I mí Feabhra, d’fhoilsíomar an t-alt “Ní VPN amháin. Bileog cheat ar conas tú féin agus do shonraí a chosaint." spreag dúinn a scríobh leanúint ar an alt. Is foinse faisnéise go hiomlán neamhspleách í an chuid seo, ach molaimid fós an dá phostáil a léamh.
Tá post nua dírithe ar cheist na slándála sonraí (comhfhreagras, grianghraif, físeáin, sin uile) i dteachtairí meandracha agus ar na gléasanna iad féin a úsáidtear chun oibriú le feidhmchláir.
Teachtairí
Telegram
Ar ais i mí Dheireadh Fómhair 2018, fuair mac léinn Choláiste Teicniúil Wake na chéad bhliana Nathaniel Sachi amach go sábhálann an teachtaire Telegram teachtaireachtaí agus comhaid meán ar an tiomáint ríomhaire áitiúil i dtéacs soiléir.
Bhí an scoláire in ann teacht ar a chomhfhreagras féin, téacs agus pictiúir san áireamh. Chun seo a dhéanamh, rinne sé staidéar ar na bunachair shonraí feidhmchlár atá stóráilte ar an HDD. Iompaigh sé amach go raibh na sonraí deacair a léamh, ach nach bhfuil criptithe. Agus is féidir iad a rochtain fiú má tá pasfhocal socraithe ag an úsáideoir don fheidhmchlár.
Sna sonraí a fuarthas, fuarthas ainmneacha agus uimhreacha teileafóin na n-idirghabhálaithe, ar féidir iad a chur i gcomparáid, más mian leo. Stóráiltear faisnéis ó chomhráite dúnta i bhformáid shoiléir freisin.
Dúirt Durov níos déanaí nach fadhb é seo, mar má tá rochtain ag ionsaitheoir ar ríomhaire an úsáideora, beidh sé in ann na heochracha criptithe a fháil agus gach comhfhreagras a dhíchriptiú gan aon fhadhbanna. Ach áitíonn go leor saineolaithe slándála faisnéise go bhfuil sé seo fós tromchúiseach.
Ina theannta sin, iompaigh Telegram amach a bheith i mbaol ionsaí eochair goid, a Úsáideoir Habr. Is féidir leat a hack pasfhocail cód áitiúil ar aon fhad agus castacht.
Chomh fada agus is eol dúinn, stórálann an teachtaire seo sonraí ar an diosca ríomhaire i bhfoirm neamhchriptithe. Dá réir sin, má tá rochtain ag ionsaitheoir ar fheiste an úsáideora, tá na sonraí go léir oscailte freisin.
Ach tá fadhb níos domhanda ann. Faoi láthair, stóráiltear gach cúltaca ó WhatsApp atá suiteáilte ar fheistí le Android OS i Google Drive, mar a d’aontaigh Google agus Facebook anuraidh. Ach cúltacaí de chomhfhreagras, chomhaid meán agus a leithéidí . Chomh fada agus is féidir le duine breitheamh, oifigigh forfheidhmithe dlí de chuid na Stát Aontaithe céanna , mar sin tá seans ann gur féidir le fórsaí slándála breathnú ar aon sonraí atá stóráilte.
Is féidir sonraí a chriptiú, ach ní dhéanann an dá chuideachta é seo. B'fhéidir go simplí toisc gur féidir leis na húsáideoirí féin cúltacaí neamhchriptithe a aistriú agus a úsáid go héasca. Is dócha, níl aon criptiú ann toisc go bhfuil sé deacair go teicniúil a chur i bhfeidhm: ar a mhalairt, is féidir leat cúltacaí a chosaint gan aon deacracht. Is í an fhadhb atá ann go bhfuil Google a cúiseanna féin le bheith ag obair le WhatsApp - an chuideachta is dócha agus úsáideann siad iad chun fógraíocht phearsantaithe a thaispeáint. Má thug Facebook isteach go tobann criptiú le haghaidh cúltacaí WhatsApp, chaillfeadh Google láithreach spéis i gcomhpháirtíocht den sórt sin, ag cailleadh foinse luachmhar sonraí faoi roghanna úsáideoirí WhatsApp. Níl anseo, ar ndóigh, ach toimhde, ach is dócha i saol na margaíochta ardteicneolaíochta.
Mar do WhatsApp do iOS, cúltacaí a shábháil ar an scamall iCloud. Ach anseo, freisin, stóráiltear an fhaisnéis i bhfoirm neamhchriptithe, a luaitear fiú i socruithe an iarratais. Ní fios don chorparáid féin amháin an ndéanann Apple anailís ar na sonraí seo nó nach ea. Fíor, níl líonra fógraíochta cosúil le Google ag Cupertino, mar sin is féidir linn glacadh leis go bhfuil an dóchúlacht go ndéanfaidh siad anailís ar shonraí pearsanta úsáideoirí WhatsApp i bhfad níos ísle.
Is féidir gach a dúradh a fhoirmiú mar seo a leanas - tá, ní hamháin go bhfuil rochtain agat ar do chomhfhreagras WhatsApp.
TikTok agus teachtairí eile
D’fhéadfadh go mbeadh éileamh ar an tseirbhís ghearr comhroinnte físeán seo go han-tapa. Gheall na forbróirí slándáil iomlán sonraí a n-úsáideoirí a chinntiú. Mar a tharla, d'úsáid an tseirbhís féin na sonraí seo gan úsáideoirí a chur ar an eolas. Níos measa fós: bhailigh an tseirbhís sonraí pearsanta ó leanaí faoi 13 gan toiliú tuismitheora. Cuireadh faisnéis phearsanta na mionaoiseach - ainmneacha, r-phoist, uimhreacha gutháin, grianghraif agus físeáin - ar fáil go poiblí.
TSeirbhís ar feadh roinnt milliún dollar, d'éiligh rialtóirí freisin go gcuirfí deireadh le gach físeán a rinne leanaí faoi 13 bliana d'aois. Chomhlíon TikTok. Mar sin féin, úsáideann teachtairí agus seirbhísí eile sonraí pearsanta úsáideoirí chun a gcríoch féin, mar sin ní féidir leat a bheith cinnte faoina slándáil.
Is féidir leanúint ar aghaidh leis an liosta seo gan deireadh - tá leochaileacht amháin nó eile ag formhór na dteachtairí meandracha a ligeann d'ionsaitheoirí cluas a chur ar úsáideoirí ( - Viber, cé gur cosúil go bhfuil gach rud socraithe ann) nó a gcuid sonraí a ghoid. Ina theannta sin, déanann beagnach gach feidhmchlár ó na 5 barr sonraí úsáideora a stóráil i bhfoirm gan chosaint ar thiomáint crua an ríomhaire nó i gcuimhne an ghutháin. Agus tá sé seo gan cuimhneamh ar sheirbhísí faisnéise na dtíortha éagsúla, a bhféadfadh rochtain a bheith acu ar shonraí úsáideoirí a bhuíochas leis an reachtaíocht. Soláthraíonn an Skype céanna, VKontakte, TamTam agus daoine eile aon fhaisnéis faoi aon úsáideoir ar iarratas ó na húdaráis (mar shampla, Cónaidhm na Rúise).
Slándáil mhaith ag leibhéal an phrótacail? Fadhb ar bith, briseann muid an gléas
Roinnt blianta ó shin idir Apple agus rialtas SAM. Dhiúltaigh an chorparáid fón cliste criptithe a dhíghlasáil a raibh baint aige leis na hionsaithe sceimhlitheoireachta i gcathair San Bernardino. Ag an am, ba chosúil gur fadhb fíor é seo: bhí na sonraí cosanta go maith, agus bhí sé dodhéanta nó an-deacair fón cliste a hackáil.
Anois tá rudaí difriúil. Mar shampla, díolann an chuideachta Iosrael Cellebrite le haonáin dhlíthiúla sa Rúis agus i dtíortha eile córas bogearraí agus crua-earraí a ligeann duit gach samhail iPhone agus Android a hack. An bhliain seo caite bhí le faisnéis réasúnta mionsonraithe ar an ábhar seo.
Déanann imscrúdaitheoir fóiréinseach Magadan Popov fón cliste a hack ag baint úsáide as an teicneolaíocht chéanna a úsáideann Biúró Chónaidhme Imscrúdaithe na SA. Foinse: BBC
Tá an gléas saor de réir caighdeáin rialtais. Le haghaidh UFED Touch2, d'íoc roinn Volgograd an Choiste Imscrúdaithe 800 míle rúbal, roinn Khabarovsk - 1,2 milliún rúbal. In 2017, dheimhnigh Alexander Bastrykin, ceannaire Choiste Imscrúdaithe Chónaidhm na Rúise, go raibh a roinn cuideachta Iosraelach.
Ceannaíonn Sberbank feistí den sórt sin freisin - áfach, ní chun imscrúduithe a dhéanamh, ach chun víris a chomhrac ar fheistí le Android OS. “Má tá amhras ann go bhfuil gléasanna soghluaiste ionfhabhtaithe le cód bogearraí mailíseach anaithnid, agus tar éis toiliú éigeantach a fháil ó úinéirí na nguthán ionfhabhtaithe, déanfar anailís chun cuardach a dhéanamh ar víris nua atá ag teacht chun cinn agus ag athrú i gcónaí ag baint úsáide as uirlisí éagsúla, lena n-áirítear úsáid de UFED Touch2,” - i gcuideachta.
Tá teicneolaíochtaí ag Meiriceánaigh freisin a ligeann dóibh aon fhón cliste a hack. Geallann Grayshift 300 fón cliste a hack ar $15 ($50 in aghaidh an aonaid in aghaidh $1500 do Cellbrite).
Is dócha go bhfuil feistí comhchosúla ag cibearchoirpigh freisin. Tá na feistí seo á bhfeabhsú i gcónaí - laghdaítear a méid agus méadaíonn a bhfeidhmíocht.
Anois táimid ag caint faoi níos mó nó níos lú fóin aitheanta ó mhonaróirí móra a bhfuil imní orthu faoi chosaint sonraí a n-úsáideoirí. Má tá muid ag caint faoi chuideachtaí níos lú nó eagraíochtaí gan ainm, ansin sa chás seo baintear na sonraí gan fadhbanna. Oibríonn mód HS-USB fiú nuair a bhíonn an tosaitheoir faoi ghlas. Is “doras cúil” iad modhanna seirbhíse de ghnáth trínar féidir sonraí a aisghabháil. Mura bhfuil, is féidir leat ceangal leis an gcalafort JTAG nó an sliseanna eMMC a bhaint go hiomlán agus ansin é a chur isteach in adapter saor. Mura bhfuil na sonraí criptithe, ón bhfón gach rud i gcoitinne, lena n-áirítear comharthaí fíordheimhnithe a sholáthraíonn rochtain ar stóráil scamall agus ar sheirbhísí eile.
Má tá rochtain phearsanta ag duine ar fhón cliste le faisnéis thábhachtach, ansin is féidir leo é a hack más mian leo, is cuma cad a deir na monaróirí.
Is léir go mbaineann gach rud atá ráite ní hamháin le fóin chliste, ach freisin le ríomhairí agus ríomhairí glúine a ritheann OSanna éagsúla. Mura dtéann tú i muinín ardbhearta cosanta, ach má tá tú sásta le gnáthmhodhanna amhail pasfhocal agus logáil isteach, fanfaidh na sonraí i mbaol. Beidh hacker taithí le rochtain fhisiciúil ar an gléas a bheith in ann a fháil beagnach aon fhaisnéis - tá sé ach ceist ama.
Mar sin, cad atá le déanamh?
Ar Habré, ardaíodh ceist na slándála sonraí ar ghléasanna pearsanta níos mó ná uair amháin, mar sin ní dhéanfaimid an roth a athchruthú arís. Ní thabharfaimid le fios ach na príomh-mhodhanna a laghdaíonn an dóchúlacht go bhfaighidh tríú páirtithe do shonraí:
- Tá sé éigeantach criptiú sonraí a úsáid ar do ghuthán cliste agus ar do ríomhaire. Is minic a sholáthraíonn córais oibriúcháin éagsúla gnéithe réamhshocraithe maith. Sampla - coimeádán criptithe i Mac OS ag baint úsáide as uirlisí caighdeánacha.
- Socraigh pasfhocail áit ar bith agus i ngach áit, lena n-áirítear stair an chomhfhreagrais i Telegram agus teachtairí meandracha eile. Ar ndóigh, caithfidh pasfhocail a bheith casta.
- Fíordheimhniú dhá fhachtóir - tá, is féidir leis a bheith deacair, ach má thagann slándáil ar dtús, caithfidh tú cur suas leis.
- Monatóireacht a dhéanamh ar shlándáil fhisiciúil do gléasanna. Tóg ríomhaire corparáideach chuig caife agus déan dearmad air ann? Clasaiceach. Scríobhadh caighdeáin sábháilteachta, lena n-áirítear cinn corparáideacha, le deora íospartaigh a n-easpa féin.
Breathnaímid sna tuairimí ar do mhodhanna chun an dóchúlacht go ndéanfar hackáil sonraí a laghdú nuair a fhaigheann tríú páirtí rochtain ar fheiste fisiceach. Ansin cuirfimid na modhanna molta leis an alt nó foilseoimid iad inár , áit a scríobhaimid go rialta faoi shábháilteacht, hacks saoil le húsáid agus cinsireacht Idirlín.
Foinse: will.com