Niadtong Pebrero, gipatik namo ang artikulong βDili VPN lang. Usa ka cheat sheet kung giunsa pagpanalipod ang imong kaugalingon ug ang imong datos." nag-aghat kanamo sa pagsulat sa usa ka pagpadayon sa artikulo. Kini nga bahin usa ka hingpit nga independente nga gigikanan sa kasayuran, apan girekomenda namon nga basahon nimo ang duha nga mga post.
Usa ka bag-ong post ang gipahinungod sa isyu sa seguridad sa datos (korrespondensya, litrato, video, kana ra) sa mga instant messenger ug ang mga aparato mismo nga gigamit sa pagtrabaho sa mga aplikasyon.
Mga Mensahero
telegrama
Balik sa Oktubre 2018, ang unang tuig nga estudyante sa Wake Technical College nga si Nathaniel Sachi nakadiskobre nga ang Telegram messenger nagtipig sa mga mensahe ug mga file sa media sa lokal nga computer drive sa tin-aw nga teksto.
Ang estudyante nakahimo sa pag-access sa iyang kaugalingon nga sulat, lakip ang teksto ug mga litrato. Aron mahimo kini, gitun-an niya ang mga database sa aplikasyon nga gitipigan sa HDD. Kini nahimo nga ang datos lisud basahon, apan dili naka-encrypt. Ug mahimo silang ma-access bisan kung ang user nagbutang usa ka password alang sa aplikasyon.
Sa datos nga nadawat, nakit-an ang mga ngalan ug numero sa telepono sa mga interlocutors, nga, kung gusto, mahimong itandi. Ang impormasyon gikan sa sirado nga mga chat gitipigan usab sa tin-aw nga pormat.
Gipahayag sa ulahi ni Durov nga dili kini usa ka problema, tungod kay kung ang usa ka tig-atake adunay access sa PC sa gumagamit, makuha niya ang mga yawe sa pag-encrypt ug i-decrypt ang tanan nga mga sulat nga walaβy mga problema. Apan daghang mga eksperto sa seguridad sa impormasyon nangatarungan nga kini seryoso gihapon.
Dugang pa, ang Telegram nahimong huyang sa usa ka yawe nga pag-atake sa pagpangawat, nga Habr user. Mahimo nimong hack ang mga password sa lokal nga code sa bisan unsang gitas-on ug pagkakomplikado.
Sa nahibal-an namon, kini nga messenger nagtipig usab mga datos sa disk sa kompyuter sa dili ma-encrypt nga porma. Tungod niini, kung ang usa ka tig-atake adunay access sa aparato sa tiggamit, nan ang tanan nga datos bukas usab.
Apan adunay usa ka labaw nga global nga problema. Sa pagkakaron, ang tanang backup gikan sa WhatsApp nga na-install sa mga device nga adunay Android OS gitipigan sa Google Drive, sama sa giuyonan sa Google ug Facebook sa miaging tuig. Apan ang mga backup sa mga sulat, mga file sa media ug uban pa . Kutob sa usa nga makahukom, ang mga opisyal sa pagpatuman sa balaod sa parehas nga US , busa adunay posibilidad nga makita sa mga pwersa sa seguridad ang bisan unsang gitipigan nga datos.
Posible nga ma-encrypt ang datos, apan ang duha nga mga kompanya wala magbuhat niini. Tingali tungod lang kay ang wala ma-encrypt nga mga backup dali nga mabalhin ug magamit sa mga tiggamit mismo. Lagmit, wala'y pag-encrypt dili tungod kay kini lisud sa teknikal nga ipatuman: sa sukwahi, mahimo nimong mapanalipdan ang mga backup nga walay bisan unsang kalisud. Ang problema mao nga ang Google adunay kaugalingon nga mga hinungdan sa pagtrabaho sa WhatsApp - ang kompanya tingali ug gigamit kini aron ipakita ang personal nga advertising. Kung kalit nga gipaila sa Facebook ang encryption alang sa mga backup sa WhatsApp, ang Google mawad-an dayon og interes sa ingon nga panag-uban, nga mawad-an sa usa ka hinungdanon nga gigikanan sa datos bahin sa mga gusto sa mga tiggamit sa WhatsApp. Kini, siyempre, usa lamang ka pangagpas, apan lagmit sa kalibutan sa hi-tech nga marketing.
Sama sa alang sa WhatsApp alang sa iOS, ang mga backup gitipigan sa iCloud cloud. Apan dinhi, usab, ang impormasyon gitipigan sa unencrypted nga porma, nga gipahayag bisan sa mga setting sa aplikasyon. Kung gi-analisar sa Apple kini nga datos o wala nahibal-an lamang sa korporasyon mismo. Tinuod, ang Cupertino walay network sa advertising sama sa Google, mao nga mahimo natong hunahunaon nga ang kalagmitan sa ilang pag-analisar sa personal nga datos sa mga tiggamit sa WhatsApp mas ubos.
Ang tanan nga gisulti mahimong maporma sama sa mosunod - oo, dili lamang ikaw adunay access sa imong sulat sa WhatsApp.
TikTok ug uban pang mga messenger
Kini nga mubu nga serbisyo sa pagpaambit sa video mahimong dali nga mahimong popular. Ang mga developers misaad sa pagsiguro sa hingpit nga seguridad sa data sa ilang mga tiggamit. Ingon sa nahimo, ang serbisyo mismo migamit niini nga datos nga wala magpahibalo sa mga tiggamit. Mas grabe pa: ang serbisyo nangolekta og personal nga datos gikan sa mga bata nga ubos sa 13 nga walay pagtugot sa ginikanan. Ang personal nga impormasyon sa mga menor de edad - mga ngalan, e-mail, numero sa telepono, mga litrato ug mga video - gihimo sa publiko.
nga pag-alagad alang sa pipila ka milyon nga dolyares, gipangayo usab sa mga regulator ang pagtangtang sa tanan nga mga video nga gihimo sa mga bata nga ubos sa 13 anyos. Nagsunod ang TikTok. Bisan pa, ang ubang mga mensahero ug serbisyo naggamit sa personal nga datos sa mga tiggamit alang sa ilang kaugalingon nga katuyoan, mao nga dili ka makasiguro sa ilang seguridad.
Kini nga lista mahimong ipadayon nga walay katapusan - kadaghanan sa mga instant messenger adunay usa o lain nga kahuyang nga nagtugot sa mga tig-atake sa pag-eavesdrop sa mga tiggamit ( β Viber, bisan kung ang tanan ingon og naayo didto) o gikawat ang ilang datos. Dugang pa, hapit tanan nga mga aplikasyon gikan sa kinatas-an nga 5 nagtipig sa data sa tiggamit sa usa ka dili mapanalipdan nga porma sa hard drive sa kompyuter o sa panumduman sa telepono. Ug kini wala mahinumdom sa mga serbisyo sa paniktik sa lainlaing mga nasud, nga mahimong adunay access sa data sa gumagamit salamat sa lehislasyon. Ang parehas nga Skype, VKontakte, TamTam ug uban pa naghatag bisan unsang kasayuran bahin sa bisan kinsa nga tiggamit sa hangyo sa mga awtoridad (pananglitan, ang Russian Federation).
Maayo nga seguridad sa lebel sa protocol? Walay problema, giguba namo ang device
Pipila ka tuig ang miagi tali sa Apple ug sa gobyerno sa US. Ang korporasyon nagdumili sa pag-abli sa usa ka naka-encrypt nga smartphone nga nalambigit sa mga pag-atake sa mga terorista sa lungsod sa San Bernardino. Niadtong panahona, ingon og usa kini ka tinuod nga problema: ang datos maayo nga gipanalipdan, ug ang pag-hack sa usa ka smartphone imposible o lisud kaayo.
Karon lahi na ang mga butang. Pananglitan, ang kompanya sa Israel nga Cellebrite nagbaligya sa mga ligal nga entidad sa Russia ug uban pang mga nasud usa ka sistema sa software ug hardware nga nagtugot kanimo sa pag-hack sa tanan nga mga modelo sa iPhone ug Android. Sa miaging tuig adunay nga adunay medyo detalyado nga kasayuran bahin niini nga hilisgutan.
Ang Magadan forensic investigator nga si Popov nag-hack sa usa ka smartphone gamit ang parehas nga teknolohiya nga gigamit sa US Federal Bureau of Investigation. Tinubdan: BBC
Ang aparato dili mahal sa mga sumbanan sa gobyerno. Alang sa UFED Touch2, ang departamento sa Volgograd sa Investigative Committee mibayad og 800 ka libo nga mga rubles, ang departamento sa Khabarovsk - 1,2 milyon nga mga rubles. Sa 2017, si Alexander Bastrykin, pangulo sa Investigative Committee sa Russian Federation, nagpamatuod nga ang iyang departamento kompanya sa Israel.
Gipalit usab sa Sberbank ang ingon nga mga aparato - bisan pa, dili alang sa pagpahigayon mga imbestigasyon, apan alang sa pagpakig-away sa mga virus sa mga aparato nga adunay Android OS. "Kung ang mga mobile device gisuspetsahan nga nataptan sa wala mailhi nga malisyoso nga software code, ug pagkahuman makuha ang mandatory nga pagtugot sa mga tag-iya sa nataptan nga mga telepono, usa ka pagtuki ang himuon aron pangitaon ang kanunay nga pag-uswag ug pagbag-o sa mga bag-ong virus gamit ang lainlaing mga himan, lakip ang paggamit. sa UFED Touch2,β - sa kompanya.
Ang mga Amerikano usab adunay mga teknolohiya nga nagtugot kanila sa pag-hack sa bisan unsang smartphone. Ang Grayshift nagsaad sa pag-hack sa 300 ka mga smartphone sa $15 ($50 kada unit kumpara sa $1500 para sa Cellbrite).
Lagmit nga ang mga cybercriminals adunay susama nga mga himan. Kini nga mga aparato kanunay nga gipaayo - ang ilang gidak-on mikunhod ug ang ilang pasundayag nagdugang.
Karon naghisgot kami bahin sa labi pa o dili kaayo ilado nga mga telepono gikan sa dagkong mga tiggama nga nabalaka bahin sa pagpanalipod sa datos sa ilang mga tiggamit. Kung naghisgot kami bahin sa gagmay nga mga kompanya o mga organisasyon nga walaβy ngalan, nan sa kini nga kaso ang datos gikuha nga walaβy mga problema. Ang HS-USB mode molihok bisan kung ang bootloader naka-lock. Ang mga mode sa serbisyo kasagaran usa ka "pultahan sa likod" diin makuha ang datos. Kung dili, mahimo nimong ikonektar ang port sa JTAG o tangtangon ang tanan nga eMMC chip ug dayon isulud kini sa usa ka barato nga adaptor. Kung ang datos dili ma-encrypt, gikan sa telepono tanan sa kinatibuk-an, lakip na ang mga token sa pag-authenticate nga naghatag og access sa cloud storage ug uban pang mga serbisyo.
Kung adunay usa ka tawo nga adunay personal nga pag-access sa usa ka smartphone nga adunay hinungdanon nga kasayuran, nan mahimo nila kini ma-hack kung gusto nila, bisan unsa pa ang isulti sa mga tiggama.
Klaro nga ang tanan nga gisulti magamit dili lamang sa mga smartphone, apan usab sa mga kompyuter ug laptop nga nagdagan sa lainlaing mga OS. Kung dili ka mogamit sa mga advanced nga lakang sa pagpanalipod, apan kontento sa naandan nga mga pamaagi sama sa password ug pag-login, nan ang datos magpabilin sa peligro. Ang usa ka eksperyensiyado nga hacker nga adunay pisikal nga pag-access sa aparato makakuha hapit bisan unsang kasayuran - kini usa ra ka oras.
Busa unsa ang buhaton?
Sa HabrΓ©, ang isyu sa seguridad sa datos sa personal nga mga himan gipataas labaw pa sa kausa, mao nga dili na namo usbon ang ligid. Ipaila lang namo ang mga nag-unang pamaagi nga makapakunhod sa posibilidad nga makuha sa mga ikatulo nga partido ang imong datos:
- Gikinahanglan ang paggamit sa data encryption sa imong smartphone ug PC. Ang lainlaing mga operating system kanunay nga naghatag maayo nga default nga mga bahin. Pananglitan - crypto sudlanan sa Mac OS gamit ang standard nga mga himan.
- Ibutang ang mga password bisan asa ug bisan asa, lakip ang kasaysayan sa mga sulat sa Telegram ug uban pang mga instant messenger. Siyempre, ang mga password kinahanglang komplikado.
- Duha ka hinungdan nga pag-authenticate - oo, kini mahimong dili kombenyente, apan kung ang seguridad ang una, kinahanglan nimo nga antuson kini.
- Pag-monitor sa pisikal nga seguridad sa imong mga aparato. Dad-a ang usa ka corporate PC sa usa ka cafe ug kalimtan kini didto? Klasiko. Ang mga sumbanan sa kaluwasan, lakip ang mga korporasyon, gisulat uban sa mga luha sa mga biktima sa ilang kaugalingong kawalay pagtagad.
Atong tan-awon sa mga komento sa imong mga pamaagi aron makunhuran ang posibilidad sa pag-hack sa datos kung ang usa ka ikatulo nga partido makakuha og access sa usa ka pisikal nga aparato. Dayon atong idugang ang gisugyot nga mga paagi sa artikulo o imantala kini sa atong , diin kanunay kaming nagsulat bahin sa kaluwasan, mga hack sa kinabuhi alang sa paggamit ug Internet censorship.
Source: www.habr.com