У лютым мы апублікавалі артыкул «Не VPN-ым адзіным. Шпаргалка аб тым, як засцерагчы сябе і свае дадзеныя». заахвоціў нас напісаць працяг артыкула. Гэтая частка - цалкам аўтаномная крыніца інфармацыі, але ўсё ж рэкамендуем азнаёміцца з абодвума пастамі.
Новы пост прысвечаны пытанню абароненасці дадзеных (перапіска, фота, відэа, вось гэта ўсё) у месэнджарах і саміх прылад, якія выкарыстоўваюцца для працы з праграмамі.
Месенджэры
Тэлеграма
Яшчэ ў кастрычніку 2018 года студэнту першага курса каледжа Уэйк Тэкнікал Натаниэлю Сачы ўдалося выявіць, што мэсанджар Telegram захоўвае паведамленні і медыяфайлы на лакальным дыску кампутара ў адкрытым выглядзе.
Студэнт змог атрымаць доступ да ўласнай перапіскі, уключаючы тэкст і карцінкі. Для гэтага ён вывучыў базы дадзеных прыкладанні, якія захоўваюцца на HDD. Аказалася, што дадзеныя цяжкачытэльныя, але не зашыфраваныя. І доступ да іх можна атрымаць нават у тым выпадку, калі карыстач усталяваў на дадатак пароль.
У атрыманых звестках былі знойдзены імёны і нумары тэлефонаў суразмоўцаў, якія пры жаданні можна супаставіць. Інфармацыя з зачыненых чатаў таксама захоўваецца ў адкрытым выглядзе.
Пазней Дураў заявіў, што гэта не праблема, бо калі ў зламысніка ёсць доступ да карыстацкага ПК, ён зможа атрымаць ключы шыфравання і без праблем раскадаваць усю перапіску. Але многія спецыялісты па інфармацыйнай бяспецы сцвярджаюць, што гэта ўсё ж такі сур'ёзна.
Акрамя таго, Telegram аказаўся ўразлівым да нападу крадзяжу ключоў, што карыстальнік Хабра. Узламаць можна local code пароля любой даўжыні і складанасці.
Наколькі вядома, гэты мэсанджар таксама захоўвае дадзеныя на дыску кампутара ў незашыфраваным выглядзе. Адпаведна, калі ў зламысніка ёсць доступ да прылады карыстача, то ўсе дадзеныя таксама адчыненыя.
Але ёсць больш глабальная праблема. Цяпер усе рэзервовыя копіі з WhatsApp, усталяванага на прыладах з Android OS, захоўваюцца ў Google Drive, аб чым Google і Facebook дамовіліся ў мінулым годзе. Але бэкапы перапіскі, медыяфайлаў і да таго падобнае . Наколькі можна меркаваць, у супрацоўнікаў сілавых ведамстваў таго ж ЗША , таму існуе верагоднасць, што сілавікі могуць праглядаць любыя захаваныя дадзеныя.
Шыфраваць дадзеныя можна, але абедзве кампаніі гэтага не робяць. Магчыма, проста таму, што бэкапы без шыфравання можна без праблем перадаваць і выкарыстоўваць самім карыстальнікам. Хутчэй за ўсё, шыфравання няма не таму, што гэта складана рэалізаваць тэхнічна: наадварот, абараніць бэкапы можна без усялякай працы. Праблема ў тым, што ў Google ёсць свае прычыны працаваць з WhatsApp - кампанія, як мяркуецца, і выкарыстоўвае іх для паказу персаналізаванай рэкламы. Калі б Facebook раптоўна ўвяла шыфраванне для бэкапаў WhatsApp, Google імгненна б страціла цікавасць у такім партнёрстве, пазбавіўшыся каштоўнай крыніцы дадзеных аб перавагах карыстальнікаў WhatsApp. Гэта, вядома, толькі дапушчэнне, але вельмі верагоднае ў свеце hi-tech маркетынгу.
Што тычыцца WhatsApp для iOS, то бэкапы захоўваюцца ў воблака iCloud. Але і тут інфармацыя захоўваецца ў незашыфраваным выглядзе, аб чым гаворыцца нават у наладах дадатку. Аналізуе Apple гэтыя дадзеныя ці не, вядома толькі самой карпарацыі. Праўда, у куперцінаўцаў няма рэкламнай сеткі, як у Google, так што можам выказаць здагадку, што верагоднасць аналізу імі персанальных дадзеных карыстачоў WhatsApp значна ніжэй.
Усё сказанае можна сфармуляваць наступным чынам - так, да вашай перапіскі WhatsApp ёсць доступ не толькі ў вас.
TikTok і іншыя месэнджары
Гэты сэрвіс абмену кароткімі відэа мог вельмі хутка стаць папулярным. Распрацоўнікі абяцалі забяспечыць поўную бяспеку дадзеных сваіх карыстальнікаў. Як аказалася, сам сэрвіс выкарыстаў гэтыя дадзеныя без апавяшчэння карыстальнікаў. Горш за тое: сэрвіс збіраў персанальныя дадзеныя дзяцей да 13 гадоў без згоды бацькоў. Асабістая інфармацыя непаўналетніх - імёны, e-mail, нумары тэлефонаў, фота і відэа аказваліся ў адкрытым доступе.
Сэрвіс на некалькі мільёнаў долараў, рэгулятары таксама запатрабавалі выдаліць усе відэа, знятыя дзецьмі да 13 гадоў. TikTok падпарадкаваўся. Тым не менш, персанальныя дадзеныя карыстачоў выкарыстоўваюць у сваіх мэтах іншыя месэнджэры і сэрвісы, так што нельга быць упэўненымі ў іх бяспецы.
Гэты спіс можна працягваць бясконца - у большасці мэсэнджараў ёсць тая ці іншая ўразлівасць, якая дазваляе зламыснікам праслухоўваць карыстальнікаў. - Viber, хоць там усё быццам бы паправілі) або выкрадаць іх дадзеныя. Акрамя таго, практычна ўсе прыкладанні з топ-5 захоўваюць дадзеныя карыстачоў у неабароненым выглядзе на цвёрдай кружэлцы кампутара ці ў памяці тэлефона. І гэта калі не ўзгадваць пра спецслужбы розных краін, у якіх можа быць доступ да дадзеных карыстальнікаў дзякуючы заканадаўству. Той жа Skype, Укантакце, TamTam і іншыя падаюць любую інфармацыю аб любым карыстальніку па запыце ўладаў (напрыклад, РФ).
Добрая абарона на ўзроўні пратакола? Не праблема, ламаем прыладу
Некалькі гадоў таму паміж Apple і ўрадам ЗША. Карпарацыя адмаўлялася разблакаваць зашыфраваны смартфон, які фігураваў у справе аб тэрактах у горадзе Сан-Бернардына. Тады гэта здавалася рэальнай праблемай: дадзеныя былі добра абаронены, і ўзламаць смартфон было альбо немагчыма, альбо вельмі цяжка.
Цяпер справа ідзе па-іншаму. Напрыклад, ізраільская кампанія Cellebrite прадае юрыдычным асобам Расіі і іншых краін праграмна-апаратны комплекс, які дазваляе ўзламаць усе мадэлі iPhone і Android. У мінулым годзе быў з адносна падрабязнай інфармацыяй на гэтую тэму.
Магаданскі следчы-крыміналіст Папоў узломвае смартфон з дапамогай той жа тэхналогіі, што Федэральнае бюро расследаванняў ЗША. Крыніца: BBC
Каштуе прылада па дзяржаўных мерках нядорага. За UFED Touch2 валгаградскае кіраванне СКР заплаціла 800 тысяч рублёў, хабараўскае – 1,2 млн рублёў. У 2017 годзе Аляксандр Бастрыкін, кіраўнік Следчага камітэта РФ, пацвердзіў, што яго ведамства. ізраільскай кампаніі.
Закупляе такія прылады і "Ашчадбанк" – праўда, не для правядзення расследаванняў, а для барацьбы з вірусамі на прыладах з АС Android. «Пры падазрэнні на заражэнне мабільных прылад невядомым шкоднасным праграмным кодам і пасля атрымання абавязковай згоды ўладальнікаў заражаных тэлефонаў будзе рабіцца аналіз для пошуку новых вірусаў, якія пастаянна з'яўляюцца і відазмяняюцца, з выкарыстаннем розных інструментаў, у тым ліку з ужываннем UFED Touch2», — у кампаніі.
У амерыканцаў таксама ёсць тэхналогіі, якія дазваляюць узломваць любыя смартфоны. Кампанія Grayshift абяцае ўзламаць 300 смартфонаў за 15 тысяч долараў ЗША (гэта $50 за адзінку супраць $1500 у Cellbrite).
Цалкам верагодна, што падобныя прылады ёсць і ў кіберзлачынцаў. Гэтыя прылады ўвесь час удасканальваюцца - памяншаецца памер, павялічваецца прадукцыйнасць.
Цяпер мы гаворым аб больш-менш вядомых тэлефонах буйных вытворцаў, якія турбуюцца аб абароне дадзеных сваіх карыстальнікаў. Калі ж гаворка пра менш буйныя кампаніі або ноунейм-арганізацыях, то ў гэтым выпадку дадзеныя здымаюцца без праблем. Рэжым HS-USB працуе нават у тых выпадках, калі заблакаваны загрузнік. Сэрвісныя рэжымы, як правіла – "чорны ход", праз які можна атрымаць дадзеныя. Калі няма, то можна падлучыцца да порта JTAG ці наогул выняць чып eMMC, уставіўшы яго затым у недарагі адаптар. Калі дадзеныя не зашыфраваныя, з тэлефона наогул усё, уключаючы маркеры аўтэнтыфікацыі, якія падаюць доступ да хмарных сховішчаў і іншым сэрвісам.
Калі ў кагосьці ёсць асабісты доступ да смартфона з важнай інфармацыяй, то пры жаданні ўзламаць яго можна, што б ні казалі вытворцы.
Зразумела, што ўсё сказанае дакранаецца не толькі смартфонаў, але і кампутараў з наўтбукамі на розных АС. Калі не звяртацца да прасунутых ахоўных мер, а здавольвацца звычайнымі метадамі накшталт пароля і лагіна, то дадзеныя будуць заставацца ў небяспецы. Дасведчаны ўзломшчык пры наяўнасці фізічнага доступу да прылады зможа атрымаць практычна любую інфармацыю - гэта толькі пытанне часу.
Дык што рабіць?
На Хабре пытанне абароненасці дадзеных на персанальных прыладах закраналі не раз, таму не будзем зноў вынаходзіць ровар. Пакажам толькі асноўныя метады, якія зніжаюць верагоднасць атрымання іншымі асобамі вашых дадзеных:
- У абавязковым парадку выкарыстоўваць шыфраванне дадзеных як на смартфоне, так і на ПК. Розныя АС часцяком падаюць нядрэнныя сродкі па змаўчанні. Прыклад - крыптакантэйнера ў Мac OS штатнымі сродкамі.
- Ставіць паролі ўсюды і ўсюды, у тым ліку гісторыю перапіскі ў Telegram і іншых месэнджарах. Натуральна, паролі павінны быць складанымі.
- Двухфактарная аўтэнтыфікацыя - так, гэта можа быць нязручна, але калі пытанне бяспекі стаіць на першым месцы, даводзіцца змірыцца.
- Кантраляваць фізічную бяспеку сваіх прылад. Узяць карпаратыўны ПК у кафэ і забыцца яго там? Класіка. Нормы бяспекі, у тым ліку карпаратыўную, напісаны слёзамі ахвяр уласнай неасцярожнасці.
Давайце разбяром у каментарах вашы спосабы, якія дазваляюць зменшыць верагоднасць узлому дадзеных пры атрыманні іншай асобай доступу да фізічнай прылады. Прапанаваныя спосабы мы потым дадамо ў артыкул або апублікуем у нашым , дзе рэгулярна пішам аб бяспецы, лайфхаках па выкарыстанні і цэнзуры ў інтэрнэце.
Крыніца: habr.com