A febbraio abbiamo pubblicato l’articolo “Non solo VPN. Un foglietto illustrativo su come proteggere te stesso e i tuoi dati. ci ha spinto a scrivere una continuazione dell'articolo. Questa parte è una fonte di informazioni completamente indipendente, ma ti consigliamo comunque di leggere entrambi i post.
Un nuovo post è dedicato alla questione della sicurezza dei dati (corrispondenza, foto, video, tutto qui) nella messaggistica istantanea e nei dispositivi stessi utilizzati per lavorare con le applicazioni.
Messaggeri
Telegram
Nell'ottobre 2018, Nathaniel Sachi, studente del primo anno del Wake Technical College, ha scoperto che il messenger di Telegram salva messaggi e file multimediali sull'unità del computer locale in testo non crittografato.
Lo studente ha potuto accedere alla propria corrispondenza, inclusi testi e immagini. Per fare ciò, ha studiato i database delle applicazioni memorizzati sull'HDD. Si è scoperto che i dati erano difficili da leggere, ma non crittografati. Ed è possibile accedervi anche se l'utente ha impostato una password per l'applicazione.
Nei dati ricevuti sono stati rilevati nomi e numeri di telefono degli interlocutori che, volendo, possono essere confrontati. Anche le informazioni delle chat chiuse vengono archiviate in formato chiaro.
Durov ha poi affermato che questo non è un problema, perché se un utente malintenzionato riesce ad accedere al PC dell'utente, potrà ottenere le chiavi di crittografia e decrittografare tutta la corrispondenza senza problemi. Ma molti esperti di sicurezza informatica sostengono che la situazione sia ancora grave.
Inoltre, Telegram si è rivelato vulnerabile a un attacco di furto di chiavi, che Utente Habr. Puoi hackerare password in codice locale di qualsiasi lunghezza e complessità.
Per quanto ne sappiamo, questo messenger memorizza i dati anche sul disco del computer in forma non crittografata. Di conseguenza, se un utente malintenzionato riesce ad accedere al dispositivo dell’utente, anche tutti i dati saranno aperti.
Ma c’è un problema più globale. Attualmente tutti i backup di WhatsApp installati sui dispositivi con sistema operativo Android vengono archiviati su Google Drive, come concordato lo scorso anno da Google e Facebook. Ma backup di corrispondenza, file multimediali e simili . Per quanto si può giudicare, le forze dell'ordine degli stessi Stati Uniti , quindi esiste la possibilità che le forze di sicurezza possano visualizzare tutti i dati archiviati.
È possibile crittografare i dati, ma entrambe le società non lo fanno. Forse semplicemente perché i backup non crittografati possono essere facilmente trasferiti e utilizzati dagli utenti stessi. Molto probabilmente la crittografia non è presente non perché sia tecnicamente difficile da implementare: al contrario, è possibile proteggere i backup senza alcuna difficoltà. Il problema è che Google ha i suoi motivi per collaborare con WhatsApp, presumibilmente l'azienda e li utilizza per visualizzare pubblicità personalizzata. Se Facebook introducesse improvvisamente la crittografia per i backup di WhatsApp, Google perderebbe immediatamente interesse per una simile partnership, perdendo una preziosa fonte di dati sulle preferenze degli utenti di WhatsApp. Questa, ovviamente, è solo un'ipotesi, ma è molto probabile nel mondo del marketing hi-tech.
Per quanto riguarda WhatsApp per iOS, i backup vengono salvati sul cloud iCloud. Ma anche in questo caso le informazioni vengono memorizzate in forma non crittografata, come indicato anche nelle impostazioni dell'applicazione. Se Apple analizzi o meno questi dati è noto solo all'azienda stessa. È vero, Cupertino non dispone di una rete pubblicitaria come Google, quindi possiamo supporre che la probabilità che analizzino i dati personali degli utenti di WhatsApp sia molto inferiore.
Tutto ciò che è stato detto può essere formulato come segue: sì, non solo tu hai accesso alla tua corrispondenza WhatsApp.
TikTok e altri messenger
Questo breve servizio di condivisione di video potrebbe diventare popolare molto rapidamente. Gli sviluppatori hanno promesso di garantire la completa sicurezza dei dati dei propri utenti. Come si è scoperto, il servizio stesso ha utilizzato questi dati senza avvisare gli utenti. Ancora peggio: il servizio raccoglieva dati personali di bambini sotto i 13 anni senza il consenso dei genitori. Le informazioni personali dei minori - nomi, e-mail, numeri di telefono, foto e video - sono state rese pubbliche.
Servizio per diversi milioni di dollari, le autorità di regolamentazione hanno anche chiesto la rimozione di tutti i video realizzati da bambini sotto i 13 anni. TikTok ha rispettato. Tuttavia, altri servizi di messaggistica e servizi utilizzano i dati personali degli utenti per i propri scopi, quindi non puoi essere sicuro della loro sicurezza.
Questo elenco può essere continuato all'infinito: la maggior parte dei servizi di messaggistica istantanea presenta una o l'altra vulnerabilità che consente agli aggressori di intercettare gli utenti ( — Viber, anche se lì sembra che tutto sia stato risolto) o rubare i loro dati. Inoltre, quasi tutte le applicazioni delle prime 5 memorizzano i dati dell'utente in forma non protetta sul disco rigido del computer o nella memoria del telefono. E questo senza ricordare i servizi di intelligence dei vari paesi, che potrebbero avere accesso ai dati degli utenti grazie alla legislazione. Gli stessi Skype, VKontakte, TamTam e altri forniscono qualsiasi informazione su qualsiasi utente su richiesta delle autorità (ad esempio, la Federazione Russa).
Buona sicurezza a livello di protocollo? Nessun problema, rompiamo il dispositivo
Alcuni anni fa tra Apple e il governo americano. La società ha rifiutato di sbloccare uno smartphone crittografato coinvolto negli attacchi terroristici nella città di San Bernardino. All’epoca sembrava un vero problema: i dati erano ben protetti e l’hacking di uno smartphone era impossibile o molto difficile.
Ora le cose sono diverse. Ad esempio, l'azienda israeliana Cellebrite vende a persone giuridiche in Russia e in altri paesi un sistema software e hardware che consente di hackerare tutti i modelli di iPhone e Android. L'anno scorso c'era con informazioni relativamente dettagliate su questo argomento.
L'investigatore forense di Magadan Popov hackera uno smartphone utilizzando la stessa tecnologia utilizzata dal Federal Bureau of Investigation degli Stati Uniti. Fonte: BBC
Il dispositivo è economico secondo gli standard governativi. Per l'UFED Touch2, il dipartimento di Volgograd del comitato investigativo ha pagato 800mila rubli, il dipartimento di Khabarovsk - 1,2 milioni di rubli. Nel 2017, Alexander Bastrykin, capo del comitato investigativo della Federazione Russa, ha confermato che il suo dipartimento Azienda israeliana.
Anche Sberbank acquista tali dispositivi, tuttavia, non per condurre indagini, ma per combattere i virus sui dispositivi con sistema operativo Android. "Se si sospetta che i dispositivi mobili siano stati infettati da codici software dannosi sconosciuti, e dopo aver ottenuto il consenso obbligatorio dei proprietari dei telefoni infetti, verrà effettuata un'analisi per cercare nuovi virus costantemente emergenti e mutevoli utilizzando vari strumenti, compreso l'uso di UFED Touch2,” - in compagnia.
Gli americani dispongono anche di tecnologie che consentono loro di hackerare qualsiasi smartphone. Grayshift promette di hackerare 300 smartphone per 15 dollari (50 dollari per unità contro 1500 dollari per Cellbrite).
È probabile che anche i criminali informatici dispongano di dispositivi simili. Questi dispositivi vengono costantemente migliorati: le loro dimensioni diminuiscono e le loro prestazioni aumentano.
Ora parliamo di telefoni più o meno noti di grandi produttori che hanno a cuore la protezione dei dati dei propri utenti. Se stiamo parlando di aziende più piccole o organizzazioni senza nome, in questo caso i dati vengono rimossi senza problemi. La modalità HS-USB funziona anche quando il bootloader è bloccato. Le modalità di servizio sono solitamente una “porta di servizio” attraverso la quale è possibile recuperare i dati. In caso contrario, puoi connetterti alla porta JTAG o rimuovere del tutto il chip eMMC e quindi inserirlo in un adattatore economico. Se i dati non sono crittografati, dal telefono tutto in generale, compresi i token di autenticazione che forniscono l'accesso allo spazio di archiviazione nel cloud e ad altri servizi.
Se qualcuno ha accesso personale a uno smartphone con informazioni importanti, può hackerarlo se lo desidera, indipendentemente da ciò che dicono i produttori.
È chiaro che tutto ciò che è stato detto vale non solo per gli smartphone, ma anche per computer e laptop con diversi sistemi operativi. Se non si ricorre a misure di protezione avanzate, ma ci si accontenta di metodi convenzionali come password e login, i dati rimarranno in pericolo. Un hacker esperto con accesso fisico al dispositivo sarà in grado di ottenere quasi tutte le informazioni: è solo questione di tempo.
Quindi che si fa?
Su Habré, la questione della sicurezza dei dati sui dispositivi personali è stata sollevata più di una volta, quindi non reinventeremo di nuovo la ruota. Indicheremo solo i principali metodi che riducono la probabilità che terzi ottengano i tuoi dati:
- È obbligatorio utilizzare la crittografia dei dati sia sullo smartphone che sul PC. Diversi sistemi operativi spesso forniscono buone funzionalità predefinite. Esempio - contenitore crittografico in Mac OS utilizzando strumenti standard.
- Imposta le password ovunque e ovunque, inclusa la cronologia della corrispondenza in Telegram e altri servizi di messaggistica istantanea. Naturalmente le password devono essere complesse.
- Autenticazione a due fattori: sì, può essere scomoda, ma se la sicurezza viene prima di tutto, bisogna sopportarla.
- Monitora la sicurezza fisica dei tuoi dispositivi. Portare un PC aziendale in un bar e dimenticarlo lì? Classico. Le norme di sicurezza, comprese quelle aziendali, sono state scritte con le lacrime delle vittime della loro stessa disattenzione.
Diamo un'occhiata nei commenti ai tuoi metodi per ridurre la probabilità di hacking dei dati quando una terza parte accede a un dispositivo fisico. Aggiungeremo poi i metodi proposti all'articolo o li pubblicheremo nel ns , dove scriviamo regolarmente di sicurezza e consigli utili da utilizzare e la censura di Internet.
Fonte: habr.com