aplikacionit shohim gjithashtu se certifikata e serverit proxy nuk kalon verifikimin dhe programi refuzon të funksionojë.
Instalimi i një certifikate të serverit proxy mitmproxy në një kompjuter me aplikacionin Pvtbox për ta bërë certifikatën "të besueshme". Instaloni paketën e certifikatave ca në kompjuterin tuaj. Më pas kopjoni certifikatën mitmproxy-ca-cert.pem nga drejtoria .mitmproxy e serverit proxy në kompjuter me aplikacionin Pvtbox në drejtorinë /usr/local/share/ca-certificates.
Ne ekzekutojmë komandat:
$ sudo openssl x509 -në mitmproxy-ca-cert.pem -informo PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-certifikata
Hapni aplikacionin Pvtbox. Certifikata dështoi përsëri në verifikimin dhe programi refuzon të funksionojë. Aplikacioni ndoshta po përdor një mekanizëm sigurie Gërmimi i certifikatës.
Një sulm i ngjashëm është kryer edhe ndaj nikoqirit signalserver.pvtbox.net, si dhe vetë lidhja peer-2-peer ndërmjet nyjeve. Zhvilluesi tregon se aplikacioni për krijimin e lidhjeve peer-2-peer përdor protokollin e hapur webrtc, i cili përdor kriptim të protokollit nga fundi në fund DTLSv1.2.
Çelësat gjenerohen për çdo konfigurim lidhjeje dhe transmetohen përmes një kanali të koduar signalserver.pvtbox.net.
Teorikisht, do të ishte e mundur për të përgjuar ofertën webrtc dhe për t'iu përgjigjur mesazheve, për të zëvendësuar çelësat e enkriptimit atje dhe për të qenë në gjendje të deshifroni të gjitha mesazhet që mbërrijnë nëpërmjet webrtc. Por nuk ishte e mundur të kryhej një sulm mitm në signalserver.pvtbox.net, kështu që nuk ka asnjë mënyrë për të përgjuar dhe zëvendësuar mesazhet e dërguara përmes signalserver.pvtbox.net.
Prandaj, nuk është e mundur të kryhet ky sulm në një lidhje peer-2-peer.
U zbulua gjithashtu një skedar me certifikata të pajisura me programin. Skedari ndodhet në /opt/pvtbox/certifi/cacert.pem. Ky skedar është zëvendësuar me një skedar që përmban një certifikatë të besuar nga përfaqësuesi ynë mitmproxy. Rezultati nuk ndryshoi - programi refuzoi të lidhej me sistemin, i njëjti gabim u vërejt në regjistër,
se certifikata nuk kalon verifikimin.
Rezultatet e auditimit
Nuk isha në gjendje të përgjoja apo të mashtroja trafikun. Emrat e skedarëve, dhe aq më tepër përmbajtja e tyre, transmetohen në formë të koduar; përdoret enkriptimi nga fundi në fund. Aplikacioni zbaton një sërë mekanizmash sigurie që parandalojnë përgjimin dhe depërtimin.
Si rezultat, kompania bleu dy serverë të dedikuar (fizikisht në vende të ndryshme) për akses të përhershëm në informacion. Serveri i parë përdoret për të marrë, përpunuar dhe ruajtur informacionin, i dyti përdoret për kopje rezervë.
Terminali i punës së drejtorit dhe një telefon celular në iOS u lidhën me renë individuale që rezultoi. Punonjësit e tjerë u lidhën nga administratori i sistemit me kohë të plotë dhe mbështetja teknike e Pvtbox.
Gjatë periudhës së kaluar, nuk ka pasur asnjë ankesë nga shoku. Shpresoj se rishikimi im do t'i ndihmojë lexuesit e Habr në një situatë të ngjashme.
Burimi: www.habr.com