En februaro, ni publikigis la artikolon "Ne VPN sole. Trompfolio pri kiel protekti vin kaj viajn datumojn." instigis nin skribi daŭrigon de la artikolo. Ĉi tiu parto estas tute sendependa fonto de informoj, sed ni ankoraŭ rekomendas, ke vi legu ambaŭ afiŝojn.
Nova afiŝo estas dediĉita al la temo de sekureco de datumoj (korespondado, fotoj, filmetoj, jen ĉio) en tujmesaĝiloj kaj la aparatoj mem, kiuj estas uzataj por labori kun aplikaĵoj.
Mesaĝistoj
Telegramo
Reen en oktobro 2018, unuajara Wake Technical College studento Nathaniel Sachi malkovris, ke la Telegram-mesaĝisto konservas mesaĝojn kaj amaskomunikilajn dosierojn sur la loka komputila stirado en klara teksto.
La studento povis aliri sian propran korespondadon, inkluzive de teksto kaj bildoj. Por fari tion, li studis la aplikajn datumbazojn konservitajn sur la HDD. Montriĝis, ke la datumoj estis malfacile legeblaj, sed ne ĉifritaj. Kaj ili povas esti alireblaj eĉ se la uzanto starigis pasvorton por la aplikaĵo.
En la ricevitaj datumoj troviĝis la nomoj kaj telefonnumeroj de la interparolantoj, kiuj, se oni volas, estas kompareblaj. Informoj de fermitaj babilejoj ankaŭ estas konservitaj en klara formato.
Durov poste deklaris, ke ĉi tio ne estas problemo, ĉar se atakanto havas aliron al la komputilo de la uzanto, li povos akiri la ĉifrajn ŝlosilojn kaj deĉifri ĉiun korespondadon sen problemoj. Sed multaj fakuloj pri informa sekureco argumentas, ke tio ankoraŭ estas serioza.
Krome, Telegramo montriĝis vundebla al ŝlosila ŝtelatako, kiu Habr uzanto. Vi povas haki lokajn kodajn pasvortojn de ajna longeco kaj komplekseco.
Kiom ni scias, ĉi tiu mesaĝisto ankaŭ konservas datumojn sur la komputila disko en neĉifrita formo. Sekve, se atakanto havas aliron al la aparato de la uzanto, tiam ĉiuj datumoj ankaŭ estas malfermitaj.
Sed estas pli tutmonda problemo. Nuntempe, ĉiuj sekurkopioj de WhatsApp instalitaj sur aparatoj kun Android OS estas konservitaj en Google Drive, kiel Guglo kaj Facebook konsentis pri pasintjare. Sed sekurkopioj de korespondado, amaskomunikiloj kaj similaj . Kiom oni povas juĝi, policanoj de la sama Usono , do ekzistas ebleco, ke sekurecaj taĉmentoj povas vidi ajnajn konservitajn datumojn.
Eblas ĉifri datumojn, sed ambaŭ kompanioj ne faras tion. Eble simple ĉar neĉifritaj sekurkopioj povas esti facile translokigitaj kaj uzataj de la uzantoj mem. Plej verŝajne, ne ekzistas ĉifrado ne ĉar ĝi estas teknike malfacile efektivigi: male, vi povas protekti sekurkopiojn sen ajna malfacilaĵo. La problemo estas, ke Guglo havas siajn proprajn kialojn por labori kun WhatsApp - la kompanio supozeble kaj uzas ilin por montri personigitan reklamadon. Se Facebook subite enkondukus ĉifradon por WhatsApp-sekurkopioj, Guglo tuj perdus intereson pri tia partnereco, perdante valoran fonton de datumoj pri la preferoj de WhatsApp-uzantoj. Ĉi tio, kompreneble, estas nur supozo, sed tre verŝajne en la mondo de altteknologia merkatado.
Koncerne WhatsApp por iOS, sekurkopioj estas konservitaj en la iCloud-nubo. Sed ankaŭ ĉi tie la informoj estas konservitaj en neĉifrita formo, kio estas deklarita eĉ en la aplikaĵaj agordoj. Ĉu Apple analizas ĉi tiujn datumojn aŭ ne, nur la korporacio mem scias. Vere, Cupertino ne havas reklaman reton kiel Guglo, do ni povas supozi, ke la probablo ke ili analizu la personajn datumojn de WhatsApp-uzantoj estas multe pli malalta.
Ĉio, kio estis dirita, povas esti formulita jene - jes, ne nur vi havas aliron al via WhatsApp-korespondado.
TikTok kaj aliaj mesaĝistoj
Ĉi tiu mallonga videodivida servo povus fariĝi populara tre rapide. La programistoj promesis certigi kompletan sekurecon de la datumoj de siaj uzantoj. Kiel evidentiĝis, la servo mem uzis ĉi tiujn datumojn sen sciigi uzantojn. Eĉ pli malbone: la servo kolektis personajn datumojn de infanoj sub 13 sen gepatra konsento. Personaj informoj de neplenaĝuloj - nomoj, retpoŝtoj, telefonnumeroj, fotoj kaj filmetoj - estis publike disponeblaj.
servo por pluraj milionoj da dolaroj, regulistoj ankaŭ postulis la forigon de ĉiuj videoj faritaj de infanoj malpli ol 13-jaraj. TikTok obeis. Tamen, aliaj mesaĝistoj kaj servoj uzas personajn datumojn de uzantoj por siaj propraj celoj, do vi ne povas esti certa pri ilia sekureco.
Ĉi tiu listo povas esti daŭrigita senfine - la plej multaj tujmesaĝiloj havas unu aŭ alian vundeblecon, kiu permesas atakantojn subaŭskulti uzantojn ( — Viber, kvankam ĉio ŝajnas esti riparita tie) aŭ ŝteli iliajn datumojn. Krome, preskaŭ ĉiuj aplikoj de la supraj 5 konservas uzantajn datumojn en senprotekta formo sur la malmola disko de la komputilo aŭ en la memoro de la telefono. Kaj ĉi tio estas sen memori la servojn de inteligenteco de diversaj landoj, kiuj povas havi aliron al datumoj de uzantoj danke al leĝaro. La sama Skype, VKontakte, TamTam kaj aliaj provizas ajnan informon pri iu ajn uzanto laŭ peto de la aŭtoritatoj (ekzemple, la Rusa Federacio).
Bona sekureco ĉe la protokola nivelo? Neniu problemo, ni rompas la aparaton
Antaŭ kelkaj jaroj inter Apple kaj la usona registaro. La korporacio rifuzis malŝlosi ĉifritan inteligentan telefonon, kiu estis implikita en la teroristaj atakoj en la urbo San Bernardino. Tiutempe ĉi tio ŝajnis vera problemo: la datumoj estis bone protektitaj, kaj haki saĝtelefonon estis aŭ neebla aŭ tre malfacila.
Nun aferoj estas malsamaj. Ekzemple, la israela kompanio Cellebrite vendas al juraj entoj en Rusio kaj aliaj landoj programaron kaj aparataron, kiu ebligas al vi haki ĉiujn modelojn de iPhone kaj Android. Pasintjare estis kun relative detalaj informoj pri tiu ĉi temo.
Magadan krimmedicina enketisto Popov hakas inteligentan telefonon uzante la saman teknologion uzitan de la Usona Federacia Oficejo pri Esploro. Fonto: BBC
La aparato estas malmultekosta laŭ registaraj normoj. Por UFED Touch2, la Volgograda departemento de la Enketa Komitato pagis 800 mil rublojn, la Khabarovska departemento - 1,2 milionoj da rubloj. En 2017, Aleksandro Bastrykin, estro de la Enketa Komitato de la Rusa Federacio, konfirmis, ke lia departemento Israela firmao.
Sberbank ankaŭ aĉetas tiajn aparatojn - tamen ne por fari esplorojn, sed por batali kontraŭ virusoj sur aparatoj kun Android OS. "Se oni suspektas ke porteblaj aparatoj estas infektitaj per nekonata malica kodo de programaro, kaj post akiri la devigan konsenton de la posedantoj de infektitaj telefonoj, analizo estos farita por serĉi konstante aperantajn kaj ŝanĝantajn novajn virusojn per diversaj iloj, inkluzive de la uzo. de UFED Touch2," - en kompanio.
Usonanoj ankaŭ havas teknologiojn, kiuj permesas al ili haki ajnan inteligentan telefonon. Grayshift promesas haki 300 saĝtelefonojn por $15 ($50 per unuo kontraŭ $1500 por Cellbrite).
Verŝajnas, ke ciberkrimuloj ankaŭ havas similajn aparatojn. Ĉi tiuj aparatoj estas konstante plibonigataj - ilia grandeco malpliiĝas kaj ilia rendimento pliiĝas.
Nun ni parolas pri pli-malpli konataj telefonoj de grandaj fabrikantoj, kiuj zorgas pri protektado de la datumoj de siaj uzantoj. Se ni parolas pri pli malgrandaj kompanioj aŭ sennomaj organizoj, tiam en ĉi tiu kazo la datumoj estas forigitaj sen problemoj. HS-USB-reĝimo funkcias eĉ kiam la ekŝargilo estas ŝlosita. Servoreĝimoj estas kutime "malantaŭa pordo" tra kiu datumoj povas esti prenitaj. Se ne, vi povas konektiĝi al la JTAG-haveno aŭ forigi la eMMC-peceton entute kaj poste enigi ĝin en malmultekostan adaptilon. Se la datumoj ne estas ĉifritaj, de la telefono ĉio ĝenerale, inkluzive de aŭtentigaj signoj, kiuj provizas aliron al nuba stokado kaj aliaj servoj.
Se iu havas personan aliron al inteligenta telefono kun gravaj informoj, tiam li povas haki ĝin se ili volas, negrave kion diras la fabrikantoj.
Estas klare, ke ĉio, kio estis dirita, validas ne nur por saĝtelefonoj, sed ankaŭ por komputiloj kaj tekkomputiloj, kiuj funkcias diversajn OS-ojn. Se vi ne uzas altnivelajn protektajn rimedojn, sed vi kontentas kun konvenciaj metodoj kiel pasvorto kaj ensaluto, tiam la datumoj restos en danĝero. Sperta retpirato kun fizika aliro al la aparato povos akiri preskaŭ ajnajn informojn - estas nur demando de tempo.
Kion do fari?
Ĉe Habré, la problemo de sekureco de datumoj sur personaj aparatoj estis levita pli ol unufoje, do ni ne reinventos la radon. Ni nur indikos la ĉefajn metodojn, kiuj reduktas la verŝajnecon, ke triaj akiru viajn datumojn:
- Estas devige uzi datuman ĉifradon kaj ĉe via inteligenta telefono kaj komputilo. Malsamaj operaciumoj ofte provizas bonajn defaŭltajn funkciojn. Ekzemplo - kripta ujo en Mac OS uzante normajn ilojn.
- Agordu pasvortojn ie ajn kaj ĉie, inkluzive de la historio de korespondado en Telegram kaj aliaj tujmesaĝiloj. Kompreneble, pasvortoj devas esti kompleksaj.
- Dufaktora aŭtentigo - jes, ĝi povas esti maloportuna, sed se sekureco venas unue, vi devas toleri ĝin.
- Monitoru la fizikan sekurecon de viaj aparatoj. Prenu kompanian komputilon al kafejo kaj forgesu ĝin tie? Klasika. Sekurecnormoj, inkluzive de kompaniaj, estis skribitaj kun la larmoj de viktimoj de sia propra nezorgemo.
Ni rigardu en la komentoj viajn metodojn por redukti la probablecon de datuma hakado kiam tria partio akiras aliron al fizika aparato. Ni tiam aldonos la proponitajn metodojn al la artikolo aŭ publikigos ilin en nia , kie ni regule skribas pri sekureco, vivhakoj por uzi kaj Interreta cenzuro.
fonto: www.habr.com