أنا مهندس بالتدريب ، ولكني أتواصل أكثر مع رواد الأعمال ومديري الإنتاج. منذ بعض الوقت ، طلب صاحب شركة صناعية المشورة. على الرغم من أن المؤسسة كبيرة الحجم ، وأنشئت في التسعينيات ، تعمل الإدارة والمحاسبة بالطريقة القديمة في الشبكة المحلية.
هذا هو نتيجة للمخاوف لأعمالهم وزيادة السيطرة من قبل الدولة. يمكن تفسير القوانين واللوائح بواسطة هيئات التفتيش على نطاق واسع جدًا. مثال على ذلك التعديلات التي أدخلت على قانون الضرائب ،
وإلغاء قانون التقادم على المخالفات الضريبية ، والتدمير الفعلي
للأسرار المصرفية ومراجعة الحسابات .
نتيجة لذلك ، بدأ صاحب المشروع في البحث عن حلول للتخزين الموثوق للمعلومات ونقل آمن للمستندات. الظاهري "آمنة".
لقد عملنا على المهمة مع مسؤول نظام بدوام كامل: نحن بحاجة إلى تحليل عميق للمنصات الحالية.
- لا ينبغي أن تكون الخدمة غائمة ، بالمعنى الكلاسيكي للكلمة ، أي دون التوفير في مرافق مؤسسة خارجية. فقط الخادم الخاص بك ؛
- مطلوب تشفير قوي للبيانات المرسلة والمخزنة ؛
- القدرة على حذف المحتوى على وجه السرعة من أي جهاز بلمسة زر واحدة ؛
- تم تطوير الحل في الخارج.
اقترحت إزالة النقطة الرابعة ، لأن الطلبات الروسية لها شهادات رسمية. وقال المدير صراحة ما ينبغي القيام به مع هذه الشهادات.
اختيار الخيارات
لقد اخترت ثلاثة حلول (المزيد من الخيارات ، والمزيد من الشك):
صاحب الشركة على دراية ضعيفة بالدقائق الفنية ، لذلك صممت التقرير في شكل قوائم من إيجابيات وسلبيات كل خيار.
ملخص التحليل
Syncthing
الايجابيات :
- المصدر المفتوح
- نشاط المطور الرئيسي ؛
- المشروع موجود منذ فترة طويلة جدا ؛
- مجانا.
سلبيات:
- لا يوجد عميل لقذيفة iOS ؛
- خوادم بطيئة الدوران ، (فهي مجانية ، وبالتالي فإنها تبطئ). بالنسبة لأولئك الذين
ليس في معرفة ، يتم استخدام Turn عندما يكون من المستحيل الاتصال مباشرة ؛ - تكوين واجهة معقدة (هناك حاجة إلى سنوات عديدة من الخبرة في البرمجة) ؛
- عدم وجود دعم تجاري سريع.
Resilio
الايجابيات: دعم لجميع الأجهزة وخوادم تحويل ذكيا.
سلبيات: واحد ومهم للغاية هو تجاهل كامل من قبل خدمة الدعم من أي مكالمات. رد فعل الصفر ، حتى لو كنت تكتب من عناوين مختلفة.
Pvtbox
الايجابيات:
- دعم لجميع الأجهزة.
- بدوره سريع خادم.
- القدرة على تنزيل ملف دون تثبيت التطبيق ؛
- خدمة دعم كافية ، بما في ذلك عن طريق الهاتف.
سلبيات :
- مشروع شاب (قليل من المراجعات والاستعراضات الجيدة) ؛
- واجهة "فني" ليست واضحة دائمًا ؛
- لا توجد وثائق مفصلة بشكل كامل ، يجب على العديد من القضايا سحب الدعم.
ماذا اختار العميل
أول سؤال له هو: ما الهدف من تطوير شيء مجانًا؟ تم التخلي عن Syncthing على الفور. الحجج لم تنجح.
بعد بضعة أيام ، قام العميل برفض Resilio Sync بشكل قاطع بسبب نقص الدعم ليس من الواضح أين تذهب في حالات الطوارئ. بالإضافة إلى عدم الثقة في التسجيل الأمريكي للشركة.
لمزيد من التحليل ، بقيت Pvtbox Electronic Safe. لقد أجرينا تدقيقًا تقنيًا كاملًا لهذا النظام الأساسي مع التركيز على إمكانية اعتراض وفك تشفير البيانات والدخول غير المصرح به إلى تخزين المعلومات.
عملية التدقيق
لقد قمنا بتحليل المركبات في بداية البرنامج وفي العملية وفي حالة الهدوء. تشفير حركة المرور حسب المعايير الحديثة. دعنا نحاول إجراء هجوم MITM واستبدال الشهادة على
الفور باستخدام
Linux (Xubuntu Linux 18.04) ، Wireshark ،
Mitmproxy . للقيام بذلك ، سنقوم بتنفيذ وسيط بين تطبيق Pvtbox وخادم pvtbox.net (هناك تبادل للبيانات مع خادم pvtbox.net عبر اتصال https).
نطلق التطبيق للتأكد من أن مزامنة البرنامج والملفات تعمل فيه. في Linux ، يمكنك مراقبة التسجيل على الفور إذا قمت بتشغيل البرنامج من الجهاز.
نقوم بإيقاف تشغيل التطبيق واستبدال عنوان المضيف pvtbox.net في ملف
/ etc / hosts بامتيازات المستخدم الخارق. يتم استبدال العنوان بعنوان الخادم الوكيل لدينا.
الآن سنقوم بإعداد خادمنا الوكيل لهجوم MITM على الكمبيوتر بعنوان 192.168.1.64 في شبكتنا المحلية. للقيام بذلك ، قم بتثبيت إصدار حزمة mitmproxy 4.0.4.
قم بتشغيل الخادم الوكيل على المنفذ 443:
$ sudo mitmproxy -p 443نبدأ تشغيل برنامج Pvtbox على الكمبيوتر الأول ، وننظر إلى إخراج mitmproxy وسجلات التطبيق.
تقارير
Mitmproxy أن العميل لا يثق في شهادة محاكاة ساخرة من الخادم الوكيل. في سجلات التطبيق ، نلاحظ أيضًا أن شهادة الخادم الوكيل لا تمرر عملية التحقق ويرفض البرنامج العمل.
قم بتثبيت شهادة وكيل
mitmproxy على الكمبيوتر باستخدام تطبيق Pvtbox لجعل الشهادة "موثوق بها". على الكمبيوتر ، قم بتثبيت حزمة شهادات ca. ثم انسخ الشهادة mitmproxy-ca-cert.pem من دليل .mitmproxy لخادم الوكيل إلى الكمبيوتر باستخدام تطبيق Pvtbox في الدليل / usr / local / share / ca-الشهادات.
نحن ننفذ الأوامر:
$ sudo openssl x509-في mitmproxy-ca-cert.pem -inform PEM-out mitmproxy-ca-cert.crtsudo $ تحديث شهادات كاليفورنيا
قم بتشغيل تطبيق Pvtbox. فشلت الشهادة مرة أخرى ، يرفض البرنامج العمل. ربما يستخدم التطبيق آلية تأمين
تثبيت الشهادة .
تم تنفيذ هجوم مماثل على مضيف
signserver.pvtbox.net ، وكذلك على اتصال نظير - نظير بين العقد. يشير المطور إلى أن تطبيق تأسيس اتصالات نظير إلى نظير يستخدم بروتوكول webrtc المفتوح الذي يستخدم التشفير من طرف إلى طرف باستخدام بروتوكول
DTLSv1.2.يتم إنشاء المفاتيح لكل تثبيت اتصالات ويتم نقلها عبر قناة مشفرة من خلال
signserver.pvtbox.net.من الناحية النظرية ، سيكون من الممكن اعتراض العرض والرد على رسائل webrtc واستبدال مفاتيح التشفير هناك والقدرة على فك تشفير جميع الرسائل التي تصل عبر webrtc. ولكن لم يكن من الممكن القيام بهجوم على mitm على signserver.pvtbox.net ، وبالتالي لا توجد إمكانية لاعتراض واستبدال الرسائل المرسلة من خلال signserver.pvtbox.net.
وفقًا لذلك ، لا يمكن تنفيذ هذا الهجوم على اتصال نظير - نظير.
كما تم العثور على ملف بشهادات مصاحبة للبرنامج. يوجد الملف على المسار /opt/pvtbox/certifi/cacert.pem. تم استبدال هذا الملف بملف يحتوي على شهادة موثوق بها من خادم وكيل mitmproxy لدينا. لم تتغير النتيجة - رفض البرنامج الاتصال بالنظام ، ولوحظ نفس الخطأ في السجل ،
أن الشهادة لا يمر التحقق.
نتائج التدقيق
لم أتمكن من اعتراض حركة المرور أو استبدالها. أسماء الملفات ، وحتى أكثر من ذلك يتم نقل محتوياتها في شكل مشفر ، يتم استخدام التشفير من طرف إلى طرف ، وينفذ التطبيق عددًا من آليات الحماية التي تمنع التنصت على المكالمات الهاتفية وتنفيذها.
نتيجة لذلك ، اشترت الشركة خادمين مخصصين (فعليًا في أماكن مختلفة) للوصول الدائم إلى المعلومات. يستخدم الخادم الأول لتلقي ومعالجة وتخزين المعلومات ، والثاني - للنسخ الاحتياطي.
تم توصيل محطة عمل المدير وهاتف iOS المحمول بالسحابة الفردية المستلمة. كان الموظفون الآخرون متصلين بمسؤول نظام منتظم والدعم الفني لـ Pvtbox.
خلال الفترة الماضية ، لم تكن هناك شكاوى من صديق. آمل أن يساعد تقييمي القراء هبر في موقف مماثل.