Otsailean, βNot VPN alone. Zure burua eta zure datuak nola babestu jakiteko iruzurra orria. artikuluaren jarraipena idaztera bultzatu gaitu. Zati hau informazio iturri guztiz independentea da, baina hala ere bi mezuak irakurtzea gomendatzen dizugu.
Argitalpen berri bat datuen segurtasunaren gaiari (korrespondentzia, argazkiak, bideoak, hori guztia) eskaintzen zaio berehalako mezularietan eta aplikazioekin lan egiteko erabiltzen diren gailuetan.
Mezularia
Telegrama
2018ko urrian, Nathaniel Sachi Wake Technical Collegeko lehen urteko ikasleak aurkitu zuen Telegram messenger-ek mezuak eta multimedia-fitxategiak tokiko ordenagailuko unitatean testu argian gordetzen dituela.
Ikasleak bere korrespondentzia eskuratu ahal izan zuen, testua eta irudiak barne. Horretarako, HDDean gordetako aplikazioen datu-baseak aztertu zituen. Datuak irakurtzeko zailak zirela ikusi zen, baina ez zifratzen. Eta erabiltzaileak aplikaziorako pasahitza ezarri badu ere sar daitezke.
Jasotako datuetan solaskideen izenak eta telefono zenbakiak aurkitu dira, nahi izanez gero alderatu daitezkeenak. Itxitako txatetako informazioa ere formatu garbian gordetzen da.
Durovek geroago adierazi zuen ez dela arazo bat, erasotzaile batek erabiltzailearen PCrako sarbidea badu, zifratze-gakoak lortu eta korrespondentzia guztia arazorik gabe deszifratu ahal izango dituelako. Baina informazioaren segurtasuneko aditu askok diote oraindik larria dela.
Horrez gain, Telegram lapurreta gakoen eraso baten aurrean zaurgarria izan zen Habr erabiltzailea. Tokiko kodea pasahitzak hackeatu ditzakezu edozein luzera eta konplexutasuna.
Dakigunez, mezulari honek ordenagailuko diskoan ere gordetzen ditu datuak zifratu gabe. Horren arabera, erasotzaile batek erabiltzailearen gailurako sarbidea badu, datu guztiak ere irekita daude.
Baina arazo globalagoa dago. Gaur egun, Android OSa duten gailuetan instalatutako WhatsApp-en babeskopia guztiak Google Drive-n gordetzen dira, iaz Googlek eta Facebookek hitzartu zutenez. Baina korrespondentziaren, multimedia-fitxategien eta antzekoen babeskopiak . Norberak epai dezakeen neurrian, AEB bereko legea betearazteko agenteek , beraz, segurtasun indarrek gordetako edozein datu ikusteko aukera dago.
Datuak zifratzea posible da, baina bi konpainiek ez dute hori egiten. Agian, zifratu gabeko babeskopiak erabiltzaileek eurek erraz transferi ditzaketelako eta erabil ditzaketelako. Seguruenik, ez dago zifratzerik ez teknikoki inplementatzea zaila delako: aitzitik, babeskopiak babes ditzakezu arazorik gabe. Arazoa da Google-k bere arrazoiak dituela WhatsApp-ekin lan egiteko - konpainiak ustez eta publizitate pertsonalizatua erakusteko erabiltzen ditu. Facebookek bat-batean WhatsApp-en babeskopietarako enkriptatzea sartuko balu, Google-k berehala galduko luke lankidetza horren inguruko interesa, WhatsApp erabiltzaileen lehentasunei buruzko datu-iturri baliotsu bat galduz. Hau, noski, hipotesi bat besterik ez da, baina oso litekeena da goi-teknologiako marketinaren munduan.
iOSerako WhatsApp-en kasuan, babeskopiak iCloud hodeian gordetzen dira. Baina hemen ere informazioa zifratu gabeko forman gordetzen da, aplikazioaren ezarpenetan ere adierazten dena. Applek datu hauek aztertzen dituen ala ez korporazioak berak bakarrik daki. Egia da, Cupertinok ez du Google bezalako publizitate sarerik, beraz, WhatsApp erabiltzaileen datu pertsonalak aztertzeko probabilitatea askoz txikiagoa dela pentsa dezakegu.
Esandako guztia honela formulatu daiteke - bai, ez duzu bakarrik WhatsApp-eko korrespondentziarako sarbidea.
TikTok eta beste mezulari batzuk
Bideo laburrak partekatzeko zerbitzu hau oso azkar bihurtu liteke ezaguna. Garatzaileek beren erabiltzaileen datuen segurtasun osoa bermatuko zutela agindu zuten. Gertatu denez, zerbitzuak berak erabili zituen datu horiek erabiltzaileei jakinarazi gabe. Are okerrago: zerbitzuak 13 urtetik beherako haurren datu pertsonalak biltzen zituen gurasoen baimenik gabe. Adingabeen informazio pertsonala - izenak, e-mailak, telefono-zenbakiak, argazkiak eta bideoak- jendaurrean jarri ziren.
Zerbitzua hainbat milioi dolarren truke, 13 urtetik beherako haurrek egindako bideo guztiak kentzeko ere eskatu zuten erregulatzaileek. TikTok-ek bete zuen. Hala ere, beste mezulari eta zerbitzu batzuek erabiltzaileen datu pertsonalak beren helburuetarako erabiltzen dituzte, beraz, ezin duzu ziurtatu haien segurtasuna.
Zerrenda hau etengabe jarraitu daiteke - berehalako mezulari gehienek ahultasunen bat edo beste dute, erasotzaileek erabiltzaileei entzuteko aukera ematen diena ( β Viber, han dena konponduta dagoela dirudien arren) edo haien datuak lapurtu. Gainera, lehen 5etako ia aplikazio guztiek erabiltzailearen datuak babesik gabe gordetzen dituzte ordenagailuaren disko gogorrean edo telefonoaren memorian. Eta hori hainbat herrialdetako adimen-zerbitzuez gogoratu gabe, legediari esker erabiltzaileen datuetara sarbidea izan dezaketenak. Skype, VKontakte, TamTam eta beste batzuek edozein erabiltzaileri buruzko informazioa ematen dute agintariek eskatuta (adibidez, Errusiako Federazioa).
Segurtasun ona protokolo mailan? Ez dago arazorik, gailua apurtzen dugu
Duela urte batzuk Apple eta AEBetako gobernuaren artean. Korporazioak uko egin zion San Bernardino hiriko atentatu terroristetan parte hartu zuen telefono enkriptatutako bat desblokeatzeari. Garai hartan, benetako arazoa zirudien: datuak ondo babestuta zeuden, eta smartphone bat pirateatzea ezinezkoa edo oso zaila zen.
Orain gauzak bestelakoak dira. Esaterako, Cellebrite konpainia israeldarrak Errusiako eta beste herrialdeetako pertsona juridikoei iPhone eta Android modelo guztiak hackeatzeko aukera ematen duen software eta hardware sistema saltzen die. Iaz egon zen gai honi buruzko informazio nahiko zehatzarekin.
Popov Magadan forentse ikertzaileak smartphone bat pirateatzen du AEBetako Ikerketa Bulego Federalak erabiltzen duen teknologia bera erabiliz. Iturria: BBC
Gailua merkea da gobernuaren estandarren arabera. UFED Touch2-rako, Ikerketa Batzordeko Volgogradeko sailak 800 mila errublo ordaindu zituen, Khabarovsk departamenduak - 1,2 milioi errublo. 2017an, Alexander Bastrykinek, Errusiar Federazioko Ikerketa Batzordeko buruak, bere saila baieztatu zuen Israelgo konpainia.
Sberbankek horrelako gailuak ere erosten ditu, ordea, ez ikerketak egiteko, Android OS duten gailuetan birusen aurka borrokatzeko baizik. βGailu mugikorrak software maltzurren kode ezezagunarekin kutsatuta daudela susmatzen bada, eta kutsatutako telefonoen jabeen derrigorrezko baimena lortu ondoren, analisi bat egingo da etengabe sortzen eta aldatzen diren birus berriak bilatzeko hainbat tresna erabiliz, erabilera barne. UFED Touch2-ren" - konpainian.
Estatubatuarrek ere edozein smartphone hackeatzeko aukera ematen duten teknologiak dituzte. Grayshift-ek 300 telefono mugikor hackeatzea agintzen du 15 dolarren truke (50 dolar unitateko eta 1500 dolar Cellbriteren truke).
Litekeena da ziberkriminalak ere antzeko gailuak izatea. Gailu hauek etengabe hobetzen ari dira: tamaina txikiagotzen da eta errendimendua handitzen da.
Orain, bere erabiltzaileen datuak babesteaz arduratzen diren fabrikatzaile handien telefono gutxi-asko ezagunez ari gara. Enpresa txikiagoez edo izenik gabeko erakundeez ari bagara, kasu honetan datuak arazorik gabe kentzen dira. HS-USB moduak funtzionatzen du abio-kargatzailea blokeatuta dagoenean ere. Zerbitzu-moduak "atzealdeko atea" izan ohi dira eta bertatik datuak berreskura daitezke. Hala ez bada, JTAG atakara konekta zaitezke edo eMMC txipa guztiz kendu eta gero egokitzaile merke batean sartu. Datuak zifratuta ez badaude, telefonotik oro har, hodeiko biltegiratze eta beste zerbitzu batzuetarako sarbidea ematen duten autentifikazio-tokenak barne.
Norbaitek informazio garrantzitsua duen smartphone batera sarbide pertsonala badu, nahi badu hackeatu dezake, fabrikatzaileek esaten dutena.
Argi dago esandako guztia telefono adimendunei ez ezik, hainbat sistema eragile dituzten ordenagailuei eta eramangarriei ere aplikatzen zaiela. Babes-neurri aurreratuetara jotzen ez baduzu, baina ohiko metodoekin konformatzen bazara, hala nola pasahitza eta saioa hasteko, datuek arriskuan jarraituko dute. Gailurako sarbide fisikoa duen hacker esperientziadun batek ia edozein informazio eskuratu ahal izango du - denbora kontua baino ez da.
Beraz, zer egin?
HabrΓ©-n, gailu pertsonaletako datuen segurtasunaren gaia behin baino gehiagotan planteatu da, beraz, ez dugu berriro gurpila berrasmatuko. Hirugarrenek zure datuak eskuratzeko aukera murrizten duten metodo nagusiak soilik adieraziko ditugu:
- Derrigorrezkoa da datuen enkriptatzea zure telefonoan zein ordenagailuan erabiltzea. Sistema eragile ezberdinek funtzio lehenetsi onak eskaintzen dituzte. Adibidea - kripto-edukiontzi Mac OS-en tresna estandarrak erabiliz.
- Ezarri pasahitzak edonon eta nonahi, Telegram-en eta berehalako beste mezulari batzuen korrespondentziaren historia barne. Jakina, pasahitzek konplexuak izan behar dute.
- Bi faktoreko autentifikazioa - bai, deserosoa izan daiteke, baina segurtasuna lehenik eta behin, jasan behar duzu.
- Kontrolatu zure gailuen segurtasun fisikoa. Korporazioko ordenagailu bat kafetegi batera eraman eta han ahaztu? Klasikoa. Segurtasun-arauak, korporatiboak barne, beren arduragabekeriaren biktimen malkoekin idatzi ziren.
Ikus ditzagun iruzkinetan zure metodoak hirugarren batek gailu fisiko batera sarbidea lortzen duenean datuak pirateatzeko probabilitatea murrizteko. Ondoren proposatutako metodoak artikuluan gehituko ditugu edo gurean argitaratuko ditugu , non aldian-aldian segurtasunari buruz idazten dugun, erabiltzeko hack-ak eta Interneteko zentsura.
Iturria: www.habr.com