matomo

Hvorfor fysisk sikkerhet betyr noe

David Wibergh, om Status- og åpenhetsrapporter

La oss si at du har funnet en VPN-leverandør som tilbyr alt du trenger. Tilbyderen logger ikke brukerinformasjon, internetthastigheten er fantastisk, betalingsprosessen er anonym med Bitcoin, det er et stort utvalg av IP-adresser i mange land, og den sterkeste mulige krypteringsalgoritmen brukes av leverandøren. Hva mer kan du trenge?

I virkeligheten betyr ingen av disse funksjonene noe hvis ikke leverandøren har stor fysisk sikkerhet. Med andre ord, stor programvaresikkerhet er verdiløs uten like stor fysisk sikkerhet.

For å forstå hvorfor fysisk sikkerhet er så viktig, krever det kunnskap innen dataarkitektur, som i lekmannsbetegnelser beskriver hvordan forskjellige komponenter i en datamaskin samarbeider og fungerer sammen. De interessante delene for denne artikkelen er datamaskinens minne (RAM) og harddisken (HDD).

En VPN-leverandør skal kunne tilby en god forklaring på hvordan integritet kan sikres. Å ganske enkelt si at ingen logger føres er en svak uttalelse, da den ikke spesifiserer hvilke logger som blir referert til og unnlater å nevne andre måter brukerinformasjon kan bli eksponert på.

Den optimale løsningen er å forhindre lagring av informasjon som ikke er nødvendig for å betjene tjenesten. Tjenesten må være i stand til å motstå fysiske angrep for å få tilgang til brukerinformasjon, for å forhindre at de er sårbare mot angrep.

Som du sikkert vet nå, href="/no/blog/logs-not-at-ovpn/">lagrer ikke OVPN logger på noen måte, men det er ytterligere sikkerhetstiltak vi har fått på plass dersom det verste tilfellet skulle skje: Et raid. Ved å ikke ha noen harddisker og ved å kjøre operativsystemet i RAM-minnet, kan vi sørge for at all informasjon forsvinner i løpet av få minutter etter at man har slått av en server.

Det høres bra ut, ikke sant? Men det er ikke alt. Selv om du kjører OS gjennom RAM, kan du fremdeles dumpe minnet til en enkelt fil og få tilgang til informasjonen. Innholdet i dump-filen ville inneholde sensitiv informasjon som private dekrypteringsnøkler, alle brukerne som er koblet til serveren på dette tidspunktet, og buffer- og rutingbuffer. Ettersom den private nøkkelen er gitt i denne filen, er det mulig å dekryptere nettverkstrafikken for brukere.

Heldigvis finnes det løsninger for å unngå at dette skjer. Det er her fysisk sikkerhet kommer inn. I dette tilfellet er det tre ting du bør vurdere:

  1. Forsikre deg om at bare en autorisert part kan få tilgang til serverne
  2. Fjerne DMA-porter (for eksempel Firewire, eSATA) for å forhindreDMA-angrep
  3. Kryptering av minnet medTRESOR

du sørger for at punktene 1 til 3 blir ivaretatt, er det nesten umulig å få tilgang til den midlertidige RAM-informasjonen. Vi bruker våre egne serverskap, som er låst, og bare våre autoriserte ansatte har nøkkelen. Hvis noen prøver å bryte seg inn i serverkabinettet, har vi innbruddsalarmer i datasentrene så vel som sikkerhetskameraer i alle retninger.

Siden det ikke er noen harddisker på serverne, er det ingen informasjon å finne der.
Selv om serverne blir angrepet og alle sikkerhetstiltak mislykkes, er det ingen DMA-porter å hente ut informasjonen fra. Et ColdBoot-angrep ville heller ikke være vellykket ettersom informasjonen som er lagret på RAM-en er kryptert på grunn av at CPU-registeret lagrer krypteringsnøklene.

Alle disse fysiske sikkerhetstiltakene ble installert i oktober 2014] (/en/blog/further-upgrades-of-our-infrastructure/) og har vært i drift siden den gang.

David Wibergh