ProHoster > Օրագիր > Վարչակազմը > Երբ գաղտնագրումը չի օգնում. մենք խոսում ենք սարքի ֆիզիկական հասանելիության մասին
Երբ գաղտնագրումը չի օգնում. մենք խոսում ենք սարքի ֆիզիկական հասանելիության մասին
Փետրվարին մենք հրապարակեցինք «Ոչ VPN մենակ. Խաբեության թերթիկ, թե ինչպես պաշտպանել ինքներդ ձեզ և ձեր տվյալները»: Մեկնաբանություններից մեկը մեզ դրդեց գրել հոդվածի շարունակությունը: Այս հատվածը տեղեկատվության լրիվ անկախ աղբյուր է, բայց մենք դեռ խորհուրդ ենք տալիս կարդալ երկու գրառումները:
Նոր գրառումը նվիրված է ակնթարթային մեսենջերների և հավելվածների հետ աշխատելու համար օգտագործվող սարքերի տվյալների անվտանգության (նամակագրություն, լուսանկարներ, տեսանյութեր, այս ամենը) խնդրին:
Ակնթարթային սուրհանդակներ
Telegram
Դեռևս 2018 թվականի հոկտեմբերին Wake Technical College-ի առաջին կուրսի ուսանող Նաթանիել Սաչին հայտնաբերեց, որ Telegram մեսենջերը հաղորդագրություններն ու մեդիա ֆայլերը պահում է տեղական համակարգչի սկավառակում՝ հստակ տեքստով:
Աշակերտը կարողացավ մուտք գործել իր սեփական նամակագրությունը, ներառյալ տեքստը և նկարները: Դրա համար նա ուսումնասիրել է HDD-ում պահվող հավելվածների տվյալների բազաները: Պարզվել է, որ տվյալները դժվար է կարդալ, բայց ոչ կոդավորված։ Եվ դրանք կարող են մուտք գործել նույնիսկ եթե օգտատերը գաղտնաբառ է սահմանել հավելվածի համար:
Ստացված տվյալների մեջ հայտնաբերվել են զրուցակիցների անուններն ու հեռախոսահամարները, որոնք ցանկության դեպքում կարելի է համեմատել։ Փակ զրույցներից ստացված տեղեկատվությունը նույնպես պահվում է հստակ ձևաչափով:
Ավելի ուշ Դուրովը հայտարարեց, որ դա խնդիր չէ, քանի որ եթե հարձակվողը մուտք ունի օգտատիրոջ ԱՀ, նա կկարողանա առանց որևէ խնդրի ստանալ կոդավորման բանալիներ և վերծանել ողջ նամակագրությունը: Սակայն տեղեկատվական անվտանգության շատ փորձագետներ պնդում են, որ դա դեռ լուրջ է:
Բացի այդ, Telegram-ը խոցելի է դարձել առանցքային գողության հարձակման, որը հայտնաբերված Habr օգտվող. Դուք կարող եք կոտրել տեղական կոդի գաղտնաբառերը ցանկացած երկարության և բարդության:
WhatsApp
Ինչպես գիտենք, այս մեսենջերը նաև տվյալների պահպանում է համակարգչային սկավառակի վրա չգաղտնագրված ձևով։ Համապատասխանաբար, եթե հարձակվողը մուտք ունի օգտատիրոջ սարքին, ապա բոլոր տվյալները նույնպես բաց են:
Բայց կա ավելի գլոբալ խնդիր. Ներկայում Android ՕՀ սարքերում տեղադրված WhatsApp-ի բոլոր կրկնօրինակները պահվում են Google Drive-ում, ինչի մասին Google-ը և Facebook-ը պայմանավորվել են անցյալ տարի։ Բայց նամակագրության, մեդիա ֆայլերի և այլնի կրկնօրինակներ պահվում է չգաղտնագրված. Ինչքան կարելի է դատել՝ նույն ԱՄՆ-ի իրավապահները մուտք ունենալ դեպի Google Drive, այնպես որ կա հավանականություն, որ անվտանգության ուժերը կարող են դիտել ցանկացած պահված տվյալ:
Հնարավոր է գաղտնագրել տվյալները, բայց երկու ընկերություններն էլ դա չեն անում։ Թերևս պարզապես այն պատճառով, որ չգաղտնագրված կրկնօրինակները կարող են հեշտությամբ փոխանցվել և օգտագործվել հենց օգտատերերի կողմից: Ամենայն հավանականությամբ, գաղտնագրում չկա, քանի որ այն տեխնիկապես դժվար է իրականացնել. ընդհակառակը, դուք կարող եք պաշտպանել կրկնօրինակները առանց որևէ դժվարության: Խնդիրն այն է, որ Google-ն ունի WhatsApp-ի հետ աշխատելու իր պատճառները՝ ենթադրաբար ընկերությունը վերլուծում է Google Drive սերվերներում պահվող տվյալները և օգտագործում է դրանք անհատականացված գովազդ ցուցադրելու համար: Եթե Facebook-ը հանկարծ մտցներ գաղտնագրում WhatsApp-ի կրկնօրինակների համար, Google-ն ակնթարթորեն կկորցներ հետաքրքրությունը նման համագործակցության նկատմամբ՝ կորցնելով WhatsApp-ի օգտատերերի նախասիրությունների վերաբերյալ տվյալների արժեքավոր աղբյուրը: Սա, իհարկե, ընդամենը ենթադրություն է, բայց շատ հավանական է բարձր տեխնոլոգիաների շուկայավարման աշխարհում:
Ինչ վերաբերում է WhatsApp-ին iOS-ի համար, ապա կրկնօրինակները պահվում են iCloud ամպում: Բայց այստեղ էլ տեղեկատվությունը պահվում է չգաղտնագրված տեսքով, որը նշված է նույնիսկ հավելվածի կարգավորումներում։ Apple-ը վերլուծում է այս տվյալները, թե ոչ, հայտնի է միայն հենց կորպորացիային։ Ճիշտ է, Կուպերտինոն Google-ի նման գովազդային ցանց չունի, ուստի կարելի է ենթադրել, որ նրանց կողմից WhatsApp-ի օգտատերերի անձնական տվյալները վերլուծելու հավանականությունը շատ ավելի քիչ է։
Այն ամենը, ինչ ասվել է, կարելի է ձևակերպել հետևյալ կերպ. այո, ոչ միայն դուք ունեք մուտք դեպի WhatsApp նամակագրություն:
TikTok և այլ մեսենջերներ
Այս կարճ տեսանյութերի փոխանակման ծառայությունը կարող է շատ արագ տարածված դառնալ: Մշակողները խոստացել են ապահովել իրենց օգտատերերի տվյալների ամբողջական անվտանգությունը։ Ինչպես պարզվել է, ծառայությունն ինքը օգտագործել է այս տվյալները՝ առանց օգտատերերին ծանուցելու։ Նույնիսկ ավելի վատ՝ ծառայությունը 13 տարեկանից ցածր երեխաների անձնական տվյալներ է հավաքել առանց ծնողների համաձայնության: Անչափահասների անձնական տվյալները՝ անունները, էլ. նամակները, հեռախոսահամարները, լուսանկարները և տեսանյութերը, հասանելի են դարձել հանրությանը:
Ծառայություն տուգանվել է մի քանի միլիոն դոլարի դիմաց կարգավորիչները պահանջել են նաև հեռացնել մինչև 13 տարեկան երեխաների կողմից արված բոլոր տեսանյութերը։ TikTok-ը համապատասխանեց. Այնուամենայնիվ, այլ մեսենջերներ և ծառայություններ օգտագործում են օգտատերերի անձնական տվյալները իրենց նպատակների համար, այնպես որ դուք չեք կարող վստահ լինել նրանց անվտանգության մեջ:
Այս ցանկը կարելի է անվերջ շարունակել. ակնթարթային մեսենջերների մեծ մասն ունի այս կամ այն խոցելիությունը, որը հարձակվողներին թույլ է տալիս գաղտնալսել օգտատերերին (հիանալի օրինակ — Viber-ը, թեև թվում է, թե այնտեղ ամեն ինչ շտկվել է) կամ գողանալ նրանց տվյալները։ Բացի այդ, թոփ 5-ի գրեթե բոլոր հավելվածները օգտատիրոջ տվյալները անպաշտպան ձևով պահում են համակարգչի կոշտ սկավառակի վրա կամ հեռախոսի հիշողության մեջ: Եվ սա առանց հիշելու տարբեր երկրների հետախուզական ծառայությունները, որոնք օրենսդրության շնորհիվ կարող են օգտվել օգտատերերի տվյալներից։ Նույն Skype-ը, VKontakte-ն, TamTam-ը և մյուսները ցանկացած օգտատիրոջ մասին ցանկացած տեղեկություն են տրամադրում իշխանությունների խնդրանքով (օրինակ՝ Ռուսաստանի Դաշնություն):
Արձանագրության մակարդակով լավ անվտանգությո՞ւն: Խնդիր չկա, մենք կոտրում ենք սարքը
Մի քանի տարի առաջ հակամարտություն է սկսվել Apple-ի և ԱՄՆ կառավարության միջև։ Կորպորացիան հրաժարվել է բացել կոդավորված սմարթֆոնը, որը մասնակցել է Սան Բերնարդինո քաղաքում տեղի ունեցած ահաբեկչություններին։ Այն ժամանակ սա իրական խնդիր էր թվում. տվյալները լավ պաշտպանված էին, և սմարթֆոն կոտրելը կամ անհնար էր, կամ շատ դժվար:
Հիմա ամեն ինչ այլ է։ Օրինակ՝ իսրայելական Cellebrite ընկերությունը Ռուսաստանի և այլ երկրների իրավաբանական անձանց վաճառում է ծրագրային և ապարատային համակարգ, որը թույլ է տալիս կոտրել iPhone և Android բոլոր մոդելները։ Անցյալ տարի կար հրատարակվել է գովազդային գրքույկ այս թեմայի վերաբերյալ համեմատաբար մանրամասն տեղեկություններով:
Մագադանի դատաբժշկական քննիչ Պոպովը կոտրել է սմարթֆոնը՝ օգտագործելով նույն տեխնոլոգիան, որն օգտագործում է ԱՄՆ Հետաքննությունների դաշնային բյուրոն։ Աղբյուր՝ BBC
Սարքը պետական չափանիշներով էժան է: UFED Touch2-ի համար Քննչական կոմիտեի Վոլգոգրադի վարչությունը վճարել է 800 հազար ռուբլի, Խաբարովսկի բաժինը՝ 1,2 միլիոն ռուբլի։ 2017 թվականին Ռուսաստանի Դաշնության Քննչական կոմիտեի ղեկավար Ալեքսանդր Բաստրիկինը հաստատել է, որ իր բաժինը XNUMXթ. օգտագործում է լուծումներ Իսրայելական ընկերություն.
Սբերբանկը նույնպես գնում է նման սարքեր, սակայն ոչ թե հետաքննություն անցկացնելու, այլ Android OS ունեցող սարքերում վիրուսների դեմ պայքարելու համար: «Եթե շարժական սարքերը կասկածվում են անհայտ վնասակար ծրագրային կոդով վարակված լինելու մեջ, և վարակված հեռախոսների սեփականատերերի պարտադիր համաձայնությունը ստանալուց հետո, վերլուծություն կիրականացվի տարբեր գործիքների միջոցով անընդհատ առաջացող և փոփոխվող նոր վիրուսների որոնման համար, ներառյալ օգտագործումը: UFED Touch2», - հայտարարվեց ընկերությունում:
Ամերիկացիներն ունեն նաև տեխնոլոգիաներ, որոնք թույլ են տալիս կոտրել ցանկացած սմարթֆոն։ Grayshift-ը խոստանում է կոտրել 300 սմարթֆոն 15 դոլարով ($50 մեկ միավորի դիմաց $1500-ի դիմաց Celllbrite-ի համար):
Հավանական է, որ կիբերհանցագործները նույնպես ունեն նմանատիպ սարքեր: Այս սարքերը մշտապես կատարելագործվում են՝ դրանց չափերը նվազում են, իսկ արտադրողականությունը՝ մեծանում:
Այժմ խոսքը գնում է խոշոր արտադրողների քիչ թե շատ հայտնի հեռախոսների մասին, որոնք մտահոգված են իրենց օգտատերերի տվյալների պաշտպանությամբ։ Եթե մենք խոսում ենք ավելի փոքր ընկերությունների կամ անանուն կազմակերպությունների մասին, ապա այս դեպքում տվյալները հանվում են առանց խնդիրների։ HS-USB ռեժիմն աշխատում է նույնիսկ այն ժամանակ, երբ bootloader-ը կողպված է: Ծառայության ռեժիմները սովորաբար «հետեւի դուռ» են, որոնց միջոցով կարելի է ստանալ տվյալները: Եթե ոչ, կարող եք միանալ JTAG պորտին կամ ընդհանրապես հեռացնել eMMC չիպը, այնուհետև տեղադրել այն էժան ադապտերի մեջ: Եթե տվյալները կոդավորված չեն, հեռախոսից կարող է դուրս քաշվել ընդհանրապես ամեն ինչ, ներառյալ նույնականացման նշանները, որոնք ապահովում են մուտք դեպի ամպային պահեստ և այլ ծառայություններ:
Եթե ինչ-որ մեկը անձնական հասանելիություն ունի կարևոր տեղեկություններով սմարթֆոնի, ապա նա կարող է կոտրել այն, եթե ցանկանա, անկախ նրանից, թե ինչ են ասում արտադրողները:
Հասկանալի է, որ այն ամենը, ինչ ասվել է, վերաբերում է ոչ միայն սմարթֆոններին, այլև տարբեր ՕՀ-ներով աշխատող համակարգիչներին և նոութբուքերին։ Եթե դուք չեք դիմում առաջադեմ պաշտպանական միջոցների, այլ բավարարվում եք սովորական մեթոդներով, ինչպիսիք են գաղտնաբառը և մուտքը, ապա տվյալները կմնան վտանգի տակ: Սարքի ֆիզիկական հասանելիությամբ փորձառու հաքերը կկարողանա ստանալ գրեթե ցանկացած տեղեկատվություն՝ դա միայն ժամանակի հարց է:
Այսպիսով, ինչ անել:
Habré-ում անձնական սարքերի տվյալների անվտանգության հարցը բարձրացվել է ավելի քան մեկ անգամ, ուստի մենք նորից չենք հայտնագործի անիվը: Մենք միայն կնշենք այն հիմնական մեթոդները, որոնք նվազեցնում են երրորդ անձանց կողմից ձեր տվյալները ստանալու հավանականությունը.
Պարտադիր է օգտագործել տվյալների կոդավորումը և՛ սմարթֆոնի, և՛ համակարգչի վրա: Տարբեր օպերացիոն համակարգեր հաճախ ապահովում են լավ լռելյայն հնարավորություններ: Օրինակ - ստեղծումը կրիպտո կոնտեյներ Mac OS-ում` օգտագործելով ստանդարտ գործիքներ:
Սահմանեք գաղտնաբառեր ամենուր և ամենուր, ներառյալ նամակագրության պատմությունը Telegram-ում և այլ ակնթարթային մեսենջերներում: Բնականաբար, գաղտնաբառերը պետք է բարդ լինեն։
Երկու գործոնով նույնականացում. այո, դա կարող է անհարմար լինել, բայց եթե անվտանգությունն առաջին տեղում է, դուք պետք է համակերպվեք դրա հետ:
Դիտեք ձեր սարքերի ֆիզիկական անվտանգությունը: Կորպորատիվ համակարգչով սրճարան տանեք և մոռանա՞ք այն այնտեղ: Դասական. Անվտանգության չափանիշները, այդ թվում՝ կորպորատիվ, գրվել են սեփական անզգուշության զոհերի արցունքներով։
Եկեք մեկնաբանություններում նայենք ձեր մեթոդներին՝ նվազեցնելու տվյալների կոտրման հավանականությունը, երբ երրորդ կողմը մուտք է ստանում ֆիզիկական սարք: Այնուհետև մենք կավելացնենք առաջարկվող մեթոդները հոդվածում կամ կհրապարակենք դրանք մեր կայքում հեռագրական ալիք, որտեղ մենք պարբերաբար գրում ենք անվտանգության, օգտագործման համար նախատեսված կյանքի հաքերների մասին մեր VPN-ը և համացանցի գրաքննությունը։