Τον Φεβρουάριο δημοσιεύσαμε το άρθρο «Όχι μόνο VPN. Ένα φύλλο απάτης για το πώς να προστατεύσετε τον εαυτό σας και τα δεδομένα σας." μας ώθησε να γράψουμε τη συνέχεια του άρθρου. Αυτό το μέρος είναι μια εντελώς ανεξάρτητη πηγή πληροφοριών, αλλά σας συνιστούμε να διαβάσετε και τις δύο δημοσιεύσεις.
Μια νέα ανάρτηση είναι αφιερωμένη στο θέμα της ασφάλειας των δεδομένων (αλληλογραφία, φωτογραφίες, βίντεο, όλα αυτά) στους instant messenger και στις ίδιες τις συσκευές που χρησιμοποιούνται για την εργασία με εφαρμογές.
Αγγελιαφόροι
Telegram
Τον Οκτώβριο του 2018, ο πρωτοετής φοιτητής του Wake Technical College, Nathaniel Sachi, ανακάλυψε ότι ο αγγελιοφόρος Telegram αποθηκεύει μηνύματα και αρχεία πολυμέσων στη μονάδα του τοπικού υπολογιστή με καθαρό κείμενο.
Ο μαθητής είχε πρόσβαση στη δική του αλληλογραφία, συμπεριλαμβανομένων κειμένου και εικόνων. Για να γίνει αυτό, μελέτησε τις βάσεις δεδομένων εφαρμογών που ήταν αποθηκευμένες στον σκληρό δίσκο. Αποδείχθηκε ότι τα δεδομένα ήταν δύσκολο να διαβαστούν, αλλά όχι κρυπτογραφημένα. Και μπορούν να προσπελαστούν ακόμη και αν ο χρήστης έχει ορίσει κωδικό πρόσβασης για την εφαρμογή.
Στα στοιχεία που ελήφθησαν βρέθηκαν τα ονόματα και τα τηλέφωνα των συνομιλητών, τα οποία, εάν επιθυμείτε, μπορούν να συγκριθούν. Οι πληροφορίες από κλειστές συνομιλίες αποθηκεύονται επίσης σε καθαρή μορφή.
Ο Durov δήλωσε αργότερα ότι αυτό δεν είναι πρόβλημα, επειδή εάν ένας εισβολέας έχει πρόσβαση στον υπολογιστή του χρήστη, θα μπορεί να αποκτήσει κλειδιά κρυπτογράφησης και να αποκρυπτογραφήσει όλη την αλληλογραφία χωρίς κανένα πρόβλημα. Αλλά πολλοί ειδικοί στην ασφάλεια πληροφοριών υποστηρίζουν ότι αυτό είναι ακόμα σοβαρό.
Επιπλέον, το Telegram αποδείχθηκε ευάλωτο σε επίθεση κλοπής κλειδιού, η οποία Χρήστης Habr. Μπορείτε να χακάρετε κωδικούς πρόσβασης τοπικού κώδικα οποιουδήποτε μήκους και πολυπλοκότητας.
Από όσο γνωρίζουμε, αυτός ο αγγελιοφόρος αποθηκεύει επίσης δεδομένα στο δίσκο του υπολογιστή σε μη κρυπτογραφημένη μορφή. Αντίστοιχα, εάν ένας εισβολέας έχει πρόσβαση στη συσκευή του χρήστη, τότε όλα τα δεδομένα είναι επίσης ανοιχτά.
Υπάρχει όμως ένα πιο παγκόσμιο πρόβλημα. Επί του παρόντος, όλα τα αντίγραφα ασφαλείας από το WhatsApp που είναι εγκατεστημένα σε συσκευές με λειτουργικό σύστημα Android αποθηκεύονται στο Google Drive, όπως συμφώνησαν η Google και το Facebook πέρυσι. Αλλά αντίγραφα ασφαλείας αλληλογραφίας, αρχείων πολυμέσων και παρόμοια . Από όσο μπορεί κανείς να κρίνει, αξιωματικοί επιβολής του νόμου των ίδιων Η.Π.Α , επομένως υπάρχει πιθανότητα οι δυνάμεις ασφαλείας να μπορούν να δουν τυχόν αποθηκευμένα δεδομένα.
Είναι δυνατή η κρυπτογράφηση δεδομένων, αλλά και οι δύο εταιρείες δεν το κάνουν αυτό. Ίσως απλώς επειδή τα μη κρυπτογραφημένα αντίγραφα ασφαλείας μπορούν εύκολα να μεταφερθούν και να χρησιμοποιηθούν από τους ίδιους τους χρήστες. Πιθανότατα, δεν υπάρχει κρυπτογράφηση όχι επειδή είναι τεχνικά δύσκολο να εφαρμοστεί: αντίθετα, μπορείτε να προστατεύσετε τα αντίγραφα ασφαλείας χωρίς καμία δυσκολία. Το πρόβλημα είναι ότι η Google έχει τους δικούς της λόγους να συνεργάζεται με το WhatsApp - η εταιρεία προφανώς και τα χρησιμοποιεί για την προβολή εξατομικευμένων διαφημίσεων. Εάν το Facebook εισήγαγε ξαφνικά την κρυπτογράφηση για τα αντίγραφα ασφαλείας του WhatsApp, η Google θα έχανε αμέσως το ενδιαφέρον για μια τέτοια συνεργασία, χάνοντας μια πολύτιμη πηγή δεδομένων σχετικά με τις προτιμήσεις των χρηστών του WhatsApp. Αυτό, φυσικά, είναι απλώς μια υπόθεση, αλλά πολύ πιθανό στον κόσμο του μάρκετινγκ υψηλής τεχνολογίας.
Όσον αφορά το WhatsApp για iOS, τα αντίγραφα ασφαλείας αποθηκεύονται στο cloud iCloud. Αλλά και εδώ οι πληροφορίες αποθηκεύονται σε μη κρυπτογραφημένη μορφή, η οποία δηλώνεται ακόμα και στις ρυθμίσεις της εφαρμογής. Το αν η Apple αναλύει αυτά τα δεδομένα ή όχι είναι γνωστό μόνο στην ίδια την εταιρεία. Είναι αλήθεια ότι το Cupertino δεν διαθέτει διαφημιστικό δίκτυο όπως η Google, επομένως μπορούμε να υποθέσουμε ότι η πιθανότητα να αναλύσουν τα προσωπικά δεδομένα των χρηστών του WhatsApp είναι πολύ μικρότερη.
Όλα όσα έχουν ειπωθεί μπορούν να διατυπωθούν ως εξής - ναι, όχι μόνο έχετε πρόσβαση στην αλληλογραφία σας στο WhatsApp.
TikTok και άλλοι αγγελιοφόροι
Αυτή η σύντομη υπηρεσία κοινής χρήσης βίντεο θα μπορούσε να γίνει δημοφιλής πολύ γρήγορα. Οι προγραμματιστές υποσχέθηκαν να διασφαλίσουν την πλήρη ασφάλεια των δεδομένων των χρηστών τους. Όπως αποδείχθηκε, η ίδια η υπηρεσία χρησιμοποίησε αυτά τα δεδομένα χωρίς να ειδοποιήσει τους χρήστες. Ακόμη χειρότερα: η υπηρεσία συνέλεγε προσωπικά δεδομένα από παιδιά κάτω των 13 ετών χωρίς τη γονική συναίνεση. Προσωπικά στοιχεία ανηλίκων - ονόματα, e-mail, αριθμοί τηλεφώνου, φωτογραφίες και βίντεο - έγιναν δημόσια διαθέσιμα.
Υπηρεσίες για αρκετά εκατομμύρια δολάρια, οι ρυθμιστικές αρχές ζήτησαν επίσης την αφαίρεση όλων των βίντεο που δημιουργήθηκαν από παιδιά κάτω των 13 ετών. Το TikTok συμμορφώθηκε. Ωστόσο, άλλοι αγγελιοφόροι και υπηρεσίες χρησιμοποιούν τα προσωπικά δεδομένα των χρηστών για δικούς τους σκοπούς, επομένως δεν μπορείτε να είστε σίγουροι για την ασφάλειά τους.
Αυτή η λίστα μπορεί να συνεχιστεί ατελείωτα - οι περισσότεροι instant messenger έχουν τη μία ή την άλλη ευπάθεια που επιτρέπει στους εισβολείς να παρακολουθούν τους χρήστες ( — Viber, αν και όλα φαίνεται να έχουν διορθωθεί εκεί) ή να τους κλέψουν τα δεδομένα. Επιπλέον, σχεδόν όλες οι εφαρμογές από τις κορυφαίες 5 αποθηκεύουν δεδομένα χρήστη σε μη προστατευμένη μορφή στον σκληρό δίσκο του υπολογιστή ή στη μνήμη του τηλεφώνου. Και αυτό χωρίς να θυμόμαστε τις υπηρεσίες πληροφοριών διαφόρων χωρών, οι οποίες ενδέχεται να έχουν πρόσβαση σε δεδομένα χρηστών χάρη στη νομοθεσία. Το ίδιο Skype, VKontakte, TamTam και άλλοι παρέχουν οποιαδήποτε πληροφορία για οποιονδήποτε χρήστη κατόπιν αιτήματος των αρχών (για παράδειγμα, της Ρωσικής Ομοσπονδίας).
Καλή ασφάλεια σε επίπεδο πρωτοκόλλου; Κανένα πρόβλημα, σπάμε τη συσκευή
Μερικα χρονια πριν μεταξύ της Apple και της αμερικανικής κυβέρνησης. Η εταιρεία αρνήθηκε να ξεκλειδώσει ένα κρυπτογραφημένο smartphone που συμμετείχε στις τρομοκρατικές επιθέσεις στην πόλη San Bernardino. Εκείνη την εποχή, αυτό φαινόταν σαν ένα πραγματικό πρόβλημα: τα δεδομένα ήταν καλά προστατευμένα και η παραβίαση ενός smartphone ήταν είτε αδύνατη είτε πολύ δύσκολη.
Τώρα τα πράγματα είναι διαφορετικά. Για παράδειγμα, η ισραηλινή εταιρεία Cellebrite πουλά σε νομικά πρόσωπα στη Ρωσία και σε άλλες χώρες ένα σύστημα λογισμικού και υλικού που σας επιτρέπει να χακάρετε όλα τα μοντέλα iPhone και Android. Πέρυσι υπήρχε με σχετικά λεπτομερείς πληροφορίες για αυτό το θέμα.
Ο ιατροδικαστής του Μαγκαντάν Ποπόφ χακάρει ένα smartphone χρησιμοποιώντας την ίδια τεχνολογία που χρησιμοποιεί το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ. Πηγή: BBC
Η συσκευή είναι φθηνή σύμφωνα με τα κρατικά πρότυπα. Για το UFED Touch2, το τμήμα του Βόλγκογκραντ της Ερευνητικής Επιτροπής πλήρωσε 800 χιλιάδες ρούβλια, το τμήμα Khabarovsk - 1,2 εκατομμύρια ρούβλια. Το 2017, ο Alexander Bastrykin, επικεφαλής της Ερευνητικής Επιτροπής της Ρωσικής Ομοσπονδίας, επιβεβαίωσε ότι το τμήμα του Ισραηλινή εταιρεία.
Η Sberbank αγοράζει επίσης τέτοιες συσκευές - ωστόσο, όχι για τη διεξαγωγή ερευνών, αλλά για την καταπολέμηση ιών σε συσκευές με λειτουργικό σύστημα Android. «Εάν υπάρχουν υποψίες ότι οι φορητές συσκευές έχουν μολυνθεί με άγνωστο κακόβουλο κώδικα λογισμικού και αφού ληφθεί η υποχρεωτική συγκατάθεση των κατόχων μολυσμένων τηλεφώνων, θα διενεργηθεί ανάλυση για την αναζήτηση νέων ιών που εμφανίζονται συνεχώς και αλλάζουν χρησιμοποιώντας διάφορα εργαλεία, συμπεριλαμβανομένης της χρήσης του UFED Touch2», - με παρέα.
Οι Αμερικανοί έχουν επίσης τεχνολογίες που τους επιτρέπουν να χακάρουν οποιοδήποτε smartphone. Το Grayshift υπόσχεται να χακάρει 300 smartphone για 15 $ (50 $ ανά μονάδα έναντι 1500 $ για το Celllbrite).
Είναι πιθανό ότι οι εγκληματίες του κυβερνοχώρου έχουν επίσης παρόμοιες συσκευές. Αυτές οι συσκευές βελτιώνονται συνεχώς - το μέγεθός τους μειώνεται και η απόδοσή τους αυξάνεται.
Τώρα μιλάμε για λίγο πολύ γνωστά τηλέφωνα μεγάλων κατασκευαστών που ανησυχούν για την προστασία των δεδομένων των χρηστών τους. Εάν μιλάμε για μικρότερες εταιρείες ή οργανισμούς χωρίς όνομα, τότε σε αυτήν την περίπτωση τα δεδομένα αφαιρούνται χωρίς προβλήματα. Η λειτουργία HS-USB λειτουργεί ακόμα και όταν ο bootloader είναι κλειδωμένος. Οι λειτουργίες εξυπηρέτησης είναι συνήθως μια «πίσω πόρτα» μέσω της οποίας μπορούν να ανακτηθούν δεδομένα. Εάν όχι, μπορείτε να συνδεθείτε στη θύρα JTAG ή να αφαιρέσετε εντελώς το τσιπ eMMC και στη συνέχεια να το τοποθετήσετε σε έναν φθηνό προσαρμογέα. Εάν τα δεδομένα δεν είναι κρυπτογραφημένα, από το τηλέφωνο τα πάντα γενικά, συμπεριλαμβανομένων των διακριτικών ελέγχου ταυτότητας που παρέχουν πρόσβαση σε αποθήκευση cloud και άλλες υπηρεσίες.
Εάν κάποιος έχει προσωπική πρόσβαση σε ένα smartphone με σημαντικές πληροφορίες, τότε μπορεί να το χακάρει αν θέλει, ανεξάρτητα από το τι λένε οι κατασκευαστές.
Είναι ξεκάθαρο ότι όλα τα παραπάνω δεν ισχύουν μόνο για smartphone, αλλά και για υπολογιστές και φορητούς υπολογιστές με διάφορα λειτουργικά συστήματα. Εάν δεν καταφύγετε σε προηγμένα προστατευτικά μέτρα, αλλά αρκεστείτε σε συμβατικές μεθόδους, όπως κωδικό πρόσβασης και σύνδεση, τότε τα δεδομένα θα παραμείνουν σε κίνδυνο. Ένας έμπειρος χάκερ με φυσική πρόσβαση στη συσκευή θα μπορεί να λάβει σχεδόν κάθε πληροφορία - είναι μόνο θέμα χρόνου.
Τι να κάνουμε λοιπόν;
Στο Habré, το ζήτημα της ασφάλειας δεδομένων σε προσωπικές συσκευές έχει τεθεί περισσότερες από μία φορές, επομένως δεν θα επανεφεύρουμε ξανά τον τροχό. Θα αναφέρουμε μόνο τις κύριες μεθόδους που μειώνουν την πιθανότητα τρίτων να λάβουν τα δεδομένα σας:
- Είναι υποχρεωτικό να χρησιμοποιείτε κρυπτογράφηση δεδομένων τόσο στο smartphone όσο και στον υπολογιστή σας. Τα διαφορετικά λειτουργικά συστήματα παρέχουν συχνά καλές προεπιλεγμένες δυνατότητες. Παράδειγμα - cryptocontainer σε Mac OS χρησιμοποιώντας τυπικά εργαλεία.
- Ορίστε κωδικούς πρόσβασης οπουδήποτε και παντού, συμπεριλαμβανομένου του ιστορικού της αλληλογραφίας στο Telegram και σε άλλους άμεσους αγγελιοφόρους. Φυσικά, οι κωδικοί πρόσβασης πρέπει να είναι πολύπλοκοι.
- Έλεγχος ταυτότητας δύο παραγόντων - ναι, μπορεί να είναι άβολο, αλλά αν η ασφάλεια προηγείται, πρέπει να το ανεχτείτε.
- Παρακολουθήστε τη φυσική ασφάλεια των συσκευών σας. Να πάτε έναν εταιρικό υπολογιστή σε ένα καφέ και να τον ξεχάσετε εκεί; Κλασσικός. Τα πρότυπα ασφαλείας, συμπεριλαμβανομένων των εταιρικών, γράφτηκαν με τα δάκρυα των θυμάτων της δικής τους απροσεξίας.
Ας δούμε στα σχόλια τις μεθόδους σας για να μειώσετε την πιθανότητα παραβίασης δεδομένων όταν ένα τρίτο μέρος αποκτά πρόσβαση σε μια φυσική συσκευή. Στη συνέχεια, θα προσθέσουμε τις προτεινόμενες μεθόδους στο άρθρο ή θα τις δημοσιεύσουμε στο δικό μας , όπου γράφουμε τακτικά για την ασφάλεια, τα life hacks για χρήση και λογοκρισία στο Διαδίκτυο.
Πηγή: www.habr.com