Mozilla InvestiGator
Mozilla InvestiGator: MIG
CyberPunk  Administração de Sistemas
Mozilla InvestiGator
A plataforma de pesquisa e perĂcia digital em tempo real da Mozilla
O MIG Ê uma plataforma para realizar cirurgias investigativas em endpoints remotos. Permite aos investigadores obter informaçþes de um grande número de sistemas em paralelo, acelerando assim a investigação de incidentes.
AlÊm da escalabilidade, o MIG foi projetado para fornecer primitivas de segurança fortes:
- O controle de acesso ĂŠ assegurado ao exigir assinaturas GPG em todas as açþes. Açþes sensĂveis tambĂŠm podem solicitar assinaturas de vĂĄrios pesquisadores. Um invasor que assumir o servidor central serĂĄ capaz de ler dados nĂŁo-sensĂveis, mas nĂŁo serĂĄ capaz de enviar açþes aos agentes. As chaves GPG sĂŁo guardadas com segurança pelos seus investigadores.
- Privacidade ĂŠ respeitada por nĂŁo recuperar dados brutos de endpoints. Quando o MIG ĂŠ executado em laptops ou telefones, os usuĂĄrios finais podem solicitar relatĂłrios sobre as operaçþes executadas em seus dispositivos. A regra de 2 homens para açþes sensĂveis tambĂŠm impede que os invasores invasores invadam a privacidade.
- A confiabilidade ĂŠ construĂda . Nenhum componente ĂŠ crĂtico. Se um agente falhar, ele tentarĂĄ recuperar e se reconectar Ă plataforma indefinidamente. Se a plataforma falhar, uma nova plataforma pode ser reconstruĂda rapidamente sem backups.
O MIG privilegia um modelo onde a solicitação de informaçþes a partir de pontos de extremidade Ê råpida e simples. Ele não tenta gravar tudo o tempo todo. Em vez disso, assume que quando uma informação Ê necessåria, serå fåcil recuperå-la.
Ă um exĂŠrcito de Sherlock Holmes, pronto para interrogar sua rede dentro de milissegundos.
O MIG ĂŠ construĂdo em Go e usa uma API REST que recebe mensagens JSON assinadas distribuĂdas aos agentes via RabbitMQ e armazenadas em um banco de dados Postgres.
Isto ĂŠ:
- Massivamente DistribuĂdo significa Fast.
- Simples de implantar e Cross-Platform.
- Protegido usando OpenPGP.
- Respeito Ă privacidade por nunca recuperar dados brutos dos pontos de extremidade.
Os agentes MIG foram projetados para serem leves, seguros e fåceis de implantar, de modo que você possa pedir aos administradores de sistema favoritos que os adicionem a uma implantação båsica sem medo de quebrar toda a rede de produção. Todos os parâmetros são incorporados ao agente em tempo de compilação, incluindo a lista e ACLs de investigadores autorizados. A segurança Ê reforçada usando chaves PGP, e mesmo se os servidores MIG estiverem comprometidos, enquanto nossas chaves estiverem seguras no laptop do seu investigador, ninguÊm invadirå os agentes.
MIG ĂŠ projetado para ser rĂĄpido e assĂncrono. Ele usa AMQP para distribuir açþes para nĂłs de extremidade e depende de canais Go para impedir que os componentes sejam bloqueados. As açþes e comandos em execução sĂŁo armazenados em um banco de dados Postgresql e em cache de disco, de modo que a confiabilidade da plataforma nĂŁo depende de processos de longa duração.
A velocidade Ê uma exigência forte. A maioria das açþes levarå apenas algumas centenas de milissegundos para serem executadas em agentes. Maiores, por exemplo, ao procurar um hash em um diretório grande, deve ser executado em menos de um minuto ou dois. Tudo somado, uma investigação geralmente termina entre 10 e 300 segundos.
Privacidade e segurança são primordiais. Os agentes nunca enviam dados brutos de volta para a plataforma, mas apenas respondem a perguntas. Todas as açþes são assinadas por chaves GPG que não são armazenadas na plataforma, impedindo assim um compromisso de assumir toda a infra-estrutura.
ComentĂĄrios
Postar um comentĂĄrio