V únoru jsme publikovali článek „Ne VPN sama. Cheat sheet o tom, jak chránit sebe a svá data." nás přimělo napsat pokračování článku. Tato část je zcela nezávislým zdrojem informací, přesto doporučujeme si oba příspěvky přečíst.
Nový příspěvek je věnován problematice zabezpečení dat (korespondence, fotky, videa, to je vše) v instant messengerech a samotných zařízeních, která slouží k práci s aplikacemi.
Poslové
Telegram
V říjnu 2018 student prvního ročníku Wake Technical College Nathaniel Sachi zjistil, že telegramový messenger ukládá zprávy a mediální soubory na disk místního počítače v čistém textu.
Student měl přístup ke své vlastní korespondenci, včetně textu a obrázků. K tomu studoval databáze aplikací uložené na HDD. Ukázalo se, že data byla obtížně čitelná, ale nešifrovaná. A lze k nim přistupovat, i když si uživatel pro aplikaci nastavil heslo.
V obdržených datech byla nalezena jména a telefonní čísla účastníků rozhovoru, která lze v případě potřeby porovnat. Informace z uzavřených chatů se také ukládají v přehledném formátu.
Durov později uvedl, že to není problém, protože pokud má útočník přístup k PC uživatele, bude moci bez problémů získat šifrovací klíče a dešifrovat veškerou korespondenci. Ale mnoho odborníků na informační bezpečnost tvrdí, že je to stále vážné.
Navíc se ukázalo, že Telegram je zranitelný vůči útoku krádeže klíčů, který Uživatel Habr. Můžete hacknout hesla místního kódu libovolné délky a složitosti.
Pokud víme, tento messenger také ukládá data na disk počítače v nezašifrované podobě. Pokud má tedy útočník přístup k zařízení uživatele, jsou všechna data také otevřena.
Ale je tu globálnější problém. Aktuálně jsou všechny zálohy z WhatsApp nainstalované na zařízeních s OS Android uloženy na Google Drive, jak se Google a Facebook dohodly v loňském roce. Ale zálohy korespondence, mediální soubory a podobně . Pokud lze soudit, policisté ze stejných USA , takže existuje možnost, že si bezpečnostní složky mohou prohlédnout jakákoli uložená data.
Je možné šifrovat data, ale obě společnosti to nedělají. Snad jednoduše proto, že nešifrované zálohy mohou snadno přenášet a používat samotní uživatelé. S největší pravděpodobností neexistuje žádné šifrování ne proto, že by bylo technicky obtížné jej implementovat: naopak, zálohy můžete chránit bez jakýchkoli potíží. Problém je v tom, že Google má své vlastní důvody pro spolupráci s WhatsApp - pravděpodobně společnost a používá je k zobrazování personalizované reklamy. Pokud by Facebook náhle zavedl šifrování pro zálohy WhatsApp, Google by okamžitě ztratil zájem o takové partnerství a ztratil by cenný zdroj dat o preferencích uživatelů WhatsApp. To je samozřejmě jen předpoklad, ale ve světě hi-tech marketingu velmi pravděpodobný.
Pokud jde o WhatsApp pro iOS, zálohy se ukládají do cloudu iCloud. I zde se ale informace ukládají v nezašifrované podobě, která je uvedena i v nastavení aplikace. Zda Apple tato data analyzuje nebo ne, ví pouze samotná korporace. Je pravda, že Cupertino nemá reklamní síť jako Google, takže můžeme předpokládat, že pravděpodobnost, že budou analyzovat osobní údaje uživatelů WhatsApp, je mnohem nižší.
Vše, co bylo řečeno, lze formulovat následovně – ano, nejen vy máte přístup ke své korespondenci WhatsApp.
TikTok a další poslové
Tato služba pro sdílení krátkých videí by se mohla velmi rychle stát populární. Vývojáři slíbili, že zajistí úplnou bezpečnost dat svých uživatelů. Jak se ukázalo, samotná služba tato data použila, aniž by o tom uživatele informovala. Ještě horší: služba sbírala osobní údaje od dětí mladších 13 let bez souhlasu rodičů. Osobní údaje nezletilých – jména, e-maily, telefonní čísla, fotografie a videa – byly zveřejněny.
Služba za několik milionů dolarů regulační orgány také požadovaly odstranění všech videí natočených dětmi mladšími 13 let. TikTok vyhověl. Jiné posly a služby však používají osobní údaje uživatelů pro své vlastní účely, takže si nemůžete být jisti jejich bezpečností.
V tomto seznamu lze pokračovat donekonečna – většina instant messengerů má tu či onu zranitelnost, která umožňuje útočníkům odposlouchávat uživatele ( — Viber, i když se zdá, že tam bylo vše opraveno) nebo ukrást jejich data. Téměř všechny aplikace z top 5 navíc ukládají uživatelská data v nechráněné podobě na pevný disk počítače nebo do paměti telefonu. A to bez vzpomínek na zpravodajské služby různých zemí, které mohou mít přístup k uživatelským datům díky legislativě. Stejný Skype, VKontakte, TamTam a další poskytují jakékoli informace o jakémkoli uživateli na žádost úřadů (například Ruské federace).
Dobré zabezpečení na úrovni protokolu? Žádný problém, rozbijeme zařízení
Nějaký ten rok zpátky mezi Applem a vládou USA. Korporace odmítla odemknout zašifrovaný smartphone, který se podílel na teroristických útocích ve městě San Bernardino. V té době se to zdálo jako skutečný problém: data byla dobře chráněna a hacknutí smartphonu bylo buď nemožné, nebo velmi obtížné.
Teď jsou věci jinak. Například izraelská společnost Cellebrite prodává právnickým osobám v Rusku a dalších zemích softwarový a hardwarový systém, který vám umožňuje hacknout všechny modely iPhone a Android. Minulý rok tam bylo s poměrně podrobnými informacemi na toto téma.
Magadanský forenzní vyšetřovatel Popov hackne smartphone pomocí stejné technologie, kterou používá americký Federální úřad pro vyšetřování. Zdroj: BBC
Zařízení je podle vládních norem levné. Za UFED Touch2 zaplatilo volgogradské oddělení vyšetřovacího výboru 800 tisíc rublů, oddělení Chabarovsk - 1,2 milionu rublů. V roce 2017 Alexander Bastrykin, šéf Vyšetřovacího výboru Ruské federace, potvrdil, že jeho oddělení izraelská společnost.
Sberbank také nakupuje taková zařízení - ne však pro provádění vyšetřování, ale pro boj s viry na zařízeních s OS Android. „V případě podezření na infikování mobilních zařízení neznámým kódem škodlivého softwaru a po získání povinného souhlasu vlastníků infikovaných telefonů bude provedena analýza pro vyhledávání neustále se objevujících a měnících se nových virů pomocí různých nástrojů, včetně využití UFED Touch2,“ - ve společnosti.
Američané mají také technologie, které jim umožňují hacknout jakýkoli smartphone. Grayshift slibuje hacknutí 300 smartphonů za 15 50 $ (1500 $ za jednotku oproti XNUMX XNUMX $ za Cellbrite).
Je pravděpodobné, že podobná zařízení mají i kyberzločinci. Tato zařízení se neustále zdokonalují – zmenšuje se jejich velikost a zvyšuje se jejich výkon.
Nyní se bavíme o více či méně známých telefonech velkých výrobců, kterým jde o ochranu dat svých uživatelů. Pokud se bavíme o menších společnostech nebo no-name organizacích, tak v tomto případě jsou data odstraněna bez problémů. Režim HS-USB funguje, i když je bootloader uzamčen. Servisní režimy jsou obvykle „zadními vrátky“, kterými lze data získávat. Pokud ne, můžete se připojit k portu JTAG nebo čip eMMC úplně vyjmout a poté jej vložit do levného adaptéru. Pokud data nejsou zašifrována, z telefonu vše obecně, včetně ověřovacích tokenů, které poskytují přístup ke cloudovému úložišti a dalším službám.
Pokud má někdo osobní přístup ke smartphonu s důležitými informacemi, pak ho může hacknout, pokud chce, bez ohledu na to, co říkají výrobci.
Je jasné, že vše, co bylo řečeno, platí nejen pro chytré telefony, ale také pro počítače a notebooky s různými OS. Pokud se neuchýlíte k pokročilým ochranným opatřením, ale spokojíte se s konvenčními metodami, jako je heslo a přihlášení, zůstanou data v ohrožení. Zkušený hacker s fyzickým přístupem k zařízení bude schopen získat téměř jakékoli informace – je to jen otázka času.
Tak co dělat?
Na Habré byla otázka zabezpečení dat na osobních zařízeních nastolena více než jednou, takže nebudeme znovu objevovat kolo. Uvedeme pouze hlavní metody, které snižují pravděpodobnost, že třetí strany získají vaše údaje:
- Na smartphonu i PC je povinné používat šifrování dat. Různé operační systémy často poskytují dobré výchozí funkce. Příklad - kryptografický kontejner v Mac OS pomocí standardních nástrojů.
- Nastavte si hesla kdekoli a všude, včetně historie korespondence v Telegramu a dalších instant messengerech. Hesla musí být přirozeně složitá.
- Dvoufaktorová autentizace – ano, může to být nepohodlné, ale pokud je bezpečnost na prvním místě, musíte se s tím smířit.
- Sledujte fyzické zabezpečení svých zařízení. Vzít si firemní PC do kavárny a zapomenout ho tam? Klasický. Bezpečnostní normy, včetně korporátních, byly napsány se slzami obětí jejich vlastní neopatrnosti.
Podívejme se v komentářích na vaše metody, jak snížit pravděpodobnost hacknutí dat, když třetí strana získá přístup k fyzickému zařízení. Navrhované metody pak přidáme do článku nebo je zveřejníme v našem , kde pravidelně píšeme o bezpečnosti, life hackech pro použití a cenzury internetu.
Zdroj: www.habr.com