Когато криптирането няма да помогне: говорете за физически достъп до устройството

През февруари публикувахме статия „Не само VPN. Момичен лист за това как да защитите себе си и данните си. Един от коментарите ни подтикна да напишем продължение на статията. Тази част е напълно независим източник на информация, но все пак ви препоръчваме да прочетете и двете публикации.

Новата публикация е посветена на въпроса за сигурността на данните (кореспонденция, снимки, видеоклипове, това е всичко) в месинджърите и самите устройства, които се използват за работа с приложения.

Пратеници

Telegram

Още през октомври 2018 г. студентът от първа година в Wake Technical College Натаниел Сачи откри, че месинджърът Telegram записва съобщения и медийни файлове на локалния компютър в ясен текст.

Студентът успя да получи достъп до собствената си кореспонденция, включително текст и снимки. За да направи това, той проучи базите данни с приложения, съхранявани на HDD. Оказа се, че данните са трудни за четене, но не са криптирани. И достъпът до тях може да бъде получен дори ако потребителят е задал парола за приложението.

В получените данни са открити имената и телефонните номера на събеседниците, които при желание могат да бъдат сравнени. Информацията от личните чатове също се съхранява в чист текст.

По-късно Дуров каза, че това не е проблем, защото ако нападателят има достъп до компютъра на потребителя, той ще може да получи ключове за криптиране и да декодира цялата кореспонденция без никакви проблеми. Но много експерти по информационна сигурност твърдят, че това все още е сериозно.

Освен това Telegram беше уязвим на атака за кражба на ключ, която намерено Потребител на Habr. Можете да разбиете паролата с локален код с всякаква дължина и сложност.

WhatsApp

Доколкото знаем, този месинджър също съхранява данни на диска на компютъра в некриптиран вид. Съответно, ако нападателят има достъп до устройството на потребителя, всички данни също са отворени.

Но има по-глобален проблем. Сега всички резервни копия от WhatsApp, инсталирани на устройства с Android OS, се съхраняват в Google Drive, за което Google и Facebook се споразумяха миналата година. Но резервни копия на кореспонденция, медийни файлове и други подобни съхранявани в некриптиран вид. Доколкото може да се прецени, служителите на правоприлагащите органи на същите Съединени щати имат достъп до Google Drive, така че има възможност силите за сигурност да видят всички запазени данни.

Възможно е да се криптират данни, но и двете компании не го правят. Може би просто защото архивите без криптиране могат да се прехвърлят и използват от самите потребители без никакви проблеми. Най-вероятно няма криптиране, не защото е технически трудно за изпълнение: напротив, можете да защитите архивите без никакви затруднения. Проблемът е, че Google има свои собствени причини да работи с WhatsApp - предполага се, че компанията е такава анализира данни, съхранявани на сървърите на Google Drive и ги използва за показване на персонализирани реклами. Ако Facebook внезапно въведе криптиране за архивиране на WhatsApp, Google незабавно ще загуби интерес към подобно партньорство, губейки ценен източник на данни за потребителските предпочитания на WhatsApp. Това, разбира се, е само предположение, но много вероятно в света на високотехнологичния маркетинг.

Що се отнася до WhatsApp за iOS, резервните копия се записват в облака iCloud. Но и тук информацията се съхранява в некриптиран вид, както е споменато дори в настройките на приложението. Дали Apple анализира тези данни или не, само самата корпорация знае. Вярно е, че Купертинос нямат рекламна мрежа като Google, така че можем да предположим, че вероятността те да анализират личните данни на потребителите на WhatsApp е много по-малка.

Всичко по-горе може да се формулира по следния начин - да, не само вие имате достъп до кореспонденцията си в WhatsApp.

TikTok и други месинджъри

Тази услуга за споделяне на кратки видеоклипове може да стане популярна много бързо. Разработчиците обещаха да осигурят пълна сигурност на данните на своите потребители. Както се оказа, самата услуга използва тези данни, без да уведоми потребителите. Още по-лошо, услугата е събирала лични данни от деца под 13 години без съгласието на родителите. Личната информация на непълнолетни - имена, имейл, телефонни номера, снимки и видео бяха публикувани.

Обслужване беше глобен за няколко милиона долара регулаторите също поискаха всички видеоклипове, заснети от деца под 13 години, да бъдат премахнати. TikTok се съобрази. Други месинджъри и услуги обаче използват личните данни на потребителите за свои собствени цели, така че не можете да сте сигурни в тяхната безопасност.

Този списък е безкраен - повечето програми за незабавни съобщения имат една или друга уязвимост, която позволява на нападателите да подслушват потребителите (страхотен пример - Viber, въпреки че всичко изглеждаше коригирано там) или да открадне техните данни. В допълнение, почти всички приложения от топ 5 съхраняват потребителски данни в незащитена форма на твърдия диск на компютъра или в паметта на телефона. И това е, ако не си спомняте специалните служби на различни държави, които могат да имат достъп до потребителски данни поради законодателството. Същите Skype, VKontakte, TamTam и други предоставят всякаква информация за всеки потребител по искане на властите (например Руската федерация).

Добра сигурност на ниво протокол? Няма проблем, ние счупваме устройството

Преди няколко години избухна конфликт между Apple и правителството на САЩ. Корпорацията отказа да отключи кодирания смартфон, който се появи в случая с терористичните атаки в град Сан Бернардино. По онова време това изглеждаше като истински проблем: данните бяха добре защитени и хакването на смартфон беше невъзможно или много трудно.

Сега нещата са различни. Например израелската компания Cellebrite продава на юридически лица в Русия и други страни софтуерна и хардуерна система, която ви позволява да хакнете всички модели iPhone и Android. Миналата година беше публикувана рекламна книжка със сравнително подробна информация по темата.

Съдебният следовател от Магадан Попов прониква в смартфон, използвайки същата технология, използвана от Федералното бюро за разследване на САЩ. Източник: BBC

Устройството е евтино по държавните стандарти. За UFED Touch2 Волгоградският отдел на TFR плати 800 хиляди рубли, Хабаровск - 1,2 милиона рубли. През 2017 г. Александър Бастрикин, ръководител на Следствения комитет на Руската федерация, потвърди, че неговият отдел използва решения Израелска компания.

Сбербанк също купува такива устройства - но не за разследвания, а за борба с вируси на устройства с ОС Android. „Ако се подозира, че мобилните устройства са заразени с неизвестен злонамерен код и след получаване на задължителното съгласие на собствениците на заразени телефони, ще бъде извършен анализ за търсене на постоянно възникващи и мутиращи нови вируси с помощта на различни инструменти, включително използването на UFED Touch2, ” — заяви в компанията.

Американците също имат технологията да хакнат всеки смартфон. Grayshift обещава да хакне 300 смартфона за $15 50 (това е $1500 на брой срещу $XNUMX за Cellbrite).

Вероятно киберпрестъпниците също имат подобни устройства. Тези устройства непрекъснато се подобряват - намаляват по размер, увеличават производителността.

Сега говорим за повече или по-малко известни телефони от големи производители, които се притесняват за защитата на данните на своите потребители. Ако говорим за по-малки компании или организации без имена, тогава в този случай данните се премахват без проблеми. Режимът HS-USB работи дори когато буутлоудърът е заключен. Режимите на обслужване обикновено са "задна врата", през която могат да се извличат данни. Ако не, можете да се свържете към JTAG порта или дори да премахнете eMMC чипа, като го поставите в евтин адаптер. Ако данните не са криптирани, от телефона може да се издърпа всичко като цяло, включително токени за удостоверяване, които осигуряват достъп до облачно хранилище и други услуги.

Ако някой има личен достъп до смартфон с важна информация, тогава, ако желаете, можете да го хакнете, независимо какво казват производителите.

Ясно е, че всичко по-горе се отнася не само за смартфони, но и за компютри с лаптопи на различни операционни системи. Ако не прибягвате до разширени мерки за сигурност, а се задоволявате с обичайните методи като парола и влизане, тогава данните ще останат изложени на риск. Опитен кракер с физически достъп до устройството ще може да получи почти всяка информация - това е само въпрос на време.

И така, какво да правя?

На Habré въпросът за сигурността на данните на личните устройства е повдиган повече от веднъж, така че няма да преоткриваме колелото отново. Ще посочим само основните методи, които намаляват вероятността трети страни да получат вашите данни:

• Задължително е да използвате криптиране на данни както на вашия смартфон, така и на компютър. Различните операционни системи често предоставят добри съоръжения по подразбиране. Пример − създаване криптоконтейнер в Mac OS с обичайни средства.

• Задайте пароли навсякъде и навсякъде, включително историята на кореспонденцията в Telegram и други месинджъри. Естествено паролите трябва да са сложни.

• Двуфакторна автентификация - да, може да е неудобно, но ако въпросът за сигурността е на първо място, трябва да се примирите.

• Контролирайте физическата сигурност на вашите устройства. Занесете корпоративен компютър в кафене и го забравите там? Класически. Стандартите за безопасност, включително и корпоративните, са написани в сълзите на жертвите на собствената им небрежност.

Нека анализираме в коментарите вашите методи, които намаляват вероятността от пробиви на данни, когато трета страна получи достъп до физическо устройство. След това ще добавим предложените методи към статията или ще я публикуваме в нашия телеграм канал, където редовно пишем за сигурност, лайфхакове за използване нашата VPN и интернет цензура.

Източник: www.habr.com