Am Februar hu mir den Artikel publizéiert "Net VPN eleng. E Cheat Sheet iwwer wéi Dir Iech selwer an Är Donnéeën schützt. huet eis opgefuerdert eng Fortsetzung vum Artikel ze schreiwen. Dësen Deel ass eng komplett onofhängeg Informatiounsquell, awer mir empfeelen nach ëmmer datt Dir béid Posts liest.
En neie Post ass dem Thema vun der Datesécherheet gewidmet (Korrespondenz, Fotoen, Videoen, dat ass alles) an Instant Messenger an den Apparater selwer, déi benotzt gi fir mat Applikatiounen ze schaffen.
Messenger
Hëllefe profitéieren
Zréck am Oktober 2018 huet den éischte Joer Wake Technical College Student Nathaniel Sachi entdeckt datt den Telegram Messenger Messagen a Mediendateien op der lokaler Computerfuerer am Kloertext späichert.
De Schüler konnt op seng eege Korrespondenz kommen, dorënner Text a Biller. Fir dëst ze maachen, huet hien d'Applikatiounsdatenbanken op der HDD studéiert. Et huet sech erausgestallt datt d'Donnéeën schwéier ze liesen waren, awer net verschlësselt. A si kënnen zougänglech sinn och wann de Benotzer e Passwuert fir d'Applikatioun gesat huet.
An den Donnéeën, déi kritt goufen, goufen d'Nimm an d'Telefonsnummere vun de Gespréichspartner fonnt, déi, wann Dir wëllt, vergläicht. Informatioun aus zouene Chats gëtt och a klore Format gespäichert.
Den Durov huet spéider gesot datt dëst kee Problem ass, well wann en Ugräifer Zougang zum PC vum Benotzer huet, wäert hien fäeg sinn Verschlësselungsschlësselen ze kréien an all Korrespondenz ouni Probleemer ze entschlësselen. Awer vill Informatiounssécherheetsexperten plädéieren datt dëst nach ëmmer eescht ass.
Zousätzlech huet Telegram sech als vulnérabel fir e Schlëssel Déifstallattack erausgestallt, deen Habr Benotzer. Dir kënnt lokal Code Passwierder vun all Längt a Komplexitéit Hack.
Sou wäit wéi mir wëssen, späichert dëse Messenger och Daten op der Computerdiskussioun an onverschlësselte Form. Deementspriechend, wann en Ugräifer Zougang zum Apparat vum Benotzer huet, sinn all Daten och op.
Awer et gëtt e méi globalen Problem. De Moment sinn all Backups vu WhatsApp op Apparater mat Android OS installéiert op Google Drive gespäichert, wéi Google a Facebook d'lescht Joer ausgemaach hunn. Awer Backupe vu Korrespondenz, Mediendateien an dergläiche . Sou wäit wéi ee kann Riichter, Affekot Offizéier vun der selwechter US , also ass et eng Méiglechkeet datt Sécherheetskräften all gespäichert Donnéeën kucken.
Et ass méiglech Daten ze verschlësselen, awer béid Firmen maachen dat net. Vläicht einfach well onverschlësselte Backups kënnen einfach vun de Benotzer selwer transferéiert a benotzt ginn. Wahrscheinlech gëtt et keng Verschlësselung net well et technesch schwéier ass ze realiséieren: am Géigendeel, Dir kënnt Backups ouni Schwieregkeeten schützen. De Problem ass datt Google seng eege Grënn huet fir mat WhatsApp ze schaffen - d'Firma viraussiichtlech a benotzt se fir personaliséiert Reklammen ze weisen. Wann Facebook op eemol Verschlësselung fir WhatsApp Backups agefouert huet, géif Google direkt Interessi un esou enger Partnerschaft verléieren, eng wäertvoll Quell vun Daten iwwer d'Astellunge vun WhatsApp Benotzer verléieren. Dëst ass natierlech just eng Viraussetzung, awer ganz wahrscheinlech an der Welt vum Hi-Tech Marketing.
Wat WhatsApp fir iOS ugeet, Backups ginn an der iCloud Cloud gespäichert. Awer och hei gëtt d'Informatioun an onverschlësselte Form gespäichert, wat souguer an den Uwendungsastellungen uginn ass. Ob Apple dës Donnéeën analyséiert oder net ass nëmme fir d'Corporation selwer bekannt. Richteg, Cupertino huet kee Reklammenetz wéi Google, also kënne mir dovun ausgoen datt d'Wahrscheinlechkeet datt se d'perséinlech Donnéeën vu WhatsApp Benotzer analyséieren vill méi niddereg ass.
Alles wat gesot gouf ka wéi follegt formuléiert ginn - jo, net nëmmen Dir hutt Zougang zu Ärer WhatsApp Korrespondenz.
TikTok an aner Messenger
Dëse kuerze Video Sharing Service kéint ganz séier populär ginn. D'Entwéckler hunn versprach eng komplett Sécherheet vun den Donnéeën vun hire Benotzer ze garantéieren. Wéi et sech erausstellt, huet de Service selwer dës Donnéeën benotzt ouni d'Benotzer z'informéieren. Nach méi schlëmm: de Service huet perséinlech Donnéeë vu Kanner ënner 13 Joer gesammelt ouni Elterendeel. Perséinlech Informatioune vu Mannerjäregen - Nimm, E-Mailen, Telefonsnummeren, Fotoen a Videoe - goufen ëffentlech verfügbar.
Service fir e puer Milliounen Dollar, Reguléierer gefuerdert och d'Ewechhuele vun all Videoen gemaach vun Kanner ënner 13 Joer. TikTok erfëllt. Wéi och ëmmer, aner Messenger a Servicer benotze perséinlech Donnéeën vun de Benotzer fir hir eegen Zwecker, sou datt Dir net sécher sidd iwwer hir Sécherheet.
Dës Lëscht kann onendlech weidergefouert ginn - déi meescht Instant Messenger hunn eng oder aner Schwachstelle, déi Ugräifer erlaabt d'Benotzer oflauschteren ( - Viber, obwuel alles schéngt do fixéiert ze sinn) oder hir Donnéeën klauen. Zousätzlech späichere bal all Applikatiounen aus den Top 5 Benotzerdaten an enger ongeschützter Form op der Festplack vum Computer oder an der Erënnerung vum Telefon. An dat ouni sech un d'Geheimdéngschter vu verschiddene Länner ze erënneren, déi duerch Gesetzgebung Zougang zu Benotzerdaten hunn. Déi selwecht Skype, VKontakte, TamTam an anerer liwweren all Informatioun iwwer all Benotzer op Ufro vun den Autoritéiten (zum Beispill d'Russesch Federatioun).
Gutt Sécherheet um Protokollniveau? Kee Problem, mir briechen den Apparat
Virun e puer Joer tëscht Apple an der US Regierung. D'Firma huet refuséiert e verschlësselte Smartphone ze spären, deen un den Terrorattacken an der Stad San Bernardino involvéiert war. Deemools huet dat ausgesinn wéi e richtege Problem: d'Date ware gutt geschützt, an e Smartphone hacken war entweder onméiglech oder ganz schwéier.
Elo sinn d'Saachen anescht. Zum Beispill verkeeft d'israelesch Firma Cellebrite fir legal Entitéiten a Russland an anere Länner e Software- an Hardwaresystem, deen Iech erlaabt all iPhone an Android Modeller ze hacken. D'lescht Joer gouf et mat relativ detailléiert Informatiounen iwwert dëst Thema.
De Magadan forensesche Enquêteur Popov hackt e Smartphone mat der selwechter Technologie déi vum US Federal Bureau of Investigation benotzt gëtt. Quelle: BBC
Den Apparat ass gënschtegsten no Regierungsnormen. Fir UFED Touch2 huet d'Volgograd Departement vum Untersuchungskomitee 800 dausend Rubel bezuelt, d'Khabarovsk Departement - 1,2 Milliounen Rubelen. Am Joer 2017 huet den Alexander Bastrykin, Chef vum Untersuchungskomitee vun der Russescher Federatioun, bestätegt datt seng Departement israelesch Firma.
Sberbank kaaft och esou Apparater - awer net fir Ermëttlungen ze maachen, mee fir Viren op Apparater mat Android OS ze bekämpfen. "Wann mobilen Apparater verdächtegt sinn mat onbekannte béisaarteg Softwarecode infizéiert ze sinn, an no der obligatorescher Zoustëmmung vun de Besëtzer vun infizéierten Telefone kritt, gëtt eng Analyse duerchgefouert fir no stänneg entstanen an Verännerungen nei Viren mat verschiddenen Tools ze sichen, dorënner d'Benotzung vun UFED Touch2," - an der Gesellschaft.
Amerikaner hunn och Technologien déi hinnen erlaben all Smartphone ze hacken. Grayshift versprécht 300 Smartphones fir $ 15 ze hacken ($ 50 pro Eenheet versus $ 1500 fir Cellbrite).
Et ass méiglech datt Cyberkrimineller och ähnlech Apparater hunn. Dës Apparater gi permanent verbessert - hir Gréisst reduzéiert an hir Leeschtung erhéicht.
Elo schwätze mer iwwer méi oder manner bekannt Telefone vu grousse Hiersteller, déi sech Suergen iwwer d'Date vun hire Benotzer schützen. Wa mir iwwer méi kleng Firmen oder Organisatiounen ouni Numm schwätzen, da ginn d'Donnéeën an dësem Fall ouni Probleemer ewechgeholl. HS-USB Modus funktionnéiert och wann de Bootloader gespaart ass. Servicemodi sinn normalerweis eng "Hinterdier", duerch déi d'Donnéeën erëmfonnt kënne ginn. Wann net, kënnt Dir mam JTAG Hafen verbannen oder den eMMC Chip ganz ewechhuelen an en dann an e preiswerte Adapter setzen. Wann d'Donnéeën net verschlësselt sinn, vum Telefon alles am Allgemengen, dorënner Authentifikatioun Tokens datt Zougang zu Wollek Stockage an aner Servicer bidden.
Wann iergendeen perséinlechen Zougang zu engem Smartphone mat wichtegen Informatioun huet, da kënne se se hacken wann se wëllen, egal wat d'Fabrikanten soen.
Et ass kloer datt alles wat gesot gouf, gëllt net nëmme fir Smartphones, awer och fir Computeren a Laptops déi verschidde OSe lafen. Wann Dir net op fortgeschratt Schutzmoossnamen zréckgräift, awer zefridde sidd mat konventionelle Methoden wéi e Passwuert a Login, da bleiwen d'Donnéeën a Gefor. En erfuerene Hacker mat kierperlechen Zougang zum Apparat wäert fäeg sinn bal all Informatioun ze kréien - et ass nëmmen eng Fro vun der Zäit.
Also wat ze maachen?
Op Habré ass d'Fro vun der Datesécherheet op perséinlechen Apparater méi wéi eng Kéier opgeworf ginn, sou datt mir d'Rad net erëm erfannen. Mir weisen nëmmen d'Haaptmethoden un, déi d'Wahrscheinlechkeet reduzéieren datt Drëtt Parteien Är Donnéeën kréien:
- Et ass obligatoresch Dateverschlësselung op Ärem Smartphone a PC ze benotzen. Verschidde Betribssystemer bidden dacks gutt Standardfeatures. Beispill - Krypto Container am Mac OS benotzt Standard Tools.
- Setzt Passwierder iwwerall an iwwerall, och d'Geschicht vun der Korrespondenz am Telegram an aner Instant Messenger. Natierlech musse Passwierder komplex sinn.
- Zwee-Faktor Authentifikatioun - jo, et kann onbequem sinn, awer wann d'Sécherheet fir d'éischt kënnt, musst Dir et ophalen.
- Iwwerwaacht déi kierperlech Sécherheet vun Ären Apparater. Huelt e Firmen-PC an e Café a vergiess et do? Klassesch. Sécherheetsnormen, dorënner Firmen, goufen mat den Tréinen vun den Affer vun hirer eegener Onsécherheet geschriwwen.
Loosst eis an de Kommentaren op Är Methoden kucken fir d'Wahrscheinlechkeet vun Daten Hacking ze reduzéieren wann eng Drëtt Partei Zougang zu engem kierperlechen Apparat kritt. Mir addéieren dann déi proposéiert Methoden an den Artikel oder publizéieren se an eisem , wou mir regelméisseg iwwer Sécherheet schreiwen, Liewen Hacks fir ze benotzen an Internet Zensur.
Source: will.com