Февраль айында биз “Жалгыз VPN эмес. Өзүңүздү жана маалыматыңызды кантип коргоо керектиги боюнча алдамчылык баракча. макаланын уландысын жазууга түрткү болду. Бул бөлүгү толугу менен көз карандысыз маалымат булагы болуп саналат, бирок биз дагы эле эки билдирүүлөрдү окуп чыгууну сунуштайбыз.
Жаңы пост заматта мессенджерлерде жана тиркемелер менен иштөө үчүн колдонулган түзүлүштөрдөгү маалыматтардын коопсуздугу (кат алышуулар, сүрөттөр, видеолор, ушунусу) маселесине арналган.
кабарчылар
телеграмма
2018-жылдын октябрында Уэйк техникалык колледжинин XNUMX-курсунун студенти Натаниэль Сачи Telegram мессенджери билдирүүлөрдү жана медиа файлдарды локалдык компьютердик дискке таза текст менен сактай турганын аныктаган.
Студент өзүнүн кат жазуусуна, анын ичинде текст жана сүрөттөргө кире алган. Бул үчүн ал HDDде сакталган тиркемелердин маалымат базаларын изилдеген. Маалыматтарды окуу кыйын, бирок шифрленген эмес экен. Жана аларга кирүү мүмкүнчүлүгүн колдонуучу тиркеме үчүн сырсөз койгон болсо да алууга болот.
Алынган маалыматтарда маектештердин аты-жөнү жана телефон номерлери табылган, аларды кааласа салыштырууга болот. Жеке чаттардагы маалымат да ачык текстте сакталат.
Кийинчерээк Дуров бул көйгөй эмес экенин, анткени чабуулчу колдонуучунун компьютерине кирүү мүмкүнчүлүгүнө ээ болсо, ал шифрлөө ачкычтарын алып, бардык кат алышууларды эч кандай көйгөйсүз чечмелей алат деп билдирди. Бирок көптөгөн маалымат коопсуздугу боюнча эксперттер бул дагы деле олуттуу экенин айтышат.
Мындан тышкары, Telegram негизги уурулук чабуулуна дуушар болгон Habr колдонуучусу. Сиз каалаган узундуктагы жана татаалдыктагы жергиликтүү коддун сырсөзүн бузуп алсаңыз болот.
Бизге белгилүү болгондой, бул мессенджер компьютердин дискиндеги маалыматтарды шифрленбеген түрдө да сактайт. Демек, чабуулчу колдонуучунун түзмөгүнө кире алса, анда бардык маалыматтар да ачык болот.
Бирок дагы глобалдуу көйгөй бар. Эми Android OS бар түзмөктөрдө орнотулган WhatsAppтан бардык камдык көчүрмөлөр Google жана Facebook өткөн жылы макулдашылган Google Drive'да сакталат. Бирок корреспонденциялардын, медиа файлдардын жана ушул сыяктуулардын камдык көчүрмөлөрү . Соттош үчүн, ошол эле АКШнын укук коргоо органдарынын кызматкерлери , ошондуктан коопсуздук күчтөрү бардык сакталган маалыматтарды көрө алат деген мүмкүнчүлүк бар.
Маалыматтарды шифрлөө мүмкүн, бирок эки компания тең андай эмес. Балким, жөн гана, анткени шифрлөө жок камдык көчүрмөлөрдү колдонуучулар өздөрү эч кандай көйгөйсүз өткөрүп жана колдонсо болот. Кыязы, шифрлөө жок, аны ишке ашыруу техникалык жактан кыйын болгондуктан эмес: тескерисинче, сиз эч кандай кыйынчылыксыз камдык көчүрмөлөрдү коргой аласыз. Көйгөй Google WhatsApp менен иштөө үчүн өзүнүн себептери бар - компания имиш жана аларды жекелештирилген жарнамаларды көрсөтүү үчүн колдонот. Эгерде Facebook күтүлбөгөн жерден WhatsApp камдык көчүрмөлөрү үчүн шифрлөө киргизсе, Google дароо эле WhatsApp колдонуучуларынын тандоосу боюнча баалуу маалымат булагын жоготуп, мындай өнөктөштүккө болгон кызыгуусун жоготот. Бул, албетте, жөн гана божомол, бирок жогорку технологиялык маркетинг дүйнөсүндө абдан ыктымал.
iOS үчүн WhatsAppка келсек, камдык көчүрмөлөр iCloud булутуна сакталат. Бирок бул жерде да маалымат шифрленбеген түрдө сакталат, ал тургай колдонмонун жөндөөлөрүндө да айтылган. Apple бул маалыматтарды талдайбы же жокпу, аны корпорациянын өзү гана билет. Ырас, Купертиностордо Google сыяктуу жарнама тармагы жок, андыктан алардын WhatsApp колдонуучуларынын жеке маалыматтарын талдоо ыктымалдыгы алда канча төмөн деп болжолдоого болот.
Жогоруда айтылгандардын бардыгын төмөнкүчө формулировкалоого болот - ооба, сиз гана эмес, WhatsApp жазышууларыңызга кире аласыз.
TikTok жана башка мессенджерлер
Бул кыска видео бөлүшүү кызматы тез эле популярдуу болуп калышы мүмкүн. Иштеп чыгуучулар өз колдонуучуларынын маалыматтарынын толук коопсуздугун камсыз кылууга убада беришти. Маалым болгондой, сервистин өзү бул маалыматтарды колдонуучуларга эскертпестен колдонгон. Андан да жаманы, кызмат ата-энесинин макулдугусуз 13 жашка чейинки балдардын жеке маалыматтарын чогулткан. Жашы жете электердин жеке маалыматтары – аты-жөнү, электрондук дареги, телефон номерлери, сүрөттөрү жана видеолору коомчулукка жарыяланды.
кызмат бир нече миллион долларга көзөмөл органдары 13 жашка чейинки балдар тарткан бардык видеолорду өчүрүүнү талап кылышкан. TikTok макул болду. Бирок, башка мессенджерлер жана кызматтар колдонуучулардын жеке маалыматтарын өз максаттары үчүн колдонушат, андыктан алардын коопсуздугуна ишене албайсыз.
Бул тизме чексиз - көпчүлүк мессенджерлерде чабуулчуларга колдонуучуларды тыңшоого мүмкүндүк берген тигил же бул аялуу бар ( - Viber, баары ошол жерде оңдолуп жаткандай көрүнсө да) же алардын маалыматтарын уурдаңыз. Кошумчалай кетсек, алдыңкы 5ке кирген дээрлик бардык тиркемелер колдонуучунун маалыматтарын компьютердин катуу дискинде же телефондун эсинде корголбогон формада сактайт. Ал эми бул ар кандай өлкөлөрдүн атайын кызматтары эсиңизде жок болсо, мыйзамдарга ылайык колдонуучунун маалыматтарына кирүү мүмкүнчүлүгү бар. Ошол эле Skype, VKontakte, TamTam жана башкалар бийлик органдарынын (мисалы, Россия Федерациясынын) талабы боюнча каалаган колдонуучу жөнүндө каалаган маалыматты берет.
Протокол деңгээлинде жакшы коопсуздук? Проблема эмес, аппаратты сындырып жатабыз
Бир нече жыл мурун Apple менен АКШ өкмөтүнүн ортосунда. Корпорация Сан-Бернардино шаарындагы теракт учурунда пайда болгон шифрленген смартфондун кулпусун ачуудан баш тартты. Ал кезде бул чыныгы көйгөйдөй көрүнгөн: маалыматтар жакшы корголгон жана смартфонду бузуп алуу мүмкүн эмес же өтө кыйын болчу.
Азыр баары башкача. Мисалы, израилдик Cellebrite компаниясы Россиядагы жана башка мамлекеттердеги юридикалык жактарга iPhone жана Android телефондорунун бардык моделдерин бузуп алууга мүмкүндүк берген программалык-аппараттык камсыздоо системасын сатат. Былтыр болгон тема боюнча салыштырмалуу толук маалымат менен.
Магадандык соттук-медициналык тергөөчү Попов АКШнын Федералдык тергөө бюросу колдонгон технологиянын жардамы менен смартфонду бузуп жатат. Булак: Би-Би-Си
Бул аппарат мамлекеттик стандарттар боюнча арзан. UFED Touch2 үчүн ТФРдин Волгоград департаменти 800 миң рубль, Хабаровск - 1,2 млн. 2017-жылы Россия Федерациясынын Тергөө комитетинин башчысы Александр Бастрыкин анын бөлүмүн тастыктаган. Израилдик компания.
Сбербанк дагы мындай түзмөктөрдү сатып алат - бирок, изилдөө үчүн эмес, Android OS менен түзмөктөрдө вирустар менен күрөшүү үчүн. «Эгерде мобилдик түзмөктөргө белгисиз зыяндуу код жуккан деп шектелсе жана жуккан телефондордун ээлеринин милдеттүү макулдугун алгандан кийин ар кандай инструменттердин жардамы менен, анын ичинде UFED Touch2 аркылуу тынымсыз пайда болгон жана мутацияланган жаңы вирустарды издөө боюнча талдоо жүргүзүлөт. ” — компанияда.
Америкалыктар да каалаган смартфонду бузуп ала турган технологияга ээ. Grayshift 300 смартфонду 15 50 долларга бузуп берүүнү убада кылууда (бул бирдиги үчүн 1500 доллар, Cellbrite үчүн XNUMX доллар).
Кыязы, киберкылмышкерлердин да ушундай аппараттары бар. Бул приборлор тынымсыз өркүндөтүлүп турат - көлөмү азайып, өндүрүмдүүлүгү жогорулайт.
Азыр биз өз колдонуучуларынын маалыматтарын коргоодон тынчсызданган ири өндүрүүчүлөрдүн аздыр-көптүр белгилүү телефондору жөнүндө сөз болуп жатат. Биз майда компаниялар же аты жок уюмдар жөнүндө сөз болсо, анда бул учурда маалыматтар көйгөйлөр жок алынып салынат. HS-USB режими жүктөгүч кулпуланган учурда да иштейт. Тейлөө режимдери, адатта, маалыматтарды алуу мүмкүн болгон "арткы эшик" болуп саналат. Болбосо, сиз JTAG портуна туташа аласыз же eMMC чипти арзан адаптерге кыстаруу менен алып салсаңыз болот. Эгер маалыматтар шифрленбесе, телефондон жалпысынан бардыгы, анын ичинде булут сактагычына жана башка кызматтарга жетүүнү камсыз кылган аутентификация токендери.
Эгер кимдир бирөө маанилүү маалыматы бар смартфонго жеке кирүү мүмкүнчүлүгүнө ээ болсо, анда сиз кааласаңыз, өндүрүүчүлөр эмне десе да, аны бузуп алсаңыз болот.
Жогоруда айтылгандардын бардыгы смартфондорго гана эмес, ар кандай операциялык системалардагы ноутбуктары бар компьютерлерге да тиешелүү экени түшүнүктүү. Эгер сиз коопсуздуктун өркүндөтүлгөн чараларын колдонбосоңуз, бирок сырсөз жана логин сыяктуу кадимки ыкмаларга ыраазы болсоңуз, анда маалыматтар коркунучта кала берет. Түзмөккө физикалык мүмкүнчүлүгү бар тажрыйбалуу хакер дээрлик бардык маалыматты ала алат - бул убакыттын гана маселеси.
Анда эмне кылуу керек?
Habréде жеке түзмөктөрдө маалыматтардын коопсуздугу маселеси бир нече жолу көтөрүлгөн, ошондуктан биз дөңгөлөктү кайра ойлоп таппайбыз. Үчүнчү тараптардын маалыматыңызды алуу ыктымалдыгын азайтуучу негизги ыкмаларды гана көрсөтөбүз:
- Смартфонуңузда да, компьютериңизде да маалыматтарды шифрлөө милдеттүү түрдө колдонулат. Ар кандай операциялык системалар көбүнчө демейки боюнча жакшы мүмкүнчүлүктөрдү камсыз кылат. Мисал - Mac OS системасындагы криптоконтейнер кадимки каражаттар менен.
- Бардык жерде жана бардык жерде сырсөздөрдү орнотуңуз, анын ичинде Telegramдагы жана башка мессенджерлерде кат алышуу тарыхы. Албетте, сырсөздөр татаал болушу керек.
- Эки фактордук аутентификация - ооба, ыңгайсыз болушу мүмкүн, бирок коопсуздук маселеси биринчи орунда болсо, ага чыдашыңыз керек.
- Түзмөктөрүңүздүн физикалык коопсуздугун көзөмөлдөңүз. Корпоративдик компьютерди кафеге алып барып, ошол жерден унутуп калдыңбы? Classic. Коопсуздук стандарттары, анын ичинде корпоративдик стандарттар, өздөрүнүн шалаакылыгынан жабыркагандардын көз жашына жазылган.
Үчүнчү тарап физикалык түзүлүшкө кирүү мүмкүнчүлүгүнө ээ болгондо маалыматтардын бузулуу ыктымалдыгын азайтуучу ыкмаларыңызды комментарийлерде талдап көрөлү. Андан кийин биз сунуш кылынган ыкмаларды макалага кошобуз же аны биздин журналга жарыялайбыз , бул жерде биз дайыма коопсуздук, колдонуу боюнча лайфхак жөнүндө жазабыз жана интернет цензурасы.
Source: www.habr.com