Comments 33
Батенька, да вы суровый параноик!
В таком деле лучше перебздеть, чем не добздеть.
видел требования в отдел «К», IMHO не дураки там сидят. сервер они все равно сразу не будут включать пока не проверят что и как там работает, да и логи расшифровать, подменить и зашифровать не проблема. Все конечно зависит от реализации, и от того насколько вы им нужы.
можно попробовать зашифровать всю файловую систему, без ввода пароля никто ничего не сможет с ней сделать.
интересно, возможно ли реализовать шифрование ФС по технологии «открытого ключа»? Чтобы при монтировании только с ключом «для чтения» нельзя было бы на нее корректным образом писать данные…
мне в моём мозгу время от времени мерещится следующая схема на такой случай (если речь идёт о файлообменнике того или иного рода):
— создаётся раздел некоторого фиксированного размера, на нём создаётся криптоконтейнер на весь размер раздела с использованием какой-либо технологии ассиметричного шифрования по ключевым парам, там в свою очередь создаётся файловая система, куда из интернета есть возможность заливають файлы;
— пароль от приватного ключа данного криптоконтейнера храним в оперативной памяти сервера в течение, скажем, 3-х суток с момента создания данного криптоконтейнера, лишь после этого переписываем пароль на диск, прекращаем запись в этот криптоконтейнер и создаём новый, как в предыдущем пункте (как часто выделять криптоконтейнеры, каким их количеством пользоваться одновременно и пр. следует конечно додумать, представленная мной схема конечно неоптимальна в этом плане, грубый набросок, важна суть);
— это всё автоматизировано, человек не должен знать пароль, дабы система не была уязвима для терморектального криптоанализа.
таким образом при попытке скомпрометировать ваш обменник (если эта попытка укладывается в трое суток) произойдёт следующее: вам зальют компрометирующий материал, тут же (в течение трёх суток) обесточат сервер, пароль от ключа, хранящийся в оперативке, теряется, содержимое последнего криптоконтейнера (то, что залито за последние трое суток плюс-минус) более недоступно.
неясным остаётся лишь реакция органов на то, когда они докопаются, почему попытка компроментации не удалась…
— создаётся раздел некоторого фиксированного размера, на нём создаётся криптоконтейнер на весь размер раздела с использованием какой-либо технологии ассиметричного шифрования по ключевым парам, там в свою очередь создаётся файловая система, куда из интернета есть возможность заливають файлы;
— пароль от приватного ключа данного криптоконтейнера храним в оперативной памяти сервера в течение, скажем, 3-х суток с момента создания данного криптоконтейнера, лишь после этого переписываем пароль на диск, прекращаем запись в этот криптоконтейнер и создаём новый, как в предыдущем пункте (как часто выделять криптоконтейнеры, каким их количеством пользоваться одновременно и пр. следует конечно додумать, представленная мной схема конечно неоптимальна в этом плане, грубый набросок, важна суть);
— это всё автоматизировано, человек не должен знать пароль, дабы система не была уязвима для терморектального криптоанализа.
таким образом при попытке скомпрометировать ваш обменник (если эта попытка укладывается в трое суток) произойдёт следующее: вам зальют компрометирующий материал, тут же (в течение трёх суток) обесточат сервер, пароль от ключа, хранящийся в оперативке, теряется, содержимое последнего криптоконтейнера (то, что залито за последние трое суток плюс-минус) более недоступно.
неясным остаётся лишь реакция органов на то, когда они докопаются, почему попытка компроментации не удалась…
будет большой overhead на шифрование, дисковая подсистема и так зачастую самое узкое место в современных серверах. Но мысль в нужном направлении, особенно для больших любителей заниматься сомнительной деятельностью с целью извлечения выгоды.
Сейчас в большом количестве дисков есть встроенные системы шифрования, когда чип отвечающий за шифровку/дешифровку данных находится на HDD и не использует процессор машины (Wikipedia)
ИМХО, органам достаточно в каком-нить экспертном заключении написать «детское порно обнаружено». Могут даже винду на сервер поставить и туда его залить.
А всё потому, что при изъятии вообще-то по закону положено изымать копию информации, а не сервер. И когда такую копию отдавал бы датацентр, надо бы ещё считать хеш-сумму и указывать её в протоколе изъятия.
Но кому до этого дело-то? Уж точно не бандитам в погонах.
А всё потому, что при изъятии вообще-то по закону положено изымать копию информации, а не сервер. И когда такую копию отдавал бы датацентр, надо бы ещё считать хеш-сумму и указывать её в протоколе изъятия.
Но кому до этого дело-то? Уж точно не бандитам в погонах.
truecrypt в режиме шифрования всего диска и баста :)
Пароль? Не помню, это было пол года назад, я забыл. Стресс и всё такое. А терморектальный криптоанализ к вам и так применят, если захотят. Тут нужно просто иметь крепкие нервы и волю, это единственная защита. Крепкие нервы и шифрование уже выручали на практике, правда не в России, но рядышком :)
Пароль? Не помню, это было пол года назад, я забыл. Стресс и всё такое. А терморектальный криптоанализ к вам и так применят, если захотят. Тут нужно просто иметь крепкие нервы и волю, это единственная защита. Крепкие нервы и шифрование уже выручали на практике, правда не в России, но рядышком :)
Вы не знаете как работают наши доблестные менты? Во время РКА вы не только пароль вспомните, а и всех своих родственников в седьмом поколении.
Беспредел всё же есть не везде. К тому же щас столько шума вокруг IT, что только идиот станет применять терморектальный криптоанализ, потому что примеров как IT'ники выкручиваются из-за знания законов много. Вобщем надо быть не песимистом, а просто делать. Убить же вас могут? Могут. Так что, теперь просто давать себя укокошить, или одеть гады с стальными вставками и раздробить сволочам коленки в дрызг? Что выберите?
Поверте, у нас тоже бывает не хуже. Разве что не убивают на допросах. И тем неменее, люди их потом имеют. Жестоко имеют.
Да-да — вашим логам уже поверили в суде… Вы ведь самостоятельно ничего из них удалить не можете…
>При нахождении сервера за пределами площадки хостера, если демон не может пинговать определенный ip, то приложение/демон гасит внешние сервисы, параллельно шифруя их конфигурацию, и удаляя файлы конфигураций из привычных для сервиса/демона мест
пропал «определенный ip» или сломался самый_главный_свитч в дата-центре и все. Сжигаем все мосты и лежим три дня пока специально обученный человек все не поднимет, ага.
пропал «определенный ip» или сломался самый_главный_свитч в дата-центре и все. Сжигаем все мосты и лежим три дня пока специально обученный человек все не поднимет, ага.
Шлём логи удалённому серверу, он их подписывает (попутно сохраняя) и отсылает обратно. Никаких проблем.
Без доступа к удалённому серверу их, конечно, можно будет подменить, но только на неподписанные. И никаких ro не нужно.
Без доступа к удалённому серверу их, конечно, можно будет подменить, но только на неподписанные. И никаких ro не нужно.
Вы думаете как айтишник, это хорошо, но не для нашей страны. Если захотят посадить, все равно же посадят. Вот вы сделали как вы советуете, пришли люди в погонах и унесли ваш сервер. Подключили, установили винду XP и залили туда порнухи и кряков. В суде вы скажете, мол, там стояла не винда, а линуксы, и файлов этих я никогда не заливал. Судья — а как вы можете это доказать? И все. Хостер может лишь подтвердить, что данный сервер, с таким серийным номером, ваш. Доказать, что этих данных небыло невозможно, дату создания файлов можно изменить на любой ОС. Так, что имхо, правильный совет, чтоб сервера были заграницей.
доказывать должен тот, кто утверждает. если кто-то утверждает, что файлы были, он и должен доказать, что это действительно так.
соответственно, утверждающей стороне потребуется доказать, что операционная система на сервере — твоя, а содержимое жёсткого диска не было доступно никому для изменения, начиная с момента изъятия. но конечно лучше самому заранее позаботиться об опечатывании собственного сервера.
Защита от терморектального криптоанализа — зашифровать диски (LUKS в помощь), а ключ чтобы вводил и знал человек не из офиса (например, через ssh). Тогда даже самый жесткий терморектальный криптоанализ не страшен.
Детский сад и велосипеды.
Ничего из перечисленного вами не сработает, если винт вынуть из сервера и подключить к другому компьютеру. В подавляющем большинстве случаев именно так и делается, ибо иначе не получить доступ к винту, не зная пароль рута/пользователя.
Единственный правильный и очевидный вариант (помимо переноса сервера за границу) — шифрование на уровне ФС. Даже если в суде от вас будут требовать пароль — вы можете согласиться дать его, при условии соблюдения правил анализа винта, т.е. пусть делают дамп винчестера и анализируют его.
Ничего из перечисленного вами не сработает, если винт вынуть из сервера и подключить к другому компьютеру. В подавляющем большинстве случаев именно так и делается, ибо иначе не получить доступ к винту, не зная пароль рута/пользователя.
Единственный правильный и очевидный вариант (помимо переноса сервера за границу) — шифрование на уровне ФС. Даже если в суде от вас будут требовать пароль — вы можете согласиться дать его, при условии соблюдения правил анализа винта, т.е. пусть делают дамп винчестера и анализируют его.
По поводу логов я бы вставил своё «фээ». Зачем их прятать мне не понятно — они Вас спасут если вы не преступник. Но логи находящиеся на другом подконтрольном Вам сервере никогда не будут восприняты всерьёз. Поэтому если хотите их хранить с целью защиты:
1. Храните локально на сервере чтобы они обязательно были изъяты вместе с сервером но не могли быть прочтены без вас
2. Шифруйте при ротации — в идеале каждый кусок Вы должны иметь возможность открыть отдельно от остальных. Т.е. логи вебсервера в вашем примере за тот месяц вы откроете следствию. А логи биллинга на том же файлхостинге не стоит. Иначе вы попадёте в ситуацию когда либо попадёте под статью по ДП либо под незаконное предпринимательство (образно)
3. Если хотите хранить логи удалённо (в том числе и для построения правильной линии защиты в предсудебном разбирательстве) то храните их в неподконтрольных системах, не поддерживающих перезапись данных. Да хоть на той же рапиде, тогда адвокат сможет нотариально запротоколировать скачивание логов, открытие их паролем, etc
1. Храните локально на сервере чтобы они обязательно были изъяты вместе с сервером но не могли быть прочтены без вас
2. Шифруйте при ротации — в идеале каждый кусок Вы должны иметь возможность открыть отдельно от остальных. Т.е. логи вебсервера в вашем примере за тот месяц вы откроете следствию. А логи биллинга на том же файлхостинге не стоит. Иначе вы попадёте в ситуацию когда либо попадёте под статью по ДП либо под незаконное предпринимательство (образно)
3. Если хотите хранить логи удалённо (в том числе и для построения правильной линии защиты в предсудебном разбирательстве) то храните их в неподконтрольных системах, не поддерживающих перезапись данных. Да хоть на той же рапиде, тогда адвокат сможет нотариально запротоколировать скачивание логов, открытие их паролем, etc
Sign up to leave a comment.
Логи при изъятии сервера. Демон -хранитель (unix)