U februaru smo objavili članak „Ne samo VPN. Varalica o tome kako zaštititi sebe i svoje podatke.” potaknuo nas da napišemo nastavak članka. Ovaj dio je potpuno nezavisan izvor informacija, ali ipak preporučujemo da pročitate oba posta.
Novi post posvećen je pitanju sigurnosti podataka (prepiska, fotografije, video zapisi, to je sve) u instant messengerima i samim uređajima koji se koriste za rad s aplikacijama.
Glasnici
telegram
Još u oktobru 2018. godine, student prve godine Wake Technical College Nathaniel Sachi otkrio je da Telegram messenger sprema poruke i medijske datoteke na lokalni disk računara u čistom tekstu.
Učenik je mogao pristupiti sopstvenoj korespondenciji, uključujući tekst i slike. Da bi to učinio, proučavao je baze podataka aplikacija pohranjene na HDD-u. Ispostavilo se da su podaci bili teški za čitanje, ali nisu šifrirani. I njima se može pristupiti čak i ako je korisnik postavio lozinku za aplikaciju.
U dobijenim podacima pronađena su imena i brojevi telefona sagovornika koji se po želji mogu uporediti. Informacije iz zatvorenih razgovora također se pohranjuju u čistom formatu.
Durov je kasnije izjavio da to nije problem, jer ako napadač ima pristup korisničkom računaru, moći će bez problema da dobije ključeve za šifrovanje i dešifruje svu prepisku. Ali mnogi stručnjaci za informacijsku sigurnost tvrde da je to još uvijek ozbiljno.
Osim toga, pokazalo se da je Telegram podložan ključnom napadu krađe, koji Korisnik Habra. Možete hakirati lokalne šifre bilo koje dužine i složenosti.
Koliko znamo, ovaj messenger takođe pohranjuje podatke na disk računara u nešifrovanom obliku. Shodno tome, ako napadač ima pristup korisnikovom uređaju, tada su i svi podaci otvoreni.
Ali postoji globalniji problem. Trenutno se sve sigurnosne kopije sa WhatsApp-a instalirane na uređajima sa Android OS-om pohranjuju na Google Drive, kako su se Google i Facebook dogovorili prošle godine. Ali sigurnosne kopije korespondencije, medijskih fajlova i slično . Koliko se može prosuditi, službenici za provođenje zakona iste SAD , tako da postoji mogućnost da snage sigurnosti mogu pregledati sve pohranjene podatke.
Moguće je šifrirati podatke, ali obje kompanije to ne rade. Možda jednostavno zato što nešifrirane sigurnosne kopije mogu lako prenijeti i koristiti sami korisnici. Najvjerovatnije nema enkripcije ne zato što je tehnički teško implementirati: naprotiv, sigurnosne kopije možete zaštititi bez ikakvih poteškoća. Problem je u tome što Google ima svoje razloge za rad sa WhatsApp-om - kompanijom vjerovatno i koristi ih za prikaz personaliziranog oglašavanja. Ako bi Facebook iznenada uveo enkripciju za sigurnosne kopije WhatsAppa, Google bi odmah izgubio interes za takvo partnerstvo, izgubivši vrijedan izvor podataka o preferencijama korisnika WhatsAppa. Ovo je, naravno, samo pretpostavka, ali vrlo vjerovatno u svijetu visokotehnološkog marketinga.
Što se tiče WhatsApp-a za iOS, sigurnosne kopije se spremaju u iCloud oblak. Ali i ovdje se informacije pohranjuju u nešifriranom obliku, što je navedeno čak iu postavkama aplikacije. Da li Apple analizira ove podatke ili ne, zna samo sama korporacija. Istina, Cupertino nema reklamnu mrežu poput Googlea, pa možemo pretpostaviti da je vjerovatnoća da će analizirati lične podatke korisnika WhatsApp-a mnogo manja.
Sve što je rečeno može se formulirati na sljedeći način - da, ne samo da imate pristup svojoj WhatsApp prepisci.
TikTok i drugi messengeri
Ova usluga za razmjenu kratkih video zapisa mogla bi vrlo brzo postati popularna. Programeri su obećali da će osigurati potpunu sigurnost podataka svojih korisnika. Kako se ispostavilo, sam servis koristi ove podatke bez obavještavanja korisnika. Još gore: servis je prikupljao lične podatke djece mlađe od 13 godina bez pristanka roditelja. Lični podaci maloljetnika – imena, e-mailovi, brojevi telefona, fotografije i video zapisi – stavljeni su na raspolaganje javnosti.
usluga za nekoliko miliona dolara, regulatori su tražili i uklanjanje svih video zapisa koje su napravila djeca mlađa od 13 godina. TikTok se povinovao. Međutim, drugi messengeri i servisi koriste lične podatke korisnika za svoje potrebe, tako da ne možete biti sigurni u njihovu sigurnost.
Ova lista se može nastaviti beskonačno - većina instant messenger-a ima jednu ili drugu ranjivost koja omogućava napadačima da prisluškuju korisnike ( — Viber, iako izgleda da je tamo sve popravljeno) ili ukradu njihove podatke. Osim toga, gotovo sve aplikacije iz prvih 5 pohranjuju korisničke podatke u nezaštićenom obliku na hard disk računara ili u memoriju telefona. I to bez sjećanja na obavještajne službe raznih zemalja, koje mogu imati pristup korisničkim podacima zahvaljujući zakonima. Isti Skype, VKontakte, TamTam i drugi pružaju sve informacije o bilo kojem korisniku na zahtjev vlasti (na primjer, Ruska Federacija).
Dobra sigurnost na nivou protokola? Nema problema, pokvarili smo uređaj
Prije nekoliko godina između Applea i američke vlade. Korporacija je odbila da otključa šifrovani pametni telefon koji je bio uključen u terorističke napade u gradu San Bernardinu. U to vrijeme to je izgledalo kao pravi problem: podaci su bili dobro zaštićeni, a hakovanje pametnog telefona bilo je nemoguće ili vrlo teško.
Sada su stvari drugačije. Na primjer, izraelska kompanija Cellebrite pravnim licima u Rusiji i drugim zemljama prodaje softverski i hardverski sistem koji vam omogućava hakiranje svih iPhone i Android modela. Prošle godine je bilo sa relativno detaljnim informacijama o ovoj temi.
Magadanski forenzički istražitelj Popov hakuje pametni telefon koristeći istu tehnologiju koju koristi američki Federalni istražni biro. Izvor: BBC
Uređaj je jeftin prema državnim standardima. Za UFED Touch2, Volgogradski odjel Istražnog komiteta platio je 800 hiljada rubalja, odjel u Habarovsku - 1,2 miliona rubalja. Aleksandar Bastrykin, šef Istražnog komiteta Ruske Federacije, je 2017. godine potvrdio da je njegov odjel Izraelska kompanija.
Sberbank također kupuje takve uređaje - međutim, ne za provođenje istraga, već za borbu protiv virusa na uređajima s Android OS-om. “Ukoliko se sumnja da su mobilni uređaji zaraženi nepoznatim zlonamjernim softverskim kodom, a nakon pribavljene obavezne saglasnosti vlasnika zaraženih telefona, izvršit će se analiza za traženje novih virusa koji se stalno pojavljuju i mijenjaju koristeći različite alate, uključujući i korištenje od UFED Touch2,” - u društvu.
Amerikanci takođe imaju tehnologije koje im omogućavaju da hakuju bilo koji pametni telefon. Grayshift obećava da će hakovati 300 pametnih telefona za 15 dolara (50 dolara po jedinici naspram 1500 dolara za Cellbrite).
Vjerovatno je da i cyber kriminalci imaju slične uređaje. Ovi uređaji se stalno poboljšavaju - njihova veličina se smanjuje, a performanse se povećavaju.
Sada govorimo o manje-više poznatim telefonima velikih proizvođača koji brinu o zaštiti podataka svojih korisnika. Ako je riječ o manjim kompanijama ili organizacijama bez imena, onda se u ovom slučaju podaci uklanjaju bez problema. HS-USB način rada radi čak i kada je bootloader zaključan. Servisni načini su obično „stražnja vrata“ kroz koja se podaci mogu preuzeti. Ako ne, možete se povezati na JTAG port ili potpuno ukloniti eMMC čip i zatim ga umetnuti u jeftin adapter. Ako podaci nisu šifrovani, sa telefona sve općenito, uključujući tokene za autentifikaciju koji pružaju pristup pohrani u oblaku i drugim uslugama.
Ako neko ima lični pristup pametnom telefonu sa važnim informacijama, onda može da ga hakuje ako želi, bez obzira šta proizvođači kažu.
Jasno je da se sve navedeno ne odnosi samo na pametne telefone, već i na računare i laptope koji rade na različitim operativnim sistemima. Ako ne pribjegnete naprednim mjerama zaštite, već se zadovoljite konvencionalnim metodama kao što su lozinka i prijava, tada će podaci ostati u opasnosti. Iskusni haker sa fizičkim pristupom uređaju moći će da dobije gotovo sve informacije - samo je pitanje vremena.
Pa šta da radimo?
Na Habréu je pitanje sigurnosti podataka na ličnim uređajima pokrenuto više puta, tako da nećemo ponovo izmišljati točak. Naznačit ćemo samo glavne metode koje smanjuju vjerovatnoću da treće strane dobiju vaše podatke:
- Obavezno je koristiti šifriranje podataka i na pametnom telefonu i na PC-u. Različiti operativni sistemi često pružaju dobre standardne karakteristike. Primjer - kripto kontejner u Mac OS koristeći standardne alate.
- Postavite lozinke bilo gdje i svugdje, uključujući historiju korespondencije u Telegramu i drugim instant messengerima. Naravno, lozinke moraju biti složene.
- Dvofaktorska autentikacija – da, može biti nezgodna, ali ako je sigurnost na prvom mjestu, morate to podnijeti.
- Pratite fizičku sigurnost svojih uređaja. Odnijeti korporativni računar u kafić i zaboraviti ga tamo? Classic. Sigurnosni standardi, uključujući i korporativne, ispisani su suzama žrtava vlastite nepažnje.
Pogledajmo u komentarima vaše metode za smanjenje vjerovatnoće hakovanja podataka kada treća strana dobije pristup fizičkom uređaju. Zatim ćemo dodati predložene metode u članak ili ih objaviti u našem , gdje redovno pišemo o sigurnosti, životnim hakovima za korištenje i internet cenzura.
izvor: www.habr.com