kdpv - Reuters
Ukikodisha seva, basi huna udhibiti kamili juu yake. Hii ina maana kwamba wakati wowote watu waliofunzwa maalum wanaweza kuja kwa mpangishaji na kukuuliza utoe data yako yoyote. Na mwenye nyumba atawarudishia ikiwa mahitaji yatarasimishwa kwa mujibu wa sheria.
Hutaki kabisa magogo ya seva yako ya wavuti au data ya mtumiaji kuvuja kwa mtu mwingine yeyote. Haiwezekani kujenga ulinzi bora. Karibu haiwezekani kujikinga na mwenyeji ambaye anamiliki hypervisor na kukupa mashine pepe. Lakini labda itawezekana kupunguza hatari kidogo. Usimbaji wa magari ya kukodisha sio kazi bure kama inavyoonekana mwanzoni. Wakati huo huo, hebu tuangalie vitisho vya uchimbaji wa data kutoka kwa seva za kimwili.
Mfano wa tishio
Kama sheria, mhudumu atajaribu kulinda masilahi ya mteja iwezekanavyo na sheria. Ikiwa barua kutoka kwa mamlaka rasmi iliomba kumbukumbu za ufikiaji pekee, mpangishaji hatatoa utupaji wa mashine zako zote pepe zilizo na hifadhidata. Angalau haipaswi. Ikiwa wanauliza data zote, mhudumu ataiga diski za kawaida na faili zote na hutajua kuhusu hilo.
Bila kujali hali, lengo lako kuu ni kufanya mashambulizi kuwa magumu sana na ya gharama kubwa. Kawaida kuna chaguzi kuu tatu za tishio.
Rasmi
Mara nyingi, barua ya karatasi hutumwa kwa ofisi rasmi ya mwenyeji na hitaji la kutoa data muhimu kwa mujibu wa kanuni husika. Ikiwa kila kitu kimefanywa kwa usahihi, mhudumu hutoa kumbukumbu muhimu za kufikia na data nyingine kwa mamlaka rasmi. Kawaida wanakuuliza tu kutuma data muhimu.
Mara kwa mara, ikiwa ni lazima kabisa, wawakilishi wa mashirika ya kutekeleza sheria huja kwenye kituo cha data kibinafsi. Kwa mfano, unapokuwa na seva yako iliyojitolea na data kutoka hapo inaweza kuchukuliwa tu kimwili.
Katika nchi zote, kupata ufikiaji wa mali ya kibinafsi, kufanya upekuzi na shughuli zingine kunahitaji ushahidi kwamba data inaweza kuwa na habari muhimu kwa uchunguzi wa uhalifu. Kwa kuongeza, hati ya utafutaji inayotekelezwa kwa mujibu wa kanuni zote inahitajika. Kunaweza kuwa na nuances kuhusiana na upekee wa sheria za mitaa. Jambo kuu unahitaji kuelewa ni kwamba ikiwa njia rasmi ni sahihi, wawakilishi wa kituo cha data hawataruhusu mtu yeyote kupita mlango.
Zaidi ya hayo, katika nchi nyingi huwezi kuvuta tu vifaa vya kukimbia. Kwa mfano, nchini Urusi, hadi mwisho wa 2018, kulingana na Kifungu cha 183 cha Kanuni ya Mwenendo wa Makosa ya Jinai ya Shirikisho la Urusi, sehemu ya 3.1, ilihakikishiwa kwamba wakati wa kukamata, kukamata vyombo vya habari vya kuhifadhi umeme kulifanyika kwa ushiriki. ya mtaalamu. Kwa ombi la mmiliki wa kisheria wa vyombo vya habari vya uhifadhi wa elektroniki vilivyokamatwa au mmiliki wa habari iliyomo juu yao, mtaalamu anayeshiriki katika kukamata, mbele ya mashahidi, nakala za habari kutoka kwa vyombo vya habari vya kuhifadhi vya elektroniki vilivyokamatwa kwenye vyombo vya habari vingine vya kuhifadhi elektroniki.
Kisha, kwa bahati mbaya, hatua hii iliondolewa kwenye makala.
Siri na isiyo rasmi
Hii tayari ni eneo la shughuli za wandugu waliofunzwa maalum kutoka NSA, FBI, MI5 na mashirika mengine ya barua tatu. Mara nyingi, sheria za nchi hutoa mamlaka pana sana kwa miundo kama hii. Zaidi ya hayo, karibu kila mara kuna marufuku ya kisheria kwa ufichuzi wowote wa moja kwa moja au usio wa moja kwa moja wa ukweli wa ushirikiano na vyombo hivyo vya kutekeleza sheria. Kuna aina kama hizo nchini Urusi .
Katika tukio la tishio kama hilo kwa data yako, karibu zitatolewa. Zaidi ya hayo, pamoja na kunasa kwa urahisi, safu nzima isiyo rasmi ya milango ya nyuma, udhaifu wa siku sifuri, uchimbaji wa data kutoka kwa RAM ya mashine yako ya mtandaoni, na furaha zingine zinaweza kutumika. Katika kesi hiyo, mhudumu atalazimika kusaidia wataalamu wa kutekeleza sheria iwezekanavyo.
Mfanyakazi asiye mwaminifu
Sio watu wote ni wazuri sawa. Mmoja wa wasimamizi wa kituo cha data anaweza kuamua kupata pesa za ziada na kuuza data yako. Maendeleo zaidi yanategemea uwezo wake na ufikiaji. Jambo la kuudhi zaidi ni kwamba msimamizi aliye na ufikiaji wa koni ya uboreshaji ana udhibiti kamili wa mashine zako. Unaweza kuchukua muhtasari pamoja na yaliyomo kwenye RAM kila wakati na kisha kuisoma polepole.
VDS
Kwa hivyo una mashine pepe ambayo mpangaji alikupa. Unawezaje kutekeleza usimbaji fiche ili kujilinda? Kwa kweli, hakuna chochote. Zaidi ya hayo, hata seva iliyojitolea ya mtu mwingine inaweza kuishia kuwa mashine ya kawaida ambayo vifaa muhimu vinaingizwa.
Ikiwa kazi ya mfumo wa mbali sio tu kuhifadhi data, lakini kufanya mahesabu fulani, basi chaguo pekee la kufanya kazi na mashine isiyoaminika itakuwa kutekeleza. . Katika kesi hii, mfumo utafanya mahesabu bila uwezo wa kuelewa ni nini hasa inafanya. Kwa bahati mbaya, gharama za ziada za kutekeleza usimbaji fiche kama huo ni kubwa sana hivi kwamba matumizi yao ya vitendo kwa sasa yamepunguzwa kwa kazi nyembamba sana.
Pamoja, kwa sasa wakati mashine ya kawaida inafanya kazi na kufanya vitendo kadhaa, idadi zote zilizosimbwa ziko katika hali ya kupatikana, vinginevyo OS haitaweza kufanya kazi nayo. Hii inamaanisha kuwa kuwa na ufikiaji wa koni ya uboreshaji, unaweza kuchukua picha ya mashine inayoendesha kila wakati na kutoa funguo zote kutoka kwa RAM.
Wachuuzi wengi wamejaribu kupanga usimbaji fiche wa maunzi ya RAM ili hata mpangaji hana ufikiaji wa data hii. Kwa mfano, teknolojia ya Viendelezi vya Intel Software Guard, ambayo hupanga maeneo katika nafasi ya anwani pepe ambayo yamelindwa dhidi ya kusoma na kuandika kutoka nje ya eneo hili na michakato mingine, ikiwa ni pamoja na kernel ya mfumo wa uendeshaji. Kwa bahati mbaya, hutaweza kuamini kikamilifu teknolojia hizi, kwa kuwa utakuwa mdogo kwa mashine yako ya mtandaoni. Kwa kuongeza, mifano iliyopangwa tayari iko tayari kwa teknolojia hii. Bado, usimbuaji wa mashine pepe sio bure kama inavyoweza kuonekana.
Tunasimba data kwenye VDS kwa njia fiche
Acha niweke nafasi mara moja kwamba kila kitu tunachofanya hapa chini hakilingani na ulinzi kamili. Hypervisor itawawezesha kufanya nakala muhimu bila kuacha huduma na bila kutambua kwako.
- Ikiwa, kwa ombi, mhudumu huhamisha picha "baridi" ya mashine yako ya mtandaoni, basi uko salama. Hii ndiyo hali ya kawaida zaidi.
- Ikiwa mhudumu anatoa picha kamili ya mashine inayoendesha, basi kila kitu ni mbaya sana. Data zote zitawekwa kwenye mfumo kwa uwazi. Kwa kuongeza, itawezekana kuvinjari kupitia RAM katika kutafuta funguo za kibinafsi na data sawa.
Kwa chaguo-msingi, ikiwa ulipeleka OS kutoka kwa picha ya vanilla, mpangishaji hana ufikiaji wa mizizi. Unaweza kuweka media kila wakati na picha ya uokoaji na ubadilishe nenosiri la msingi kwa kuchuja mazingira ya mashine pepe. Lakini hii itahitaji kuwasha upya, ambayo itazingatiwa. Zaidi ya hayo, sehemu zote zilizowekwa kwa njia fiche zitafungwa.
Hata hivyo, ikiwa kupelekwa kwa mashine ya kawaida haitoki kwa picha ya vanilla, lakini kutoka kwa iliyoandaliwa kabla, basi mhudumu anaweza kuongeza akaunti ya upendeleo ili kusaidia katika hali ya dharura kwa mteja. Kwa mfano, kubadilisha nenosiri la mizizi iliyosahaulika.
Hata katika kesi ya snapshot kamili, si kila kitu ni huzuni sana. Mshambulizi hatapokea faili zilizosimbwa kwa njia fiche ikiwa utazipachika kutoka kwa mfumo wa faili wa mbali wa mashine nyingine. Ndio, kwa nadharia, unaweza kuchagua dampo la RAM na kutoa vitufe vya usimbuaji kutoka hapo. Lakini katika mazoezi hii sio ndogo sana na hakuna uwezekano mkubwa kwamba mchakato utaenda zaidi ya uhamisho rahisi wa faili.
Agiza gari
Kwa madhumuni yetu ya mtihani, tunachukua mashine rahisi ndani . Hatuhitaji rasilimali nyingi, kwa hivyo tutachukua chaguo la kulipia megahertz na trafiki iliyotumiwa kweli. Inatosha tu kucheza nao.
Dm-crypt ya kawaida ya kizigeu nzima haikuondoka. Kwa chaguo-msingi, diski inatolewa kwa kipande kimoja, na mzizi kwa kizigeu nzima. Kupunguza kizigeu cha ext4 kwenye iliyowekwa na mizizi ni tofali iliyohakikishwa badala ya mfumo wa faili. Nilijaribu) Matari haikusaidia.
Kuunda chombo cha crypto
Kwa hivyo, hatutasimba kizigeu kizima, lakini tutatumia vyombo vya faili vya crypto, ambavyo ni VeraCrypt iliyokaguliwa na ya kuaminika. Kwa madhumuni yetu hii inatosha. Kwanza, tunatoa na kusanikisha kifurushi na toleo la CLI kutoka kwa wavuti rasmi. Unaweza kuangalia saini kwa wakati mmoja.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Sasa tutaunda chombo chenyewe mahali fulani nyumbani kwetu ili tuweze kuiweka kwa mikono baada ya kuwasha upya. Katika chaguo la maingiliano, weka saizi ya chombo, nenosiri na algoriti za usimbaji fiche. Unaweza kuchagua msimbo wa kizalendo Grasshopper na chaguo la kukokotoa la Stribog.
veracrypt -t -c ~/my_super_secretSasa wacha tusakinishe nginx, weka chombo na ujaze na habari ya siri.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngWacha tusahihishe kidogo /var/www/html/index.nginx-debian.html kupata ukurasa unaotaka na unaweza kuuangalia.
Unganisha na uangalie
Chombo kimewekwa, data inapatikana na kutumwa.
Na hapa kuna mashine baada ya kuanza upya. Data imehifadhiwa kwa usalama katika ~/my_super_secret.
Ikiwa unahitaji kweli na unataka kuwa ngumu, basi unaweza kusimba OS nzima ili unapoanzisha upya inahitaji kuunganisha kupitia ssh na kuingiza nenosiri. Hii pia itakuwa ya kutosha katika hali ya kuondoa tu "data baridi". Hapa na usimbaji fiche wa diski ya mbali. Ingawa katika kesi ya VDS ni ngumu na haina maana.
Chuma tupu
Si rahisi sana kusakinisha seva yako mwenyewe katika kituo cha data. Wakfu wa mtu mwingine unaweza kugeuka kuwa mashine pepe ambayo vifaa vyote huhamishiwa. Lakini kitu cha kuvutia katika suala la ulinzi huanza wakati una nafasi ya kuweka seva yako ya kimwili inayoaminika kwenye kituo cha data. Hapa unaweza tayari kutumia kikamilifu dm-crypt, VeraCrypt au usimbaji mwingine wowote unaoupenda.
Unahitaji kuelewa kwamba ikiwa usimbaji fiche jumla utatekelezwa, seva haitaweza kurejesha yenyewe baada ya kuwasha upya. Itakuwa muhimu kuinua uunganisho kwa IP-KVM ya ndani, IPMI au interface nyingine sawa. Baada ya hapo sisi huingiza ufunguo mkuu. Mpango huo unaonekana hivyo-hivyo kwa suala la mwendelezo na uvumilivu wa makosa, lakini hakuna njia mbadala maalum ikiwa data ni ya thamani sana.
Moduli ya Usalama ya Vifaa vya NCpher nShield F3
Chaguo laini hufikiri kwamba data imesimbwa na ufunguo unapatikana moja kwa moja kwenye seva yenyewe katika HSM maalum (Moduli ya Usalama ya Vifaa). Kama sheria, hizi ni vifaa vinavyofanya kazi sana ambavyo sio tu hutoa maandishi ya vifaa, lakini pia vina mifumo ya kugundua majaribio ya utapeli wa mwili. Iwapo mtu ataanza kuchombeza seva yako na mashine ya kusagia pembeni, HSM iliyo na usambazaji wa nishati inayojitegemea itaweka upya funguo ambazo inahifadhi kwenye kumbukumbu yake. Mshambulizi atapata nyama iliyosimbwa kwa njia fiche. Katika kesi hii, reboot inaweza kutokea moja kwa moja.
Kuondoa funguo ni chaguo la haraka zaidi na la kibinadamu zaidi kuliko kuwezesha bomu la thermite au kizuizi cha umeme. Kwa vifaa vile, utapigwa kwa muda mrefu sana na majirani zako kwenye rack kwenye kituo cha data. Aidha, katika kesi ya matumizi usimbaji fiche kwenye media yenyewe, huna uzoefu wa kutosha. Yote hii hutokea kwa uwazi kwa OS. Kweli, katika kesi hii unapaswa kuamini Samsung ya masharti na tumaini kwamba ina AES256 ya uaminifu, na sio XOR ya banal.
Wakati huo huo, hatupaswi kusahau kwamba bandari zote zisizohitajika lazima ziwe na ulemavu wa kimwili au kujazwa tu na kiwanja. Vinginevyo, unawapa washambuliaji fursa ya kutekeleza . Ikiwa una PCI Express au Thunderbolt inayojitokeza, pamoja na USB iliyo na usaidizi wake, unaweza kuwa hatarini. Mshambulizi ataweza kutekeleza shambulizi kupitia milango hii na kupata ufikiaji wa moja kwa moja wa kumbukumbu kwa kutumia funguo.
Katika toleo la kisasa sana, mshambuliaji ataweza kutekeleza mashambulizi ya boot baridi. Wakati huo huo, humimina tu sehemu nzuri ya nitrojeni kioevu kwenye seva yako, takriban huondoa vijiti vya kumbukumbu vilivyogandishwa na kuchukua dampo kutoka kwao na funguo zote. Mara nyingi, dawa ya baridi ya kawaida na joto la karibu -50 digrii ni ya kutosha kutekeleza mashambulizi. Pia kuna chaguo sahihi zaidi. Ikiwa haujazima upakiaji kutoka kwa vifaa vya nje, basi algorithm ya mshambuliaji itakuwa rahisi zaidi:
- Kufungia vijiti vya kumbukumbu bila kufungua kesi
- Unganisha kiendeshi chako cha USB flash inayoweza kuwashwa
- Tumia huduma maalum ili kuondoa data kutoka kwa RAM ambayo ilinusurika kuwashwa tena kwa sababu ya kuganda.
Gawanya na kushinda
Sawa, tuna mashine pepe pekee, lakini ningependa kwa namna fulani kupunguza hatari za kuvuja kwa data.
Unaweza, kimsingi, kujaribu kurekebisha usanifu na kusambaza uhifadhi na usindikaji wa data katika mamlaka tofauti. Kwa mfano, sehemu ya mbele yenye funguo za usimbaji fiche inatoka kwa mpangishaji katika Jamhuri ya Cheki, na mandharinyuma yenye data iliyosimbwa iko mahali fulani nchini Urusi. Katika kesi ya jaribio la kawaida la kukamata, kuna uwezekano mkubwa sana kwamba mashirika ya kutekeleza sheria yataweza kutekeleza hili kwa wakati mmoja katika maeneo tofauti ya mamlaka. Zaidi ya hayo, hii inatuhakikishia kwa kiasi dhidi ya hali ya kupiga picha.
Kweli, au unaweza kuzingatia chaguo safi kabisa - Usimbuaji wa Mwisho-hadi-Mwisho. Bila shaka, hii inakwenda zaidi ya upeo wa vipimo na haimaanishi kufanya mahesabu kwa upande wa mashine ya mbali. Hata hivyo, hili ni chaguo linalokubalika kikamilifu linapokuja suala la kuhifadhi na kusawazisha data. Kwa mfano, hii inatekelezwa kwa urahisi katika Nextcloud. Wakati huo huo, maingiliano, matoleo na vitu vingine vyema vya upande wa seva hazitaondoka.
Katika jumla ya
Hakuna mifumo salama kabisa. Lengo ni kufanya shambulio kuwa na thamani zaidi kuliko faida inayowezekana.
Kupunguza kwa kiasi fulani hatari za kupata data kwenye tovuti pepe kunaweza kufikiwa kwa kuchanganya usimbaji fiche na hifadhi tofauti na wapangishaji tofauti.
Chaguo zaidi au chini ya kuaminika ni kutumia seva yako ya maunzi.
Lakini mwenyeji bado atalazimika kuaminiwa kwa njia moja au nyingine. Sekta nzima inategemea hii.
Chanzo: mapenzi.com