Vasario mėnesį paskelbėme straipsnį „Ne tik VPN. Apgaulės lapas, kaip apsaugoti save ir savo duomenis. paskatino mus parašyti straipsnio tęsinį. Ši dalis yra visiškai nepriklausomas informacijos šaltinis, tačiau vis tiek rekomenduojame perskaityti abu įrašus.
Naujas įrašas skirtas duomenų saugumo (susirašinėjimas, nuotraukos, vaizdo įrašai ir viskas) momentiniuose pasiuntiniuose ir pačiuose įrenginiuose, kurie naudojami darbui su programomis, problemai.
Pasiuntiniai
Telegram
Dar 2018 m. spalį Wake Technical College pirmakursis Nathaniel Sachi atrado, kad Telegram Messenger išsaugo pranešimus ir medijos failus vietiniame kompiuterio diske aiškiu tekstu.
Studentas galėjo pasiekti savo susirašinėjimą, įskaitant tekstą ir paveikslėlius. Norėdami tai padaryti, jis ištyrė HDD saugomas programų duomenų bazes. Paaiškėjo, kad duomenys sunkiai įskaitomi, bet neužšifruoti. Ir juos galima pasiekti net jei vartotojas nustatė programos slaptažodį.
Gautuose duomenyse buvo rastos pašnekovų pavardės ir telefonų numeriai, kuriuos, esant pageidavimui, galima palyginti. Informacija iš uždarų pokalbių taip pat saugoma aiškiu formatu.
Vėliau Durovas pareiškė, kad tai nėra problema, nes jei užpuolikas turės prieigą prie vartotojo kompiuterio, jis galės gauti šifravimo raktus ir be jokių problemų iššifruoti visą susirašinėjimą. Tačiau daugelis informacijos saugumo ekspertų teigia, kad tai vis dar rimta.
Be to, „Telegram“ pasirodė esanti pažeidžiama raktų vagystės atakos, kuri Habr vartotojas. Galite nulaužti bet kokio ilgio ir sudėtingumo vietinio kodo slaptažodžius.
"WhatsApp"
Kiek mums žinoma, šis pasiuntinys taip pat saugo duomenis kompiuterio diske nešifruota forma. Atitinkamai, jei užpuolikas turi prieigą prie vartotojo įrenginio, visi duomenys taip pat yra atviri.
Tačiau yra ir globalesnė problema. Šiuo metu visos „WhatsApp“ atsarginės kopijos, įdiegtos įrenginiuose su Android OS, yra saugomos „Google“ diske, kaip „Google“ ir „Facebook“ susitarė pernai. Bet korespondencijos, medijos failų ir panašiai atsarginės kopijos . Kiek galima spręsti, tų pačių JAV teisėsaugos pareigūnai , todėl yra galimybė, kad saugumo pajėgos gali peržiūrėti bet kokius saugomus duomenis.
Galima šifruoti duomenis, tačiau abi įmonės to nedaro. Galbūt tiesiog todėl, kad nešifruotas atsargines kopijas gali lengvai perkelti ir naudoti patys vartotojai. Labiausiai tikėtina, kad šifravimo nėra ne dėl to, kad jį būtų sunku įgyvendinti techniškai: atvirkščiai, galite be jokių sunkumų apsaugoti atsargines kopijas. Problema ta, kad „Google“ turi savų priežasčių dirbti su „WhatsApp“ – greičiausiai ta kompanija ir naudoja juos suasmenintai reklamai rodyti. Jei „Facebook“ staiga įdiegtų „WhatsApp“ atsarginių kopijų šifravimą, „Google“ akimirksniu prarastų susidomėjimą tokia partneryste ir prarastų vertingą duomenų apie „WhatsApp“ vartotojų nuostatas šaltinį. Tai, žinoma, tik prielaida, bet labai tikėtina, kad aukštųjų technologijų rinkodaros pasaulyje.
Kalbant apie „WhatsApp“, skirtą „iOS“, atsarginės kopijos išsaugomos „iCloud“ debesyje. Tačiau ir čia informacija saugoma nešifruota forma, kuri nurodoma net programos nustatymuose. Ar „Apple“ analizuoja šiuos duomenis, ar ne, žino tik pati korporacija. Tiesa, „Cupertino“ neturi tokio reklamos tinklo kaip „Google“, todėl galime manyti, kad tikimybė, kad jie analizuos „WhatsApp“ vartotojų asmeninius duomenis, yra daug mažesnė.
Visa tai, kas buvo pasakyta, galima suformuluoti taip – taip, ne tik jūs turite prieigą prie savo WhatsApp korespondencijos.
TikTok ir kiti pasiuntiniai
Ši trumpų vaizdo įrašų bendrinimo paslauga gali išpopuliarėti labai greitai. Kūrėjai pažadėjo užtikrinti visišką savo vartotojų duomenų saugumą. Kaip paaiškėjo, pati paslauga naudojo šiuos duomenis nepranešusi vartotojų. Dar blogiau: tarnyba rinko vaikų iki 13 metų asmens duomenis be tėvų sutikimo. Viešai paskelbta nepilnamečių asmeninė informacija – vardai, el. pašto adresai, telefonų numeriai, nuotraukos ir vaizdo įrašai.
Tarnyba už kelis milijonus dolerių reguliuotojai taip pat pareikalavo pašalinti visus vaizdo įrašus, kuriuos sukūrė vaikai iki 13 metų. TikTok įvykdė. Tačiau kiti pasiuntiniai ir paslaugos naudoja vartotojų asmeninius duomenis savo tikslams, todėl negalite būti tikri dėl jų saugumo.
Šį sąrašą galima tęsti be galo – dauguma momentinių pranešimų siuntėjų turi vieną ar kitą pažeidžiamumą, leidžiantį užpuolikams pasiklausyti vartotojų ( — Viber, nors atrodo, kad viskas ten pataisyta) arba pavogti jų duomenis. Be to, beveik visos programos iš 5 geriausių saugo vartotojo duomenis neapsaugota forma kompiuterio standžiajame diske arba telefono atmintyje. Ir tai neatsimenant įvairių šalių žvalgybos tarnybų, kurios teisės aktų dėka gali turėti prieigą prie vartotojų duomenų. Tie patys „Skype“, „VKontakte“, „TamTam“ ir kiti valdžios institucijų (pavyzdžiui, Rusijos Federacijos) prašymu pateikia bet kokią informaciją apie bet kurį vartotoją.
Geras saugumas protokolo lygiu? Jokių problemų, sulaužome įrenginį
Prieš keletą metų tarp „Apple“ ir JAV vyriausybės. Korporacija atsisakė atrakinti užšifruotą išmanųjį telefoną, kuris dalyvavo teroristiniuose išpuoliuose San Bernardino mieste. Tuo metu tai atrodė tikra problema: duomenys buvo gerai apsaugoti, o įsilaužti į išmanųjį telefoną buvo arba neįmanoma, arba labai sunku.
Dabar viskas kitaip. Pavyzdžiui, Izraelio įmonė „Cellebrite“ Rusijos ir kitų šalių juridiniams asmenims parduoda programinę ir techninę sistemą, leidžiančią nulaužti visus „iPhone“ ir „Android“ modelius. Pernai buvo su gana išsamia informacija šia tema.
Magadano teismo medicinos tyrėjas Popovas įsilaužė į išmanųjį telefoną, naudodamas tą pačią technologiją, kurią naudoja JAV Federalinis tyrimų biuras. Šaltinis: BBC
Įrenginys yra nebrangus pagal vyriausybės standartus. Už UFED Touch2 Tyrimų komiteto Volgogrado skyrius sumokėjo 800 tūkstančių rublių, Chabarovsko skyrius - 1,2 milijono rublių. 2017 metais Rusijos Federacijos Tyrimų komiteto vadovas Aleksandras Bastrykinas patvirtino, kad jo skyrius Izraelio įmonė.
„Sberbank“ taip pat perka tokius įrenginius – tačiau ne tyrimams atlikti, o kovai su virusais įrenginiuose su „Android“ OS. „Jei kils įtarimas, kad mobilieji įrenginiai yra užkrėsti nežinomu kenkėjiškos programinės įrangos kodu ir gavus privalomą užkrėstų telefonų savininkų sutikimą, bus atliekama analizė, siekiant įvairiomis priemonėmis ieškoti nuolat atsirandančių ir kintančių naujų virusų, įskaitant naudojimą. iš UFED Touch2“, - kompanijoje.
Amerikiečiai taip pat turi technologijų, leidžiančių nulaužti bet kurį išmanųjį telefoną. „Grayshift“ žada nulaužti 300 išmaniųjų telefonų už 15 50 USD (1500 USD už vienetą, palyginti su XNUMX XNUMX USD už „Cellbrite“).
Tikėtina, kad panašius įrenginius turi ir kibernetiniai nusikaltėliai. Šie įrenginiai nuolat tobulinami – mažėja jų dydis ir didėja jų našumas.
Dabar kalbame apie daugiau ar mažiau žinomus stambių gamintojų telefonus, kurie rūpinasi savo vartotojų duomenų apsauga. Jei kalbame apie mažesnes įmones ar organizacijas be pavadinimo, tokiu atveju duomenys pašalinami be problemų. HS-USB režimas veikia net tada, kai įkrovos įkroviklis yra užrakintas. Aptarnavimo režimai paprastai yra „galinės durys“, per kurias galima gauti duomenis. Jei ne, galite prisijungti prie JTAG prievado arba visiškai pašalinti eMMC lustą ir įdėti jį į nebrangų adapterį. Jei duomenys nešifruoti, iš telefono viskas apskritai, įskaitant autentifikavimo prieigos raktus, suteikiančius prieigą prie debesies saugyklos ir kitų paslaugų.
Jei kas nors turi asmeninę prieigą prie išmaniojo telefono su svarbia informacija, tada, jei nori, gali į jį įsilaužti, nesvarbu, ką sako gamintojai.
Akivaizdu, kad viskas, kas buvo pasakyta, galioja ne tik išmaniesiems telefonams, bet ir kompiuteriams bei nešiojamiesiems kompiuteriams, kuriuose veikia įvairios OS. Jei nesiimsite pažangių apsaugos priemonių, o pasitenkinsite įprastais metodais, tokiais kaip slaptažodis ir prisijungimas, duomenims išliks pavojus. Patyręs įsilaužėlis, turintis fizinę prieigą prie įrenginio, galės gauti beveik bet kokią informaciją – tai tik laiko klausimas.
Taigi ką daryti?
„Habré“ asmeninių įrenginių duomenų saugumo klausimas buvo iškeltas ne kartą, todėl dviračio iš naujo neišrasime. Nurodysime tik pagrindinius būdus, kurie sumažina tikimybę, kad trečiosios šalys gaus jūsų duomenis:
- Privaloma naudoti duomenų šifravimą tiek išmaniajame telefone, tiek asmeniniame kompiuteryje. Skirtingos operacinės sistemos dažnai teikia geras numatytas funkcijas. Pavyzdys - kriptovaliutų konteineris Mac OS naudojant standartinius įrankius.
- Nustatykite slaptažodžius bet kur ir visur, įskaitant susirašinėjimo istoriją „Telegram“ ir kituose momentiniuose pasiuntiniuose. Žinoma, slaptažodžiai turi būti sudėtingi.
- Dviejų veiksnių autentifikavimas – taip, jis gali būti nepatogus, bet jei saugumas yra pirmoje vietoje, turite su tuo susitaikyti.
- Stebėkite savo įrenginių fizinę apsaugą. Nuneškite įmonės kompiuterį į kavinę ir pamiršite jį ten? Klasika. Saugos standartai, įskaitant įmonių standartus, buvo parašyti su ašaromis dėl savo neatsargumo aukų.
Komentaruose pažvelkime į jūsų metodus, kaip sumažinti duomenų įsilaužimo tikimybę, kai trečioji šalis gauna prieigą prie fizinio įrenginio. Tada mes įtrauksime siūlomus metodus prie straipsnio arba paskelbsime juos mūsų , kur reguliariai rašome apie saugumą, naudojimosi problemas ir interneto cenzūra.
Šaltinis: www.habr.com