Размышления о сетевой безопасности

А что значит вообще выражение?

безопасность аккаунта обратно пропорциональна безопасности БД

облачными" хранилищами нельзя пользоваться без шифрования содержимого

Это слишком очевидно. Некоторые облака могу тебя забанить за использования шифрования. Ну и вообще, если не хочешь офишировать содержимое – используй шифрование, если нужно скрыть сам факт шифрования – используй стеганографию. Мог бы подкинуть несколько хороших вариантов на предмет последнего, но из-за определённого тега не стану этого делать. Ну и вариант с собственным облаком никто не отменял.

Правда, могут заинтересоваться дяди из ФСБ, но это если Виталик на митинги известных личностей ходит.

Перестань ограничиваться дядями из определённой организации.

Вторая мысль, которую я то ли с Тифаретника, то ли ещё откуда-то почерпнул – безопасность аккаунта обратно пропорциональна безопасности БД, и пароль от оного здесь ни при чём. Ну, если конечно жидомасоны из соседнего дома не подглядывают в телескоп за тем, как условный Виталик на Pornhub Github заходит, но это уже сюжет для психиатрии.

Ничего не понял.

Некоторые облака могу тебя забанить за использования шифрования.

Уже настолько плохо ? Не вспомните какие именно ?

А что значит вообще выражение?

Я имел в виду, что безопасность аккаунта полностью на плечах хозяев ресурса. Если базу регулярно сливают, причём сами админы, то никакой сложный пароль не спасёт.

Некоторые облака могу тебя забанить за использования шифрования.

«Огласите весь список, пожалуйста.»

Перестань ограничиваться дядями из определённой организации.

Это для примеру.

Ничего не понял.

Размышления о сетевой безопасности (комментарий)

Ребята, дающие только платные услуги будут доить пользователя до последнего, с ними всё понятно, думаю, что с раздающими громадные объёмы (1ТБ на аккаунт, доступно 12 аккаунтов на один ip) бесплатно тоже всё понятно. Ничего «твоего» уже там нет. Зашифрованный файл они помечают красным и не дают скачать/удалить/поделиться им, вскоре на этот аккаунт прилетает бан.

Ну в базе обычно пароли же не хранятся. Сливают просто контактные данные обычно, а не доступ к аккаунту.

сам себя не обезопасишь никто не обезопасит

Щаз вылезут нечегоскрывальщики

Правда, могут заинтересоваться дяди из ФСБ, но это если Виталик на митинги известных личностей ходит

В этом случае Виталик выдаст ключи быстрее чем бутылка на полгорлышка войдёт

Прежде чем «шифровать» содержимое, нужно четко ответить себе на вопрос - чем обернется утечка содержимого.

Вот у меня есть сайт, условный форум. Допустим в сеть утечет база данных пользователей. Васян получит возможность срать на форуме с аккаунта Петрухи. Тоже мне беда. В этом случае я даже пароли в базу буду писать в планарном виде (если конечно сам буду писать движок форума).

Если у тебя сайт, хранящий тысячи кредитных карт с CVV-кодами и адресами\телефонами своих клиентов, то ты будешь вообще конченным если доверишь это облакам от дяди. Только дедик. Мало того что только дедик, так еще и СВОЙ образ системы, а не тот который тебе предлагает всякий хетзнер и ovh с троянами позволяющими менять рутовый пароль (для твоего же удобства, ога) а может и еще чего-то. И разумеется это все надо шифровать. И средствами ФС, вплоть до того что одну таблицу с паролями хранить на отдельном разделе. И средствами языка программирования. А еще лучше продумать какой-нибудь свой хитрожопый алгоритм шифрования, ибо если хацкер получит доступ к коду, то все твои md5 и rsa будут до жопы.

Я вообще сторонник того, что для маломальски серьезного проекта, сервисы должны быть разделены: веб на одном, база на другом, мыло на третьем.

Это что касается взлома с клавиатуры.

Что касается ФСБ, то у любого метода шифрования есть узкое место. В данном случае узкое место - законодательство. Оно может как явно сделать незаконным сам факт шифрования или отказ от предоставления ключей (по аналогии с КОАПовской пьянкой за рулем, где отказ от теста == доказанная пьянка), так и дать тов.майору неограниченные полномочия для проведения акта секса в анус досудебного следствия.

Насчет безопасности БД - херня. До тех пор пока данные из БД может извлекать сервис - их сможет извлекать и человек, нюансы лишь в методах.

Уже настолько плохо ? Не вспомните какие именно ?

Мылосру таким промышлял, но банили не всех.

Некоторые облака могу тебя забанить за использования шифрования.

Сможешь привести пример?

Если у тебя сайт, хранящий тысячи кредитных карт с CVV-кодами и адресами\телефонами своих клиентов, то ты будешь

внимательно читать PCI DSS. PCI DSS compliant облака есть.

А еще лучше продумать какой-нибудь свой хитрожопый алгоритм шифрования, ибо если хацкер получит доступ к коду, то все твои md5 и rsa будут до жопы.

Чотаржу. Почитай, что ли, сколько времени занял конкурс на AES.

Ну и да, как доступ к коду поможет от sha256-хэшей?

Насчет безопасности БД - херня. До тех пор пока данные из БД может извлекать сервис - их сможет извлекать и человек, нюансы лишь в методах.

Нюанс лишь в том, что хранится в БД, если мы о паролях.

Довольно гнило такие шутеечки отмачивать, живя в Швейцарии.

Тебе в голову наконец-то пришла довольно очевидная мысль. Ты всерьёз её озвучиваешь, или просто ищешь оправдания своей лени, чтобы не заморачиваться и не шифровать важные данные?

А физически-то у тебя данные защищены? Ладно облака, допустим, доверять им можно. Если к тебе физически домой вломятся, у тебя всё то, что ты старательно в облаках шифровал, не окажется лежащим на блюдечке?

Второе важнее, начни с этого.

внимательно читать PCI DSS. PCI DSS compliant облака есть.

Угу. Что не отменяет доступ к ним со стороны хостинг провайдера.

Чотаржу. Почитай, что ли, сколько времени занял конкурс на AES.

Ну и да, как доступ к коду поможет от sha256-хэшей?

Хоть миллион лет. Если есть доступ к части где «if ($entered_password==$stored_password) {авторизовано}» - злоумышленник может сделать все что захочет. Хотя бы отправить себе пароли (или ссылку для ресета) на имейл.

Нюанс лишь в том, что хранится в БД, если мы о паролях.

Нюанс не в том, что хранится в БД, а в том как получить доступ к аккаунту. Один из многих способов я уже сказал выше. Никто не будет брутфорсить пароли, считать хеши, и заниматься прочей красноглазой ерундой. Сменят пароль через почту, да и все. Или даже не через почту, а через редирект на то место кода, где меняется этот пароль.

Ты поди думаешь что кулхацкеры хачат MD5, sha256 и прочие страшные слова на суперкомпьютерах под управлением юникс в терминале с зеленым шрифтом на черном фоне ? Расслабься. Они сначала сгенерят хеш для пароля «123» у себя, проапдейтят результат в БД ломаемого сервера, и спокойно зайдут под аккаунт с этим паролем. Ну ты как маленький, чесслово.

Если к тебе физически домой вломятся, у тебя всё то, что ты старательно в облаках шифровал, не окажется лежащим на блюдечке?

Это при условии если знают, что лежит на облаках, и что это настолько ценное, что ради этого стоит физически вломиться домой.

Если там действительно что-то критичное - есть смысл озаботиться ложными облаками, или разделегировать доступ между разными людьми по типу активации баллистической ракеты.

Угу. Что не отменяет доступ к ним со стороны хостинг провайдера.

Отменяет. Если платформа построена так, что сотрудник провайдера может получить доступ к данным виртуалок, то провайдер не пройдет аудит PCI DSS.

Хоть миллион лет. Если есть доступ к части где «if ($entered_password==$stored_password) {авторизовано}» - злоумышленник может сделать все что захочет. Хотя бы отправить себе пароли (или ссылку для ресета) на имейл.

Во-первых, это проблема отсутствия хэширования, если у тебя пароли хранятся в открытом виде. Во-вторых, что там с придумыванием своих криптоалгоритмов?

Нюанс не в том, что хранится в БД, а в том как получить доступ к аккаунту. Один из многих способов я уже сказал выше.

Это где?

Никто не будет брутфорсить пароли, считать хеши, и заниматься прочей красноглазой ерундой.

4.2, mimikatz встроен в половину малваре.

Сменят пароль через почту, да и все.

А доступ к почте как получат?

Или даже не через почту, а через редирект на то место кода, где меняется этот пароль.

Что я сейчас прочитал? Как ты собрался делать редирект на место в коде IAM, на пример, aws?

Ты поди думаешь что кулхацкеры хачат MD5, sha256 и прочие страшные слова на суперкомпьютерах под управлением юникс в терминале с зеленым шрифтом на черном фоне ? Расслабься. Они сначала сгенерят хеш для пароля «123» у себя, заинсертят результат в БД ломаемого сервера, и спокойно зайдут под аккаунт с этим паролем. Ну ты как маленький, чесслово.

Ты же сможешь дать ссылку на более-менее техническое описание такой атаки?

Ты всерьёз её озвучиваешь, или просто ищешь оправдания своей лени, чтобы не заморачиваться и не шифровать важные данные?

Я вбрасываю. Так-то я с облаками не дружу, и диски даже на домашнем аппарате шифрую.

Отменяет. Если платформа построена так, что сотрудник провайдера может получить доступ к данным виртуалок, то провайдер не пройдет аудит PCI DSS.

С этим спорить не буду, с администрированием облаков не сталкивался (со стороны хостинг-провайдера разумеется).

Во-первых, это проблема отсутствия хэширования, если у тебя пароли хранятся в открытом виде.

Это проблема проверки валидности пароля в коде. Неважно как он записан, важна строчка которая возвращает условное «true» если введенный пароль правильный.

А доступ к почте как получат?

update users set email='caverat@gmail.com' where user=‘username_what_im_hacking’ limit 1;

Ты же сможешь дать ссылку на более-менее техническое описание такой атаки?

Лень искать, честно. Раньше так ресетили пароли для Вордпресса или Джумлы до того дня как в phpmyadmin (или mysql) была введена функция md5. По интернету гулял хеш заведомо известного пароля, который можно было вставить напрямую и получить доступ к admin’у.

Ссылка не нужна - это вполне логичный способ сбросить пароль имея доступ к БД.

Бородоликий вообще против аренды компьютерных ресурсов. Все так. Иначе - аренда квартиры, аренда машины, аренда облаков, аренда игорей, аренда женщин. И по факту через 30 лет у тебя ничего своего нет.

Это проблема проверки валидности пароля в коде. Неважно как он записан, важна строчка которая возвращает условное «true» если введенный пароль правильный.

Ну смотри. Вот есть у меня в IAM проверка пароля. Расскажи мне, что и куда ты будешь вставлять?

update users set email='caverat@gmail.com' where user=‘username_what_im_hacking’ limit 1;

А доступ к БД ты как получил?

Лень искать, честно. Раньше так ресетили пароли для Вордпресса или Джумлы до того дня как в phpmyadmin (или mysql) была введена функция md5. По интернету гулял хеш заведомо известного пароля, который можно было вставить напрямую и получить доступ к admin’у.

Охотно верю, что в вордпрессе и жумле таки были такие уязвимости. Так-то, в оракле было что-то подобное.

Ссылка не нужна - это вполне логичный способ сбросить пароль имея доступ к БД.

Как-то дофига условий - и БД торчит в интернеты, и права на чтение/запись есть.

Причём здесь вообще облака-то? Разупоритесь, сир.

В одной там стране вламываются в дом и изымают всю электронику просто, чтобы жизнь испортить. А если найдут на носителях что-то, из чего можно высосать «дело», оно обязательно пройдёт в ход. Не знаю в какой стране ты живёшь, но если в той же, что и я, то без обид, но ты инфантильная маня и совсем не понимаешь, как обстоят дела здесь. Рука тянется к лицу от таких рассуждений. Это же нужно под камнем жить и совсем за новостями не следить.

Вяло, уныло. Старость — не радость. Троллимпотенция.

В одной там стране вламываются в дом и изымают всю электронику просто, чтобы жизнь испортить.

Это же нужно под камнем жить и совсем за новостями не следить.

Предполагаю, что страна зависит от выбранного новостного портала.

А физически-то у тебя данные защищены?

Не поверишь, но напильник творит чудеса.

У меня это на расстоянии одного рукопожатия происходит, никакие новостные порталы не нужны.

Паяльник, дурачок. Но нет, не творит. Если ты не в Беларуси.

Что вы об этом думаете?

Что ты не рассматриваешь самый распространённый вариант: индусы из гуглобука тупо просрали базу, и теперь фотки твоего члена лежат на форумах в торе рядом с номером твоей карты.

Не поверишь, но напильник творит чудеса.

Ага. Но вот шутники типа тебя с фетишем на напильники почему-то забывают, что ноутбук или телефон можно тупо потерять или их могут спереть в кафе/магазине/аэропорту. Хотя бы из-за этого все носители надо шифровать.

Страсти то какие. А если ни в какой движухе не учавствуешь, то трогать не будут?

Вот у меня есть сайт, условный форум. Допустим в сеть утечет база данных пользователей. Васян получит возможность срать на форуме с аккаунта Петрухи. Тоже мне беда. В этом случае я даже пароли в базу буду писать в планарном виде (если конечно сам буду писать движок форума).

При таком подходе что-то серьёзное будет писаться также с допущениями, мол, тут хакер не разберётся в спагетти-коде, тут хэш можно с солью не смешивать, а там я вообще пароль к базе в коже хранить буду. Очень плохая практика, даже к домашнему проекту надо подходить серьёзно. Да, можно упрощать некоторые аспекты, но минимально.

Если у тебя сайт, хранящий тысячи кредитных карт с CVV-кодами и адресами\телефонами своих клиентов, то ты будешь вообще конченным если доверишь это облакам от дяди. Только дедик. Мало того что только дедик, так еще и СВОЙ образ системы, а не тот который тебе предлагает всякий хетзнер и ovh с троянами позволяющими менять рутовый пароль

Так не доверять облакам или дедик? Дедик тоже в облаке, на железе провайдера, а железо может иметь закладки, как мы знаем. Тогда уж дома под замком всё держать и самому всё защищать. Но вот беда, гео-распределённость не получить.

И разумеется это все надо шифровать.

Для того публичные облака и есть. Указал encryption at rest и готово, данные шифруются на уровне железа, как сервер приложений, так и база данных. Без потери производительности, если это серьёзный облачный провайдер.

А еще лучше продумать какой-нибудь свой хитрожопый алгоритм шифрования, ибо если хацкер получит доступ к коду, то все твои md5 и rsa будут до жопы.

Пожалуйста, забудь об этой идеей и никогда не вспоминай. Это худшее, что приходит в голову тем, кто как-либо связывается с шифрованием. Во-первых нужна хорошая математическая база, во-вторых реализовать код без ошибок.

Я вообще сторонник того, что для маломальски серьезного проекта, сервисы должны быть разделены: веб на одном, база на другом

Это не проблема даже для домашней странички. Тот же Амазон предлагает облачную БД, которая стоит сущие копейки. Веб вообще можно в S3 бакете поднять.

В общем, современные облака очень качественные и защищают в разы лучше, чем условный Виталик это сделает своими силами. Если даже финансовые корпорации продались облаку, хотя у них своих дата центров полно, то уж Виталик может вообще не задумываться о своих данных.

Весомый аргумент. И если ноутбук у меня зашифрован, то телефон защищён только нищим паролем для разблокировки. Есть какой-то популярный софт, чем Андроиды шифруют?

Если боярам сапоги будешь с чувством вылизывать, то скорее всего нет. Но вообще, от настроения бояр зависит.

Ну смотри. Вот есть у меня в IAM проверка пароля. Расскажи мне, что и куда ты будешь вставлять?

Например вставлю в код захардкоженный заведомо известный пароль вместо той конструкции, которой ты получаешь пароль из БД. На пыхе это будет звучать что-то вроде «if ($_POST[‘pass’]==‘temp123’) {логин_успешен, делаем дальше}». Суть примерно понял ?

А доступ к БД ты как получил?

Так же само как и вебсайт - из его конфига. Креды-то нешифрованные. При чем, чтобы их получить даже рут не нужен, это можно сделать любым шеллом, загруженным через любую дыру. Подобное я видел. Разумеется с доступом нечестивого админа в сервер - все еще проще будет.

Как-то дофига условий - и БД торчит в интернеты, и права на чтение/запись есть.

Ну, мы же обсуждаем не ВЗЛОМ сервера, а подразумеваем что доступ к нему уже получен, и инфу нужно защищать шифрованием.

В ведроеде есть шифрование данных из коробки. Сделай пароль посильнее.

В одной там стране вламываются в дом и изымают всю электронику просто, чтобы жизнь испортить. А если найдут на носителях что-то

Ты не понял.

Чтобы искать на носителях - как минимум нужно знать, что носители есть, и что там может быть что-то, из чего можно высосать «дело».

Вот например я - тащмайор. Ты WitcherGeralt. Вот я к тебе вломился. Откуда я могу знать, что ты к примеру хранишь свое хоум-видео в каком-нибудь облаке ? Или на флешке которая лежит у тещи твоего брата на даче ? Я мысли читать не умею. Я бы с удовольствием провел терморектальный криптоанализ, но я не знаю что искать.

Другой момент что ты сам сказал, что у тебя есть важная информация, но тогда ССЗБ.

Я могу знать что у тебя есть облако (или флешка, пофигу). Беру паяльник, несу в твоем направлении, чтобы ты мне дал туда доступ. И вот это как раз ситуация о которой я говорю. Ты мне даешь пароль к облаку, мы туда заходим, а там КОТИКИ.

Вообще посмотрел-подумал, всё, что необходимо - защитить почтовое приложение, чтобы воришка не смог сбросить пароль с сайтов через почту. Остальные пароли и так в keepassx. Ну и браузер надо как-то защитить, там ведь некоторые пароли сохранены.

Но и в этом случае до банковских данных не добраться, а дик пики никому не интересны.

Вообще посмотрел-подумал, всё, что необходимо - защитить почтовое приложение

Пин на сим-карту поставить не забудь. И не 1234 :D

Ну и браузер надо как-то защитить, там ведь некоторые пароли сохранены.

Не делай так. Если используешь менеджер паролей, используй его до конца.

Начну с конца, ОК?

Ну, мы же обсуждаем не ВЗЛОМ сервера, а подразумеваем что доступ к нему уже получен, и инфу нужно защищать шифрованием.

Тогда мы обсуждаем что-то очень разное.

Например вставлю в код захардкоженный заведомо известный пароль вместо той конструкции, которой ты получаешь пароль из БД. На пыхе это будет звучать что-то вроде «if ($_POST[‘pass’]==‘temp123’) {логин_успешен, делаем дальше}». Суть примерно понял ?

Поправь мне, если я где-то ошибся, но получается, что тебе надо:

• войти на атакуемый сервер

• заменить код приложения

• авось еще и рестартануть сервис

Так же само как и вебсайт - из его конфига. Креды-то нешифрованные.

Допустим.

При чем, чтобы их получить даже рут не нужен, это можно сделать любым шеллом, загруженным через любую дыру.

Ну, если у тебя на конфиги стоит 777 - то да.

Разумеется с доступом нечестивого админа в сервер - все еще проще будет.

Только при условии, что у админа есть доступ к БД. Такое тоже совершенно не обязательно.

Был бы ты майором ты бы не задумывался над вопросами, чего там у меня есть, а чего нет. Просто забрал бы все десктопы, телефоны, ноутбуки, планшеты, внешние винты и флешки. А есть там что-то или нет, дело уже третье. Если есть, то хорошо, если нет, то и ладно.

Кому и паяльник напильник

Слышь, да, допустим у меня ключик от твоего лакса есть, чо делать будешь, а?

Ну, самое главное, что оппозиция победила в интернете, а все остальное вторично.

От чего, пардон?

LUKS, ну или чего ты там для шифрования носителей используешь.

Выше был сарказм, если что. Смешок в сторону твоего оппонента.

Делать «пароль на андроиде посильнее» это примерно как делать пароль на облаке посильнее, с целью обезопасить свои нешифрованные облачные данные от владельца облака.

А, сорян =)

Ну, тогда я меняю ключики и вообще настраиваю ротацию =)

По ссылке полное шифрование от корня.