U veljači smo objavili članak “Ne samo VPN. Varalica o tome kako zaštititi sebe i svoje podatke.” potaknuo nas je da napišemo nastavak članka. Ovaj dio je potpuno neovisan izvor informacija, ali ipak preporučamo da pročitate oba posta.
Novi post posvećen je pitanju sigurnosti podataka (dopisivanje, fotografije, videozapisi, to je sve) u instant messengerima i samim uređajima koji se koriste za rad s aplikacijama.
glasnici
Telegram
Još u listopadu 2018., student prve godine Wake Technical Collegea Nathaniel Sachi otkrio je da Telegram messenger sprema poruke i medijske datoteke na pogon lokalnog računala u čistom tekstu.
Student je mogao pristupiti vlastitoj korespondenciji, uključujući tekst i slike. Da bi to učinio, proučavao je baze podataka aplikacija pohranjenih na HDD-u. Ispostavilo se da su podaci bili teško čitljivi, ali ne i šifrirani. A njima se može pristupiti čak i ako je korisnik postavio lozinku za aplikaciju.
U dobivenim podacima pronađena su imena i brojevi telefona sugovornika koji se po želji mogu usporediti. Informacije iz zatvorenih chatova također se pohranjuju u jasnom formatu.
Durov je kasnije izjavio da to nije problem, jer ako napadač ima pristup korisničkom računalu, moći će dobiti ključeve za šifriranje i dešifrirati svu korespondenciju bez ikakvih problema. Ali mnogi stručnjaci za informacijsku sigurnost tvrde da je to još uvijek ozbiljno.
Osim toga, pokazalo se da je Telegram ranjiv na napad krađe ključa, koji Korisnik Habra. Možete hakirati lozinke lokalnog koda bilo koje duljine i složenosti.
Whats App
Koliko nam je poznato, ovaj messenger također pohranjuje podatke na disk računala u nekriptiranom obliku. Sukladno tome, ako napadač ima pristup uređaju korisnika, tada su svi podaci također otvoreni.
Ali postoji globalniji problem. Trenutno se sve sigurnosne kopije s WhatsAppa instaliranog na uređajima s Android OS-om pohranjuju na Google Drive, kako su se Google i Facebook dogovorili prošle godine. Ali sigurnosne kopije dopisivanja, medijskih datoteka i slično . Koliko se može suditi, službenici za provođenje zakona istog SAD-a , tako da postoji mogućnost da sigurnosne snage mogu vidjeti sve pohranjene podatke.
Moguće je šifrirati podatke, ali obje tvrtke to ne rade. Možda jednostavno zato što se nekriptirane sigurnosne kopije mogu lako prenijeti i koristiti od strane samih korisnika. Najvjerojatnije nema enkripcije ne zato što je tehnički teško implementirati: naprotiv, sigurnosne kopije možete zaštititi bez ikakvih poteškoća. Problem je u tome što Google ima svoje razloge za suradnju s WhatsAppom - tvrtkom vjerojatno te ih koristi za prikazivanje personaliziranog oglašavanja. Kad bi Facebook iznenada uveo enkripciju za sigurnosne kopije WhatsAppa, Google bi trenutno izgubio interes za takvo partnerstvo, izgubivši vrijedan izvor podataka o preferencijama korisnika WhatsAppa. Ovo je, naravno, samo pretpostavka, ali vrlo vjerojatno u svijetu hi-tech marketinga.
Što se tiče WhatsAppa za iOS, sigurnosne kopije se spremaju u iCloud oblak. Ali i ovdje su informacije pohranjene u nekriptiranom obliku, što je navedeno čak iu postavkama aplikacije. Hoće li Apple analizirati ove podatke ili ne, zna samo sama korporacija. Istina, Cupertino nema oglašivačku mrežu poput Googlea, pa možemo pretpostaviti da je vjerojatnost da analiziraju osobne podatke korisnika WhatsAppa puno manja.
Sve što je rečeno može se formulirati na sljedeći način - da, ne samo da imate pristup svojoj WhatsApp korespondenciji.
TikTok i drugi messengeri
Ova usluga za dijeljenje kratkih videa mogla bi vrlo brzo postati popularna. Programeri su obećali osigurati potpunu sigurnost podataka svojih korisnika. Kako se pokazalo, sama je usluga koristila te podatke bez obavijesti korisnika. Još gore: servis je prikupljao osobne podatke od djece mlađe od 13 godina bez pristanka roditelja. Osobni podaci maloljetnika - imena, e-mailovi, telefonski brojevi, fotografije i video zapisi - stavljeni su u javnost.
Usluga za nekoliko milijuna dolara, regulatori su također zahtijevali uklanjanje svih videa koje su napravila djeca mlađa od 13 godina. TikTok se pridržavao. Međutim, drugi messengeri i servisi koriste osobne podatke korisnika za vlastite potrebe, tako da ne možete biti sigurni u njihovu sigurnost.
Ovaj se popis može nastaviti beskonačno - većina programa za razmjenu trenutnih poruka ima jednu ili drugu ranjivost koja napadačima omogućuje prisluškivanje korisnika ( — Viber, iako je tamo izgleda sve sređeno) ili im ukrasti podatke. Osim toga, gotovo sve aplikacije iz top 5 pohranjuju korisničke podatke u nezaštićenom obliku na tvrdi disk računala ili u memoriju telefona. I to bez prisjećanja obavještajnih službi raznih zemalja, koje mogu imati pristup korisničkim podacima zahvaljujući zakonodavstvu. Isti Skype, VKontakte, TamTam i drugi pružaju bilo kakve informacije o bilo kojem korisniku na zahtjev vlasti (na primjer, Ruska Federacija).
Dobra sigurnost na razini protokola? Nema problema, razbijamo uređaj
Nekoliko godina ranije između Applea i američke vlade. Korporacija je odbila otključati šifrirani pametni telefon koji je sudjelovao u terorističkim napadima u gradu San Bernardinu. Tada se to činilo kao pravi problem: podaci su bili dobro zaštićeni, a hakiranje pametnog telefona ili nemoguće ili vrlo teško.
Sada su stvari drugačije. Na primjer, izraelska tvrtka Cellebrite prodaje pravnim osobama u Rusiji i drugim zemljama softverski i hardverski sustav koji vam omogućuje hakiranje svih iPhone i Android modela. Prošle godine je bilo s relativno detaljnim informacijama o ovoj temi.
Magadanski forenzičar Popov hakira pametni telefon koristeći istu tehnologiju koju koristi američki Federalni istražni ured. Izvor: BBC
Uređaj je jeftin prema državnim standardima. Za UFED Touch2 Volgogradski odjel Istražnog odbora platio je 800 tisuća rubalja, odjel Khabarovsk - 1,2 milijuna rubalja. 2017. Alexander Bastrykin, šef Istražnog odbora Ruske Federacije, potvrdio je da je njegov odjel izraelska tvrtka.
Sberbank također kupuje takve uređaje - ali ne za provođenje istraga, već za borbu protiv virusa na uređajima s Android OS-om. “Ukoliko se posumnja da su mobilni uređaji zaraženi nepoznatim zlonamjernim softverskim kodom, a nakon dobivanja obvezne suglasnosti vlasnika zaraženih telefona, provest će se analiza u potrazi za novim virusima koji se stalno pojavljuju i mijenjaju uz pomoć raznih alata, uključujući korištenje od UFED Touch2,” - u društvu.
Amerikanci također imaju tehnologije koje im omogućuju hakiranje bilo kojeg pametnog telefona. Grayshift obećava da će hakirati 300 pametnih telefona za 15 dolara (50 dolara po jedinici u odnosu na 1500 dolara za Cellbrite).
Vrlo je vjerojatno da i kibernetički kriminalci imaju slične uređaje. Ovi se uređaji stalno poboljšavaju - veličina im se smanjuje, a performanse povećavaju.
Sada je riječ o više ili manje poznatim telefonima velikih proizvođača koji brinu o zaštiti podataka svojih korisnika. Ako govorimo o manjim tvrtkama ili no-name organizacijama, onda se u ovom slučaju podaci uklanjaju bez problema. HS-USB način rada radi čak i kada je bootloader zaključan. Načini usluge obično su "stražnja vrata" kroz koja se podaci mogu dohvatiti. Ako nije, možete se spojiti na JTAG priključak ili potpuno ukloniti eMMC čip i zatim ga umetnuti u jeftin adapter. Ako podaci nisu šifrirani, s telefona sve općenito, uključujući autentifikacijske tokene koji omogućuju pristup pohrani u oblaku i drugim uslugama.
Ako netko ima osobni pristup pametnom telefonu s važnim informacijama, onda ga može hakirati ako želi, bez obzira što proizvođači kažu.
Jasno je da se sve što je rečeno odnosi ne samo na pametne telefone, već i na računala i prijenosna računala s različitim operativnim sustavima. Ako ne pribjegnete naprednim zaštitnim mjerama, već se zadovoljite konvencionalnim metodama kao što su lozinka i prijava, tada će podaci ostati u opasnosti. Iskusni haker s fizičkim pristupom uređaju moći će dobiti gotovo sve informacije - samo je pitanje vremena.
Dakle, što učiniti?
Na Habréu je pitanje sigurnosti podataka na osobnim uređajima pokrenuto više nego jednom, stoga nećemo ponovno izmišljati kotač. Navest ćemo samo glavne metode koje smanjuju vjerojatnost da treće strane dobiju vaše podatke:
- Obavezno je koristiti enkripciju podataka i na pametnom telefonu i na računalu. Različiti operativni sustavi često pružaju dobre zadane značajke. Primjer - kripto spremnik u Mac OS-u korištenjem standardnih alata.
- Postavite lozinke bilo gdje i svugdje, uključujući povijest dopisivanja u Telegramu i drugim instant messengerima. Naravno, lozinke moraju biti složene.
- Dvofaktorska autentifikacija – da, može biti nezgodno, ali ako je sigurnost na prvom mjestu, morate se pomiriti s tim.
- Pratite fizičku sigurnost svojih uređaja. Odnijeti poslovno računalo u kafić i zaboraviti ga tamo? klasična. Sigurnosni standardi, uključujući korporativne, ispisani su suzama žrtava vlastite nepažnje.
Pogledajmo u komentarima vaše metode za smanjenje vjerojatnosti hakiranja podataka kada treća strana dobije pristup fizičkom uređaju. Zatim ćemo predložene metode dodati u članak ili ih objaviti u našem , gdje redovito pišemo o sigurnosti, životnim trikovima za korištenje i internetsku cenzuru.
Izvor: www.habr.com