Pada bulan Februari, kami menerbitkan artikel “Bukan VPN saja. Lembar contekan tentang cara melindungi diri Anda dan data Anda.” mendorong kami untuk menulis lanjutan artikel tersebut. Bagian ini adalah sumber informasi yang sepenuhnya independen, tetapi kami tetap menyarankan Anda membaca kedua postingan tersebut.
Sebuah postingan baru dikhususkan untuk masalah keamanan data (korespondensi, foto, video, itu saja) di pesan instan dan perangkat itu sendiri yang digunakan untuk bekerja dengan aplikasi.
Utusan
Telegram
Pada bulan Oktober 2018, mahasiswa tahun pertama Wake Technical College Nathaniel Sachi menemukan bahwa messenger Telegram menyimpan pesan dan file media di drive komputer lokal dalam bentuk teks yang jelas.
Siswa dapat mengakses korespondensinya sendiri, termasuk teks dan gambar. Untuk melakukan ini, ia mempelajari database aplikasi yang tersimpan di HDD. Ternyata datanya sulit dibaca, tapi tidak dienkripsi. Dan mereka dapat diakses meskipun pengguna telah menetapkan kata sandi untuk aplikasi tersebut.
Dalam data yang diterima, ditemukan nama dan nomor telepon lawan bicara, yang jika diinginkan dapat dibandingkan. Informasi dari obrolan tertutup juga disimpan dalam format yang jelas.
Durov kemudian menyatakan bahwa ini bukan masalah, karena jika penyerang memiliki akses ke PC pengguna, ia akan dapat memperoleh kunci enkripsi dan mendekripsi semua korespondensi tanpa masalah. Namun banyak pakar keamanan informasi berpendapat bahwa hal ini masih serius.
Selain itu, Telegram ternyata rentan terhadap serangan pencurian kunci yang Pengguna habr. Anda dapat meretas kata sandi kode lokal dengan panjang dan kerumitan apa pun.
Sejauh yang kami tahu, messenger ini juga menyimpan data di disk komputer dalam bentuk tidak terenkripsi. Oleh karena itu, jika penyerang memiliki akses ke perangkat pengguna, maka semua data juga akan terbuka.
Namun ada masalah yang lebih global. Saat ini, semua cadangan dari WhatsApp yang diinstal pada perangkat dengan OS Android disimpan di Google Drive, sesuai kesepakatan Google dan Facebook tahun lalu. Tapi backup korespondensi, file media dan sejenisnya . Sejauh yang bisa dinilai, petugas penegak hukum di Amerika Serikat , sehingga ada kemungkinan aparat keamanan dapat melihat data apa pun yang disimpan.
Dimungkinkan untuk mengenkripsi data, tetapi kedua perusahaan tidak melakukan hal ini. Mungkin karena cadangan yang tidak terenkripsi dapat dengan mudah ditransfer dan digunakan oleh pengguna sendiri. Kemungkinan besar, tidak adanya enkripsi bukan karena secara teknis sulit diterapkan: sebaliknya, Anda dapat melindungi cadangan tanpa kesulitan apa pun. Masalahnya adalah Google punya alasan tersendiri untuk bekerja sama dengan WhatsApp - mungkin perusahaan tersebut dan menggunakannya untuk menampilkan iklan yang dipersonalisasi. Jika Facebook tiba-tiba memperkenalkan enkripsi untuk cadangan WhatsApp, Google akan langsung kehilangan minat dalam kemitraan semacam itu, dan kehilangan sumber data berharga tentang preferensi pengguna WhatsApp. Ini tentu saja hanya asumsi, tetapi sangat mungkin terjadi dalam dunia pemasaran berteknologi tinggi.
Sedangkan untuk WhatsApp untuk iOS, cadangan disimpan ke cloud iCloud. Namun di sini juga, informasi disimpan dalam bentuk tidak terenkripsi, yang dinyatakan bahkan dalam pengaturan aplikasi. Apakah Apple menganalisis data ini atau tidak, hanya diketahui oleh perusahaan itu sendiri. Benar, Cupertino tidak memiliki jaringan periklanan seperti Google, jadi kita dapat berasumsi bahwa kemungkinan mereka menganalisis data pribadi pengguna WhatsApp jauh lebih rendah.
Semua hal di atas dapat dirumuskan sebagai berikut - ya, tidak hanya Anda yang memiliki akses ke korespondensi WhatsApp Anda.
TikTok dan messenger lainnya
Layanan berbagi video pendek ini bisa menjadi populer dengan sangat cepat. Pengembang berjanji untuk memastikan keamanan lengkap data penggunanya. Ternyata, layanan itu sendiri menggunakan data ini tanpa memberi tahu pengguna. Lebih buruk lagi: layanan ini mengumpulkan data pribadi dari anak-anak di bawah 13 tahun tanpa izin orang tua. Informasi pribadi anak di bawah umur - nama, email, nomor telepon, foto dan video - tersedia untuk umum.
Layanan Dengan biaya beberapa juta dolar, regulator juga menuntut penghapusan semua video yang dibuat oleh anak-anak di bawah usia 13 tahun. TikTok mematuhinya. Namun, pengirim pesan dan layanan lain menggunakan data pribadi pengguna untuk tujuan mereka sendiri, sehingga Anda tidak dapat memastikan keamanannya.
Daftar ini tidak ada habisnya - sebagian besar pengirim pesan instan memiliki satu atau beberapa kerentanan yang memungkinkan penyerang untuk menguping pengguna ( — Viber, meskipun semuanya tampaknya telah diperbaiki di sana) atau mencuri data mereka. Selain itu, hampir semua aplikasi dari 5 teratas menyimpan data pengguna dalam bentuk yang tidak terlindungi di hard drive komputer atau di memori ponsel. Belum lagi badan intelijen dari berbagai negara, yang mungkin memiliki akses ke data pengguna berkat undang-undang. Skype, VKontakte, TamTam, dan lainnya yang sama memberikan informasi apa pun tentang pengguna mana pun atas permintaan pihak berwenang (misalnya, Federasi Rusia).
Keamanan yang baik di tingkat protokol? Tidak masalah, kami merusak perangkatnya
Beberapa tahun lalu antara Apple dan pemerintah AS. Korporasi menolak untuk membuka kunci ponsel terenkripsi yang terlibat dalam serangan teroris di kota San Bernardino. Pada saat itu, hal ini tampak seperti masalah nyata: data terlindungi dengan baik, dan meretas ponsel cerdas merupakan hal yang mustahil atau sangat sulit.
Sekarang segalanya berbeda. Misalnya, perusahaan Israel Cellebrite menjual sistem perangkat lunak dan perangkat keras ke badan hukum di Rusia dan negara lain yang memungkinkan Anda meretas semua model iPhone dan Android. Tahun lalu ada dengan informasi yang relatif rinci tentang topik ini.
Penyelidik forensik Magadan, Popov, meretas ponsel cerdas menggunakan teknologi yang sama yang digunakan oleh Biro Investigasi Federal AS. Sumber: BBC
Perangkat ini tidak mahal menurut standar pemerintah. Untuk UFED Touch2, departemen Komite Investigasi Volgograd membayar 800 ribu rubel, departemen Khabarovsk - 1,2 juta rubel. Pada tahun 2017, Alexander Bastrykin, kepala Komite Investigasi Federasi Rusia, mengonfirmasi bahwa departemennya Perusahaan Israel.
Bank Tabungan juga membeli perangkat tersebut - namun, bukan untuk melakukan penyelidikan, tetapi untuk memerangi virus pada perangkat dengan OS Android. “Jika perangkat seluler dicurigai terinfeksi kode perangkat lunak berbahaya yang tidak diketahui, dan setelah mendapat persetujuan wajib dari pemilik ponsel yang terinfeksi, analisis akan dilakukan untuk mencari virus baru yang terus muncul dan berubah menggunakan berbagai alat, termasuk penggunaan dari UFED Touch2,” - di perusahaan.
Orang Amerika juga memiliki teknologi yang memungkinkan mereka meretas ponsel pintar apa pun. Grayshift berjanji untuk meretas 300 ponsel cerdas seharga $15 ($50 per unit versus $1500 untuk Cellbrite).
Kemungkinan besar penjahat dunia maya juga memiliki perangkat serupa. Perangkat ini terus ditingkatkan - ukurannya mengecil dan kinerjanya meningkat.
Sekarang kita berbicara tentang ponsel yang kurang lebih terkenal dari produsen besar yang peduli terhadap perlindungan data penggunanya. Jika kita berbicara tentang perusahaan kecil atau organisasi tanpa nama, maka dalam hal ini data akan dihapus tanpa masalah. Mode HS-USB berfungsi bahkan ketika bootloader terkunci. Mode layanan biasanya merupakan “pintu belakang” yang melaluinya data dapat diambil. Jika tidak, Anda dapat menyambungkan ke port JTAG atau melepas chip eMMC sepenuhnya lalu memasukkannya ke adaptor murah. Jika data tidak dienkripsi, dari telepon semuanya secara umum, termasuk token autentikasi yang menyediakan akses ke penyimpanan cloud dan layanan lainnya.
Jika seseorang memiliki akses pribadi ke ponsel cerdas dengan informasi penting, maka mereka dapat meretasnya jika mereka mau, tidak peduli apa kata produsennya.
Jelas bahwa semua hal di atas tidak hanya berlaku untuk smartphone, tetapi juga untuk komputer dan laptop yang menjalankan berbagai OS. Jika Anda tidak menggunakan tindakan perlindungan tingkat lanjut, tetapi puas dengan metode konvensional seperti kata sandi dan login, data akan tetap dalam bahaya. Seorang peretas berpengalaman yang memiliki akses fisik ke perangkat akan dapat memperoleh hampir semua informasi - ini hanya masalah waktu.
Jadi apa yang harus dilakukan?
Di Habré, masalah keamanan data pada perangkat pribadi telah diangkat lebih dari satu kali, jadi kami tidak akan mengulanginya lagi. Kami hanya akan menunjukkan metode utama yang mengurangi kemungkinan pihak ketiga memperoleh data Anda:
- Wajib menggunakan enkripsi data pada ponsel cerdas dan PC Anda. Sistem operasi yang berbeda sering kali menyediakan fitur default yang bagus. Contoh - wadah kripto di Mac OS menggunakan alat standar.
- Tetapkan kata sandi di mana saja dan di mana saja, termasuk riwayat korespondensi di Telegram dan pesan instan lainnya. Tentu saja, kata sandi harus rumit.
- Otentikasi dua faktor - ya, ini bisa merepotkan, tetapi jika keamanan adalah yang utama, Anda harus menerimanya.
- Pantau keamanan fisik perangkat Anda. Membawa PC perusahaan ke kafe dan melupakannya di sana? Klasik. Standar keselamatan, termasuk standar perusahaan, ditulis dengan air mata para korban karena kecerobohan mereka sendiri.
Mari kita lihat di komentar tentang metode Anda untuk mengurangi kemungkinan peretasan data ketika pihak ketiga mendapatkan akses ke perangkat fisik. Kami kemudian akan menambahkan metode yang diusulkan ke artikel atau mempublikasikannya di artikel kami , tempat kami secara rutin menulis tentang keselamatan, kiat-kiat penggunaan dan sensor internet.
Sumber: www.habr.com