Хоёрдугаар сард бид “Зөвхөн VPN биш. Өөрийгөө болон мэдээллээ хэрхэн хамгаалах тухай хуурамч хуудас." нийтлэлийн үргэлжлэлийг бичихэд түлхэц болсон. Энэ хэсэг нь мэдээллийн бүрэн бие даасан эх сурвалж боловч бид танд хоёр нийтлэлийг уншихыг зөвлөж байна.
Шуурхай мессенжер болон программтай ажиллахад ашигладаг төхөөрөмжүүдийн мэдээллийн аюулгүй байдлын асуудалд (захидал, зураг, видео гэх мэт) шинэ нийтлэл зориулагдсан болно.
Элч нар
цахилгаан
2018 оны XNUMX-р сард Wake Техникийн коллежийн нэгдүгээр курсын оюутан Натаниэл Сачи Telegram мессенжер нь мессеж болон медиа файлуудыг локал компьютерийн драйв дээр тодорхой текстээр хадгалдаг болохыг олж мэдсэн.
Оюутан өөрийн захидал, түүний дотор текст, зураг руу хандах боломжтой болсон. Үүнийг хийхийн тулд тэрээр HDD дээр хадгалагдсан програмын мэдээллийн санг судалжээ. Өгөгдлийг уншихад хэцүү байсан ч шифрлээгүй нь тогтоогдсон. Хэрэглэгч програмд нууц үг тохируулсан байсан ч тэдгээрт хандах боломжтой.
Хүлээн авсан мэдээлэлд ярилцагчдын нэрс, утасны дугаарыг олсон бөгөөд хэрэв хүсвэл тэдгээрийг харьцуулж болно. Хаалттай чатуудын мэдээллийг мөн тодорхой хэлбэрээр хадгалдаг.
Дуров хожим нь энэ нь асуудал биш гэж мэдэгдэв, учир нь халдагчид хэрэглэгчийн компьютерт нэвтрэх боломжтой бол тэр шифрлэлтийн түлхүүрийг авч, бүх захидал харилцааны шифрийг ямар ч асуудалгүйгээр тайлах боломжтой болно. Гэхдээ мэдээллийн аюулгүй байдлын олон мэргэжилтнүүд энэ нь ноцтой хэвээр байна гэж маргадаг.
Нэмж дурдахад Telegram гол хулгайн халдлагад өртөмтгий болсон Хабр хэрэглэгч. Та ямар ч урт, нарийн төвөгтэй локал кодын нууц үгийг хакердах боломжтой.
Бидний мэдэж байгаагаар энэ мессенжер нь компьютерийн дискэн дээрх өгөгдлийг шифрлэгдээгүй хэлбэрээр хадгалдаг. Үүний дагуу, хэрэв халдагчид хэрэглэгчийн төхөөрөмжид хандах боломжтой бол бүх өгөгдөл нээлттэй байна.
Гэхдээ илүү дэлхий нийтийн асуудал байна. Одоогоор Android үйлдлийн системтэй төхөөрөмж дээр суулгасан WhatsApp-ын бүх нөөц хуулбарыг Google Drive-д хадгалж байгаа бөгөөд Google болон Facebook-ийн өнгөрсөн жил тохиролцсон. Гэхдээ захидал харилцааны нөөц хуулбар, медиа файлууд гэх мэт . Нэг л АНУ-ын хууль сахиулагчид шүүж болохоор байна , тиймээс хамгаалалтын албаныхан ямар ч хадгалсан өгөгдлийг харах боломжтой.
Өгөгдлийг шифрлэх боломжтой боловч хоёр компани үүнийг хийдэггүй. Магадгүй зүгээр л шифрлэгдээгүй нөөцлөлтийг хэрэглэгчид өөрсдөө амархан шилжүүлж, ашиглах боломжтой байдаг. Шифрлэлт байхгүй байх магадлалтай, учир нь үүнийг хэрэгжүүлэхэд техникийн хувьд хэцүү биш: харин эсрэгээр та нөөцлөлтийг ямар ч хүндрэлгүйгээр хамгаалж чадна. Асуудал нь Google компани WhatsApp-тай ажиллах өөрийн гэсэн шалтгаантай байдаг мөн тэдгээрийг хувийн зар сурталчилгаа үзүүлэхэд ашигладаг. Хэрэв Facebook гэнэт WhatsApp-ийн нөөцлөлтөд зориулж шифрлэлтийг нэвтрүүлсэн бол Google ийм түншлэлийг сонирхохоо больж, WhatsApp хэрэглэгчдийн сонголтын талаарх үнэ цэнэтэй мэдээллийн эх сурвалжаа алдах болно. Энэ нь мэдээжийн хэрэг зүгээр л таамаглал боловч өндөр технологийн маркетингийн ертөнцөд маш их магадлалтай юм.
iOS-д зориулсан WhatsApp-ийн хувьд нөөцлөлтийг iCloud үүлэнд хадгалдаг. Гэхдээ энд ч гэсэн мэдээлэл нь програмын тохиргоонд ч гэсэн шифрлэгдээгүй хэлбэрээр хадгалагддаг. Apple энэ мэдээлэлд дүн шинжилгээ хийдэг эсэх нь зөвхөн корпорацид л мэдэгддэг. Купертинод Google шиг зар сурталчилгааны сүлжээ байхгүй тул WhatsApp хэрэглэгчдийн хувийн мэдээлэлд дүн шинжилгээ хийх магадлал хамаагүй бага гэж бид таамаглаж болно.
Дээр дурдсан бүх зүйлийг дараах байдлаар томъёолж болно - тийм ээ, зөвхөн та WhatsApp-ийн захидал харилцаанд хандах эрхгүй.
TikTok болон бусад мессенжерүүд
Энэхүү богино хэмжээний видео хуваалцах үйлчилгээ маш хурдан алдартай болж магадгүй юм. Хөгжүүлэгчид хэрэглэгчдийнхээ мэдээллийн аюулгүй байдлыг бүрэн хангана гэж амласан. Энэ үйлчилгээ нь хэрэглэгчдэд мэдэгдэлгүйгээр энэ өгөгдлийг ашигласан нь тодорхой болсон. Хамгийн муу нь тус үйлчилгээ 13-аас доош насны хүүхдүүдийн хувийн мэдээллийг эцэг эхийн зөвшөөрөлгүйгээр цуглуулсан. Насанд хүрээгүй хүмүүсийн хувийн мэдээлэл болох овог нэр, цахим шуудан, утасны дугаар, зураг, видео зэргийг олон нийтэд нээлттэй болгосон.
үйлчилгээ Хэдэн сая доллараар зохицуулагчид мөн 13-аас доош насны хүүхдүүдийн хийсэн бүх бичлэгийг устгахыг шаардсан. TikTok дагаж мөрдсөн. Гэсэн хэдий ч бусад мессенжер, үйлчилгээнүүд хэрэглэгчийн хувийн мэдээллийг өөрсдийн зорилгоор ашигладаг тул та тэдний аюулгүй байдалд итгэлтэй байж чадахгүй.
Энэ жагсаалтыг эцэс төгсгөлгүй үргэлжлүүлж болно - ихэнх шуурхай мессенжерүүд халдагчид хэрэглэгчдийг чагнан чагнах боломжийг олгодог нэг буюу өөр эмзэг байдалтай байдаг ( - Viber, бүх зүйл тэнд засагдсан юм шиг байна) эсвэл тэдний өгөгдлийг хулгайл. Нэмж дурдахад, эхний 5-т багтсан бараг бүх програмууд хэрэглэгчийн мэдээллийг компьютерийн хатуу диск эсвэл утасны санах ойд хамгаалалтгүй хэлбэрээр хадгалдаг. Энэ нь хууль тогтоомжийн ачаар хэрэглэгчийн мэдээлэлд нэвтрэх боломжтой янз бүрийн орны тагнуулын албадыг санахгүй байна. Үүнтэй ижил Skype, VKontakte, TamTam болон бусад нь эрх баригчдын хүсэлтээр (жишээлбэл, Оросын Холбооны Улс) аливаа хэрэглэгчийн талаархи мэдээллийг өгдөг.
Протоколын түвшинд аюулгүй байдал сайн байна уу? Ямар ч асуудалгүй, бид төхөөрөмжийг эвддэг
Хэдэн жилийн өмнө Apple болон АНУ-ын засгийн газрын хооронд. Тус корпораци Сан Бернардино хотод болсон террорист халдлагад оролцсон шифрлэгдсэн ухаалаг утасны түгжээг тайлахаас татгалзжээ. Тухайн үед энэ нь жинхэнэ асуудал мэт санагдаж байсан: өгөгдөл нь сайн хамгаалагдсан, ухаалаг гар утсыг хакердах нь боломжгүй эсвэл маш хэцүү байсан.
Одоо бүх зүйл өөр болсон. Жишээлбэл, Израилийн Cellebrite компани нь iPhone болон Android үйлдлийн системтэй бүх загварыг хакердах боломжийг олгодог программ хангамж, техник хангамжийн системийг Орос болон бусад улс орны хуулийн этгээдүүдэд зардаг. Өнгөрсөн жил байсан Энэ сэдвээр харьцангуй дэлгэрэнгүй мэдээлэлтэй.
Магадан улсын шүүх эмнэлгийн мөрдөн байцаагч Попов АНУ-ын Холбооны мөрдөх товчооны ашигладаг ижил технологи ашиглан ухаалаг гар утсыг хакерджээ. Эх сурвалж: BBC
Энэ төхөөрөмж нь засгийн газрын стандартын дагуу хямд байдаг. UFED Touch2-ийн хувьд Мөрдөн байцаах хорооны Волгоградын хэлтэс 800 мянган рубль, Хабаровскийн хэлтэс 1,2 сая рубль төлжээ. 2017 онд ОХУ-ын Мөрдөн байцаах хорооны дарга Александр Бастрыкин түүний хэлтсийг баталжээ. Израилийн компани.
Сбербанк мөн ийм төхөөрөмжийг худалдаж авдаг - гэхдээ мөрдөн байцаалт явуулахын тулд биш, харин Android үйлдлийн системтэй төхөөрөмж дээр вирусын эсрэг тэмцэхийн тулд. “Хэрэв гар утасны төхөөрөмжүүд үл мэдэгдэх хортой программ хангамжийн кодоор халдварласан гэж сэжиглэж, халдвар авсан утасны эзэмшигчээс заавал зөвшөөрөл авсны дараа янз бүрийн арга хэрэгслийг ашиглан байнга шинээр гарч ирж, өөрчлөгдөж байдаг шинэ вирусыг хайж олох шинжилгээг хийнэ. UFED Touch2," - компанид.
Америкчуудад ч гэсэн ямар ч ухаалаг гар утсыг хакердах боломжтой технологи байдаг. Grayshift нь 300 ухаалаг гар утсыг 15 доллараар хакердахаа амлаж байна (нэг нэгж нь 50 доллар, Cellbrite 1500 доллар).
Цахим гэмт хэрэгтнүүдэд ч үүнтэй төстэй төхөөрөмж байх магадлалтай. Эдгээр төхөөрөмжүүдийг байнга сайжруулж байдаг - хэмжээ нь буурч, гүйцэтгэл нь нэмэгддэг.
Одоо бид хэрэглэгчдийнхээ мэдээллийг хамгаалах талаар санаа зовж буй томоохон үйлдвэрлэгчдээс бага эсвэл бага алдартай утаснуудын талаар ярьж байна. Хэрэв бид жижиг компаниуд эсвэл нэргүй байгууллагуудын тухай ярьж байгаа бол энэ тохиолдолд өгөгдлийг асуудалгүйгээр устгадаг. HS-USB горим нь ачаалагч түгжигдсэн үед ч ажилладаг. Үйлчилгээний горимууд нь ихэвчлэн өгөгдөл авах боломжтой "арын хаалга" юм. Хэрэв тийм биш бол та JTAG порт руу холбогдож эсвэл eMMC чипийг бүхэлд нь салгаж аваад хямд адаптерт оруулж болно. Хэрэв өгөгдөл шифрлэгдээгүй бол утаснаас үүлэн хадгалалт болон бусад үйлчилгээнд нэвтрэх боломжийг олгодог баталгаажуулалтын жетон зэрэг ерөнхий бүх зүйл.
Хэрэв хэн нэгэн чухал мэдээлэл бүхий ухаалаг гар утсанд хувийн хандалттай бол үйлдвэрлэгчид юу ч хэлсэн хамаагүй, хэрэв хүсвэл түүнийг хакердаж болно.
Дээр дурдсан бүх зүйл зөвхөн ухаалаг гар утсанд төдийгүй янз бүрийн үйлдлийн системтэй компьютер, зөөврийн компьютерт хамаатай нь ойлгомжтой. Хэрэв та дэвшилтэт хамгаалалтын арга хэмжээ авахгүй, харин нууц үг, нэвтрэх гэх мэт уламжлалт аргуудад сэтгэл хангалуун байвал өгөгдөл аюулд үлдэх болно. Төхөөрөмжид физик хандалттай туршлагатай хакер бараг бүх мэдээллийг олж авах боломжтой - энэ нь зөвхөн цаг хугацааны асуудал юм.
Тэгэхээр юу хийх вэ?
Хабре дээр хувийн төхөөрөмжүүдийн мэдээллийн аюулгүй байдлын асуудал нэг бус удаа хөндөгдөж байсан тул бид дугуйг дахин зохион бүтээхгүй. Бид зөвхөн гуравдагч этгээд таны мэдээллийг олж авах магадлалыг бууруулах үндсэн аргуудыг зааж өгөх болно.
- Ухаалаг утас болон компьютер дээрээ өгөгдөл шифрлэлтийг заавал ашиглах шаардлагатай. Өөр өөр үйлдлийн системүүд нь ихэвчлэн сайн анхдагч функцуудыг өгдөг. Жишээ - стандарт хэрэгслийг ашиглан Mac OS дээрх крипто контейнер.
- Telegram болон бусад мессенжер дэх захидал харилцааны түүхийг оруулаад хаана ч, хаана ч нууц үг тохируулаарай. Мэдээжийн хэрэг, нууц үг нь нарийн төвөгтэй байх ёстой.
- Хоёр хүчин зүйлийн баталгаажуулалт - тийм ээ, энэ нь тохиромжгүй байж болох ч аюулгүй байдал хамгийн түрүүнд ирдэг бол та үүнийг тэвчих хэрэгтэй.
- Төхөөрөмжийнхөө физик аюулгүй байдлыг хянах. Корпорацийн компьютерийг кафед аваачиж, тэнд мартсан уу? Сонгодог. Аюулгүй байдлын стандартууд, тэр дундаа корпорацийн стандартыг өөрсдийн хайхрамжгүй байдлаас болж хохирогчдын нулимсаар бичсэн.
Гуравдагч этгээд биет төхөөрөмжид нэвтрэх үед өгөгдөл хакердах магадлалыг бууруулах аргуудын талаархи тайлбарыг харцгаая. Дараа нь бид санал болгож буй аргуудыг нийтлэлд нэмж оруулах эсвэл манай нийтлэлд нийтлэх болно , Бид аюулгүй байдал, ашиглахад зориулсан лайф хакеруудын талаар тогтмол бичдэг болон интернетийн цензур.
Эх сурвалж: www.habr.com