Comments 141
> Более того, почти всегда есть законодательный запрет на любое прямое и косвенное разглашение самого факта сотрудничества с подобными силовыми ведомствами
Ну так это же классический случай для использования свидетельства канарейки. :-)
Ну так это же классический случай для использования свидетельства канарейки. :-)
А в АНБ-то конечно википедию не читают, и никак не могут борцам за свободу слова помешать убирать такие надписи
Уже где-то разбирали, что это работало только с Патриотическим актом, потому что там было явно прописан запрет на активное действие.
А у нас тупо разглашение информации. Неважно действием или бездействием. Должен был предпринять действия для защиты тайны, но не предпринял (не выложил свидетельство канарейки). Все, уже нарушение.
Уменьшать раздел с ext4 на примонтированном root — это практически гарантированный кирпич вместо файловой системы. Я попробовал) Бубен не помог.
Никакого бубна не надо.
Есть стандартная схема — собираем базовую систему через debootstrap (или аналогичную тулзу), делаем туда pivot_root, далее можно с диском делать что хочешь. Удалять разделы, переразбивать и т.п.
Виртуалки с SGX-анклавом не пробовали?
Azure такие умеет. Не 100% гарантия, но как дополнительная линия защиты может кому-то подойти.
Виртуалки с SGX-анклавом
А можете в двух словах рассказать что это?
Это то, что успешно обходится уязвимостями в интеловских процессорах.
Грубо говоря, анклавы — это изолированные среды на хосте, в которых работа процессов недоступна для наблюдения даже владельцу хоста, имеющему физический доступ. Реализовано на уровне железа.
Всё общение между анклавом и пользователем арендованной VM шифруется. Крипто-ключи генерируются внутри анклава и приватный ключ никогда его не покидает. Поддерживается дистанционная аттестация анклава, чтобы пользователь убедился, что имеет дело именно со своим анклавом, а не с подставой.
Здесь есть пример кода приложения, использующего анклав. Но есть коммерческие разработки, позволяющие запускать внутри анклава обычные облачные приложения без модификаций.
Однако не всё так безоблачно. При определённой сноровке вытащить приватный ключ из SGX-анклава таки можно. Как раз на днях была опубликована работа на эту тему. Но, наверно, не выдам большого секрета, если скажу, что работа по улучшению технологий trusted computing'а всё равно ведётся. И не только Intel'ом.
Если бы я был хостером, то постарался бы предоставить такую фичу в первую очередь.
Мне кажется, первое и самое простое правило: не использовать провайдера с российской юрисдикцией. Решает сразу массу угроз. А потом уже переходить к техническим методам защиты.
Ну, бывают еще и силовики заморские, баклажанные.
Они чаще работают «в рамках закона». Да и мы для них чужие. А значит данные наши для них (для их полиции) не сильно интересны. Только если это не стратегические секреты.
данные наши для них (для их полиции) не сильно интересны
Чтобы для «партнёров» да не были сильно интересны данные этих варваров-русских?
Интересная концепция.
«А значит данные наши для них (для их полиции) не сильно интересны» — для полиции (и иных ведомств) — да, не интересны, потому как полиция (и иные ведомства) это всего лишь инструмент. Важно в чьих руках? Если ваш бизнес будет привлекателен или будет мешать, то при развитых «демократиях» на него наедут еще жестче чем в России. Про данные. Мир давно глобален, потому все данные нужны, особенно если они вкусные и интересные. А Россия вкусна и интересна. Данные вообще ресурс, их даже в бедной Нигерии активно собирают Гуглы и Инстаграммы, Айплы и Амазоны. А нам, для прикрытия, все вешают лапшу про кровавую гебню и полицейское государство. Смешно, но многие ведутся
Если имеете дело с персональными данными граждан РФ, то, как-бы, обязаны тут держать.
Ну персональные данных третьих лиц (если это какой-то публичный сервис) никак не должны отправить владельца сервиса за решётку (если сервис сам по себе легален, если нет, то проигнорировать на один закон больше не составит никакого труда), более того, если не хочется проблем с законом, их и так придётся отдать по запросу силовиков. Так что вся защита теряет смысл (и даже будет вредна, ибо повысит шанс инвазивной попытки извлечения информации с простоем сервиса). А компромат на себя любимого никто не может заставить хранить в РФ.
Просто слыхал, что случаи бывали… Мол, конкурент чисто «подмигивает» и потом силовики приходят и смотрят ваши железки. Да так усердно, что вам остаётся только ждать пока вам отдадут оборудование, и пока время идёт, конкурент «чисто случайно» перехватывает ваших клиентов.
Мол изи тактика против небольших компаний. И как контр мера, очень много «российских» компаний, даже «тогда», были не российские а забугорские по документам. Вон тотже Яндекс вроде разрабатывался в России и позиционирует себя так же, а место регистрации Нидерланды.
*Компаний не держу, говорю как дилетант*
Мол изи тактика против небольших компаний. И как контр мера, очень много «российских» компаний, даже «тогда», были не российские а забугорские по документам. Вон тотже Яндекс вроде разрабатывался в России и позиционирует себя так же, а место регистрации Нидерланды.
*Компаний не держу, говорю как дилетант*
Да даже проще. Типовой вариант с силовиками (правда, это не про серверную площадку, а про офисы): приходим, под любым предлогом забираем компьютеры, а потом ждем взятку за возврат компьютеров. Ведь без этого фирма не может работать. По закону, кажется, 6 месяцев могут компы не отдавать. Но чаще фирмы побаиваются требовать компы через суды и, получается, силовики получают в дар парк компьютеров.
Причем предлоги могут быть ну никак логически не связаны с изъятием компьютеров.
Причем предлоги могут быть ну никак логически не связаны с изъятием компьютеров.
В своей юрисдикции вообще никак не защитится
Тривиальная схема из трёх хостеров: первый используется как блоб для хранения (экспорт по iscsi с шифрованного тома, key1, хранится только в памяти). Второй используется для вычислений. Stateless, цепляется к iscsi, содержит второй слой расшифровки, локальный key2 (хранится на сервере).
Третий — хранит key1, не имеет доступа к key2.
Изъятие первого сервера оставляет оперативников с дважды шифрованным блобом. Снятие дампа памяти оставляет с однократно шифрованным блобом (key2 нет).
Изъятие второго сервера оставляет с key2, без данных (только кеш в памяти, что частично решается directio).
Изъятие третьего сервера даёт key1, но без доступа к блобу оно бесполезно.
Для облегчения жизни, взаимодействие первого сервера и третьего — через tor.
UFO just landed and posted this here
Третий сервер, как я понял, автоматизирует ввод ключа при загрузке. Но если первый сервер изъят, никто не мешает в нём покопаться и найти, как он подключается к серверу 3 и получает ключ 1.
Вот поэтому три сервера у трёх разных компаний. Если сервер №1 изымут, то пока в нём будут копаться, сервер №3 уже перестанет доверять ключам сервера №1, и отротирует все промежуточные ключи, какие можно. Если одновременно накрыли все три сервера в трёх разных локациях — то вы прям очень важные личности, раз для вас спланировали такую комплексную операцию, и у вас наверняка есть свой контр-план, недвижимость в нескольких странах, и т. д.
Этот процесс может быть неавтоматическим. Третьим сервером может быть даже голова админа (с терминалкой через TOR). Задача сервера№3 — хранить ключ для сервера №1 так, чтобы ключ не был доступен в оффлайне.
в РФ и слово доверять? ну совсем как дети
Intel Software Guard Extensions? Интересно, что там у других. Хм, как вы смотрите на это?: www.hwp.ru/articles/AMD_tsme_sme_sev_epyc_152417
цитата:
К слову, у Intel тоже есть похожая технология SGX, но работает она совершенно иначе. Во-первых, у «сине-белых» это чисто программная фишка, использующая вычислительную мощность ядер, во-вторых, Intel шифрует данные не на уровне виртуальной машины, а на уровне приложения. Это означает, что вы, например, можете зашифровать всю память гипервизора и всех его гостевых операционных систем, но это не спасёт от атаки типа VM Escape, а можете зашифровать только одну базу данных в каком-нибудь контейнере.
цитата:
К слову, у Intel тоже есть похожая технология SGX, но работает она совершенно иначе. Во-первых, у «сине-белых» это чисто программная фишка, использующая вычислительную мощность ядер, во-вторых, Intel шифрует данные не на уровне виртуальной машины, а на уровне приложения. Это означает, что вы, например, можете зашифровать всю память гипервизора и всех его гостевых операционных систем, но это не спасёт от атаки типа VM Escape, а можете зашифровать только одну базу данных в каком-нибудь контейнере.
А как насчёт виртуализации на Hyper-V? Таким провайдеров уже достаточно много и есть встроенная фича — Shielded VM?! Статью с разбором технологии вы сами постили в 2016 году)
Теоретически от жидкого азота должен помочь герметичный толстый корпус (придётся обойтись пассивным охлаждением). Пока его будут вскрывать, система успеет уже несколько раз перезаписать ключи шифрования или даже просто отключиться и дождаться деградации данных в DRAM. Проблема в том, чтобы понять, когда надо это делать. Но в статье указывается, что некое железо заявляет такой функционал (сброс ключей при попытке вскрытия корпуса).
А вообще, конечно, очевидно, компромат на себя стоит хранить в той юрисдикции, которой он наименее интересен (очевидно, страна проживания отметается автоматически).
А вообще, конечно, очевидно, компромат на себя стоит хранить в той юрисдикции, которой он наименее интересен (очевидно, страна проживания отметается автоматически).
Думаю очень эффективным было бы включение синхрофазотрона из микроволновки. Сервер в микроволновке держать. Не ждать деградации памяти, а делать корпус системного блока сразу микроволновкой. При попытке взлома, она включается на встроенном источнике питания.
При попытке взлома, она включается на встроенном источнике питания.
И пару тухлых яиц внутрь!
Любые уникальные/нестандартные аппаратные меры защиты будут очень хороши, действительно. Разработать системы слежения за вскрытием и блоки физически повреждающие носители можно… но как только эта мера станет стандартной, как только она масштабируется — она изучается и security through obscurity перестает работать. Эффективность защиты резко падает ниже, чем у другой стандартной, но более массовой технологии.
А только массовое решение можно легко продать или купить, поэтому случаи уникальных защит будут ничтожно малы и не будут иметь значения в отрасли. Тем не менее, в частном порядке, лично у себя можно что-то такое применить.
А только массовое решение можно легко продать или купить, поэтому случаи уникальных защит будут ничтожно малы и не будут иметь значения в отрасли. Тем не менее, в частном порядке, лично у себя можно что-то такое применить.
UFO just landed and posted this here
Если в письме от официальных органов запросили только логи доступа, хостер не будет отдавать дампы всех ваших виртуальных машин с базами данныхМежду «не должен» и «не будет» разницу ощущаете?
Полное шифрование оперативной памяти — AMD Ryzen Pro серии 3000, а также AMD EPYC.
Задача состоит лишь в том, чтобы сделать атаку дороже потенциальной выгоды.
Вообще не состоит.
Сложность вашей системы никому заранее неизвестна.
А изыматели вообще работают на зарплате — им пофиг изымать или в потолок плевать.
Простейшая защита — это прокся между юрисдикциями.
Обойдётся всего в +1 ВДС.
Можно расширить до N штук.
Если придут сразу во все — значит у вас силкроад и ничего не поможет, вопрос только времени.
Совсем хардкорный вариант — свой физический сервер, почему его не рассматриваете? Для небольших, но "токсичных" проектов
Нужно только заморочиться как расшифровывать диски на этапе загрузки. Держать всегда подключенным KVM или запихнуть ssh-сервер в initramfs? А может как-то через IPMI?
CoreBoot и вообще свой вариант старта линукса. К примеру всандалить ключи в прошивку. Для безопасности защиты от поисковиков центральных процессоров можно ещё и железо своё делать/модифицировать чужое. (К примеру PCIe плата с детектом вскрытия корпуса и функцией стирания ключей/старта разлива кислоты по нужным местам). Ну и детект того, что сервер начал путешествие без ведома хозяина, чтобы втихую не унесли в удобное для подробного изучения место.
Вот это вполне работает:
habr.com/ru/post/85359
KVM, кстати, в этом плане менее безопасный, так как в теории провайдер сможет слить введенный через него пароль.
habr.com/ru/post/85359
KVM, кстати, в этом плане менее безопасный, так как в теории провайдер сможет слить введенный через него пароль.
> запихнуть ssh-сервер в initramfs
Нормальный рабочий вариант, чего тут такого. У меня оттуда еще и подписанный пакетик на другой сервер уходит, и я знаю, что происходит ребут. В принципе туда же еще можно и автоматическое получение ключей с другого сервера прикрутить.
Нормальный рабочий вариант, чего тут такого. У меня оттуда еще и подписанный пакетик на другой сервер уходит, и я знаю, что происходит ребут. В принципе туда же еще можно и автоматическое получение ключей с другого сервера прикрутить.
Откуда байка про жидкий азот? Из фильма «Джонни Мнемоник» 96года?
Слабо представляю сколько надо жидкого азота, чтобы вытащить из стойки сервер с впской…
При этом не навредив всему, что на нём есть. Нынешние ssd ой как не любят перепадов температур.
Слабо представляю сколько надо жидкого азота, чтобы вытащить из стойки сервер с впской…
При этом не навредив всему, что на нём есть. Нынешние ssd ой как не любят перепадов температур.
У меня конечно профессиональная деформация, так как я больше имею дело с последствиями действий шифровальщиков. Но все описанное — как скрыть данные управляющего сервера злоумышленников от внимания расследующих.
Хабр как бы технический ресурс, мы тут разбираем технологию а не мораль, так что — да и так бывает
Технические детали это одно, предложение «абузоустойчивого» хостинга потенциальным злоумышленникам — другое. Одно дело разобрать как сделать устойчивый к злоумышленникам доступ, другое предложить услуги по сокрытию данных злоумышленников от правоохранительных органов
Понимаете. Я слишком много вижу «пионеров» в криминальном бизнесе, для которых создается куча сервисов. От написания скриптов до вывода денег. И хостинг это тоже услуга
Понимаете. Я слишком много вижу «пионеров» в криминальном бизнесе, для которых создается куча сервисов. От написания скриптов до вывода денег. И хостинг это тоже услуга
Как будто все действия правоохранительных органов законны и среди правоохранительных органов нет мошенников. Новость за новостью выходят.
Абузоустойчивый прочный ножик — тоже штука такая, можно в лесу выживать, а можно человеков резать, благо прочный же. Тоже запрещать и не пущать?
Когда звонит бабушка на поддержку и плачет, что у нее крали гробовые — яйца хочется этим крутым хакерам отрезать. Медленно. А не абузоустойчивые хостинги поддерживать
Парадоксально, но братки с зоны, которые обчищают бабушек, используя одну мобилу и подвешенный язык, от фразы "абузоустойчивые хостинги" будут, мягко говоря, в замешательстве.
Разбазаривать на такие бездарные даже в криминальной сфере занятия профессиональный инструментарий — это надо очень любить играть в минус.
Не телефонными звонками едиными. Там вирус был. Вот какой, к сожалению не помню уже.
Нечего бабушкам давать пользоваться технологии которые они не могут поддерживать — ПК для обычного пользователя сложная штука, лучше уж планшет.
Вы думаете, что на андроиде банковских троянов нет или социнженерия не работает? Какая разница где пользователь введет свои данные доступа — под виндой или под андроидом?
Под андройд почти нет вирусни, по крайней мере такой злой как на ПК, нет такой мороке с обновлением ОС и антивирусов трояны появятся только если юзер сам настроит установку из левых мест и поставит его.
Смайл. Грустный.
Во первых плэй маркет перенаполнен троянами, откуда и ставят. Во вторых встроенные в смартфоны трояны. И в третьих как раз для андроида-то в топе злобные трояны куда чаще встречаются, чем для Windows.
а апрель статистика
Суммарно для Андроида меньше, да. Но надо учесть, что для Виндовс поток рекламного ПО огромен
Во первых плэй маркет перенаполнен троянами, откуда и ставят. Во вторых встроенные в смартфоны трояны. И в третьих как раз для андроида-то в топе злобные трояны куда чаще встречаются, чем для Windows.
а апрель статистика
Суммарно для Андроида меньше, да. Но надо учесть, что для Виндовс поток рекламного ПО огромен
Бабушки бы рады по старинке, но насильно переводят на электронные технологии.
Странно, моя получает на сберкнижку, правда, она давно на пенсии, может в этом дело.
Насильно внедрять технологии это такое себе.
Насильно внедрять технологии это такое себе.
1. дед хотел продлить разрешение на ружьё, в оффлайне его развернули: принимаем заявление только через гос. услуги (причём, гемороя удвоилось: нужно загружать сканированные версии всех справок, плюс потом идти и приносить оригиналы)
2. пенсию сейчас начисляют на карту без вариантов. хочешь снять наличку — банкомат, с которым бабушки не дружат.
2. пенсию сейчас начисляют на карту без вариантов. хочешь снять наличку — банкомат, с которым бабушки не дружат.
UFO just landed and posted this here
Так может на выборы сходить и проголосовать всем против, запилив сайт «я был против»? Организовать партию? Или профсоюз?
Вот мы и подошли к необходимости иметь абузоустойчивый хостинг. А если предложенная вами партия окажется слишком активной, то её и в экстремистские организации записать могут, тогда точно придётся вести дела в условиях, приближенных к боевым :)
Вопрос в размере партии. Если это три человека активных — это одно. А все здесь отметившиеся с возмущениями — совсем другое. И деятельность должна быть открытой — чтобы как раз не придрались во всяких финансированиях
Если мы говорим об оппозиционной деятельности в тоталитарном государстве, то тут и открытость может не помочь, так как противодействовать будут законными и не очень методами. Например, национальная служба безопасности может направить хостеру «решение суда», признающее данную организацию экстремистской и требующее всё удалить.
Могут запросить у хостера слив данных под каким-нибудь предлогом, чтобы использовать их для давления на активистов.
Могут попытаться взломать. И так далее…
По вашей логике и обычное стойкое шифрование не нужно — честным людям в благополучном обществе нечего скрывать. На практике и люди встречаются не честные, и общество может стать неблагополучным.
Могут запросить у хостера слив данных под каким-нибудь предлогом, чтобы использовать их для давления на активистов.
Могут попытаться взломать. И так далее…
По вашей логике и обычное стойкое шифрование не нужно — честным людям в благополучном обществе нечего скрывать. На практике и люди встречаются не честные, и общество может стать неблагополучным.
Не совсем так. Просто если захотят — шифрование закрытию доступа не помеха. Но шифрование может быть использовано как аргумент — шифруют — значит скрывают
И вопрос закрытия партии — вопрос ее размеров. Если партия размером с обещания Ксюши Собчак, которая обещала идти в регионы — это одно. Если она может вывести людей на улицы — иное. У нас возмущаются все, но в интернете. На улицы выходят единицы — это и делает возможным подавление
Играть надо так, чтобы не могли подкопаться
И вопрос закрытия партии — вопрос ее размеров. Если партия размером с обещания Ксюши Собчак, которая обещала идти в регионы — это одно. Если она может вывести людей на улицы — иное. У нас возмущаются все, но в интернете. На улицы выходят единицы — это и делает возможным подавление
Играть надо так, чтобы не могли подкопаться
Шифрование и другие меры могут предотвратить иные различные нежелательные последствия. И затруднить закрытие доступа в том числе. Скажем, HTTPS тоже шифрование и эта технология используется в том числе и для затруднения работы цензуры в различных государствах.
Суть в том, что технические меры никак не заменяют меры организационные, но дополняют их. Ваши же аргументы начались с того, что, мол, это нужно только преступникам.
Суть в том, что технические меры никак не заменяют меры организационные, но дополняют их. Ваши же аргументы начались с того, что, мол, это нужно только преступникам.
Играть надо так, чтобы не могли подкопатьсяЭто возможно только в условиях, где установлены и не меняются произвольно правила игры. Тоталитарные государства к таким не относятся. Например, в РФ долгое время цензура была незаконна — и это изменилось. Свобода собраний была гарантирована законом — и это изменилось. Появились «организации, деятельность которых запрещена» и так далее. Есть ещё более тоталитарные общества, где ещё больше вещей стали «вне закона». Подкопаться получится всегда.
о, очередной житель Великой и Прекрасной россии.
Что делать, если к твоему хостеру пришли siloviki
Уходить в облака типа AWS, Azue, Google, IBM итд
Там все будет в рамках закона если что
Уходить в облака типа AWS, Azue, Google, IBM итд
Там все будет в рамках закона если что
в рамках законаКакой из стран? Как условный Google/Amazon/Microsoft определяет юрисдикцию? Должен ли исключительно российский сервис соответствовать законодательству условной Бразилии? По запросу силовиков вне юрисдикции сервиса данные будут выданы или нет?
Не имею ничего против облачных провайдеров, но мне кажется, что вопросов с ними не меньше…
Какой из стран? Как условный Google/Amazon/Microsoft определяет юрисдикцию? Должен ли исключительно российский сервис соответствовать законодательству условной Бразилии? По запросу силовиков вне юрисдикции сервиса данные будут выданы или нет?
MS вопрос тоже заинтересовал (после того как у них потребовали данные клиента из Ирландии, они сказали что дадут но пусть будет запрос от Ирландской полиции? Все равно ж есть соглашения о помощи а пока нет запроса — информация данного пользователя и физически на сервере в Ирландии и у другого юрлица (не MS — USA) а иначе незаконно и нарушает законы ЕС).
Ну в итоге получили CLOUD Act (см например обзор) habr.com/ru/company/it-grad/blog/352402 — где прямо сказано что такое — законно.
В юрисдикции облака тоже есть силовики… но небольшим компаниям еще рано об этом
Надо понимать, что при реализации тотального шифрования сервер не сможет самостоятельно подняться после ребута.
Люди думали над этим, есть решение в виде Mandos www.recompile.se/mandos
Уууу. Какая вкусная штука, спасибо.
Непонятно, а что мешает образ зашифрованного диска подключить к виртуалке и под отладчиком по шагам дошагать до того места, где автоматически скачивается ключ с удалённого сервера?
И еще github.com/latchset/tang
Как все усложнено. В этой схеме самое уязвимое звено — это владелец и администратор сервера. К ним можно применить методы ректотермального криптоанализа, и тогда все эти шифры на серверах оказываются бесполезны.
Простой перенос в зарубежные облака очевидно также не решит проблему — пока есть доступ к вашей физической тушке.
Простой перенос в зарубежные облака очевидно также не решит проблему — пока есть доступ к вашей физической тушке.
От ректального криптоанализа есть свои методы защиты, которые дополняют защиту информационную. Если по простому — охраняйте ключевых людей и в случае интересных ситуаций эвакуируйте их в заранее подготовленный домик в деревне. И на все вопросы — где человек? — отвечайте: уехал в неоплачиваемый отпуск, куда — не знаю, вернется когда захочет.
Но наказ сделать, дабы в деревеньке не удумал снимать деньги с банкомата или звонить по своему телефону :)
Ректальный криптоанализ можно применить и для поиска ответа на вопрос «где человек».
А смысл, если вы не знаете? А если знаете, то вы тоже ключевой человек и поедете в отпуск вместе с админом/бухгалтером/кем-то еще.
P.S. И разумеется, отдыхать едут с семьей и любимой кошкой. И продумывают заранее варианты передачи денег, информации и всего остального. Просто мне не хотелось заострять внимание на деталях.
P.S. И разумеется, отдыхать едут с семьей и любимой кошкой. И продумывают заранее варианты передачи денег, информации и всего остального. Просто мне не хотелось заострять внимание на деталях.
Этот самый анализ поможет вам очень захотеть найти, как узнать местоположение. Или пожалеть, что такой возможности нет.
Справедливости ради надо заметить, что (насколько могу судить по новостям) siloviki используются для блокировки бизнеса с целью повышения его сговорчивости при поглощении или устранении с рынка. Поэтому нет смысла добывать утюгом информацию, чтоб получить сотрудничество, когда этим же утюгом можно получить сотрудничество без дополнительных шагов. Реально, нафига им ваша intellectual property, когда они мыслят исключительно уровнем «отжать бабло»?
Справедливости ради надо заметить, что (насколько могу судить по новостям) siloviki используются для блокировки бизнеса с целью повышения его сговорчивости при поглощении или устранении с рынка. Поэтому нет смысла добывать утюгом информацию, чтоб получить сотрудничество, когда этим же утюгом можно получить сотрудничество без дополнительных шагов. Реально, нафига им ваша intellectual property, когда они мыслят исключительно уровнем «отжать бабло»?
Нет, не бесполезны. Если ваш 4096-битный RSA ключ уничтожен (надёжно стёрт, или флешка испеплена), то никакой ненастоящий криптоанализ не поможет. Всё дело в том, что нужно быть готовым принести все данные в жертву собственной безопасности. Да, и не иметь бекапов данных в открытом виде. Именно так.
Если есть бекап ключа, то ректальный криптоанализ не отменяется. Если бекапов ключа нет, то можно посадить за отказ от расшифровки (попробуй докажи, что ключа действительно уже не существует).
Разумеется никаких бекапов ключа. Теперь про закон в UK. Там чёрным английским по белому вебсайту написано:
То есть нужно будет доказать, что как минимум с момента подачи требования раскрытия информации до момента, когда, согласно требованию, информация должна быть раскрыта, ключ более не находился во владении обвиняемого. Непонятно, как будет квалифицироваться уничтожение ключа после получения требования — скорее всего, как уничтожение улик по делу, в рамках которого требование было выставлено. В таком случае уничтожение должно иметь место ранее, до получения информации об обвинении или возникновении подозрения. Это так, спекуляции, Common Law для меня потёмки. Но, думается, лучше в таких юрисдикциях информацию не хранить. Но да, хитрая дюймовая резьба для продуманных уже найдена. Возможно, не с такой длиной нарезки, которую можно было бы ожидать по основному обвинению, но всё же.
In proceedings against any person for an offence under this section, if it is shown that that person was in possession of a key to any protected information at any time before the time of the giving of the section 49 notice, that person shall be taken for the purposes of those proceedings to have continued to be in possession of that key at all subsequent times, unless it is shown that the key was not in his possession after the giving of the notice and before the time by which he was required to disclose it.
То есть нужно будет доказать, что как минимум с момента подачи требования раскрытия информации до момента, когда, согласно требованию, информация должна быть раскрыта, ключ более не находился во владении обвиняемого. Непонятно, как будет квалифицироваться уничтожение ключа после получения требования — скорее всего, как уничтожение улик по делу, в рамках которого требование было выставлено. В таком случае уничтожение должно иметь место ранее, до получения информации об обвинении или возникновении подозрения. Это так, спекуляции, Common Law для меня потёмки. Но, думается, лучше в таких юрисдикциях информацию не хранить. Но да, хитрая дюймовая резьба для продуманных уже найдена. Возможно, не с такой длиной нарезки, которую можно было бы ожидать по основному обвинению, но всё же.
Судя по комментариям в статье, обвинитель должен лишь доказать, что ключ ранее находился у обвиняемого. К примеру, свидетели видели наличие ключа и процесс расшифровки. Если я верно понял, то после этого уже обвиняемый будет доказывать, что ключ действительно был уничтожен во всех экземплярах и бекапов нет. У меня нет ни малейшего понятия как подобное можно доказать…
У меня нет ни малейшего понятия как подобное можно доказать…
Я вижу только один путь — использовать HSM, в который нельзя положить ключ снаружи, а только сгенерировать внутри, и использовать встроенную в HSM функцию уничтожения ключа. (Считается естественным, что ключи неизвлекаемы.) Разумеется, на HSM должна быть документация, описывающая эту функциональность. Ещё лучше будет, если устройство будет иметь некие предусмотренные законодательством страны сертификаты, подтверждающие эту функциональность.
методы ректотермального криптоанализа
О защите от подобных вещей уже давно начали думать умные люди. VeraCrypt ЕМНИП имеет возможность расшифровать том разными ключами и при этом получить разные результаты, причём несколько.
Всё то же самое можно применить и ко всем остальным защитам.
К вам пришли с анализатором — даёте ключ, анализирующие получают экземпляр WinXP с пасьянсом и котиками. Недовольны результатом? Немного ломаемся и даём следующий ключ, где есть немного любительского порно, которое мы так тщательно скрываем.
Я работал в компании — хостере, занимался выделенными серверами. Мы снимали стойки в одном из крупных ДЦ. Когда к воротам ДЦ подъехали сотрудники в штатском и объяснили охране, что у охраны есть пять минут на то, чтобы их пустить, в противном случае сотрудники будут пилить ворота, ворота были открыты. И не было судебного решения об изъятии информации из данного ДЦ.
Самое забавное, что потом выяснилось, что с тех пор, как сотрудники слали запрос по поводу этого сервера, у сервера уже сменился владелец. Так что изъяли сервер, который вообще никакого отношения к делу не имел…
В общем да, я бы предпочел не хоститься в РФ, если это возможно.
А шифровать данные — это полезно, да. И личный ноутбук тоже. Но в UK я так понимаю, есть нюансы)
Самое забавное, что потом выяснилось, что с тех пор, как сотрудники слали запрос по поводу этого сервера, у сервера уже сменился владелец. Так что изъяли сервер, который вообще никакого отношения к делу не имел…
В общем да, я бы предпочел не хоститься в РФ, если это возможно.
А шифровать данные — это полезно, да. И личный ноутбук тоже. Но в UK я так понимаю, есть нюансы)
Новости, которые мы заслужили… Лучше в облако уходить, я думаю
Два сервера. Обманка и нормальный. Всё за рубежом само собой. Силовикам отдается обманка если что.
К автору статьи не приходили силовики, поэтому реальность в россии по крайней мере, будет сильно отличаться от написанного.
К автору статьи не приходили силовики, поэтому реальность в россии по крайней мере, будет сильно отличаться от написанного.
У меня есть проект небольшой, там пачка бэкэндов, и один фронт.
На фронте кроме, условно говоря, реверс прокси нет ничего абсолютно.
За чем придут люди со стороны? У меня смутное чувство что их заинтересует именно фронт. И только потом, поглядев что внутри вероятно придут за другими.
И это вполне типичная схема балансировки нагрузки и отказоустойчивости.
А предположим что фронт сидит в каком-нить AWS или DO? Еще и за куратором.
Или все проще и приходят за железом юрлица/физлица?
На фронте кроме, условно говоря, реверс прокси нет ничего абсолютно.
За чем придут люди со стороны? У меня смутное чувство что их заинтересует именно фронт. И только потом, поглядев что внутри вероятно придут за другими.
И это вполне типичная схема балансировки нагрузки и отказоустойчивости.
А предположим что фронт сидит в каком-нить AWS или DO? Еще и за куратором.
Или все проще и приходят за железом юрлица/физлица?
Классический dm-crypt всего раздела не взлетел. Диск по умолчанию отдается одним куском, с root на весь раздел. Уменьшать раздел с ext4 на примонтированном root — это практически гарантированный кирпич вместо файловой системы. Я попробовал) Бубен не помог.
Создаем криптоконтейнер
Поэтому не будем шифровать раздел целиком, а используем файловые криптоконтейнеры, а именно прошедший аудит и надежный VeraCrypt. Для наших целей этого достаточно. Для начала вытаскиваем и устанавливаем пакет с CLI-версией с официального сайта. Можете заодно проверить подпись.
- dm-crypt умеет шифровать контейнеры в файле
- dm-crypt умеет Veracrypt и Truecrypt
А зачем арендовывать сервер в РФ?
Для терморектального криптоанализа и законов аналогично UK, есть очень простые механизмы: вы подготавливаете шифрование с otp ключём и 2 офлайн ключа. Офлайн ключи вы размещаете в банках со своей вооружённой охраной, а в случае изъятия оборудования предоставляете свой механизм и сообщаете расположение офлайн ключей. Международный запрос не сработает, а вас отправлять в другую юрисдикцию бессмысленно, ведь вооруженные банкиры выведут вас черным ходом с ключём. Будете в другой стране продолжать работу, либо разведете руками и оставите господ без решения.
Как-бы у вас при задержании не обнаружили несколько грамм роскомнадзора…
Слишком сложно. Гораздо проще — за ввод ключа отвечает отдельный человек, который сейчас физически находится в другой юрисдикции. Схема такая: если нужно перегрузить сервер, вы ему звоните, он подключается по IPKVM и вводит ключ. Или не вводит, если не хочет. Все вопросы к этому человеку… По телефону он доступен, силовикам подтверждает, что он единственный, кто знает ключ.
вы ему звонитеТогда ещё нужны как минимум три парольные фразы, что бы голос не подделали и не мошенники не заставили сказать то или иное.
он подключается по IPKVM и вводит ключМожно сделать MITM и подождать очередной ребут сервера. Пароль как на ладони будет.
Тогда ещё нужны как минимум три парольные фразы, что бы голос не подделали и не мошенники не заставили сказать то или иноеДа, это всё полезные улучшения.
Вопрос был в юридической области: как избежать обвинения в отказе предоставить ключи. Технически, с точки зрения криптографии, ситуация одинаковая в двух случаях:
1) мы обращаемся к внешнему серверу ключей, вводим ошибочный пароль, уничтожающий ключ
2) мы звоним другу и говорим: Боб, меня арестовали, не хочешь ли ты выдать пароль?
то во втором случае нашей вины нет, это выбор другого человека.
Можно сделать MITM и подождать очередной ребут сервера. Пароль как на ладони будетЧеловек не вводит пароль при любом рестарте сервера. Он должен дождаться звонка, в котором ему опишут ситуацию. Он может перепроверить данные, позвонив, например, родственникам и друзьям потенциально задержанного.
Что касается MITM, пароль может быть двухуровневый:
1) вводим через KVM ключ, расшифровывающий загрузчик и initrd
2) заходим в загрузившуюся систему по SSH и монтируем крипто-диск.
В идеале можно иметь загрузку с сетевого устройства, чтобы на хост улетал образ ОС каждый раз с новыми SSH-ключами.
С юридической стороны может помочь, да, но с технической всё так же есть пробелы.
Если без какого-либо уведомления владельца сервера до арестов будет перехвачен ключ, передающийся через KVM, то незаметно для владельца могут подменить ПО на сервере и, к примеру, контролировать все введённые через SSH-сервер команды (в том числе и ключ дешифровки контейнера).
В случае загрузки с сетевого устройства пока неоднозначно. Если каждый раз менять SSH-ключи, то «KVM ключ» и весь шифрованный образ перед каждой загрузкой машины будет меняться, верно?
Если без какого-либо уведомления владельца сервера до арестов будет перехвачен ключ, передающийся через KVM, то незаметно для владельца могут подменить ПО на сервере и, к примеру, контролировать все введённые через SSH-сервер команды (в том числе и ключ дешифровки контейнера).
В случае загрузки с сетевого устройства пока неоднозначно. Если каждый раз менять SSH-ключи, то «KVM ключ» и весь шифрованный образ перед каждой загрузкой машины будет меняться, верно?
Если без какого-либо уведомления владельца сервера до арестов будет перехвачен ключ, передающийся через KVM, то незаметно для владельца могут подменить ПО на сервере и, к примеру, контролировать все введённые через SSH-сервер командыТак-то да, но нужен предлог для выключения системы. Например, обесточивание датацентра, это можно проверить. А ещё можно проверить целостность окружения и ПО. Понятно, что это тоже обходится, но это борьба снаряда и брони, у силовиков не будет столько терпения.
В случае загрузки с сетевого устройства пока неоднозначно. Если каждый раз менять SSH-ключи, то «KVM ключ» и весь шифрованный образ перед каждой загрузкой машины будет меняться, верно?Из сети загружается минимальный образ ОС (мегабайт 60), каждый раз зашифрованный разным ключом, запускается и просит ввести ключ (с клавиатуры по KVM) для расшифровки себя, внутри образа есть ключи SSH. Пользователь подключается по SSH и монтирует уже разделы с данными и серверным ПО.
нужен предлог для выключения системыМожно дождаться перезагрузки/выключения админом ресурса, но ждать нужно будет долго, да.
каждый раз зашифрованный разным ключом, запускается и просит ввести ключ (с клавиатуры по KVM)Понял. Кажется, действительно относительно хороший метод. На первый взгляд трудно подкопаться.
2) мы звоним другу и говорим: Боб, меня арестовали, не хочешь ли ты выдать пароль?
А вы имеете такое право? Что если после этого прилетит обвинение в противодействии следствию?
Факт ареста — общедоступная информация или нет? Родственники имеют право знать, что человека арестовали?
Не факт.
И — родственники то может и имеют право только вот они ж не хотят чтобы их привлекли за участие в ОПГ? (а Боб у нас не родственник)
Вообще — перечитываю вот я одну американскую книгу по скажем так налоговой оптимизации. Чем то похоже.
Там одна из схем — сводится к тому что все деньги клиента — в трасте, на *** островах. У управляющего траста прямые инструкции деньги никуда не отдавать в таком случае (а по местным законам местные власти не имеют права его принудить это сделать кроме как решением местного суда, где тоже рогаток натыкано… много). Ну и IRS эту схему протестировали. Несколько раз. В одном случае — клиент так прямо и отправил документ что во исполнение решение суда деньги надо перевести…, во втором случае — без этого (в тексте так сказано). Ну вообщем IRS денег НЕ досталось хотя бенефициарам прилетали и обвинения в противодействии и так далее. Ну и посидеть пришлось. Но в итоге — отступались и отпускали.
Но это США где суд все же более менее независимый.
И — родственники то может и имеют право только вот они ж не хотят чтобы их привлекли за участие в ОПГ? (а Боб у нас не родственник)
Вообще — перечитываю вот я одну американскую книгу по скажем так налоговой оптимизации. Чем то похоже.
Там одна из схем — сводится к тому что все деньги клиента — в трасте, на *** островах. У управляющего траста прямые инструкции деньги никуда не отдавать в таком случае (а по местным законам местные власти не имеют права его принудить это сделать кроме как решением местного суда, где тоже рогаток натыкано… много). Ну и IRS эту схему протестировали. Несколько раз. В одном случае — клиент так прямо и отправил документ что во исполнение решение суда деньги надо перевести…, во втором случае — без этого (в тексте так сказано). Ну вообщем IRS денег НЕ досталось хотя бенефициарам прилетали и обвинения в противодействии и так далее. Ну и посидеть пришлось. Но в итоге — отступались и отпускали.
Но это США где суд все же более менее независимый.
Надо понимать, что при реализации тотального шифрования сервер не сможет самостоятельно подняться после ребута.
Неверно. Ключ можно хранить в памяти и надеяться, что BIOS не перетрет при перезагрузке. habr.com/ru/post/457396
Наконец-то на Хабре стали появляться статьи, приближенные к реалиям.
А нужны ли сложные решения? В России кто-нибудь знает случаи изъятия серверной техники во включённом виде? Или снапшотов виртуалок? Или вообще виртуалок? Тут вероятно у хостеров есть статистика.
Заодно интересно про персональную технику. Бывают ли требования ключей от зашифрованных разделов на компьютере? А требования разблокировки телефонов?
Заодно интересно про персональную технику. Бывают ли требования ключей от зашифрованных разделов на компьютере? А требования разблокировки телефонов?
Заодно интересно про персональную технику.Да, бывали случаи, когда из условно работающей оперативки доставали данные. Было как в новостях, так и обсуждалось с сотрудниками ИБ банков, у которых был опыт работы с полицией.
Или снапшотов виртуалок? Или вообще виртуалок?Нет никаких проблем отдать виртуалку или снапшот виртуалки. Это автоматизированное действие. Могут тупо поднять копию виртуалки для нужных людей.
Бывают ли требования ключей от зашифрованных разделов на компьютереНеоднократно. Уже несколько раз в комментариях всплывала ссылка с обсуждением закона в Великобритании, который обязывает предоставлять ключи. Подобное, кажется, есть и в других странах, но в ином виде.
А требования разблокировки телефонов?Неоднократно бывало как минимум в США.
Меня российская специфика интересует. Внутреннее ощущение, что маски-шоу обычно используется для парализации бизнеса, добыча информации – лишь побочный эффект. Можете ключевые слова для поиска новости про добычу данных из оперативки подсказать?
Если правильно понял вопрос, выше кидали ссылку на en.wikipedia.org/wiki/Cold_boot_attack
Всё, что проходило в моём поле зрения — копирование с диска или изъятие выключенноых компьютеров. Участники: полиция, СК, налоговая.
Экстремально — одноразовый сервер —
Сервер с встроенным контроллером на raspberry pi + ритэг с запасом хода в 20-30 лет, датчиком температуры и вскрытия + реле, подающее reset на RAM. Датчик вскрытия — не контакт под крышкой, а, к примеру, емкостной датчик + датчик движения. Процессор и память контроллера в свинцовой чушке, чтобы направленный пучок ионизирующего излучения вывел из строя не только контроллер, но и вынужден был стереть RAM. Стартовый образ, который генерирует ключи шифрования при загрузке и не передает их никуда. Выключить систему можно, но попытки вскрытия или заморозки она отследит и расшифровывайте на здоровье. При включении после вскрытия — инсталляция с нуля.
Остается вариант с взрывным вскрытием, но тут надо расчитывать термодинамику памяти.
Сервер с встроенным контроллером на raspberry pi + ритэг с запасом хода в 20-30 лет, датчиком температуры и вскрытия + реле, подающее reset на RAM. Датчик вскрытия — не контакт под крышкой, а, к примеру, емкостной датчик + датчик движения. Процессор и память контроллера в свинцовой чушке, чтобы направленный пучок ионизирующего излучения вывел из строя не только контроллер, но и вынужден был стереть RAM. Стартовый образ, который генерирует ключи шифрования при загрузке и не передает их никуда. Выключить систему можно, но попытки вскрытия или заморозки она отследит и расшифровывайте на здоровье. При включении после вскрытия — инсталляция с нуля.
Остается вариант с взрывным вскрытием, но тут надо расчитывать термодинамику памяти.
Какие ужасы вы пишете…
Какой veracrypt и контейнеры?
Все давно придумано до нас, и называется LUKS
От хостера требуется КВМ или VNC (в случае VDS) + возможность грузиться с ISO файла c оригинальным дистрибутивом.
А дальше гугл в помощь, если не хотите вводить пароль декрипта при ребуте каждый раз.
В частности для Centos7 дам несколько сслылок
1) для анлока вручную по ssh
github.com/dracut-crypt-ssh/dracut-crypt-ssh
2) сетевой анлок через специально обученный VDS в другом месте
0x1.tv/Технология_удалённого_шифрования_дисковых_подсистем_в_Red_Hat_Enterprise_Linux_(Александр_Боковой,_OSSDEVCONF-2018)
www.redhat.com/en/blog/easier-way-manage-disk-decryption-boot-red-hat-enterprise-linux-75-using-nbde
Какой veracrypt и контейнеры?
Все давно придумано до нас, и называется LUKS
От хостера требуется КВМ или VNC (в случае VDS) + возможность грузиться с ISO файла c оригинальным дистрибутивом.
А дальше гугл в помощь, если не хотите вводить пароль декрипта при ребуте каждый раз.
В частности для Centos7 дам несколько сслылок
1) для анлока вручную по ssh
github.com/dracut-crypt-ssh/dracut-crypt-ssh
2) сетевой анлок через специально обученный VDS в другом месте
0x1.tv/Технология_удалённого_шифрования_дисковых_подсистем_в_Red_Hat_Enterprise_Linux_(Александр_Боковой,_OSSDEVCONF-2018)
www.redhat.com/en/blog/easier-way-manage-disk-decryption-boot-red-hat-enterprise-linux-75-using-nbde
}{орошая статья.
Жали мне дали опубликовать цикл статей по некоторым платформам сервера. Вообщем, есть способы всего этого избежать, но очень накладно и мутарно с точки зрения эксплуатации.
Жали мне дали опубликовать цикл статей по некоторым платформам сервера. Вообщем, есть способы всего этого избежать, но очень накладно и мутарно с точки зрения эксплуатации.
Можно пожалуйста написать статью о том- что делать если тебя заблокировали (хакеры или надзор)- а именно-(как я понимаю)- как устроить полноценное постоянное копирование существующего сайта на удаленный сервер (у вас или из вас), ее (копирование)настройку, автопереключение с заблокированного на заранее настроенный сайт-копию в нужный момент (пусть даже нажатием одной кнопки)- и самое главное- как сделать так, чтобы интернет не заметил потери бойца- то есть как сделать так что бы при блокировке, скажем, Хабра- он открывался на Хабр.орг- но яндекс и гугл корректно обрабатывали запросы пользователей в поисковиках и трафик не снижался?
Спасибо.
Спасибо.
Sign up to leave a comment.
Что делать, если к твоему хостеру пришли siloviki