Kui krĂŒpteerimine ei aita: me rÀÀgime fĂŒĂŒsilisest juurdepÀÀsust seadmele

Veebruaris avaldasime artikli „Mitte VPN ĂŒksi. Petuleht selle kohta, kuidas ennast ja oma andmeid kaitsta. Üks kommentaaridest ajendas meid kirjutama artiklile jĂ€tku. See osa on tĂ€iesti sĂ”ltumatu teabeallikas, kuid soovitame siiski mĂ”lemat postitust lugeda.

Uus postitus on pĂŒhendatud andmeturbe teemale (kirjavahetus, fotod, videod, see on kĂ”ik) kiirsĂ”numite ja rakendustega töötamiseks kasutatavate seadmete endi kohta.

SÔnumitoojad

Telegramm

Veel 2018. aasta oktoobris avastas Wake'i tehnikakolledĆŸi esimese kursuse ĂŒliĂ”pilane Nathaniel Sachi, et Telegrami messenger salvestab sĂ”numid ja meediumifailid kohalikule arvutikettale selge tekstina.

Õpilane pÀÀses ligi oma kirjavahetusele, sealhulgas tekstile ja piltidele. Selleks uuris ta kĂ”vakettale salvestatud rakenduste andmebaase. Selgus, et andmed olid raskesti loetavad, kuid mitte krĂŒpteeritud. Ja neile pÀÀseb ligi ka siis, kui kasutaja on rakendusele parooli mÀÀranud.

Saadud andmetest leiti vestluskaaslaste nimed ja telefoninumbrid, mida saab soovi korral vÔrrelda. Suletud vestluste teave salvestatakse ka selges vormingus.

Durov vĂ€itis hiljem, et see pole probleem, sest kui rĂŒndajal on juurdepÀÀs kasutaja arvutile, saab ta hankida krĂŒpteerimisvĂ”tmed ja dekrĂŒpteerida kogu kirjavahetuse probleemideta. Kuid paljud infoturbeeksperdid vĂ€idavad, et see on endiselt tĂ”sine.

Esita video

Lisaks osutus Telegram haavatavaks vĂ”tmevarguse rĂŒnnaku suhtes, mis leitud Habr kasutaja. Saate hĂ€kkida mis tahes pikkuse ja keerukusega kohaliku koodi paroole.

WhatsApp

Teadaolevalt salvestab see messenger andmeid ka arvuti kettale krĂŒptimata kujul. Seega, kui rĂŒndajal on juurdepÀÀs kasutaja seadmele, on ka kĂ”ik andmed avatud.

Kuid on olemas globaalsem probleem. Praegu on kĂ”ik WhatsAppi varukoopiad installitud seadmetesse, millel on Android OperatsioonisĂŒsteemid salvestatakse Google Drive'i, nagu Google ja Facebook eelmisel aastal kokku leppisid. Kuid kirjavahetuse, meediafailide ja muu sellise varukoopiad salvestatakse krĂŒptimata. Niipalju kui hinnata saab, siis sama USA korrakaitsjad on juurdepÀÀs Google Drive'ile, seega on vĂ”imalus, et julgeolekujĂ”ud saavad vaadata kĂ”iki salvestatud andmeid.

Andmeid on vĂ”imalik krĂŒpteerida, kuid mĂ”lemad ettevĂ”tted seda ei tee. VĂ”ib-olla lihtsalt sellepĂ€rast, et krĂŒptimata varukoopiaid saavad kasutajad ise hĂ”lpsasti ĂŒle kanda ja kasutada. TĂ”enĂ€oliselt pole krĂŒptimist mitte sellepĂ€rast, et seda on tehniliselt keeruline rakendada: vastupidi, saate varukoopiaid ilma raskusteta kaitsta. Probleem on selles, et Google'il on WhatsAppiga töötamiseks oma pĂ”hjused - arvatavasti ettevĂ”te analĂŒĂŒsib Google Drive'i serveritesse salvestatud andmeid ja kasutab neid isikupĂ€rastatud reklaamide kuvamiseks. Kui Facebook vĂ”taks ootamatult kasutusele WhatsAppi varukoopiate krĂŒptimise, kaotaks Google koheselt huvi sellise partnerluse vastu, kaotades vÀÀrtusliku andmeallika WhatsAppi kasutajate eelistuste kohta. See on muidugi vaid oletus, kuid kĂ”rgtehnoloogilise turunduse maailmas vĂ€ga tĂ”enĂ€oline.

Mis puudutab iOS-i WhatsAppi, siis varukoopiad salvestatakse iCloudi pilve. Kuid ka siin salvestatakse teave krĂŒpteerimata kujul, mis on mĂ€rgitud isegi rakenduse seadetes. Seda, kas Apple neid andmeid analĂŒĂŒsib vĂ”i mitte, teab ainult ettevĂ”te ise. TĂ”si, Cupertinol pole Google’i sarnast reklaamivĂ”rgustikku, mistĂ”ttu vĂ”ib eeldada, et tĂ”enĂ€osus, et nad analĂŒĂŒsivad WhatsAppi kasutajate isikuandmeid, on palju vĂ€iksem.

KĂ”ike öeldut saab sĂ”nastada jĂ€rgmiselt – jah, mitte ainult teil pole juurdepÀÀsu oma WhatsAppi kirjavahetusele.

TikTok ja muud sÔnumitoojad

See lĂŒhike videojagamisteenus vĂ”ib vĂ€ga kiiresti populaarseks saada. Arendajad lubasid tagada oma kasutajate andmete tĂ€ieliku turvalisuse. Nagu selgus, kasutas teenus ise neid andmeid kasutajaid teavitamata. Veelgi hullem: teenus kogus alla 13-aastastelt laste isikuandmeid ilma vanema nĂ”usolekuta. Alaealiste isikuandmed – nimed, e-posti aadressid, telefoninumbrid, fotod ja videod – tehti avalikult kĂ€ttesaadavaks.

Teenus sai trahvi mitme miljoni dollari eest nÔudsid regulaatorid ka kÔigi alla 13-aastaste laste tehtud videote eemaldamist. TikTok jÀrgis seda. Teised sÔnumitoojad ja teenused kasutavad aga kasutajate isikuandmeid oma eesmÀrkidel, mistÔttu ei saa te nende turvalisuses kindel olla.

Seda nimekirja saab lĂ”putult jĂ€tkata – enamikul kiirsĂ”numitoojatel on ĂŒks vĂ”i teine ​​haavatavus, mis vĂ”imaldab rĂŒndajatel kasutajaid pealt kuulata (suurepĂ€rane nĂ€ide — Viber, kuigi tundub, et kĂ”ik on seal parandatud) vĂ”i varastada nende andmeid. Lisaks salvestavad peaaegu kĂ”ik top 5 rakendused kasutajaandmeid kaitsmata kujul arvuti kĂ”vakettale vĂ”i telefoni mĂ€llu. Ja seda meeles pidamata erinevate riikide luureteenistused, millel vĂ”ib tĂ€nu seadusandlusele olla ligipÀÀs kasutajaandmetele. Sama Skype, VKontakte, TamTam ja teised annavad vĂ”imude (nĂ€iteks Vene Föderatsiooni) palvel mis tahes kasutaja kohta teavet.

Hea turvalisus protokolli tasemel? Pole probleemi, me purustame seadme

MĂ”ni aasta tagasi puhkes konflikt Apple'i ja USA valitsuse vahel. EttevĂ”te keeldus avamast krĂŒpteeritud nutitelefoni, mis osales San Bernardino linna terrorirĂŒnnakutes. Tol ajal tundus see tĂ”elise probleemina: andmed olid hĂ€sti kaitstud ja nutitelefoni hĂ€kkimine oli kas vĂ”imatu vĂ”i vĂ€ga keeruline.

NĂŒĂŒd on asjad teisiti. NĂ€iteks Iisraeli ettevĂ”te Cellebrite mĂŒĂŒb Venemaa ja teiste riikide juriidilistele isikutele riist- ja tarkvarasĂŒsteemi, mis vĂ”imaldab neil hĂ€kkida kĂ”iki mudeleid. iPhone Đž AndroidEelmisel aastal oli seal ilmunud reklaamvoldik selle teema kohta suhteliselt ĂŒksikasjaliku teabega.

Kui krĂŒpteerimine ei aita: me rÀÀgime fĂŒĂŒsilisest juurdepÀÀsust seadmele
Magadani kohtuekspertiisi uurija Popov hĂ€kkib nutitelefoni, kasutades sama tehnoloogiat, mida kasutab USA föderaalne juurdlusbĂŒroo. Allikas: BBC

Seade on valitsuse standardite jÀrgi odav. UFED Touch2 eest maksis uurimiskomitee Volgogradi osakond 800 tuhat rubla, Habarovski osakond - 1,2 miljonit rubla. 2017. aastal kinnitas Vene Föderatsiooni juurdluskomitee juht Aleksandr BastrÔkin, et tema osakond kasutab lahendusi Iisraeli ettevÔte.

Sberbank ostab samuti selliseid seadmeid, ehkki mitte uurimiste lĂ€biviimiseks, vaid viiruste vastu vĂ”itlemiseks operatsioonisĂŒsteemi kĂ€itavates seadmetes. Android„Kui kahtlustatakse mobiilseadmete nakatumist tundmatu pahavaraga ja pĂ€rast nakatunud telefonide omanike kohustusliku nĂ”usoleku saamist viiakse lĂ€bi analĂŒĂŒs, et otsida pidevalt tekkivaid ja arenevaid uusi viirusi, kasutades erinevaid tööriistu, sealhulgas UFED Touch2.“ nentis seltskonnas.

Ameeriklastel on ka tehnoloogiaid, mis vĂ”imaldavad hĂ€kkida mis tahes nutitelefoni. Grayshift lubab hĂ€kkida 300 nutitelefoni 15 50 dollari eest (1500 dollarit ĂŒhiku kohta versus XNUMX dollarit Cellbrite'i puhul).

TĂ”enĂ€oliselt on sarnaseid seadmeid ka kĂŒberkurjategijatel. Neid seadmeid tĂ€iustatakse pidevalt – nende suurus vĂ€heneb ja jĂ”udlus suureneb.

NĂŒĂŒd rÀÀgime enam-vĂ€hem tuntud telefonidest suurtootjatelt, kes muretsevad oma kasutajate andmete kaitsmise pĂ€rast. Kui me rÀÀgime vĂ€iksematest ettevĂ”tetest vĂ”i no-name organisatsioonidest, siis sel juhul eemaldatakse andmed probleemideta. HS-USB reĆŸiim töötab isegi siis, kui alglaadur on lukus. TeenindusreĆŸiimid on tavaliselt "tagauks", mille kaudu saab andmeid hankida. Kui ei, siis saate ĂŒhendada JTAG-porti vĂ”i eemaldada eMMC-kiibi tĂ€ielikult ja seejĂ€rel sisestada selle odavasse adapterisse. Kui andmed pole krĂŒptitud, siis telefonist saab vĂ€lja tĂ”mmata kĂ”ike ĂŒldiselt, sealhulgas autentimismĂ€rke, mis pakuvad juurdepÀÀsu pilvesalvestusele ja muudele teenustele.

Kui kellelgi on isiklik ligipÀÀs olulise teabega nutitelefonile, saab ta soovi korral seda hÀkkida, olenemata sellest, mida tootjad rÀÀgivad.

On selge, et kĂ”ik öeldu kehtib mitte ainult nutitelefonide, vaid ka erinevate OS-idega arvutite ja sĂŒlearvutite kohta. Kui te ei kasuta tĂ€iustatud kaitsemeetmeid, vaid olete rahul tavapĂ€raste meetoditega, nagu parool ja sisselogimine, jÀÀvad andmed ohtu. Kogenud hĂ€kker, kellel on seadmele fĂŒĂŒsiline juurdepÀÀs, suudab hankida peaaegu igasuguse teabe - see on ainult aja kĂŒsimus.

Mida siis teha?

HabrĂ© puhul on isiklike seadmete andmeturbe kĂŒsimus tĂ”statatud rohkem kui korra, nii et me ei leiuta jalgratast uuesti. Toome vĂ€lja ainult peamised meetodid, mis vĂ€hendavad tĂ”enĂ€osust, et kolmandad isikud saavad teie andmeid:

  • Andmete krĂŒptimise kasutamine nii nutitelefonis kui ka arvutis on kohustuslik. Erinevad operatsioonisĂŒsteemid pakuvad sageli hĂ€id vaikefunktsioone. NĂ€ide - loomine krĂŒptokonteiner Mac OS-is standardsete tööriistade abil.

  • MÀÀrake paroolid kĂ”ikjal ja kĂ”ikjal, sealhulgas kirjavahetuse ajalugu Telegramis ja muudes kiirsuhtlejates. Loomulikult peavad paroolid olema keerulised.

  • Kahefaktoriline autentimine – jah, see vĂ”ib olla ebamugav, aga kui turvalisus on esikohal, tuleb sellega leppida.

  • JĂ€lgige oma seadmete fĂŒĂŒsilist turvalisust. Viige ettevĂ”tte arvuti kohvikusse ja unustage see sinna? Klassikaline. Ohutusstandardid, sealhulgas ettevĂ”tete omad, olid kirjutatud nende endi hoolimatuse ohvrite pisaratega.

Vaatame kommentaarides teie meetodeid andmete hĂ€kkimise tĂ”enĂ€osuse vĂ€hendamiseks, kui kolmas osapool saab juurdepÀÀsu fĂŒĂŒsilisele seadmele. SeejĂ€rel lisame pakutud meetodid artiklile vĂ”i avaldame need meie lehel telegrammi kanal, kus me regulaarselt kirjutame ohutusest, kasutamisega seotud probleemidest meie VPN ja Interneti tsensuur.

Allikas: www.habr.com

Ostke DDoS-kaitsega saitide jaoks usaldusvÀÀrne hostimine, VPS VDS-serverid đŸ”„ Osta usaldusvÀÀrne veebimajutus DDoS-kaitsega, VPS VDS serverid | ProHoster