في فبراير ، نشرنا مقالًا بعنوان "ليس شبكة خاصة افتراضية وحدها. ورقة الغش حول كيفية حماية نفسك وبياناتك. دفعنا إلى كتابة استمرار للمقال. هذا الجزء هو مصدر مستقل تمامًا للمعلومات ، لكننا ما زلنا نوصي بقراءة كلا المنشورين.
المنشور الجديد مخصص لمسألة أمان البيانات (المراسلات والصور ومقاطع الفيديو ، هذا كل شيء) في برامج المراسلة الفورية والأجهزة نفسها المستخدمة للعمل مع التطبيقات.
رسل
تیلیجرام
مرة أخرى في أكتوبر 2018 ، اكتشف ناثانيل ساتشي ، طالب السنة الأولى في كلية ويك التقنية ، أن برنامج Telegram messenger يحفظ الرسائل وملفات الوسائط على محرك الكمبيوتر المحلي بنص واضح.
تمكن الطالب من الوصول إلى مراسلاته الخاصة ، بما في ذلك النصوص والصور. للقيام بذلك ، درس قواعد بيانات التطبيق المخزنة على محرك الأقراص الثابتة. اتضح أن البيانات صعبة القراءة ، لكنها غير مشفرة. ويمكن الوصول إليها حتى إذا قام المستخدم بتعيين كلمة مرور للتطبيق.
في البيانات الواردة ، تم العثور على أسماء وأرقام هواتف المحاورين ، والتي ، إذا رغبت في ذلك ، يمكن مقارنتها. يتم أيضًا تخزين المعلومات من الدردشات الخاصة بنص واضح.
في وقت لاحق ، قال دوروف إن هذه لم تكن مشكلة ، لأنه إذا تمكن المهاجم من الوصول إلى جهاز الكمبيوتر الخاص بالمستخدم ، فسيكون قادرًا على الحصول على مفاتيح التشفير وفك تشفير جميع المراسلات دون أي مشاكل. لكن العديد من خبراء أمن المعلومات يجادلون بأن هذا لا يزال خطيرًا.
بالإضافة إلى ذلك ، كان Telegram عرضة لهجوم سرقة المفاتيح ، والذي مستخدم هبر. يمكنك كسر كلمة مرور الكود المحلي بأي طول وتعقيد.
الواتساب
على حد علمنا ، يقوم برنامج المراسلة هذا أيضًا بتخزين البيانات على قرص الكمبيوتر بشكل غير مشفر. وفقًا لذلك ، إذا تمكن المهاجم من الوصول إلى جهاز المستخدم ، فستكون جميع البيانات مفتوحة أيضًا.
لكن هناك مشكلة عالمية أكثر. الآن يتم تخزين جميع النسخ الاحتياطية من WhatsApp المثبتة على الأجهزة التي تعمل بنظام التشغيل Android في Google Drive ، والتي اتفقت عليها Google و Facebook العام الماضي. لكن نسخ احتياطية من المراسلات وملفات الوسائط وما شابه . بقدر ما يمكن للمرء أن يحكم ، فإن موظفي وكالات إنفاذ القانون في نفس الولايات المتحدة ، لذلك هناك احتمال أن تتمكن قوات الأمن من عرض أي بيانات محفوظة.
من الممكن تشفير البيانات ، لكن كلا الشركتين لا تفعل ذلك. ربما ببساطة لأن النسخ الاحتياطية بدون تشفير يمكن نقلها واستخدامها من قبل المستخدمين أنفسهم دون أي مشاكل. على الأرجح ، لا يوجد تشفير ، ليس لأنه صعب التنفيذ تقنيًا: بل على العكس ، يمكنك حماية النسخ الاحتياطية دون أي صعوبة. المشكلة هي أن Google لديها أسبابها الخاصة للعمل مع WhatsApp - من المفترض أن تكون الشركة ويستخدمها لعرض إعلانات مخصصة. إذا قدم Facebook فجأة تشفيرًا لنسخ WhatsApp الاحتياطية ، فستفقد Google الاهتمام على الفور بهذه الشراكة ، مما يفقد مصدرًا قيمًا للبيانات على تفضيلات مستخدم WhatsApp. هذا ، بالطبع ، مجرد افتراض ، ولكن من المحتمل جدًا في عالم التسويق عالي التقنية.
بالنسبة إلى WhatsApp لنظام iOS ، يتم حفظ النسخ الاحتياطية في سحابة iCloud. ولكن هنا أيضًا ، يتم تخزين المعلومات في شكل غير مشفر ، كما هو مذكور حتى في إعدادات التطبيق. وسواء قامت Apple بتحليل هذه البيانات أم لا ، فإن الشركة وحدها هي التي تعرف. صحيح أن عائلة كوبرتينوس ليس لديها شبكة إعلانات ، مثل Google ، لذلك يمكننا أن نفترض أن احتمالية تحليلهم للبيانات الشخصية لمستخدمي WhatsApp أقل بكثير.
يمكن صياغة كل ما سبق على النحو التالي - نعم ، ليس لديك حق الوصول إلى مراسلات WhatsApp الخاصة بك فقط.
TikTok والمراسلين الآخرين
يمكن أن تصبح خدمة مشاركة الفيديو القصيرة هذه شائعة بسرعة كبيرة. وعد المطورون بضمان الأمن الكامل لبيانات مستخدميهم. كما اتضح ، استخدمت الخدمة نفسها هذه البيانات دون إخطار المستخدمين. والأسوأ من ذلك ، أن الخدمة جمعت بيانات شخصية من الأطفال دون سن 13 عامًا دون موافقة الوالدين. تم نشر المعلومات الشخصية للقصر - الأسماء والبريد الإلكتروني وأرقام الهواتف والصور ومقاطع الفيديو.
خدمة مقابل عدة ملايين من الدولارات ، طالب المنظمون أيضًا بإزالة جميع مقاطع الفيديو التي يلتقطها الأطفال دون سن 13 عامًا. امتثل TikTok. ومع ذلك ، يستخدم الرسل والخدمات الأخرى البيانات الشخصية للمستخدمين لأغراضهم الخاصة ، لذلك لا يمكنك التأكد من سلامتهم.
هذه القائمة لا حصر لها - فمعظم برامج المراسلة الفورية لديها ثغرة أمنية واحدة أو أخرى تسمح للمهاجمين بالتنصت على المستخدمين ( - فايبر ، على الرغم من أنه يبدو أن كل شيء قد تم تصحيحه هناك) أو يسرق بياناتهم. بالإضافة إلى ذلك ، فإن جميع التطبيقات تقريبًا من أعلى 5 تخزن بيانات المستخدم في شكل غير محمي على محرك الأقراص الثابتة للكمبيوتر أو في ذاكرة الهاتف. وهذا إذا كنت لا تتذكر الخدمات الخاصة لمختلف البلدان ، والتي قد تتمكن من الوصول إلى بيانات المستخدم بسبب التشريعات. يقدم نفس Skype و VKontakte و TamTam وغيرهم أي معلومات حول أي مستخدم بناءً على طلب السلطات (على سبيل المثال ، الاتحاد الروسي).
أمان جيد على مستوى البروتوكول؟ لا مشكلة ، نحن كسر الجهاز
منذ بضع سنوات بين Apple والحكومة الأمريكية. رفضت الشركة فتح الهاتف الذكي المشفر الذي ظهر في قضية الهجمات الإرهابية في مدينة سان برناردينو. في ذلك الوقت ، بدا هذا وكأنه مشكلة حقيقية: كانت البيانات محمية جيدًا ، وكان اختراق الهاتف الذكي إما مستحيلًا أو صعبًا للغاية.
الآن الأمور مختلفة. على سبيل المثال ، تبيع شركة Cellebrite الإسرائيلية للكيانات القانونية في روسيا ودول أخرى نظامًا للبرامج والأجهزة يسمح لك باختراق جميع طرازات iPhone و Android. كان العام الماضي بمعلومات مفصلة نسبيًا عن هذا الموضوع.
اخترق بوبوف ، محقق الطب الشرعي ماجادان ، هاتفًا ذكيًا باستخدام نفس التكنولوجيا المستخدمة من قبل مكتب التحقيقات الفيدرالي الأمريكي. المصدر: بي بي سي
الجهاز غير مكلف حسب معايير الدولة. بالنسبة لـ UFED Touch2 ، دفع قسم فولغوغراد في TFR 800 ألف روبل ، خاباروفسك - 1,2 مليون روبل. في عام 2017 ، أكد الكسندر باستريكين ، رئيس لجنة التحقيق في الاتحاد الروسي ، أن قسمه شركة إسرائيلية.
يشتري Sberbank أيضًا مثل هذه الأجهزة - ومع ذلك ، ليس من أجل التحقيقات ، ولكن لمكافحة الفيروسات على الأجهزة التي تعمل بنظام التشغيل Android OS. "في حالة الاشتباه في إصابة الأجهزة المحمولة بشفرة ضارة غير معروفة وبعد الحصول على الموافقة الإلزامية من مالكي الهواتف المصابة ، سيتم إجراء تحليل للبحث عن الفيروسات الجديدة الناشئة والمتحولة باستمرار باستخدام أدوات مختلفة ، بما في ذلك استخدام UFED Touch2 ، "- فى الشركه.
يمتلك الأمريكيون أيضًا التكنولوجيا لاختراق أي هاتف ذكي. يعد Grayshift باختراق 300 هاتف ذكي مقابل 15 دولار (أي 50 دولارًا لكل وحدة مقابل 1500 دولار لـ Cellbrite).
من المحتمل أن يكون لدى مجرمي الإنترنت أيضًا أجهزة مماثلة. يتم تحسين هذه الأجهزة باستمرار - يتناقص الحجم ويزيد الأداء.
نحن الآن نتحدث عن هواتف معروفة أكثر أو أقل من كبار المصنعين الذين يقلقون بشأن حماية بيانات مستخدميهم. إذا كنا نتحدث عن شركات أصغر أو مؤسسات بدون اسم ، ففي هذه الحالة تتم إزالة البيانات دون مشاكل. يعمل وضع HS-USB حتى عند قفل أداة تحميل التشغيل. عادةً ما تكون أوضاع الخدمة "بابًا خلفيًا" يمكن من خلاله استرداد البيانات. إذا لم يكن الأمر كذلك ، فيمكنك الاتصال بمنفذ JTAG أو حتى إزالة شريحة eMMC عن طريق إدخالها في محول غير مكلف. إذا لم يتم تشفير البيانات من الهاتف كل شيء بشكل عام ، بما في ذلك رموز المصادقة التي توفر الوصول إلى التخزين السحابي والخدمات الأخرى.
إذا كان لدى شخص ما وصول شخصي إلى هاتف ذكي به معلومات مهمة ، فيمكنك اختراقه ، إذا كنت ترغب في ذلك ، بغض النظر عما يقوله المصنعون.
من الواضح أن كل ما سبق لا ينطبق فقط على الهواتف الذكية ، ولكن أيضًا على أجهزة الكمبيوتر المزودة بأجهزة كمبيوتر محمولة على أنظمة تشغيل مختلفة. إذا لم تلجأ إلى إجراءات الأمان المتقدمة ، ولكنك راضٍ عن الطرق المعتادة مثل كلمة المرور وتسجيل الدخول ، فستظل البيانات في خطر. سيتمكن المتسلل المتمرس الذي يتمتع بوصول مادي إلى الجهاز من الحصول على أي معلومات تقريبًا - إنها مسألة وقت فقط.
اذا مالعمل؟
بالنسبة إلى حبري ، أثيرت قضية أمن البيانات على الأجهزة الشخصية أكثر من مرة ، لذا لن نعيد اختراع العجلة مرة أخرى. سنشير فقط إلى الطرق الرئيسية التي تقلل من احتمالية حصول الأطراف الثالثة على بياناتك:
- من الضروري استخدام تشفير البيانات على كل من هاتفك الذكي وجهاز الكمبيوتر. غالبًا ما توفر أنظمة التشغيل المختلفة تسهيلات جيدة بشكل افتراضي. مثال - cryptocontainer في نظام التشغيل Mac OS بالوسائل العادية.
- قم بتعيين كلمات المرور في كل مكان وفي كل مكان ، بما في ذلك تاريخ المراسلات في Telegram والمراسلين الفوريين الآخرين. بطبيعة الحال ، يجب أن تكون كلمات المرور معقدة.
- المصادقة ذات العاملين - نعم ، قد تكون غير مريحة ، ولكن إذا كانت مشكلة الأمان في المقام الأول ، فعليك تحملها.
- تحكم في الأمن المادي لأجهزتك. اصطحب كمبيوتر الشركة إلى المقهى وتنسى ذلك هناك؟ كلاسيك. معايير السلامة ، بما في ذلك معايير الشركات ، مكتوبة في دموع ضحايا إهمالهم.
دعنا نحلل في التعليقات طرقك التي تقلل من احتمالية حدوث خروقات للبيانات عندما يتمكن طرف ثالث من الوصول إلى جهاز مادي. سنقوم بعد ذلك بإضافة الأساليب المقترحة إلى المقالة أو نشرها في موقعنا ، حيث نكتب بانتظام عن الأمان ، وخارقة الحياة عند الاستخدام والرقابة على الإنترنت.
المصدر: www.habr.com