In Februarie het ons 'n artikel gepubliseer "Nie 'n VPN alleen nie. 'n Cheat sheet oor hoe om jouself en jou data te beskerm. het ons aangespoor om 'n voortsetting van die artikel te skryf. Hierdie deel is 'n heeltemal onafhanklike bron van inligting, maar ons beveel steeds aan dat jy albei plasings lees.
Die nuwe pos word gewy aan die kwessie van datasekuriteit (korrespondensie, foto's, video's, dit is al) in kitsboodskappers en die toestelle self wat gebruik word om met toepassings te werk.
Boodskappe
telegram
Terug in Oktober 2018 het Wake Technical College eerstejaarstudent Nathaniel Sachi ontdek dat die Telegram-boodskapper boodskappe en medialêers op die plaaslike rekenaarskyf in duidelike teks stoor.
Die student kon toegang kry tot sy eie korrespondensie, insluitend teks en prente. Om dit te doen, het hy die toepassingsdatabasisse bestudeer wat op die HDD gestoor is. Dit het geblyk dat die data moeilik is om te lees, maar nie geïnkripteer nie. En toegang daartoe kan verkry word selfs al het die gebruiker 'n wagwoord vir die toepassing gestel.
In die ontvangde data is die name en telefoonnommers van die gespreksgenote gevind, wat, indien verlang, vergelyk kan word. Inligting van privaat geselsies word ook in duidelike teks gestoor.
Later het Durov gesê dit is nie 'n probleem nie, want as 'n aanvaller toegang tot 'n gebruiker se rekenaar het, sal hy sonder enige probleme enkripsiesleutels kan bekom en alle korrespondensie kan dekodeer. Maar baie inligtingsekuriteitskundiges voer aan dat dit steeds ernstig is.
Daarbenewens was Telegram kwesbaar vir 'n sleuteldiefstalaanval, wat Habr gebruiker. Jy kan die plaaslike kode wagwoord van enige lengte en kompleksiteit kraak.
Sover ons weet, stoor hierdie boodskapper ook data op die rekenaarskyf in ongeënkripteerde vorm. Gevolglik, as 'n aanvaller toegang tot die gebruiker se toestel het, is alle data ook oop.
Maar daar is 'n meer globale probleem. Nou word alle rugsteune van WhatsApp wat op toestelle met Android-bedryfstelsel geïnstalleer is, in Google Drive gestoor, waaroor Google en Facebook verlede jaar ooreengekom het. Maar rugsteun van korrespondensie, medialêers en dies meer . Sover mens kan oordeel, die werknemers van wetstoepassingsagentskappe van dieselfde Verenigde State , so daar is 'n moontlikheid dat die veiligheidsmagte enige gestoorde data kan bekyk.
Dit is moontlik om data te enkripteer, maar albei maatskappye doen dit nie. Miskien bloot omdat rugsteun sonder enkripsie sonder enige probleme deur gebruikers self oorgedra en gebruik kan word. Heel waarskynlik is daar geen enkripsie nie, nie omdat dit tegnies moeilik is om te implementeer nie: inteendeel, jy kan rugsteun sonder enige probleme beskerm. Die probleem is dat Google sy eie redes het om met WhatsApp te werk – die maatskappy is kwansuis en gebruik dit om gepersonaliseerde advertensies te vertoon. As Facebook skielik enkripsie vir WhatsApp-rugsteun ingestel het, sou Google onmiddellik belangstelling in so 'n vennootskap verloor en 'n waardevolle bron van data oor WhatsApp-gebruikersvoorkeure verloor. Dit is natuurlik slegs 'n aanname, maar baie waarskynlik in die wêreld van hoëtegnologie-bemarking.
Wat WhatsApp vir iOS betref, word rugsteun in die iCloud-wolk gestoor. Maar ook hier word die inligting in ongeënkripteerde vorm gestoor, soos genoem selfs in die toepassingsinstellings. Of Apple hierdie data ontleed of nie, weet net die korporasie self. Die Cupertinos het weliswaar nie 'n advertensienetwerk, soos Google nie, so ons kan aanneem dat die waarskynlikheid dat hulle die persoonlike data van WhatsApp-gebruikers sal ontleed, baie laer is.
Al die bogenoemde kan soos volg geformuleer word – ja, nie net jy het toegang tot jou WhatsApp-korrespondensie nie.
TikTok en ander boodskappers
Hierdie kort video-deeldiens kan baie vinnig gewild word. Die ontwikkelaars het belowe om die volledige sekuriteit van hul gebruikers se data te verseker. Soos dit geblyk het, het die diens self hierdie data gebruik sonder om gebruikers in kennis te stel. Erger nog, die diens het persoonlike data van kinders onder 13 ingesamel sonder ouerlike toestemming. Persoonlike inligting van minderjariges - name, e-pos, telefoonnommers, foto's en video's is openbaar gemaak.
Service vir etlike miljoene dollars het reguleerders ook geëis dat alle video's wat deur kinders onder 13 geneem is, verwyder word. TikTok het daaraan voldoen. Ander boodskappers en dienste gebruik egter persoonlike data van gebruikers vir hul eie doeleindes, so jy kan nie seker wees van hul veiligheid nie.
Hierdie lys is eindeloos - die meeste kitsboodskappers het een of ander kwesbaarheid wat aanvallers toelaat om gebruikers af te luister ( - Viber, hoewel alles blykbaar daar reggestel is) of steel hul data. Daarbenewens stoor byna alle toepassings van die top 5 gebruikersdata in 'n onbeskermde vorm op die rekenaar se hardeskyf of in die foon se geheue. En dit is as jy nie die spesiale dienste van verskeie lande onthou nie, wat weens wetgewing toegang tot gebruikersdata kan hê. Dieselfde Skype, VKontakte, TamTam en ander verskaf enige inligting oor enige gebruiker op versoek van die owerhede (byvoorbeeld die Russiese Federasie).
Goeie sekuriteit op protokolvlak? Nie 'n probleem nie, ons breek die toestel
N paar jaar gelede tussen Apple en die Amerikaanse regering. Die korporasie het geweier om die geënkripteerde slimfoon te ontsluit wat in die geval van die terreuraanvalle in die stad San Bernardino verskyn het. Destyds het dit na 'n werklike probleem gelyk: die data was goed beskerm, en om 'n slimfoon te hack was óf onmoontlik óf baie moeilik.
Nou is dinge anders. Byvoorbeeld, die Israeliese maatskappy Cellebrite verkoop aan regsentiteite in Rusland en ander lande 'n sagteware- en hardewarestelsel wat jou toelaat om alle iPhone- en Android-modelle te hack. Verlede jaar was met relatief gedetailleerde inligting oor die onderwerp.
Popov, Magadan-forensiese ondersoeker, kap 'n slimfoon in met dieselfde tegnologie wat deur die Amerikaanse Federale Speurburo gebruik word. Bron: BBC
Die toestel is goedkoop volgens staatstandaarde. Vir UFED Touch2 het die Volgograd-afdeling van die TFR 800 duisend roebels betaal, Khabarovsk - 1,2 miljoen roebels. In 2017 het Alexander Bastrykin, hoof van die Ondersoekkomitee van die Russiese Federasie, bevestig dat sy departement Israeliese maatskappy.
Sberbank koop ook sulke toestelle – egter nie vir ondersoeke nie, maar om virusse op toestelle met die Android-bedryfstelsel te beveg. "As daar vermoed word dat mobiele toestelle met onbekende kwaadwillige kode besmet is en na die verkryging van die verpligte toestemming van die eienaars van besmette fone, sal ontleding uitgevoer word om te soek na voortdurend opkomende en muterende nuwe virusse met behulp van verskeie instrumente, insluitend die gebruik van UFED Touch2, "- in geselskap.
Amerikaners het ook die tegnologie om enige slimfoon te hack. Grayshift beloof om 300 slimfone te hack vir $15 50 (dit is $1500 per eenheid teenoor $XNUMX XNUMX vir Cellbrite).
Dit is waarskynlik dat kubermisdadigers ook soortgelyke toestelle het. Hierdie toestelle word voortdurend verbeter - neem af in grootte, verhoog werkverrigting.
Nou praat ons van min of meer bekende fone van groot vervaardigers wat bekommerd is oor die beskerming van die data van hul gebruikers. As ons praat van kleiner maatskappye of organisasies sonder naam, dan word die data in hierdie geval sonder probleme verwyder. Die HS-USB-modus werk selfs wanneer die selflaaiprogram gesluit is. Diensmodusse is gewoonlik 'n "agterdeur" waardeur data herwin kan word. Indien nie, kan jy aan die JTAG-poort koppel of selfs die eMMC-skyfie verwyder deur dit in 'n goedkoop adapter te plaas. As die data nie geïnkripteer is nie, vanaf die telefoon alles in die algemeen, insluitend verifikasie-tokens wat toegang bied tot wolkberging en ander dienste.
As iemand persoonlike toegang het tot 'n slimfoon met belangrike inligting, dan kan jy dit as jy wil hack, maak nie saak wat die vervaardigers sê nie.
Dit is duidelik dat al die bogenoemde nie net van toepassing is op slimfone nie, maar ook op rekenaars met skootrekenaars op verskeie bedryfstelsels. As jy nie gebruik maak van gevorderde sekuriteitsmaatreëls nie, maar tevrede is met die gewone metodes soos 'n wagwoord en aanmelding, sal die data in gevaar bly. ’n Ervare kuberkraker met fisieke toegang tot die toestel sal bykans enige inligting kan kry – dit is net ’n kwessie van tyd.
So wat om te doen?
Op Habré is die kwessie van datasekuriteit op persoonlike toestelle meer as een keer geopper, so ons sal nie weer die wiel herontdek nie. Ons sal slegs die hoofmetodes aandui wat die waarskynlikheid verminder dat derde partye u data sal kry:
- Dit is verpligtend om data-enkripsie op beide jou slimfoon en rekenaar te gebruik. Verskillende bedryfstelsels bied dikwels goeie fasiliteite by verstek. Voorbeeld - cryptocontainer in Mac OS op gereelde wyse.
- Stel wagwoorde oral en oral in, insluitend die geskiedenis van korrespondensie in Telegram en ander kitsboodskappers. Natuurlik moet wagwoorde kompleks wees.
- Twee-faktor-verifikasie – ja, dit kan ongerieflik wees, maar as die kwessie van sekuriteit in die eerste plek is, moet jy dit verdra.
- Beheer die fisiese sekuriteit van jou toestelle. Neem 'n korporatiewe rekenaar na 'n kafee en vergeet dit daar? Klassiek. Veiligheidstandaarde, insluitend korporatiewe standaarde, is geskryf in die trane van die slagoffers van hul eie nalatigheid.
Kom ons ontleed in die opmerkings jou metodes wat die waarskynlikheid van data-oortredings verminder wanneer 'n derde party toegang tot 'n fisiese toestel kry. Ons sal dan die voorgestelde metodes by die artikel voeg of dit in ons , waar ons gereeld skryf oor sekuriteit, life hacks op die gebruik en internetsensuur.
Bron: will.com