• Может ли облачный провайдер обойти защиту клиента на своем ресурсе?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    //COPY01 EXEC PGM=IEBGENER
    Хоть десять дополнительных уровней защиты. Хостер может в любой момент снять снапшот виртуалки и потрошить ее так, как ему угодно. Все будет зависеть от того, насколько там ценная информация (с его точки зрения). Вы не видите состояние "сервера", или точнее говоря доверяете тем "датчикам", которые от хостера.
    Ничто не мешает хостеру менять значение чего угодно на что угодно.
    Ответ написан
    Комментировать
  • Может ли облачный провайдер обойти защиту клиента на своем ресурсе?

    hint000
    @hint000
    у админа три руки
    Начните с мысленного эксперимента. Пусть это будет не VPS, а железный сервер, который физически находится в ваших руках, а некий юзер на нём что-то хостит. У юзера есть все права, а у вас нет.
    Внимание, вопрос: назовите простой способ получить несанкционированный доступ к данным юзера.
    Внимание, правильный ответ: подключить физический диск к другой системе, в которой у вас есть админские права; при этом вы получите доступ к содержимому диска.
    А теперь проведите аналогию между железным сервером и виртуальным сервером. В случае железного у вас был доступ к железу. В случае виртуального у вас не только всё ещё есть доступ к железу, но также есть доступ на уровне файловой системы хоста к файлам образов виртуальных дисков. Что ещё упрощает несанкционированный доступ - даже не надо гасить систему. Образ можно скопировать и копию смонтировать куда угодно, получить доступ внутрь образа, а значит ко всем файлам (если они не зашифрованы).

    Физический доступ всегда решает. Придумывают разные способы, которые затрудняют получение несанкционированного доступа через физический доступ. Иногда сильно затрудняют. Но 100%-надежной защиты при физическом доступе нет (мы ведь не говорим про квантовые технологии?).
    Ответ написан
    Комментировать
  • Может ли облачный провайдер обойти защиту клиента на своем ресурсе?

    @rPman
    Может!
    Хостер (у которого размещено физическое железо, на котором крутятся твоя ос или виртуальные машины) имеет возможность получить доступ даже если ты зашифровал файловую систему а пароль вводишь подключившись в initramfs по ssh при перезапуске, так как имеет возможность подменить загрузчик со своим трояном, который способен украсть ключи шифрования (это я не говорю про возможность сделать копию оперативной памяти - штатная фишка виртуальных машин и зашифрованного диска, извлечь из дампа ключи шифрования и расшифровать диск).

    С некоторыми шансами эту атаку можно сделать более сложной (сделать дороже), если использовать нетиповые технологии (например модифицированные версии ядра со своими алгоритмами контроля за оперативной памятью, проверкой работы в гипервизоре и прочее прочее), так как для этого хостеру потребуется проводить дорогой реверсинженеринг процедуры аутентификации.

    Гарантии имеются только при размещении своего личного оборудования в специальной защищенной зоне с круглосуточными камерами и в сейфе, а для обслуживания к серверу катается специальный надежный человек и визуально проверяет отсутствие несанкционированного доступа.

    p.s. и даже в этом случае нужно будет очень очень сильно доверять производителю оборудования, биоса, прошивок (например прошивки сетевой карты, m2 диска и всего что имеет доступ к pcie) и конечно же самой ос, что там нет закладок (а они там очевидно есть).

    Помним и про проприетарный софт от провайдера, который клиенты устанавливают добровольно на свои машины например для предоставляения доступа службы поддержки, управления ключами доступа ssh и управление виртуалками - этот софт по определению официально дает хостеру доступ к машине, вне зависимости от установленного способа защиты

    p.p.s. но маловероятно что подобная атака выполняется хостером для каждого клиента (хотя такой вариант не исключен, ведь инструментарий достаточно написать один раз и поддерживать его для новых версий ядер, а потом массово взламывать все машины, так как получение снапшота диска почти бесплатная процедура, почему бы и нет)

    Так вот если это не проводится на автомате с каждым клиентом, то шифрования диска со вводом пароля в момент загрузки, подключившись по IP KVM или аналогам либо в initramfs ssh либо к примеру свой гипервизор ... то твои файлы достаточно защищены (настоятельно рекомендую арендовать для таких задач физическое железо а не vps-ку и устанавливать на него свой гипервизор а задачи запускать в виртуальной машине, атака на такой конфиг тупо дороже)
    Ответ написан
    Комментировать
  • Как работать с instagram через Burp Suite?

    opium
    @opium
    Просто люблю качественно работать
    Через проверку черта палит, надо сдавать версию инсты где это отключено
    Ответ написан
    1 комментарий
  • Terraform не реагирует на изменение user_data. Что не так?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Скорее всего вот ваша проблема: https://github.com/hashicorp/terraform-provider-aw...
    если кратко: в версии 4.0 провайдера AWS для терраформа, реализовано следующее поведение: юзердату можно менять на созданном(но выключенном) инстансе и ее изменение не должно вызывать пересоздание инстанса. В документации написано что инстанс должен остановиться и стартовать, но, насколько я понимаю, у вас этого не происходит

    Предположительно, решить проблему (для триггера пересоздания ресурса) вам должно помочь добавление random ресурса https://registry.terraform.io/providers/hashicorp/... с кипером в виде результата темплейта юзердаты, и указание его в depends_on для ресурса инстанса
    Ответ написан
    Комментировать
  • Облачный Linux сервер может быть SaaS?

    @rPman
    SaaS это не про технологии, хотя косвенно из за необходимости в реализации этого от них зависят, это про тарификацию. Это форма предоставления доступа к ресурсам своих машин, порядок, протоколы, лимиты и т.п.

    Поэтому да, если ты предлагаешь кому то доступ к своей машине для выполнения каких то задач, определив за это какой то порядок оплаты и предлагаешь какое то обслуживание, например аренду и настройку по хотелкам клиента, то это уже software as a service.
    Ответ написан
    Комментировать
  • Какие уникальные параметры системы есть в linux?

    hint000
    @hint000
    у админа три руки
    Ответ написан
    Комментировать
  • Какие уникальные параметры системы есть в linux?

    @rPman
    mac адрес сетевой карты
    исторически он был создан именно для этого
    Ответ написан
    5 комментариев
  • Какие уникальные параметры системы есть в linux?

    Zoominger
    @Zoominger
    System Integrator
    Дёргайте серийный номер материнской платы.
    Можете присовокупить версию BIOS.
    Ответ написан
    2 комментария