Безопасность данных в облаках

[leo_sosnine]

Равна абсолютному нулю, а риски, соответственно, под 100%. Другое дело, что если бизнес мелкий -- то до него никому из тех, кто палит наши данные, просто может и не быть дела -- лень возиться.

За последние пару месяцев широкая общественность, в общем, убедилась, что все крупные вендоры типа Гугла, Эппла, Йаху и Майкрософта сливают всю информацию правительству. Ныне дошло и до мелких вендоров. Но то в США. Уже понятно, никакой прайваси тут нет и быть не может, если дело доходит до государственных интересов. Прайваси это сказка на ночь для того, чтобы лучше спать. А как в других государствах? Беглый осмотр показывает, что её нет нигде:

https://en.wikipedia.org/wiki/Key_disclosure_law

Если мы храним данные у облачного провайдера (почта, файлы, серверы) И эти данные по какой-то (любой) причине заинтересуют власть -- наши данные будут слиты, а нас об этом не проинформируют, потому что, как правило, во всех таких случаях приказ слить данные сопровождается т.н. "gag order", согласно которому провайдер не вправе информировать свою клиентуру о фактах слива данных. Иногда, конечно, бывает что и гэг ордера нет, поэтому провайдер лицемерно отчитывается о фактах. Типа как гугл, публикующий ежегодно свой бессмысленный "transparency report", из которого ясно, что Гугл сливал инфу стольких-то юзеров в таких-то и таких-то случаях. А то, что инфа ВСЕХ юзеров сливается регулярно и без всяких ордеров от суда -- на то gag order и гугл молчит.

После последних разоблачений крупные вендоры, конечно, внезапно запереживали за уж слишком явное несоответствие своих обещаний прайваси реальному положению вещей и, вдруг воспылав праведным гневом, бгг, требуют от правительства отмены gag order, что дало бы им возможность информировать юзеров, что никакой прайваси нету, а данные благополучно слиты.

Таким образом, можно вывести довольно надёжное эмпирическое правило: если ты хостер и облачный провайдер, то это вопрос времени, когда к тебе придут люди в чёрном и заставят поделиться. А если ты хостер со стажем -- то уже пришли. И нечего строить из себя невинного -- мы знаем, что все наши данные ты сливал, сливаешь и будешь сливать. Просто молчишь, т.к., в отличие от Ладара Левисона, любишь деньги больше принципов и сворачивать свой бизнес из-за нежелания лицемерить ты не планируешь. Понимаем, хехе.

Кстати, несмотря на то, что Ладар Левисон закрыл lavabit.com и небольшое количество идиотов потеряли свою почту (у неидиотов она, конечно, забэкаплена), в ответ на его призыв скинуться на борьбу с оборзевшим правительством, за пару дней ему накидали $100,000 пожертвований and growing. Он за год на лавабите столько не зарабатывал, хехе.

Для примера, вот тинейджер в богоспасаемых UK, о которых, под впечатлением разоблачительского куража газетки Манчестер Гуардиан, многие думают, как о цитадели прайваси и прав гражданина. Чувак просто зашифровал данные на своём харде. Обратите внимание, это не хостер, не провайдер, это просто тинейджер в поисках т.н. "границ дозволенного". И что же? Копы ему говорят: давай пароль. Чувак: нет. ОК, суд приговаривает его к уголовщине и тинейджер отправляется на 16 недель отсиживать в тюрьму. За что? Просто за то, что внезапно к нему возникли вопросы "а что это ты там хранишь у себя на зашифрованном харде? Может, терроризъм или ЦП? А ну-ка сливай ключ. Нет? Значит по-дефолту считаешься виноватым, шуруй в турму".

Ну в общем по ссылке на вики выше ясно, что такая хренотня почти во всех странах. Ну и, пожалуй, повторюсь: несмотря на то, что в прессе шум только про США, есть масса оснований полагать, что в штатах с прайваси дела обстоят лучше, чем где бы то ни было. Во всех остальных местах инфу также сливают, и на её основе также преследуют, только никаких скандалов в прессе нет и быть не может.

Полезное чтиво, компетентные люди обсуждают свой опыт работы постмастерами и хостерами и делятся слухами.

Вот ещё сцылка на полезные тулзы и проч для шифрования и безопасности:

https://prism-break.org/

Там всё, начиная от почтоклиентов и мессенджеров, заканчивая бровсингом и операционками для сотовых телефонов.

Правда, настораживает один момент. Судя по всему, сайт ведётся людьми с опенсорсом головного мозга, абсолютисты какие-то. Опенсорс вещь хорошая, но хостеры предоставляющие услуги не на опенсорс софте у них вообще в рейтинг не попадают. Типа "мы не можем проверить код, следовательно, код не может считаться безопасным". Казалось бы верно, но кто контролирует хостера? Кто мешает хостеру использовать опенсорс, но благополучно сливать инфу спецслужбам? Никто не мешает. И наоборот, кто мешает хостеру использовать проприетарный код, но упорствовать в сливе?

Собственно, доверие хостеру это прежде всего доверие тому, что хостер человек принципиальный, типа Ладара Левисона. Кстати, на призм-брейк хостинг Левисона забраковали -- типа проприетарщина вульгарная. А оказалось, что Ладар не сливает. Не удивлюсь, если окажется, что пиаримый там mykolab весь из себя опенсорсный, тем не менее, инфу сливает, хехе.

Доверять хостеру из соображений, что он не сольёт наши данные из-за страха репутационных потерь бессмысленно. Гугл слил, Майкрософт слил, Эппл слил, Йаху слил, Мылру слил. Потом цинично в лице топ-менеджмента и топ-лойеров врали в прессе, что не сливают. Потом, когда отпираться уже стало совсем глупо, сказали, ОК, ладно, сливаем, но у нас gag order, говорить об этом не можем. И ничего: отряхнулись и как ни в чём не бывало пошли дальше. А по-хорошему есть все основания ребят тащить в суд по хай-профайл кейсам: нарушение EULA. А то получается нехорошо, когда энд-юзер нарушает еулу, его и в хвост и в гриву. А если Гугл кинул всех своих юзеров -- ну что поделать, мы не хотели, правительство заставило. Ну тогда убирайтенах заверения в прайваси из EULA, а пишите прямо: вся инфа будет слита, beware. Но ведь нет.

Проблема прежде всего в некомпетентности большинства юзеров. Среди людей прошаренных, конечно, репутация хостера значение имеет, поэтому если хостер это гик-ресурс, типа лавабита, то компрометация репутации автоматически означает потерю массы клиентуры. Но для Гугла и Майкрософта это потери небольшие. А хотелось бы наоборот, да.

Ну и наконец, что безопасно? Безопасно, как и раньше, олдскульно хранить инфу у себя, на своих собственных серверах в своей собственной конторе. Никаких облаков. Свой собственный почтовик, собственный файл-сервер, собственный VPN, собственные ремот-десктопы и прочая. Облом в том, что если офис в РФ (да и, в общем, любой другой стране), то придут и просто заберут серверы.

Если серверы в датацентре -- то, во-первых, данные сольёт в спецслужбы персонал этого ДЦ, во-вторых, при нужде в аресте точно также придут в ДЦ и изымут серверы.

Вполне возможно, что имеет смысл хранить серверы всё-таки в ДЦ, но находящемся в юрисдикции, которой, как можно ожидать, фиолетово всё происходящее в той стране, где ведётся бизнес, таким образом, лишая владельцев ДЦ и властей страны нахождения ДЦ мотива палить, сливать и использовать наши данные. Вполне вероятно, что это довольно мелкая европейская страна, повёрнутая на левизне, гуманизъме, толерантности и зоциализъме, это не US и не UK и их приспешники, т.к. этим есть дело до всего, до чего могут дотянуться щупальца...

Comments

[seligenstadt.livejournal.com]

> Для примера, вот тинейджер в богоспасаемых UK, о которых, под впечатлением разоблачительского куража газетки Манчестер Гуардиан, многие думают, как о цитадели прайваси и прав гражданина. Чувак просто зашифровал данные на своём харде. Обратите внимание, это не хостер, не провайдер, это просто тинейджер в поисках т.н. "границ дозволенного". И что же? Копы ему говорят: давай пароль. Чувак: нет. ОК, суд приговаривает его к уголовщине и тинейджер отправляется на 16 недель отсиживать в тюрьму. За что? Просто за то, что внезапно к нему возникли вопросы "а что это ты там хранишь у себя на зашифрованном харде? Может, терроризъм или ЦП? А ну-ка сливай ключ. Нет? Значит по-дефолту считаешься виноватым, шуруй в турму".


Нифигассе. Не может быть! Я в расстерянности... Неужели это действительно так, а как же презумпция невиновности?

[mac-arrow.livejournal.com]

узнаете много интересного
http://habrahabr.ru/post/147769/

[seligenstadt.livejournal.com]

Спасибо!

[everlasting-cat.livejournal.com]

" это довольно мелкая европейская страна, повёрнутая на левизне, гуманизъме, толерантности и зоциализъме, "

Да-да. Ераплан Моралеса кто посадил? ЮК али ЮСА?

[leo-sosnine.livejournal.com]

"по согласованию", хехе

понятно, что данные нигде не будут в безопасности, вопрос в том, где они будут в наименьшей опасности

и потом, какие ваши конструктивные предложения, хехе

[everlasting-cat.livejournal.com]

Парадигму менять. Бороться за одинаковую прозрачность ВСЕХ, и правительства в том числе (по типу "тебя посодют - а ты не воруй") - раз, и переформатировать собственные сообщения их "плохих" (которые следует скрывать) в "хорошие" (которые скрывать совершенно не нужно и даже вредно) - два.

К этому все равно все придут (если цивилизацию не грохнут окончательно), вопрос только в издержках для кадого конкретно.

[leo-sosnine.livejournal.com]

Ну это стратегическая программа, с которой невозможно не согласиться, тут в основном про тактику и ситуацию на сегодняшний день

[everlasting-cat.livejournal.com]

А ничего другого все равно нет. Происходит революция, на самом деле революция. Надо приспосабливаться.

Для начала пересмотреть, действительно ли ваши сообщения требуют стопроцентного сокрытия.

[leo-sosnine.livejournal.com]

канешна, не все, я в общем, в сети выступаю всегда открыто

но электронная почта пишется с ожиданием прайваси, поэтому могу сболтнуть лишнего и сообщить информацию, которая может быть использована против меня, а мне это незачем

[everlasting-cat.livejournal.com]

"Против" можно использовать всё, что угодно, сами понимаете. Тут вопрос в вероятностях - раз, и в ваших ресурсах, позволяющих противостоять этому использованию - а это уже внутренняя проблема, а не внешняя.

Да и вообще, скоро мысли читать начнут в массовом порядке - проблемы с почтой с овчинку покажутся :)

[leo-sosnine.livejournal.com]

Достану из чулана шапочку из фольги, мы люди бывалые

[everlasting-cat.livejournal.com]

:)))))

[seligenstadt.livejournal.com]

Насчёт ДЦ. Во-первых пещеры Исландии как бы должны быть ещё надёжны. :) Во-вторых я когда-то присматривался к "решениям" и помню, что в некоторых ДЦ вполне можно получить услугу в виде ограждённого решёткой бокса с ключём только у тебя ну и вообще как бы полностью исключённым доступом к твоей технике со стороны.

[leo-sosnine.livejournal.com]

Решётка это херня. Щупом вставят USB донгл, ребутнут и пошло-поехало. Должен быть полностью закрытый монолитный бокс с замком, о котором Вы на 100% уверены что знаете, как он работает и то, что открыть его сможете только Вы. Но таких услуг, держу пари, никто не предоставляет.

[pessimister.livejournal.com]

А нет ли решений, позволяющих распределять инфу между несколькими ДЦ - на манер RAID5, но только в облаке?

[leo-sosnine.livejournal.com]

Не в курсе, но эти решения (если они есть) едва ли применимы для реальных бизнес-решений

Все привыкли щас, что современные файловые системы работают с файлами очень быстро, объёмы файлов гигантские. Поэтому у людей (операторов, бухгалтеров, их руководства, кого бы то ни было) ожидание того, что всё будет работать быстро. Поэтому если решение медленное автоматом будет реакция: это неприемлемо, мы на тормознутости бизнес-процесса потеряем больше денег, чем если будем работать с постоянной высокой вероятность компрометации

[aurfin76.livejournal.com]

Сетевой диск, хост, который им пользуется, создает на нем шифруемую файловою систему. Пароль известен только админу виртуальной машины хоста.

[leo-sosnine.livejournal.com]

Это подразумевает, что сам софт, работающий с файлом, исполняется где-то в другом месте, в котором происходит encryption/decryption, это не всегда удобно, да и нагрузка на каналы...

А если в том же месте -- то encryption/decryption происходит в том же ДЦ, пароль вводится там же, теоретически админ ДЦ может его зохавать и всё расшифровать.

Но да, можно по-крайней мере, усложнить ребятам из спецслужб работу, это наверняка можно...

[aurfin76.livejournal.com]

ДЦ предоставляет виртуальную машину и сетевой диск в системе хранения (на сторадже). Кастомер имеет защищенный ssh доступ к виртуальной машине, в ней монтирует сетевой диск и создает на нём шифруемую файловую систему. На виртуальной машине запускается софт сервера, который работает по запросам извне по защищенному протоколу SSL, либо виртуалка подключается к корпоративную сеть по VPN. Сломать защиту можно сломав виртуалку и получив на ней административные права. Если гипервизор виртуализирует железо, то сломать виртуалку админам ДЦ также сложно как и обычную машину.

[leo-sosnine.livejournal.com]

SSL/TLS гарантирует (при правильном использовании), что перехваченный траффик ребята из спецслужб будут расшифровывать до конца срока жизни галактики. Но на стороне сервера, находящегося в ДЦ, эти данные уже расшифрованы.

Админ ДЦ делает снапшот рабочей системы и ковыряет всё что можно. Получает прямой доступ к оперативе и ковыряет всё что можно. Перехватывает пароль на том конце SSL туннеля.

Собственно это даже не он это делает, это делает Prism/XKeyScore пользуясь любезно предоставленными VMware/Citrix/Microsoft бэкдорами в софт их гипервизоров.

[aurfin76.livejournal.com]

Гипервизор виртуализирует железо, на него можно установить любую операционную систему, какую хочет кастомер, без бэкдоров. Админ, конечно может взять файл виртуалки и ковырять его. Да этим, пожалуй, виртуалка отличается от обычной машины, что можно иметь доступ к физической памяти. Не к оперативке, а к физической памяти VM.

[leo-sosnine.livejournal.com]

Бэкдор может быть в гипервизоре. Т.е. в самой VMware ESXi, например.

К оперативке тоже, т.к. это просто выделенный пул в физ. памяти гипервизора. Имеешь доступ к гипервизору -- можешь ковырять память. Возможно, по соображениям безопасности, VMware не предоставляет доступа к памяти виртуалок и она считается защищённой. Для обычных смертных, хехе, а не для NSA.

Плюс, обыкновенный снапшот разве не снимает данные включая содержимое оперативы?

[aurfin76.livejournal.com]

Снапшот - это разница (дифф) между виртуалкой в данный момент времени и в момент взятия снапшота. По мере изменения виртуалки, при изменении блоков старые содержимые переносятся в снапшот. Снапшот не содержит оперативной памяти, только дисковую. То есть чтобы откатить снапшот, машину останавливают, накатывают (промоутят) снапшот и запускают машину. Виртуалка в процессе работы - это кусок пямяти, хранящийся на томе гипервизора (обычно виртуальный том с файловой системой VMFS, если речь о ESX). При работающей виртуалке это файл запаздывает по отношению к куску памяти виртуалки, то есть он является бэкапом данных в памяти, периодически подновляемым. В конфигурациях высокой готовности используются два физических хоста гипервизора и виртуалки могут мигрировать с одного на другой (для фейловер или лоад бэлэнс) по специальной высокоскоростной шине. При такой миграции виртуалка на другом хосте стартует с того же места, где остановилась на старом хосте. Я не слышал каких-либо возможностей майнинга данных оперативной памяти виртуалок. Хотя, согласно принципу заведомой компрометации, если нет физического контроля над железом, то правила безопасности требуют считать что безопасность скпомрометирована. Из этих соображений любой облачный сервис скопрометирован.

Хотя, если хранить в облаке все зашифрованным и декодировать только на клиенте.

[leo-sosnine.livejournal.com]

Плюс с гипервизора всегда можно подключиться к "консоли", т.е. виртуальному монику и клаве. Предполагается, что он залочен всегда, но реально -- нет, при большом желании можно дождаться, пока какой-нибудь админ не залочит свой админский сеанс -- и сливай что хошь.

[mikha-el.livejournal.com]

Леня привет!

рекомендованная тобою почта lavabit благодаря разведке накрылась. не порекомендуешь какую-нибудь новую почту?

[leo-sosnine.livejournal.com]

Приветы!

Пока нет, мне скрывать щас особо пока нечего, пользуюсь пока зашкваренными ресурсами