Вход | Регистрация
 
О жизни... :: Как страшно жить

OFF: Имеет ли смысл прятать данные в заграничных дата-центрах?

OFF: Имеет ли смысл прятать данные в заграничных дата-центрах?
Я
   shulerr
 
28.06.21 - 16:00
Здравствуйте, уважаемые господа). Поступил тут один весьма скользкий вопрос или даже заказ от клиента. Есть у него база 1С и хочет он, максимально её обезопасить. Не только от мамкиных и прочих хакеров, но и от тех,кто может прислать запрос в дата-центр о предоставлении каких-нибудь данных, которые потребуют выдачи базы 1С или виртуалки целиком или еще чего-нибудь, что не хотелось бы отдавать в чужие руки. Не знаю как это происходит, но клиент говорит, что вероятность такого разворота событий есть.

1. Держать сервера в физической доступности смысла, я так понимаю, нет? Даже если на чердаке, даже если зашифровать там всё, в том числе трафик, придут и заберут что нужно пока включены сервера ("там ведь тоже не дураки сидят!"). Или есть способы?
2. Если убрать в облако на территории РФ, забрать будет еще проще. Даже ходить к ним не надо. Или нет?
3. Остается только арендовать виртуалку где-нибудь в Польше ну или там, откуда не выдают данные. Но тут у всех, кого бы я не находил есть представительства в РФ. Соответственно, всякий смысл теряется.

Кто как выходил из ситуации? Или это только у моих возникла такая и мне нужно бежать быстрее от них не оглядываясь? Может кто ссылочку посоветует на дата-центр где-нибудь в Амстердаме?
   Souvenire
 
1 - 28.06.21 - 16:06
Тут не хватает песни про мамонтенка.
   Фрэнки
 
2 - 28.06.21 - 16:08
как только будет выдана ссылочка - ветка мгновенно станет рекламной
   Фрэнки
 
3 - 28.06.21 - 16:09
И при том, что миста прекрасно индексируется поисковиками, выдавать такие ссылки публично крайне неосторожное поведение
   Fragster
 
4 - 28.06.21 - 16:09
   Fragster
 
5 - 28.06.21 - 16:09
(3) какие? гугла на windows server dedicated server хостинги?
   yzimin
 
6 - 28.06.21 - 16:11
Купить сервер на юр.лицо, разместить в дата центре как физ лицо не будет безопасным?
   Ёпрст
 
7 - 28.06.21 - 16:11
(0) Ну на амазоне арендуй место, делов то..
   Фрэнки
 
8 - 28.06.21 - 16:13
(5) но ссылки из гугла он бы и без мисты нагуглил :-)
   shulerr
 
9 - 28.06.21 - 16:13
(6) пишется запрос в дата-центр -> сервер изымают
(7) пишется запрос в представительство в РФ -> данные изымают без уведомления заказчика
   shulerr
 
10 - 28.06.21 - 16:15
(8) да. Как и статью из (4)
Походу, клиент её тоже нагуглил прежде чем мне звонить
   Вафель
 
11 - 28.06.21 - 16:18
Ну так полно заграничных хостингов. В чем вопрос то?
   Biker
 
12 - 28.06.21 - 16:20
(9) шифрани партицию
   Резак
 
13 - 28.06.21 - 16:23
(0) У нас сервер с секретными данными держали в замаскированном контейнере удаленно от офиса. На вид это обычный контейнер, в которых перевозят грузы по железной дороге или по воде, или хранят всякий хлам, невзрачный снаружи. Внутри он утеплен, отделан, стоит кондиционер, отопление, противопожарная система, серверное оборудование. Сисадмин иногда ездил настраивать сервер в этот контейнер, закрывался там, и спал. Продаются уже готовые с отделкой и прочим, остается только сервер установить.
По желанию можно установить систему уничтожения данных.
   shulerr
 
14 - 28.06.21 - 16:29
(11) вопрос, товарищ майор, в первом посте. Заключается в том, что не удается найти заграничный хостинг, который не выдал бы, в случае чего, данные, которые там размещены. А у большинства хостингов есть представительства в РФ, которые выдают данные даже если сервер утановят на луне.
(12) шифрованные диски имеют смысл только когда компьютер выключен. Пока он работает, можно посмотреть в монитор, воткнуть флешку и взять с него всё, что нужно. В том числе образ этой партиции в незашифрованном виде.
(13) там же белый ip. Провайдер выдаст физический адрес
   shulerr
 
15 - 28.06.21 - 16:31
(13) система уничтожения данных это как лечить насморк топором
   Biker
 
16 - 28.06.21 - 16:33
(14) да ладно ? это как ты сможешь посмотреть ? или ты с консоли рутом (админом) логинишся и так и сидишь постоянно?
   Злопчинский
 
17 - 28.06.21 - 16:34
Я думаю, что если дойдет дело до КОВЫРЯНИЯ В БАЗАХ - то еще раньше всю нужную инфу сдадут сотрудники/ответственные лица
   Chai Nic
 
18 - 28.06.21 - 16:35
(0) Слышал историю, когда сервером работал мощный ноутбук с вайфаем из припаркованной у офиса газельки. В случае чего газелька уезжала в неизвестном направлении)
   shulerr
 
19 - 28.06.21 - 16:37
(16) я не знаю как. Знаю точно, что можно
   Biker
 
20 - 28.06.21 - 16:38
(17) как правило ларьки так паранойят , Неуловимый Джо
   Biker
 
21 - 28.06.21 - 16:40
(19) а хоть на какой системе?
   VladZ
 
22 - 28.06.21 - 16:41
(0) Что такого интересного в этой базе, что нужно так озадачиваться?
Коллекция личного п0рн0?
   Tatitutu
 
23 - 28.06.21 - 16:41
(0) смешной)))

От такого дешифратора, что делать будешь?
https://arsenal007.ru/upload/iblock/926/elektropayalnik-s-derevyannoy-rukoyatkoy-65vt-art-55407-65.jpg

А по факту обратиться к специалисту
   shulerr
 
24 - 28.06.21 - 16:42
(17) (23) ну это меня, как 1Сника вообще не касается кто там что кому сдаст)). Придут ко мне с корочкой - я сдам. О чем клиент уведомлен в первую очередь.
   Tatitutu
 
25 - 28.06.21 - 16:44
Это из серии пришел лейтант в отдел "ж"
Ему руководитель - ну ка найди все левые базы черных диллеров
- а как? - думай!!!
И тут тема новая - братья, а как и где вы свои левые базы шкерите?
Спасибо
   shulerr
 
26 - 28.06.21 - 16:45
(21) да на любой. Всякие swapы и файлы подкачки. Что в windows, что в linux они есть. Я не знаю как это делается, повторюсь, но есть куча историй про хакеров, которых ловят с открытым ноутом специально)
   shulerr
 
27 - 28.06.21 - 16:47
(25) а, меня возвели в лейтенанты. Ну норм вброс был бы, согласен). Но я же ничего незаконного не прошу тут выложить мне. А еще, загляни, когда я зарегистрировался на этом форуме. Как минимум майором был бы уже, а не лейтенантом
   Biker
 
28 - 28.06.21 - 16:48
(26) там не заморачиваются, а крипторектальный анализатор используют
   Бешеный заяц
 
29 - 28.06.21 - 16:51
(18) у нас так было, снимали однокомнатную хату там несколько серверов и админ, что за хата где находится некто не знал. Админу запрещалось появляется в офисе от слова совсем. Кто был в теме запрещалось посещать хату (а знал только собственник). Контора алкоголем занималась, было это лет 15 назад.
   shulerr
 
30 - 28.06.21 - 16:53
(28) тоже так думаю. Какая разница, где данные, если человек вот сидит? Но человек очень просит)
 
 
   Бешеный заяц
 
31 - 28.06.21 - 16:54
(29) да и самое главное хату таки спалили и пришли. По мимо собственника еще люди знали которые раскололись как только появилась угроза что им прищемят "одно место"
   shulerr
 
32 - 28.06.21 - 16:54
(29) так можно бухгалтера спрятать, тоже видел такое. Это потому что к буху не подключен провод, другой конец которого торчит в железке провайдера с логами
   Tatitutu
 
33 - 28.06.21 - 16:54
(27) не льсти себе)
Это шутка была.
Хотя личное дело смотрел ваше.


Вариантов очень много - главное понять конечную цель.
Знаю контору в которой категорически запрещено делать бекапы и где база хз, при слете уходит до 2 дней на восстановление.. Это стресс
   lodger
 
34 - 28.06.21 - 16:57
(0) "Но тут у всех, кого бы я не находил есть представительства в РФ".
а ты попробуй запустить запрос к гугл в режиме инкогнито под vpn в Зимбабве.
   acht
 
35 - 28.06.21 - 17:04
   shulerr
 
36 - 28.06.21 - 17:12
(35) очень похоже, что они типа того уже что-то провернули и теперь вприпрыжку бегут от преследователей
   shulerr
 
37 - 28.06.21 - 17:14
(34) Кстати,да. Спасибо, поищу через какой-нибудь VPN
   d_monah
 
38 - 28.06.21 - 17:14
(30) Слупи с него 500К,поставь сервер дома и не парься,разницы нет.Как правильно товарищи заявили, ректальный дешифратор наше все.Да и он не нужен,когда придут,хозяин сам все расскажет,и еще будет торопить полицаев побымтрее ручку и бумагу выдать.Паранойя.
   d_monah
 
39 - 28.06.21 - 17:15
Если по теме,снимали помешение в соседнем здании напротив и вайфаем лупили
   RetardedToBoot
 
40 - 28.06.21 - 17:15
(0) за исключением случая (23) в остальном делается не сложно.

Ставится линукс с зашифрованным диском. На линуксе пароль, и на диске пароль. А внутри в виртуалке крутится виндовс. Хотя можно и сразу виндовс в зашифрованный трукриптой, но там я деталей не знаю.

Если серв будет изыматься, то с него ничего скопировать не смогут. И если придут пока включен, так же ничего не смогут скопировать.

Ну и бакапы зашифрованные, которые за 10 минут можно развернуть в рабочий сервер.
   shulerr
 
41 - 28.06.21 - 17:23
"на нем пароль" еще не панацея от всего. С шифрованных дисков снимают данные, если комп в момент этот момент работал. Может не с дисков, я не знаю. SQL вот держит базу в оперативке. Может ее можно оттуда слить.. Я не знаю как это работает и уверен, что гарантий тут на этот счет никто дать не сможет. Хотя бы сопоставимых с серваком в Амстердаме)
   Резак
 
42 - 28.06.21 - 17:23
(14) Не обязательно белый IP, может быть локальная сеть или VPN с серым IP. Так же интернет для контейнера может быть зарегистрирован на стороннее частное лицо.
   RetardedToBoot
 
43 - 28.06.21 - 17:27
(41) а как ты до операционки доберешься? Это не пользовательский комп с распахнутым десктопом. Втыкаешь в него моник, а он тебе "Введите password". Опера сразу, ну пакуйте, у нас там разберутся. А там после перезагрузки уже попросит целых два пассворда.
   RetardedToBoot
 
44 - 28.06.21 - 17:28
+ а что бы с зашифрованных дисков не могли расшифровать, так это пароли нужно делать правильные.
   RetardedToBoot
 
45 - 28.06.21 - 17:30
+ этот пароль на диск нужно вводить раз в пол года, можно и на 50 символов намудрить, разбитый на 5 сегментов, знаемые 5 сотрудниками, а целый что бы никто не знал.
   shulerr
 
46 - 28.06.21 - 17:31
(43) могут быть и другие опера, которые знают про трукрипт и не будут ничего паковать. Думаю, что существуют даже такие опера, которым кроме паяльника выдают еще и спецноут или спецфлешку на случай возникновения подобных ситуаций
   1Сергей
 
47 - 28.06.21 - 17:32
следующая тема будет "Приехали маскишоу. Что делать?" ?
   shulerr
 
48 - 28.06.21 - 17:32
46+ или даже спецспециалиста по таким вещам, который будет гораздо умнее меня и софт у него будет гораздо продвинутее, чем моя убуна
   RetardedToBoot
 
49 - 28.06.21 - 17:33
(46) можно предположить, что ты с линуксом не работал. Никакой юсб устройство не поможет.

(47) ничего не делать. Сотрудников в отпуск оптавляешь и все. С сервером ничего не смогут сделать при описаной мной схеме.
   1Сергей
 
50 - 28.06.21 - 17:35
(49) меня просто сам факт появления подобных веток тут забавляет
   shulerr
 
51 - 28.06.21 - 17:35
(49) с линуксом работал немного. А вот с операми бог миловал
   RetardedToBoot
 
52 - 28.06.21 - 17:35
Единственные варианты которые может быть могут существовать, это в какой-нибудь отладочный разъем на плате подключать провода что бы копировать память с работающего компа. Но я таких схем не знаю.
   shulerr
 
53 - 28.06.21 - 17:44
(52) давай вставать на место опера. Что бы ты делал? Я бы, если не смог получить доступ к серверу на месте, вызвал кого поумнее, чтобы тот получил доступ. Или посильнее, чтобы тот с помощью паяльника решил вопрос. Те в свою очередь сделают тоже самое. И так, пока не найдется шибко умный или шибко сильный условный опер. Тут остается вопрос трудозатрат.
И моя задача тут сделать так, чтобы долбить сервер было гораздо дороже/дольше/труднее, чем воспользоваться паяльником прямо здесь и сейчас. На счет масок-шоу и всех остальных пусть голова болит у тех, кто умеет эти вопросы решать. При чем тут вообще 1Сник?)
   Резак
 
54 - 28.06.21 - 17:44
(46) Ну перезагрузи сервер удаленно, делов-то. Или выруби питание вообще.
   RetardedToBoot
 
55 - 28.06.21 - 17:45
Самое интересное, что схема довольно таки простая. Кто спрашивал, я описывал, но ставить себе так и не ставили. После к кому-нибудь бывало приходили, забирали компы, бывало по мелочевке. Снова поднимался вопрос, снова я рассказывал как можно сделать, но все равно так никто при мне таких и не обзавелся..
   Резак
 
56 - 28.06.21 - 17:47
Самый лучший способ сделать как я писал. Мы этот вопрос в компании довольно долго изучали, и с разными людьми обсуждали. Лучше всего сделать чтобы никто не знал вообще о существовании секретного сервера, тогда опера и паяльник не будут применять. Пусть забирают липовый сервер, на котором все бело и пушисто, и пароли от него получат при первом же требовании. Так проблем реально меньше.
   RetardedToBoot
 
57 - 28.06.21 - 17:48
(53) паяльник никто не применяет. В первую ходку придут и заберут какие найдут компы, которые заподозрят в наличии инфы. На месте ковырять не будут. И уже в следующий раз, возможно будут поумней и придут с более умными людьми, которые будут пытаться на месте разобраться, но я такого не видел. Такие спецы слишком дороги.
   RetardedToBoot
 
58 - 28.06.21 - 17:49
(56) его нужно поддерживать в актуальном состоянии. Кто будет тратить на это время?
   RetardedToBoot
 
59 - 28.06.21 - 17:50
+ базы там белые держать? Это главбуху скажи, они даже белые не захотят отдавать.
   RetardedToBoot
 
60 - 28.06.21 - 17:52
+ у нас же не нарушения ищут, хотя и это с удовольствием. У нас повод ищут. Я несколько раз видел, что организации очень дорого судились за свою белую бухгалтерию.
 
 
   Biker
 
61 - 28.06.21 - 17:53
(53) кино насмотрелся, опер тебе статью рисует любую и в сизо, а там рассказывает про преступную группу, 5 лет зоны и тд и тп, родственники в это время тебе на адвоката собирают, а твой работодатель свалил на украину.
   shulerr
 
62 - 28.06.21 - 17:55
(61) ну это и есть условный паяльник
   kumena
 
63 - 28.06.21 - 17:59
Макафи тоже видимо налоги не платил, и смыться за границу хотел.
   Garikk
 
64 - 28.06.21 - 18:07
(14) <Пока он работает, можно посмотреть в монитор, воткнуть флешку и взять с него всё, что нужно. В том числе образ этой партиции в незашифрованном виде. >

ну прямотаки, если заморочится то ниче не будет, есть специальные девайсы которые хранять ключи в себе, экран блокируется при ошибке ввода пароля, при подключении флешки (вообще при любом нетиповом действии) ключ дропается, комп падает в синий экран...и ..и все
   Biker
 
65 - 28.06.21 - 18:16
(64) да можно вообще консоль убрать, и будет как в анекдоте про колобка
   RetardedToBoot
 
66 - 28.06.21 - 18:19
(64) это все лишнее и избыточное.
   shulerr
 
67 - 28.06.21 - 19:53
(52) Погуглил тему выдирания баз из оперативки. На ютубе есть видос, где криминалист рассказывает про спец флешку.
Смысл такой. Сейчас оперативная память при хард резете очищается не полностью (да, вся не успевает, часть остаётся). Флешка позволяет выдрать из памяти ключи шифрования от дисков. Ну а потом их расшифровать, сняв образ.
Как тебе?
   Резак
 
68 - 28.06.21 - 19:56
(58) Работники, одинесники, и сисадмин, очевидно. У вас на нем что крутится, например?
У нас почта, домен, терминал, 1С, сайт, телефония, и прочие мелочи.
   shulerr
 
69 - 28.06.21 - 19:57
Последние маки прикрыли это. Остальное с вероятностью 1/3 примерно ломается, говорят. Это первый ролик. Наверное есть ещё. Много
   Резак
 
70 - 28.06.21 - 19:58
(63) Он сделал очень хреновый антивирус.
   Biker
 
71 - 28.06.21 - 20:05
(67) дай угадаю, он торгует этими флешками =) это первое
а второе, а куда его флешка грузится ? =)
перехват в памяти возможен между вм , и от этого есть e amd  SME
   brainguard
 
72 - 28.06.21 - 20:14
(56) Что знают двое, то знает и свинья
   shulerr
 
73 - 28.06.21 - 20:16
(71) покупали, говорит
   ДедМорроз
 
74 - 28.06.21 - 20:17
Вы где-нить видели,чтобы изыиали сервера и реально на них что-то находили.
Если будет повод,то изымают все железо в офисе и ждут,когда руководство пойдет договариваться.
И опять же,база 1с не является подтверждением каких-либо операций,а может быть только основанием для встречной проверки и дальнейшего расследования.
Опять же,хранение данных клиентов на зарубежном хостинге - это нарушение закона.
Если очень хочется,на харубежном сервере можно хранить зашифрованные бэкапы,во-первых,их без ключа никто не расшифрует,во-вторых,никто не будет интересоваться их наличием.

А сервер можно ставить в шкаф с контролем вскрытия,и держать всю важную информацию в ОЗУ,тогда при вскрытии она очень быстро может быть очищена в отличии от дисков.
При этом,вы также можете проверяющим выкатить претензию,что они сломали сервер.
   Резак
 
75 - 28.06.21 - 20:24
У нас хранили на секретном сервере как минимум почту отдела закупа, где они с поставщиками переписывались.
   ДедМорроз
 
76 - 28.06.21 - 20:26
И еще,у нас не америка.
У вас заберут сервер,как бы для изучения,но его никто включать не будет,а потом предъявят "результаты изучения", где куча незаконных операций и т.п.
А потом уже ген.диру доказывать,что он не верблюд.
   HawkEye
 
77 - 28.06.21 - 20:28
(0) если забраться в облако РФ, забрать будет совсем не проще... и если уж заберут из облака РФ расположенного в другом регионе, то дальше можно уже не париться ))))
   stopa85
 
78 - 28.06.21 - 20:31
Если сервер физический и близко - шифровать диск. Чтоб при загрузке пароль просил. Только пароль должен знать не админ, а тот кому эта инфа реально дорога.

Если север заграницей... то вроде были какие-то изменения (а может просто планы) согласно которым если следствие получит доступ к серверу находящемуся за границей оно все равно сможет использовать инфу с него как доказательства. По такой схеме штаты работают, вот и наши собрались.
   shulerr
 
79 - 28.06.21 - 20:48
(77) почему?
   vovastar
 
80 - 28.06.21 - 21:28
Было один раз так. Гл. бух, при виде удостоверения, сразу сказала "А вы знаете?". Раскрыла все, дала доступы везде. Пацаны, которые приезжали, грузя в чемодан 30 млн рублей, сказали, что ехали они, ну думали им пару тройку млн перепадет, но на такой куш они не рассчитывали....
   Bigbro
 
81 - 29.06.21 - 04:25
деталей не помню, на хабре была статья насчет того где хоститься.
вроде там речь шла о Нидерландах. при этом желательно не от юрлица из России, а от какой то забугорной компании чтобы осложнить органам получение доступа.
поищите, там много деталей было как весь процесс происходит, и что органы в любом случае могут получить доступ, только есть комбинации, когда этот процесс для них крайне геморройный и по статистике редко добираются.
но повторюсь - если реально надо, то достанут с любого провайдера. механизмы все есть.
если всерьез заниматься вопросом я бы рассматривал цепочку серверов в разной юрисдикции, которая меняется чаще, чем прогнозируемое время получения всех необходимых разрешений на доступ и собственно чтения данных. оценки времени примерно известны.
   Bigbro
 
82 - 29.06.21 - 04:27
насколько удобно и надежно будет работать когда у тебя доступ через 3-4 промежуточных сервера, которые меняются грубо говоря каждый месяц...
вопрос отдельный.
   Kongo2019
 
83 - 29.06.21 - 08:20
(0) Интересно. А что сейчас можно спрятать? Данные сливаются уже практически в онлайне. Кассы пишут каждый чек. Ваши контрагенты сдают отчетность, и если вы шото спрячите так налоговая сразу объяснение требует. Сами же сдаем куча отчетности. Всякие там маркировки, ЕГАИСЫ, отслеживаемые товары, Меркурий, ВЕТИС, та блин куча всего.

Лет 20 назад я этой фигней страдал. Но тогда данные прятали скорое от наездов конкурентов. Так в тетрадке вести неудобно, а маски-шоу по заказу было дело хорошо развитое. Но там цель была либо на деньги бизнес развести, либо отжать.
   Kongo2019
 
84 - 29.06.21 - 08:27
(74) Ну у меня два года назад изымали. Что-то там мудрый директор, ну привыкли они там при Украине вопросы "решать" забыл из налогов заплатить. Заплатили, вернули. Еще потом возмущался, а че я его отдал-то, а я что герой что-ли? До сих пор как в городе встречаемся демонстративно отворачивается. Он еще меня пытался на деньги кинуть, но тут я уже сказал что у меня и бекапы есть.
   mistеr
 
85 - 29.06.21 - 09:06
(9) Ты немного не в теме.

Представительство хостера в РФ нужно для того, чтобы принимать деньги и платить налоги. Никаких полномочий и даже технической возможности "выдать данные" у него нет (если нет серверов на территории РФ).

Если сервер с данными находится на территории США (или другой страты, где работают по закону, а не по понятиям), то "выдать данные" хостер может только по постановлению суда (называется subpoena). И не российского, а родного. В суде нужно будет обосновать свои подозрения. Именно поэтому продавливают требование хранить данные на территории РФ.

Так что зарубежный хостинг это вполне вариант. В таком варианте самым слабым звеном становится бухгалтер, который имеет доступ к данным.
   shulerr
 
86 - 29.06.21 - 09:16
(85) да, я не сталкивался с таким. А что будет, если придёт запрос в представительство?
   mistеr
 
87 - 29.06.21 - 09:20
(86) Придет ответ "у нас никаких данных нет, обращайтесь в головной офис по адресу ..."
   mistеr
 
88 - 29.06.21 - 09:20
(87) Если запросят данные о договорах, платежах, то конечно дадут.
   shulerr
 
89 - 29.06.21 - 09:50
Ок. Большое искреннее всем спасибо. Попробуем поспрашивать теперь у самих хостеров


Список тем форума
 
Здесь можно обсудить любую тему при этом оставаясь на форуме для 1Сников, который нужен для работы. Ymryn
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.