Al febrer, vam publicar l'article "No només VPN. Un full de trucs sobre com protegir-vos i protegir les vostres dades". ens va impulsar a escriure una continuació de l'article. Aquesta part és una font d'informació completament independent, però us recomanem que llegiu les dues publicacions.
Una nova publicació està dedicada al tema de la seguretat de les dades (correspondència, fotos, vídeos, això és tot) a la missatgeria instantània i als propis dispositius que s'utilitzen per treballar amb aplicacions.
Missatgers
telegram
L'octubre de 2018, l'estudiant de primer any del Wake Technical College, Nathaniel Sachi, va descobrir que el missatger de Telegram desa missatges i fitxers multimèdia a la unitat de l'ordinador local en text clar.
L'alumne va poder accedir a la seva pròpia correspondència, incloent text i imatges. Per fer-ho, va estudiar les bases de dades d'aplicacions emmagatzemades al disc dur. Va resultar que les dades eren difícils de llegir, però no xifrades. I es pot accedir fins i tot si l'usuari ha establert una contrasenya per a l'aplicació.
A les dades rebudes s'han trobat els noms i telèfons dels interlocutors que, si es vol, es poden comparar. La informació dels xats tancats també s'emmagatzema en format clar.
Durov va afirmar més tard que això no és un problema, perquè si un atacant té accés a l'ordinador de l'usuari, podrà obtenir claus de xifratge i desxifrar tota la correspondència sense cap problema. Però molts experts en seguretat de la informació argumenten que això encara és greu.
A més, Telegram va resultar ser vulnerable a un atac de robatori de claus, que Usuari d'Habr. Podeu piratejar contrasenyes de codi local de qualsevol longitud i complexitat.
Pel que sabem, aquest missatger també emmagatzema dades al disc de l'ordinador en forma no xifrada. En conseqüència, si un atacant té accés al dispositiu de l'usuari, totes les dades també estan obertes.
Però hi ha un problema més global. Actualment, totes les còpies de seguretat de WhatsApp instal·lades en dispositius amb sistema operatiu Android s'emmagatzemen a Google Drive, tal com van acordar Google i Facebook l'any passat. Però còpies de seguretat de correspondència, fitxers multimèdia i similars . Pel que es pot jutjar, els agents de la llei dels mateixos EUA , de manera que hi ha la possibilitat que les forces de seguretat puguin veure qualsevol dada emmagatzemada.
És possible xifrar dades, però ambdues empreses no ho fan. Potser simplement perquè les còpies de seguretat no xifrades es poden transferir i utilitzar fàcilment pels mateixos usuaris. El més probable és que no hi hagi xifratge no perquè tècnicament és difícil d'implementar: al contrari, podeu protegir les còpies de seguretat sense cap dificultat. El problema és que Google té els seus propis motius per treballar amb WhatsApp, presumiblement l'empresa i els utilitza per mostrar publicitat personalitzada. Si Facebook introduís de sobte el xifratge per a les còpies de seguretat de WhatsApp, Google perdria instantàniament l'interès en aquesta associació, perdent una valuosa font de dades sobre les preferències dels usuaris de WhatsApp. Això, per descomptat, és només una suposició, però molt probable en el món del màrqueting d'alta tecnologia.
Pel que fa a WhatsApp per a iOS, les còpies de seguretat es desen al núvol iCloud. Però aquí també la informació s'emmagatzema en forma no xifrada, que s'indica fins i tot a la configuració de l'aplicació. Si Apple analitza aquestes dades o no, només ho sap la mateixa corporació. És cert que Cupertino no té una xarxa publicitària com Google, per la qual cosa podem suposar que la probabilitat que analitzin les dades personals dels usuaris de WhatsApp és molt menor.
Tot el que s'ha dit es pot formular de la següent manera: sí, no només teniu accés a la vostra correspondència de WhatsApp.
TikTok i altres missatgers
Aquest servei per compartir vídeos curts es podria popularitzar molt ràpidament. Els desenvolupadors es van comprometre a garantir la seguretat total de les dades dels seus usuaris. Com va resultar, el propi servei va utilitzar aquestes dades sense avisar els usuaris. Encara pitjor: el servei recopilava dades personals de menors de 13 anys sense el consentiment dels pares. La informació personal dels menors (noms, correus electrònics, números de telèfon, fotos i vídeos) es va posar a disposició del públic.
Servei per diversos milions de dòlars, els reguladors també van exigir l'eliminació de tots els vídeos fets per nens menors de 13 anys. TikTok va complir. Tanmateix, altres missatgers i serveis utilitzen les dades personals dels usuaris per a les seves pròpies finalitats, de manera que no podeu estar segur de la seva seguretat.
Aquesta llista es pot continuar sense parar: la majoria dels missatgers instantanis tenen una o altra vulnerabilitat que permet als atacants escoltar els usuaris ( — Viber, encara que sembla que tot s'ha arreglat allà) o robar-los les dades. A més, gairebé totes les aplicacions de les 5 primeres emmagatzemen dades d'usuari sense protecció al disc dur de l'ordinador o a la memòria del telèfon. I això sense recordar els serveis d'intel·ligència de diversos països, que poden tenir accés a les dades dels usuaris gràcies a la legislació. Els mateixos Skype, VKontakte, TamTam i altres proporcionen qualsevol informació sobre qualsevol usuari a petició de les autoritats (per exemple, la Federació Russa).
Bona seguretat a nivell de protocol? Cap problema, trenquem el dispositiu
Fa uns anys entre Apple i el govern dels EUA. La corporació es va negar a desbloquejar un telèfon intel·ligent xifrat que estava implicat en els atacs terroristes a la ciutat de San Bernardino. En aquell moment, això semblava un problema real: les dades estaven ben protegides i piratejar un telèfon intel·ligent era impossible o molt difícil.
Ara les coses són diferents. Per exemple, l'empresa israeliana Cellebrite ven a persones jurídiques a Rússia i altres països un sistema de programari i maquinari que permet piratejar tots els models d'iPhone i Android. L'any passat n'hi va haver amb informació relativament detallada sobre aquest tema.
L'investigador forense de Magadan Popov pirateja un telèfon intel·ligent utilitzant la mateixa tecnologia que utilitza l'Oficina Federal d'Investigacions dels Estats Units. Font: BBC
El dispositiu és barat segons els estàndards governamentals. Per a UFED Touch2, el departament de Volgograd del Comitè d'Investigació va pagar 800 mil rubles, el departament de Khabarovsk - 1,2 milions de rubles. El 2017, Alexander Bastrykin, cap del Comitè d'Investigació de la Federació Russa, va confirmar que el seu departament empresa israeliana.
Sberbank també compra aquests dispositius, però no per dur a terme investigacions, sinó per lluitar contra virus en dispositius amb sistema operatiu Android. “Si se sospita que els dispositius mòbils estan infectats amb codi de programari maliciós desconegut, i després d'obtenir el consentiment obligatori dels propietaris dels telèfons infectats, es realitzarà una anàlisi per buscar nous virus emergents i canviants constantment mitjançant diverses eines, inclòs l'ús. d'UFED Touch2", - en companyia.
Els nord-americans també tenen tecnologies que els permeten piratejar qualsevol telèfon intel·ligent. Grayshift promet piratejar 300 telèfons intel·ligents per 15 dòlars (50 dòlars per unitat enfront de 1500 dòlars per Cellbrite).
És probable que els ciberdelinqüents també tinguin dispositius similars. Aquests dispositius es milloren constantment: la seva mida disminueix i el seu rendiment augmenta.
Ara parlem de telèfons més o menys coneguts de grans fabricants que es preocupen per protegir les dades dels seus usuaris. Si estem parlant d'empreses més petites o organitzacions sense nom, en aquest cas les dades s'eliminen sense problemes. El mode HS-USB funciona fins i tot quan el carregador d'arrencada està bloquejat. Els modes de servei solen ser una "porta del darrere" a través de la qual es poden recuperar dades. Si no, podeu connectar-vos al port JTAG o treure el xip eMMC del tot i inserir-lo en un adaptador econòmic. Si les dades no estan xifrades, des del telèfon tot en general, inclosos els testimonis d'autenticació que proporcionen accés a l'emmagatzematge al núvol i altres serveis.
Si algú té accés personal a un telèfon intel·ligent amb informació important, pot piratejar-lo si vol, independentment del que diguin els fabricants.
És evident que tot el que s'ha dit s'aplica no només als telèfons intel·ligents, sinó també als ordinadors i ordinadors portàtils amb diferents sistemes operatius. Si no recorreu a mesures de protecció avançades, però us conformeu amb mètodes convencionals com ara una contrasenya i un inici de sessió, aleshores les dades romandran en perill. Un pirata informàtic experimentat amb accés físic al dispositiu podrà obtenir gairebé qualsevol informació: només és qüestió de temps.
Llavors, què fer?
A Habré, el tema de la seguretat de les dades als dispositius personals s'ha plantejat més d'una vegada, així que no tornarem a reinventar la roda. Només us indicarem els principals mètodes que redueixen la probabilitat que tercers obtinguin les vostres dades:
- És obligatori utilitzar el xifratge de dades tant al vostre telèfon intel·ligent com a l'ordinador. Els diferents sistemes operatius sovint ofereixen bones funcions predeterminades. Exemple - contenidor criptogràfic a Mac OS utilitzant eines estàndard.
- Establiu contrasenyes a qualsevol lloc i a tot arreu, inclòs l'historial de correspondència a Telegram i altres missatgeria instantània. Naturalment, les contrasenyes han de ser complexes.
- Autenticació de dos factors: sí, pot ser incòmode, però si la seguretat és el primer, heu d'aguantar-ho.
- Superviseu la seguretat física dels vostres dispositius. Portar un ordinador corporatiu a una cafeteria i oblidar-lo allà? Clàssic. Les normes de seguretat, incloses les corporatives, es van escriure amb les llàgrimes de les víctimes de la seva pròpia negligència.
Vegem als comentaris els vostres mètodes per reduir la probabilitat de pirateria de dades quan un tercer accedeix a un dispositiu físic. Després afegirem els mètodes proposats a l'article o els publicarem al nostre , on escrivim regularment sobre seguretat, trucs de vida per utilitzar i la censura d'Internet.
Font: www.habr.com