Mozilla InvestiGator
Mozilla InvestiGator: MIG
Mozilla InvestiGator
A plataforma de pesquisa e perícia digital em tempo real da Mozilla
O MIG é uma plataforma para realizar cirurgias investigativas em endpoints remotos. Permite aos investigadores obter informações de um grande número de sistemas em paralelo, acelerando assim a investigação de incidentes.
Além da escalabilidade, o MIG foi projetado para fornecer primitivas de segurança fortes:
- O controle de acesso é assegurado ao exigir assinaturas GPG em todas as ações. Ações sensíveis também podem solicitar assinaturas de vários pesquisadores. Um invasor que assumir o servidor central será capaz de ler dados não-sensíveis, mas não será capaz de enviar ações aos agentes. As chaves GPG são guardadas com segurança pelos seus investigadores.
- Privacidade é respeitada por não recuperar dados brutos de endpoints. Quando o MIG é executado em laptops ou telefones, os usuários finais podem solicitar relatórios sobre as operações executadas em seus dispositivos. A regra de 2 homens para ações sensíveis também impede que os invasores invasores invadam a privacidade.
- A confiabilidade é construída . Nenhum componente é crítico. Se um agente falhar, ele tentará recuperar e se reconectar à plataforma indefinidamente. Se a plataforma falhar, uma nova plataforma pode ser reconstruída rapidamente sem backups.
O MIG privilegia um modelo onde a solicitação de informações a partir de pontos de extremidade é rápida e simples. Ele não tenta gravar tudo o tempo todo. Em vez disso, assume que quando uma informação é necessária, será fácil recuperá-la.
É um exército de Sherlock Holmes, pronto para interrogar sua rede dentro de milissegundos.
O MIG é construído em Go e usa uma API REST que recebe mensagens JSON assinadas distribuídas aos agentes via RabbitMQ e armazenadas em um banco de dados Postgres.
Isto é:
- Massivamente Distribuído significa Fast.
- Simples de implantar e Cross-Platform.
- Protegido usando OpenPGP.
- Respeito à privacidade por nunca recuperar dados brutos dos pontos de extremidade.
Os agentes MIG foram projetados para serem leves, seguros e fáceis de implantar, de modo que você possa pedir aos administradores de sistema favoritos que os adicionem a uma implantação básica sem medo de quebrar toda a rede de produção. Todos os parâmetros são incorporados ao agente em tempo de compilação, incluindo a lista e ACLs de investigadores autorizados. A segurança é reforçada usando chaves PGP, e mesmo se os servidores MIG estiverem comprometidos, enquanto nossas chaves estiverem seguras no laptop do seu investigador, ninguém invadirá os agentes.
MIG é projetado para ser rápido e assíncrono. Ele usa AMQP para distribuir ações para nós de extremidade e depende de canais Go para impedir que os componentes sejam bloqueados. As ações e comandos em execução são armazenados em um banco de dados Postgresql e em cache de disco, de modo que a confiabilidade da plataforma não depende de processos de longa duração.
A velocidade é uma exigência forte. A maioria das ações levará apenas algumas centenas de milissegundos para serem executadas em agentes. Maiores, por exemplo, ao procurar um hash em um diretório grande, deve ser executado em menos de um minuto ou dois. Tudo somado, uma investigação geralmente termina entre 10 e 300 segundos.
Privacidade e segurança são primordiais. Os agentes nunca enviam dados brutos de volta para a plataforma, mas apenas respondem a perguntas. Todas as ações são assinadas por chaves GPG que não são armazenadas na plataforma, impedindo assim um compromisso de assumir toda a infra-estrutura.
Comentários
Postar um comentário