Yn febrewaris publisearren wy it artikel "Net VPN allinich. In cheat sheet oer hoe jo josels en jo gegevens kinne beskermje." frege ús om in ferfolch fan it artikel te skriuwen. Dit diel is in folslein ûnôfhinklike boarne fan ynformaasje, mar wy riede dochs oan dat jo beide berjochten lêze.
In nije post is wijd oan it probleem fan gegevensfeiligens (korrespondinsje, foto's, fideo's, dat is alles) yn instant messengers en de apparaten sels dy't wurde brûkt om te wurkjen mei applikaasjes.
Boadskippen
Telegram
Werom yn oktober 2018 ûntduts earstejiersstudint Wake Technical College Nathaniel Sachi dat de Telegram-messenger berjochten en mediabestannen op it lokale kompjûterstasjon yn dúdlike tekst opslaat.
De studint koe tagong krije ta syn eigen korrespondinsje, ynklusyf tekst en foto's. Om dit te dwaan studearre hy de applikaasjedatabases opslein op 'e HDD. It die bliken dat de gegevens lestich te lêzen wiene, mar net fersifere. En se kinne tagonklik wurde sels as de brûker in wachtwurd foar de applikaasje hat ynsteld.
Yn de ûntfongen gegevens binne de nammen en telefoannûmers fan de petearpartners fûn, dy't, as winske, ferlike wurde kinne. Ynformaasje fan sletten petearen wurdt ek opslein yn dúdlik formaat.
Durov ferklearre letter dat dit gjin probleem is, om't as in oanfaller tagong hat ta de PC fan 'e brûker, sil hy sûnder problemen fersiferingskaaien kinne krije en alle korrespondinsje ûntsiferje. Mar in protte saakkundigen foar ynformaasjefeiligens beweare dat dit noch altyd serieus is.
Derneist, Telegram die bliken te wêzen kwetsber foar in kaai stellerij oanfal, dy't Habr brûker. Jo kinne lokale koade wachtwurden hackje fan elke lingte en kompleksiteit.
Foar safier't wy witte, bewarret dizze messenger ek gegevens op 'e kompjûterskiif yn net-fersifere foarm. Dêrom, as in oanfaller tagong hat ta it apparaat fan 'e brûker, dan binne alle gegevens ek iepen.
Mar d'r is in mear wrâldwide probleem. Op it stuit wurde alle backups fan WhatsApp ynstalleare op apparaten mei Android OS wurde opslein yn Google Drive, lykas Google en Facebook ferline jier ôfpraat hawwe. Mar backups fan korrespondinsje, mediabestannen en sa . Sa fier as men kin oardielje, wet hanthaveningsbelied offisieren fan deselde US , dus d'r is in mooglikheid dat befeiligingsmachten alle bewarre gegevens kinne besjen.
It is mooglik om gegevens te fersiferjen, mar beide bedriuwen dogge dit net. Miskien gewoan om't net-fersifere backups maklik kinne wurde oerdroegen en brûkt troch de brûkers sels. Meast wierskynlik is d'r gjin fersifering, net om't it technysk lestich is om te ymplementearjen: krekt oarsom, jo kinne backups sûnder muoite beskermje. It probleem is dat Google syn eigen redenen hat om mei WhatsApp te wurkjen - it bedriuw nei alle gedachten en brûkt se om personaliseare advertinsjes wer te jaan. As Facebook ynienen fersifering yntrodusearre foar WhatsApp-backups, soe Google fuortendaliks ynteresse yn sa'n partnerskip ferlieze, in weardefolle boarne fan gegevens oer de foarkar fan WhatsApp-brûkers ferlieze. Dit is fansels gewoan in oanname, mar heul wierskynlik yn 'e wrâld fan hi-tech marketing.
Wat WhatsApp foar iOS oanbelanget, backups wurde bewarre yn 'e iCloud-wolk. Mar ek hjir wurdt de ynformaasje opslein yn net-fersifere foarm, dy't sels yn 'e applikaasjeynstellingen oanjûn wurdt. Oft Apple dizze gegevens analysearret of net is allinich bekend by de korporaasje sels. Wier, Cupertino hat gjin advertinsjenetwurk lykas Google, dus wy kinne oannimme dat de kâns dat se de persoanlike gegevens fan WhatsApp-brûkers analysearje folle leger is.
Alles wat sein is kin as folget formulearre wurde - ja, net allinich hawwe jo tagong ta jo WhatsApp-korrespondinsje.
TikTok en oare boadskippen
Dizze tsjinst foar koarte fideo-dielen koe heul rap populêr wurde. De ûntwikkelders beloofden folsleine feiligens fan 'e gegevens fan har brûkers te garandearjen. As it die bliken, brûkte de tsjinst sels dizze gegevens sûnder brûkers te melden. Noch slimmer: de tsjinst sammele persoanlike gegevens fan bern ûnder 13 sûnder âlderlike tastimming. Persoanlike ynformaasje fan minderjierrigen - nammen, e-mails, telefoannûmers, foto's en fideo's - waarden iepenbier beskikber steld.
tsjinst foar ferskate miljoenen dollars easke tafersjochhâlders ek it fuortheljen fan alle fideo's makke troch bern ûnder 13 jier âld. TikTok foldien. Oare boadskippen en tsjinsten brûke lykwols persoanlike gegevens fan brûkers foar har eigen doelen, dus jo kinne net wis wêze fan har feiligens.
Dizze list kin einleas trochgean - de measte instant messengers hawwe ien of oare kwetsberens wêrtroch oanfallers brûkers kinne ôflústerje ( - Viber, hoewol alles liket te wêzen reparearre dêr) of stelle harren gegevens. Dêrnjonken bewarje hast alle applikaasjes fan 'e top 5 brûkersgegevens yn in ûnbeskerme foarm op' e hurde skiif fan 'e kompjûter of yn it ûnthâld fan' e tillefoan. En dit is sûnder de yntelliginsjetsjinsten fan ferskate lannen te ûnthâlden, dy't mooglik tagong hawwe ta brûkersgegevens troch wetjouwing. Deselde Skype, VKontakte, TamTam en oaren jouwe alle ynformaasje oer elke brûker op fersyk fan 'e autoriteiten (bygelyks de Russyske Federaasje).
Goede feiligens op it protokolnivo? Gjin probleem, wy brekke it apparaat
Wat jierren lyn tusken Apple en de Amerikaanske regearing. De korporaasje wegere om in fersifere smartphone te ûntsluten dy't belutsen wie by de terroristyske oanfallen yn 'e stêd San Bernardino. Op dat stuit like dit in echt probleem: de gegevens wiene goed beskerme, en it hacken fan in smartphone wie ûnmooglik of heul lestich.
No binne dingen oars. Bygelyks, it Israelyske bedriuw Cellebrite ferkeapet oan juridyske entiteiten yn Ruslân en oare lannen in software- en hardwaresysteem wêrmei jo alle iPhone- en Android-modellen kinne hacke. Ferline jier wie der mei relatyf detaillearre ynformaasje oer dit ûnderwerp.
Magadan forensyske ûndersiker Popov hackt in smartphone mei deselde technology brûkt troch it Amerikaanske Federal Bureau of Investigation. Boarne: BBC
It apparaat is goedkeap neffens oerheidsnoarmen. Foar UFED Touch2 betelle de Volgograd-ôfdieling fan 'e Undersykskommisje 800 tûzen roebel, de ôfdieling Khabarovsk - 1,2 miljoen roebel. Yn 2017 befêstige Alexander Bastrykin, haad fan it Undersykskomitee fan 'e Russyske Federaasje, dat syn ôfdieling Israelysk bedriuw.
Sberbank keapet ek sokke apparaten - lykwols net foar it útfieren fan ûndersiken, mar foar it bestriden fan firussen op apparaten mei Android OS. "As mobile apparaten fertocht wurde ynfekteare mei ûnbekende kweade softwarekoade, en nei it krijen fan de ferplichte tastimming fan 'e eigners fan ynfekteare tillefoans, sil in analyze wurde útfierd om te sykjen nei konstant opkommende en feroarjende nije firussen mei ferskate ark, ynklusyf it gebrûk fan UFED Touch2," - yn selskip.
Amerikanen hawwe ek technologyen wêrtroch't se elke smartphone kinne hackje. Grayshift belooft 300 smartphones te hacken foar $ 15 ($ 50 per ienheid tsjin $ 1500 foar Cellbrite).
It is wierskynlik dat cyberkriminelen ek ferlykbere apparaten hawwe. Dizze apparaten wurde hieltyd ferbettere - har grutte nimt ôf en har prestaasjes ferheegje.
No hawwe wy it oer mear of minder bekende tillefoans fan grutte fabrikanten dy't har soargen meitsje oer it beskermjen fan de gegevens fan har brûkers. As wy it hawwe oer lytsere bedriuwen of organisaasjes sûnder namme, dan wurde yn dit gefal de gegevens sûnder problemen fuortsmiten. HS-USB-modus wurket sels as de bootloader is beskoattele. Tsjinstmodi binne meastentiids in "efterdoar" wêrtroch gegevens kinne wurde ophelle. As net, kinne jo ferbine mei de JTAG-poarte of de eMMC-chip hielendal fuortsmite en dan ynfoegje yn in goedkeape adapter. As de gegevens net fersifere binne, fan 'e tillefoan alles yn it algemien, ynklusyf autentikaasje tokens dy't jouwe tagong ta wolk opslach en oare tsjinsten.
As immen persoanlike tagong hat ta in smartphone mei wichtige ynformaasje, dan kinne se it hackje as se wolle, nettsjinsteande wat de fabrikanten sizze.
It is dúdlik dat alles wat sein is net allinich jildt foar smartphones, mar ek foar kompjûters en laptops mei ferskate OS's. As jo gjin avansearre beskermingsmaatregels nimme, mar tefreden binne mei konvinsjonele metoaden lykas in wachtwurd en oanmelding, dan bliuwe de gegevens yn gefaar. In betûfte hacker mei fysike tagong ta it apparaat sil hast alle ynformaasje kinne krije - it is mar in kwestje fan tiid.
Dus wat te dwaan?
Op Habré is de kwestje fan gegevensfeiligens op persoanlike apparaten mear as ien kear oanbrocht, dus wy sille it tsjil net wer útfine. Wy sille allinich de wichtichste metoaden oanjaan dy't de kâns ferminderje dat tredden jo gegevens krije:
- It is ferplicht om gegevensfersifering te brûken op sawol jo smartphone as PC. Ferskillende bestjoeringssystemen jouwe faak goede standertfunksjes. Foarbyld - crypto container yn Mac OS mei help fan standert ark.
- Stel wachtwurden oeral en oeral yn, ynklusyf de skiednis fan korrespondinsje yn Telegram en oare instant messengers. Fansels moatte wachtwurden kompleks wêze.
- Twa-faktora-autentikaasje - ja, it kin ûngemaklik wêze, mar as feiligens foarop komt, moatte jo der mei opstelle.
- Kontrolearje de fysike feiligens fan jo apparaten. Nim in bedriuws-pc nei in kafee en ferjit it dêr? Klassyk. Feiligensnoarmen, ynklusyf bedriuwen, waarden skreaun mei de triennen fan slachtoffers fan har eigen achtleazens.
Litte wy yn 'e opmerkingen sjen nei jo metoaden om de kâns op gegevenshacking te ferminderjen as in tredde partij tagong krijt ta in fysyk apparaat. Wy sille dan de foarstelde metoaden tafoegje oan it artikel of publisearje se yn ús , dêr't wy geregeldwei skriuwe oer feiligens, libben hacks foar it brûken en ynternetsensuer.
Boarne: www.habr.com