Ich bin ausgebildeter Ingenieur, kommuniziere aber mehr mit Unternehmern und Produktionsleitern. Vor einiger Zeit bat der Inhaber eines Industrieunternehmens um Rat. Trotz der Tatsache, dass das Unternehmen groß ist und in den 90er Jahren gegründet wurde, arbeiten Management und Buchhaltung im lokalen Netzwerk auf die altmodische Weise.
Dies ist eine Folge der Besorgnis um ihr Geschäft und der verstärkten Kontrolle durch den Staat. Gesetze und Vorschriften können von Kontrollstellen sehr weit ausgelegt werden. Ein Beispiel sind die Änderungen der Abgabenordnung,
mit denen die Verjährungsfrist für Steuerverstöße, die tatsächliche Zerstörung von
Bank- und Prüfungsgeheimnissen beseitigt wird .
Infolgedessen suchte der Eigentümer des Unternehmens nach Lösungen für die zuverlässige Speicherung von Informationen und die sichere Übertragung von Dokumenten. Virtuell "sicher".
Wir haben mit einem Vollzeit-Systemadministrator an der Aufgabe gearbeitet: Wir benötigen eine gründliche Analyse der vorhandenen Plattformen.
- der Dienst sollte im klassischen Sinne des Wortes nicht trübe sein, d.h. ohne in den Einrichtungen einer Drittorganisation zu sparen. Nur dein Server;
- Eine starke Verschlüsselung der übertragenen und gespeicherten Daten ist erforderlich.
- Die Fähigkeit, Inhalte auf Knopfdruck dringend von jedem Gerät zu löschen, ist erforderlich.
- Die Lösung wird im Ausland entwickelt.
Ich schlug vor, den vierten Punkt zu entfernen, weil Russische Anträge haben offizielle Zertifikate. Der Direktor sagte ausdrücklich, was mit solchen Zertifikaten zu tun ist.
Wählen Sie Optionen
Ich habe drei Lösungen ausgewählt (je mehr Auswahlmöglichkeiten, desto mehr Zweifel):
Der Eigentümer des Unternehmens kennt sich mit den technischen Feinheiten nur schlecht aus, daher habe ich den Bericht in Form von Listen mit den Vor- und Nachteilen jeder Option erstellt.
Analysezusammenfassung
Synchronisieren
Vorteile :
- Open Source
- Aktivität des Hauptentwicklers;
- Das Projekt besteht seit sehr langer Zeit;
- Kostenlos.
Nachteile:
- Es gibt keinen Client für die iOS-Shell.
- Slow Turn-Server (sie sind kostenlos, daher werden sie langsamer). Für diejenigen, die
nicht im Wissen, Turn wird verwendet, wenn es unmöglich ist, eine direkte Verbindung herzustellen; - Komplexe Schnittstellenkonfiguration (langjährige Programmiererfahrung erforderlich);
- Mangel an schneller kommerzieller Unterstützung.
Resilio
Vorteile: Unterstützung für alle Geräte und flinken Turn-Server.
Nachteile: Eine und sehr wichtige ist das vollständige Ignorieren von Anrufen durch den Support-Service. Keine Reaktion, auch wenn Sie von verschiedenen Adressen aus schreiben.
Pvtbox
Vorteile:
- Unterstützung für alle Geräte;
- Fast Turn Server;
- Die Möglichkeit, eine Datei herunterzuladen, ohne die Anwendung zu installieren;
- Angemessener Support-Service, inkl. telefonisch.
Nachteile :
- Junges Projekt (wenige Bewertungen und gute Bewertungen);
- Ein sehr "Technikfreak", der nicht immer eine klare Site-Oberfläche hat.
- Es gibt keine ausführliche Dokumentation, viele Probleme müssen unterstützt werden.
Was hat der Kunde gewählt?
Seine erste Frage lautet: Was bringt es, etwas kostenlos zu entwickeln? Die Synchronisierung wurde sofort abgebrochen. Argumente haben nicht funktioniert.
Nach ein paar Tagen entließ der Kunde Resilio Sync aufgrund mangelnden Supports kategorisch Es ist nicht klar, wohin man im Notfall gehen soll. Plus Misstrauen gegenüber der amerikanischen Registrierung des Unternehmens.
Zur weiteren Analyse blieb der Pvtbox Electronic Safe erhalten. Wir haben eine vollständige technische Prüfung dieser Plattform durchgeführt, wobei der Schwerpunkt auf der Möglichkeit des Abfangens, der Entschlüsselung von Daten und des unbefugten Eintritts in den Informationsspeicher lag.
Prüfungsprozess
Wir haben zu Beginn des Programms, während der Arbeit und in einem ruhigen Zustand eine Analyse der Verbindungen durchgeführt. Der Verkehr nach modernen Maßstäben ist ursprünglich verschlüsselt. Versuchen wir, einen MITM-Angriff durchzuführen und das Zertifikat im
laufenden Betrieb unter
Linux (Xubuntu Linux 18.04), Wireshark ,
Mitmproxy zu ersetzen . Zu diesem Zweck implementieren wir einen Vermittler zwischen der Pvtbox-Anwendung und dem pvtbox.net-Server (es findet ein Datenaustausch mit dem pvtbox.net-Server über eine https-Verbindung statt).
Wir starten die Anwendung, um sicherzustellen, dass die Programm- und Dateisynchronisierung darin funktioniert. Unter Linux können Sie die Protokollierung sofort beobachten, wenn Sie das Programm vom Terminal aus ausführen.
Wir deaktivieren die Anwendung und ersetzen die Hostadresse pvtbox.net in der
Datei / etc / hosts durch Superuser-Berechtigungen. Die Adresse wird durch die Adresse unseres Proxyservers ersetzt.
Jetzt bereiten wir unseren Proxyserver auf den MITM-Angriff auf den Computer mit der Adresse 192.168.1.64 in unserem lokalen Netzwerk vor. Installieren Sie dazu das Mitmproxy-Paket Version 4.0.4.
Starten Sie den Proxyserver an Port 443:
$ sudo mitmproxy -p 443Wir starten das Pvtbox-Programm auf dem ersten Computer, sehen uns die Ausgabe von mitmproxy und die Anwendungsprotokolle an.
Mitmproxy meldet, dass der Client dem
gefälschten Zertifikat vom Proxyserver nicht vertraut. In den Anwendungsprotokollen stellen wir außerdem fest, dass das Proxy-Server-Zertifikat die Überprüfung nicht besteht und das Programm nicht funktioniert.
Installieren Sie das
Mitmproxy- Proxy-Zertifikat mit der Pvtbox-Anwendung auf dem Computer, um das Zertifikat als "vertrauenswürdig" zu kennzeichnen. Installieren Sie auf dem Computer das Paket ca-certificates. Kopieren Sie dann das Zertifikat mitmproxy-ca-cert.pem aus dem Verzeichnis .mitmproxy des Proxyservers auf den Computer mit der Pvtbox-Anwendung im Verzeichnis / usr / local / share / ca-certificates.
Wir führen die Befehle aus:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt$ sudo update-ca-Zertifikate
Starten Sie die Pvtbox-App. Das Zertifikat ist erneut fehlgeschlagen, das Programm funktioniert nicht. Die Anwendung verwendet wahrscheinlich den Sicherheitsmechanismus zum
Anheften von Zertifikaten .
Ein ähnlicher Angriff wurde auf dem Host
serverserver.pvtbox.net sowie auf der Peer-2-Peer-Verbindung zwischen Knoten ausgeführt. Der Entwickler gibt an, dass die Anwendung zum Herstellen von Peer-2-Peer-Verbindungen das offene Webrtc-Protokoll verwendet, das eine End-to-End-Verschlüsselung unter Verwendung des
DTLSv1.2- Protokolls verwendet
.Schlüssel werden für jede Installation von Verbindungen generiert und über einen verschlüsselten Kanal über
signalerver.pvtbox.net übertragen.Theoretisch wäre es möglich, das Angebot abzufangen und Nachrichten von webrtc zu beantworten, die dortigen Verschlüsselungsschlüssel zu ersetzen und alle über webrtc eintreffenden Nachrichten zu entschlüsseln. Es war jedoch nicht möglich, einen Mitm-Angriff auf Signalserver.pvtbox.net durchzuführen. Daher gibt es keine Möglichkeit, über signalserver.pvtbox.net gesendete Nachrichten abzufangen und zu ersetzen.
Dementsprechend ist es nicht möglich, diesen Angriff auf eine Peer-2-Peer-Verbindung auszuführen.
Es wurde auch eine Datei mit Zertifikaten gefunden, die mit dem Programm geliefert wurden. Die Datei befindet sich im Pfad /opt/pvtbox/certifi/cacert.pem. Diese Datei wurde durch eine Datei ersetzt, die ein vertrauenswürdiges Zertifikat von unserem Mitmproxy-Proxyserver enthält. Das Ergebnis änderte sich nicht - das Programm weigerte sich, eine Verbindung zum System herzustellen. Der gleiche Fehler wurde im Protokoll beobachtet.
dass das Zertifikat die Überprüfung nicht besteht.
Prüfungsergebnisse
Ich konnte den Verkehr nicht abfangen oder ersetzen. Dateinamen und vor allem deren Inhalt in verschlüsselter Form übertragen werden, wird eine End-to-End-Verschlüsselung verwendet. Die Anwendung implementiert eine Reihe von Schutzmechanismen, die das Abhören und die Implementierung verhindern.
Infolgedessen kaufte das Unternehmen zwei dedizierte Server (physisch an verschiedenen Orten) für den dauerhaften Zugriff auf Informationen. Der erste Server dient zum Empfangen, Verarbeiten und Speichern von Informationen, der zweite zum Sichern.
Das Arbeitsterminal des Direktors und ein iOS-Mobiltelefon waren mit der empfangenen individuellen Cloud verbunden. Andere Mitarbeiter wurden von einem regulären Systemadministrator und dem technischen Support von Pvtbox verbunden.
In der vergangenen Zeit gab es keine Beschwerden von einem Freund. Ich hoffe, meine Rezension wird Habrs Lesern in einer ähnlichen Situation helfen.