In u frivaru, avemu publicatu l'articulu "Micca VPN solu. Un cheat sheet nantu à cumu prutegge sè stessu è i vostri dati ". ci hà incitatu à scrive una continuazione di l'articulu. Questa parte hè una fonte d'infurmazione completamente indipendente, ma ricumandemu sempre di leghje i dui posti.
Un novu postu hè dedicatu à u prublema di a sicurità di dati (currispundenza, foto, video, questu hè tuttu) in i messageri instantani è i dispositi stessi chì sò usati per travaglià cù l'applicazioni.
I messageri
n'ambasciata
In uttrovi 2018, u studiente di u Wake Technical College di u primu annu Nathaniel Sachi hà scupertu chì u messaggeru di Telegram salva i missaghji è i fugliali multimediali in u discu di l'urdinatore lucale in testu chjaru.
U studiente hà sappiutu accede à a so propria currispundenza, cumpresi testu è stampi. Per fà questu, hà studiatu e basa di dati di l'applicazioni guardate in u HDD. Risultava chì i dati eranu difficiuli di leghje, ma micca criptati. È ponu accede ancu se l'utilizatore hà stabilitu una password per l'applicazione.
In i dati ricevuti, i nomi è i numeri di telefunu di l'interlocutori sò stati truvati, chì, se vulete, ponu esse paragunati. L'infurmazioni da i chats chjusi sò ancu guardati in formate chjaru.
Durov hà dettu dopu chì questu ùn hè micca un prublema, perchè se un attaccu hà accessu à u PC di l'utilizatore, puderà ottene e chjave di criptografia è decrypt tutte e currispundenza senza prublemi. Ma parechji sperti di sicurezza di l'infurmazioni sustenenu chì questu hè sempre seriu.
Inoltre, Telegram hè vulnerabile à un attaccu di furtu chjave, chì L'usu di Habr. Pudete marcianise password codice lucale di ogni lunghezza è cumplessità.
scalza
Quantu sapemu, stu messenger guarda ancu e dati nantu à u discu di l'urdinatore in forma micca criptata. In cunsiquenza, se un attaccu hà accessu à u dispusitivu di l'utilizatore, allora tutti i dati sò ancu aperti.
Ma ci hè un prublema più globale. Attualmente, tutte e copie di salvezza di WhatsApp installate nantu à i dispositi cù Android OS sò almacenati in Google Drive, cum'è Google è Facebook accunsenu l'annu passatu. Ma backups di currispundenza, schedarii media è simili . In quantu si pò ghjudicà, l'agenti di l'infurzatori di a lege di u listessu US , cusì ci hè una pussibilità chì e forze di sicurezza ponu vede qualsiasi dati almacenati.
Hè pussibule di criptà e dati, ma e duie cumpagnie ùn facenu micca questu. Forsi simpricimenti perchè e copie di salvezza micca criptate ponu esse facilmente trasferite è aduprate da l'utilizatori stessi. Hè assai prubabile, ùn ci hè micca una criptografia micca perchè hè tecnicamente difficiuli di implementà: à u cuntrariu, pudete prutezzione di salvezza senza difficultà. U prublema hè chì Google hà i so propiu motivi per travaglià cù WhatsApp - a cumpagnia presumibbilmente è li usa per vede publicità persunalizata. Se Facebook hà introduttu subitu a criptografia per e copie di salvezza di WhatsApp, Google perde istantaneamente l'interessu in un tali partenariatu, perdendu una preziosa fonte di dati nantu à e preferenze di l'utilizatori di WhatsApp. Questu, sicuru, hè solu una supposizione, ma assai prubabile in u mondu di u marketing hi-tech.
In quantu à WhatsApp per iOS, i backups sò salvati in u nuvulu iCloud. Ma quì, ancu, l'infurmazione hè guardata in forma micca criptata, chì hè dichjarata ancu in i paràmetri di l'applicazione. Sia Apple analizà queste dati o micca hè cunnisciutu solu da a corporazione stessu. True, Cupertino ùn hà micca una rete di publicità cum'è Google, cusì pudemu assume chì a probabilità di analizà e dati persunali di l'utilizatori di WhatsApp hè assai più bassu.
Tuttu ciò chì hè statu dettu pò esse formulatu cusì - iè, micca solu avete accessu à a vostra currispundenza WhatsApp.
TikTok è altri messageri
Stu serviziu di spartera di video brevi puderia diventà populari assai rapidamente. I sviluppatori anu prumessu di assicurà a sicurità cumpleta di i dati di i so utilizatori. Comu si girò fora, u serviziu stessu usatu sti dati senza avvisà utilizatori. Ancu peggiu: u serviziu hà cullatu dati persunali da i zitelli sottu 13 senza accunsentu parenti. L'infurmazioni persunali di i minori - nomi, e-mail, numeri di telefunu, foto è video - sò stati resi dispunibuli publicamente.
sirvizziu per parechji milioni di dollari, i regulatori anu dumandatu ancu a rimuzione di tutti i video fatti da i zitelli sottu 13 anni. TikTok hà rispettatu. Tuttavia, altri messageri è servizii utilizanu i dati persunali di l'utilizatori per u so propiu propiu, perchè ùn pudete micca esse sicuru di a so sicurità.
Questa lista pò esse continuata senza fine - a maiò parte di i messageri instantani anu una o una altra vulnerabilità chì permette à l'attaccanti di spiegà l'utilizatori ( - Viber, ancu s'è tuttu pare esse riparatu quì) o arrubbanu i so dati. Inoltre, quasi tutte l'applicazioni da u top 5 guardanu i dati di l'utilizatori in una forma senza prutezzione in u discu duru di l'urdinatore o in a memoria di u telefunu. È questu hè senza ricurdà i servizii di intelligenza di parechji paesi, chì ponu accede à e dati d'utilizatori grazia à a legislazione. U listessu Skype, VKontakte, TamTam è altri furnisce ogni infurmazione nantu à qualsiasi utilizatore à a dumanda di l'autorità (per esempiu, a Federazione Russa).
Bona sicurità à u livellu di u protocolu? Nisun prublema, rompemu u dispusitivu
Certi anni fà trà Apple è u guvernu americanu. A corporazione hà rifiutatu di sbloccare un smartphone criptatu chì era implicatu in l'attacchi terroristi in a cità di San Bernardino. À l'epica, questu paria un veru prublema: i dati eranu ben prutetti, è pirate un smartphone era impussibile o assai difficiule.
Avà e cose sò diverse. Per esempiu, a cumpagnia israeliana Cellebrite vende à e persone giuridiche in Russia è in altri paesi un sistema di software è hardware chì permette di pirate tutti i mudelli iPhone è Android. L'annu passatu ci era cun infurmazione relativamente dettagliata nantu à questu tema.
L'investigatore forensicu di Magadan Popov pirate un smartphone utilizendu a stessa tecnulugia utilizata da l'Uffiziu Federale di Investigazione di i Stati Uniti. Fonte: BBC
U dispusitivu hè pocu costu per i standard di u guvernu. Per UFED Touch2, u dipartimentu di Volgograd di u Cumitatu Investigativu hà pagatu 800 mila rubli, u dipartimentu di Khabarovsk - 1,2 milioni di rubli. In 2017, Alexander Bastrykin, capu di u Cumitatu Investigative di a Federazione Russa, hà cunfirmatu chì u so dipartimentu Cumpagnia israeliana.
Sberbank ancu cumprà tali dispositi - in ogni modu, micca per fà investigazioni, ma per cumbatte i virus nantu à i dispositi cù Android OS. "Se i dispositi mobili sò sospettati di esse infettati cù codice software malicioso scunnisciutu, è dopu avè ottenutu l'accunsentu obligatoriu di i pruprietarii di i telefoni infettati, un analisi serà realizatu per circà i virus emergenti è cambianti constantemente utilizendu diversi strumenti, cumprese l'usu. di UFED Touch2," - in cumpagnia.
L'Americani anu ancu tecnulugii chì permettenu di pirate ogni smartphone. Grayshift prumetti di pirate 300 smartphones per $ 15 ($ 50 per unità versus $ 1500 per Cellbrite).
Hè prubabile chì i cibercriminali anu ancu dispusitivi simili. Sti dispusitivi sò constantemente migliurati - a so dimensione diminuite è a so prestazione aumenta.
Avà parlemu di telefoni più o menu cunnisciuti da i grandi fabricatori chì sò preoccupati di prutezzione di e dati di i so utilizatori. Se parlemu di cumpagnie più chjuche o d'urganisazioni senza nome, allora in questu casu i dati sò eliminati senza prublemi. U modu HS-USB funziona ancu quandu u bootloader hè chjusu. I modi di serviziu sò di solitu una "porta di daretu" attraversu quale i dati ponu esse recuperati. Se no, pudete cunnette à u portu JTAG o sguassate u chip eMMC in tuttu è poi inserisci in un adattatore di prezzu. Se i dati ùn sò micca criptati, da u telefunu tuttu in generale, cumprese i tokens d'autentificazione chì furnisce l'accessu à u almacenamentu in nuvola è altri servizii.
Se qualchissia hà accessu persunale à un smartphone cù infurmazione impurtante, allura pò pirate si vulete, ùn importa ciò chì dicenu i pruduttori.
Hè chjaru chì tuttu ciò chì hè statu dettu s'applica micca solu à i telefoni smartphones, ma ancu à l'urdinatori è i laptops chì funzionanu diversi OS. Se ùn avete micca ricursu à e misure protettive avanzate, ma sò cuntentate cù metudi cunvinziunali, cum'è una password è login, allora i dati restanu in periculu. Un pirate espertu cù accessu fisicu à u dispusitivu hà da pudè ottene quasi ogni infurmazione - hè solu questione di tempu.
Allora chì fà ?
Nant'à Habré, u prublema di a sicurità di e dati nantu à i dispositi persunali hè statu suscitatu più di una volta, cusì ùn avemu micca reinventà a rota. Indicheremu solu i metudi principali chì riducenu a probabilità di terze parti chì uttenenu i vostri dati:
- Hè ubligatoriu di utilizà a criptografia di dati in u vostru smartphone è in u PC. Diversi sistemi operativi spessu furniscenu boni funzioni predeterminate. Esempiu - cuntainer criptu in Mac OS utilizendu strumenti standard.
- Stabilite password in ogni locu è in ogni locu, cumpresa a storia di a corrispondenza in Telegram è altri messageri instantani. Naturalmente, e password deve esse cumplessu.
- Autentificazione à dui fattori - iè, pò esse sconveniente, ma se a sicurità hè prima, avete da mette cun ella.
- Monitorà a sicurità fisica di i vostri dispositi. Pigliate un PC corporativu à un caffè è vi scurdate di quì? Classicu. I normi di sicurità, cumpresi quelli corporativi, sò stati scritti cù e lacrime di e vittime di a so propria trascuranza.
Fighjemu in i cumenti à i vostri metudi per riduce a probabilità di pirate di dati quandu un terzu accede à un dispositivu fisicu. Puderemu aghjunghje i metudi pruposti à l'articulu o pubblicà in u nostru , induve avemu rigularmente scrivite nantu à a sicurità, vita hacks per usu è a censura di Internet.
Source: www.habr.com