En febreiro, publicamos o artigo "Non só VPN. Unha folla de trucos sobre como protexerse e protexer os seus datos". pediunos a escribir unha continuación do artigo. Esta parte é unha fonte de información completamente independente, pero aínda así recomendamos que leas as dúas publicacións.
Unha nova publicación está dedicada ao tema da seguridade dos datos (correspondencia, fotos, vídeos, iso é todo) en mensaxería instantánea e nos propios dispositivos que se utilizan para traballar coas aplicacións.
Mensaxeiros
Telegrama
En outubro de 2018, o estudante de primeiro ano do Wake Technical College, Nathaniel Sachi, descubriu que o mensaxeiro de Telegram garda mensaxes e ficheiros multimedia na unidade do ordenador local en texto claro.
O alumno puido acceder á súa propia correspondencia, incluíndo texto e imaxes. Para iso, estudou as bases de datos das aplicacións almacenadas no disco duro. Resultou que os datos eran difíciles de ler, pero non estaban cifrados. E pódese acceder a eles mesmo se o usuario estableceu un contrasinal para a aplicación.
Nos datos recibidos atopáronse os nomes e teléfonos dos interlocutores que, se o desexa, se poden comparar. A información dos chats pechados tamén se almacena en formato claro.
Durov afirmou máis tarde que isto non é un problema, porque se un atacante ten acceso ao PC do usuario, poderá obter claves de cifrado e descifrar toda a correspondencia sen ningún problema. Pero moitos expertos en seguridade da información argumentan que isto aínda é grave.
Ademais, Telegram resultou ser vulnerable a un ataque de roubo de chaves, que Usuario de Habr. Podes cortar contrasinais de código local de calquera lonxitude e complexidade.
Polo que sabemos, este mensaxeiro tamén almacena datos no disco do ordenador en forma sen cifrar. En consecuencia, se un atacante ten acceso ao dispositivo do usuario, todos os datos tamén están abertos.
Pero hai un problema máis global. Actualmente, todas as copias de seguridade de WhatsApp instaladas en dispositivos con sistema operativo Android almacénanse en Google Drive, tal e como acordaron Google e Facebook o ano pasado. Pero copias de seguridade da correspondencia, ficheiros multimedia e similares . Polo que se pode xulgar, axentes da lei dos mesmos EUA , polo que existe a posibilidade de que as forzas de seguridade poidan ver calquera dato almacenado.
É posible cifrar datos, pero ambas as empresas non o fan. Quizais simplemente porque as copias de seguridade non cifradas poden ser facilmente transferidas e usadas polos propios usuarios. O máis probable é que non haxa cifrado porque é tecnicamente difícil de implementar: pola contra, pode protexer as copias de seguridade sen ningunha dificultade. O problema é que Google ten os seus propios motivos para traballar con WhatsApp, a empresa presumiblemente e utilízaos para mostrar publicidade personalizada. Se Facebook introduciu de súpeto o cifrado para as copias de seguridade de WhatsApp, Google perdería instantáneamente o interese por tal asociación, perdendo unha valiosa fonte de datos sobre as preferencias dos usuarios de WhatsApp. Isto, por suposto, é só unha suposición, pero moi probable no mundo do marketing de alta tecnoloxía.
En canto a WhatsApp para iOS, as copias de seguridade gárdanse na nube iCloud. Pero aquí tamén a información gárdase en forma sen cifrar, o que se indica mesmo na configuración da aplicación. Se Apple analiza ou non estes datos só o sabe a propia corporación. É certo que Cupertino non conta cunha rede publicitaria como Google, polo que podemos supoñer que a probabilidade de que analisen os datos persoais dos usuarios de WhatsApp é moito menor.
Todo o que se dixo pódese formular do seguinte xeito: si, non só tes acceso á túa correspondencia de WhatsApp.
TikTok e outros mensaxeiros
Este servizo para compartir vídeos curtos podería facerse popular moi rapidamente. Os desenvolvedores prometeron garantir a total seguridade dos datos dos seus usuarios. Segundo se viu, o propio servizo utilizou estes datos sen avisar aos usuarios. Peor aínda: o servizo recolleu datos persoais de menores de 13 anos sen o consentimento dos pais. A información persoal dos menores (nomes, correos electrónicos, números de teléfono, fotos e vídeos) fíxose pública.
Servizo por varios millóns de dólares, os reguladores tamén esixiron a eliminación de todos os vídeos feitos por nenos menores de 13 anos. TikTok cumpriu. Non obstante, outros mensaxeiros e servizos utilizan os datos persoais dos usuarios para os seus propios fins, polo que non pode estar seguro da súa seguridade.
Esta lista pódese continuar sen fin: a maioría dos mensaxeiros instantáneos teñen unha ou outra vulnerabilidade que permite que os atacantes escoiten aos usuarios ( — Viber, aínda que todo parece arranxar alí) ou roubarlles os datos. Ademais, case todas as aplicacións das 5 principais almacenan os datos do usuario de forma sen protección no disco duro do ordenador ou na memoria do teléfono. E isto sen lembrar os servizos de intelixencia de varios países, que poden ter acceso aos datos dos usuarios grazas á lexislación. O mesmo Skype, VKontakte, TamTam e outros proporcionan calquera información sobre calquera usuario a petición das autoridades (por exemplo, a Federación Rusa).
Boa seguridade a nivel de protocolo? Non hai problema, rompemos o dispositivo
Hai algúns anos entre Apple e o goberno dos Estados Unidos. A corporación negouse a desbloquear un teléfono intelixente cifrado que estivo implicado nos ataques terroristas da cidade de San Bernardino. Nese momento, isto parecía un problema real: os datos estaban ben protexidos e piratear un teléfono intelixente era imposible ou moi difícil.
Agora as cousas son diferentes. Por exemplo, a empresa israelí Cellebrite vende a persoas xurídicas en Rusia e outros países un sistema de software e hardware que permite piratear todos os modelos de iPhone e Android. O ano pasado houbo con información relativamente detallada sobre este tema.
O investigador forense de Magadan Popov piratea un teléfono intelixente usando a mesma tecnoloxía que usa a Oficina Federal de Investigacións dos Estados Unidos. Fonte: BBC
O dispositivo é barato segundo os estándares gobernamentais. Para UFED Touch2, o departamento de Volgogrado do Comité de Investigación pagou 800 mil rublos, o departamento de Khabarovsk - 1,2 millóns de rublos. En 2017, Alexander Bastrykin, xefe do Comité de Investigación da Federación Rusa, confirmou que o seu departamento empresa israelí.
Sberbank tamén compra estes dispositivos, non obstante, non para realizar investigacións, senón para loitar contra virus en dispositivos con sistema operativo Android. “Se se sospeita que os dispositivos móbiles están infectados con código de software malicioso descoñecido, e tras obter o preceptivo consentimento dos propietarios dos teléfonos infectados, realizarase unha análise para buscar novos virus que xurdan e cambian constantemente mediante diversas ferramentas, entre elas o uso de UFED Touch2", - en compañía.
Os estadounidenses tamén teñen tecnoloxías que lles permiten piratear calquera teléfono intelixente. Grayshift promete piratear 300 teléfonos intelixentes por 15 dólares (50 dólares por unidade fronte a 1500 dólares para Cellbrite).
É probable que os ciberdelincuentes tamén teñan dispositivos similares. Estes dispositivos están a ser mellorados constantemente: o seu tamaño diminúe e o seu rendemento aumenta.
Agora estamos a falar de teléfonos máis ou menos coñecidos de grandes fabricantes que se preocupan por protexer os datos dos seus usuarios. Se estamos a falar de empresas máis pequenas ou organizacións sen nome, neste caso, os datos elimínanse sen problemas. O modo HS-USB funciona mesmo cando o cargador de arranque está bloqueado. Os modos de servizo adoitan ser unha "porta traseira" a través da cal se poden recuperar datos. Se non, pode conectarse ao porto JTAG ou eliminar o chip eMMC por completo e, a continuación, inserilo nun adaptador económico. Se os datos non están encriptados, desde o teléfono todo en xeral, incluíndo tokens de autenticación que proporcionan acceso ao almacenamento na nube e outros servizos.
Se alguén ten acceso persoal a un teléfono intelixente con información importante, pode piratealo se quere, sen importar o que digan os fabricantes.
Está claro que todo o que se dixo non só se aplica aos teléfonos intelixentes, senón tamén aos ordenadores e portátiles que executan varios sistemas operativos. Se non recorre a medidas de protección avanzadas, pero se conforma con métodos convencionais como o contrasinal e o inicio de sesión, os datos seguirán en perigo. Un hacker experimentado con acceso físico ao dispositivo poderá obter case calquera información, é só cuestión de tempo.
Entón, que facer?
En Habré, o tema da seguridade dos datos nos dispositivos persoais foi plantexado máis dunha vez, polo que non volveremos reinventar a roda. Só indicaremos os principais métodos que reducen a probabilidade de que terceiros obteñan os seus datos:
- É obrigatorio usar o cifrado de datos tanto no teu teléfono intelixente como no teu PC. Os diferentes sistemas operativos adoitan ofrecer boas funcións predeterminadas. Exemplo - contenedor criptográfico en Mac OS usando ferramentas estándar.
- Establece contrasinais en calquera lugar e en calquera lugar, incluído o historial de correspondencia en Telegram e outros mensaxeiros instantáneos. Por suposto, os contrasinais deben ser complexos.
- Autenticación de dous factores: si, pode ser inconveniente, pero se a seguridade é o primeiro, tes que aguantar.
- Supervisa a seguridade física dos teus dispositivos. Levar un ordenador corporativo a un café e esquecelo alí? Clásico. As normas de seguridade, incluídas as corporativas, foron escritas coas bágoas das vítimas do seu propio descoido.
Vexamos nos comentarios os teus métodos para reducir a probabilidade de piratería de datos cando un terceiro accede a un dispositivo físico. Despois engadiremos os métodos propostos ao artigo ou publicaremos no noso , onde escribimos regularmente sobre seguridade, trucos de vida para usar e a censura de Internet.
Fonte: www.habr.com