Fi Frar, ippublikajna l-artiklu “Mhux VPN waħdu. Cheat sheet dwar kif tipproteġi lilek innifsek u d-data tiegħek." wassalna biex niktbu kontinwazzjoni tal-artiklu. Din il-parti hija sors ta’ informazzjoni kompletament indipendenti, iżda xorta nirrakkomandaw li taqra ż-żewġ postijiet.
Post ġdid huwa ddedikat għall-kwistjoni tas-sigurtà tad-dejta (korrispondenza, ritratti, vidjows, dak kollu) f'messaġġiera instantanja u l-apparati nfushom li jintużaw biex jaħdmu ma 'applikazzjonijiet.
Messaġġieri
Telegramma
Lura f'Ottubru 2018, l-istudent tal-Kulleġġ Tekniku Wake tal-ewwel sena Nathaniel Sachi skopra li l-messaġġier Telegram jiffranka messaġġi u fajls tal-midja fuq id-drajv tal-kompjuter lokali b'test ċar.
L-istudent seta’ jaċċessa l-korrispondenza tiegħu stess, inkluż it-test u l-istampi. Biex tagħmel dan, studja l-bażijiet tad-dejta tal-applikazzjoni maħżuna fuq l-HDD. Irriżulta li d-dejta kienet diffiċli biex tinqara, iżda mhux kriptata. U jistgħu jiġu aċċessati anki jekk l-utent ikun stabbilixxa password għall-applikazzjoni.
Fid-dejta riċevuta, instabu l-ismijiet u n-numri tat-telefon tal-interlokuturi, li, jekk mixtieq, jistgħu jitqabblu. Informazzjoni minn chats magħluqa hija wkoll maħżuna f'format ċar.
Durov aktar tard iddikjara li din mhix problema, għaliex jekk attakkant ikollu aċċess għall-PC tal-utent, ikun jista 'jikseb ċwievet ta' encryption u jiddekofra l-korrispondenza kollha mingħajr problemi. Iżda ħafna esperti tas-sigurtà tal-informazzjoni jargumentaw li dan għadu serju.
Barra minn hekk, Telegram irriżulta li kien vulnerabbli għal attakk ta 'serq ewlieni, li Utent Habr. Tista 'hack passwords kodiċi lokali ta' kwalunkwe tul u kumplessità.
Safejn nafu, dan il-messaġġier jaħżen ukoll data fuq id-diska tal-kompjuter f'forma mhux kriptata. Għaldaqstant, jekk attakkant ikollu aċċess għall-apparat tal-utent, allura d-dejta kollha hija miftuħa wkoll.
Iżda hemm problema aktar globali. Bħalissa, il-backups kollha minn WhatsApp installati fuq apparati b'Android OS huma maħżuna f'Google Drive, kif qablu Google u Facebook is-sena li għaddiet. Iżda backups ta 'korrispondenza, fajls tal-midja u simili . Safejn wieħed jista' jiġġudika, uffiċjali tal-infurzar tal-liġi tal-istess Istati Uniti , għalhekk hemm possibbiltà li l-forzi tas-sigurtà jistgħu jaraw kwalunkwe data maħżuna.
Huwa possibbli li d-dejta tiġi kkriptata, iżda ż-żewġ kumpaniji ma jagħmlux dan. Forsi sempliċement minħabba li backups mhux kriptati jistgħu jiġu trasferiti u użati faċilment mill-utenti nfushom. Ħafna probabbli, m'hemm l-ebda encryption mhux għax teknikament diffiċli biex timplimenta: għall-kuntrarju, tista 'tipproteġi backups mingħajr ebda diffikultà. Il-problema hija li Google għandha r-raġunijiet tagħha stess biex taħdem ma 'WhatsApp - il-kumpanija preżumibbilment u jużahom biex juri reklamar personalizzat. Jekk Facebook f'daqqa waħda introduċiet encryption għall-backups ta' WhatsApp, Google istantanjament titlef l-interess fi sħubija bħal din, u titlef sors prezzjuż ta 'dejta dwar il-preferenzi tal-utenti ta' WhatsApp. Dan, ovvjament, huwa biss suppożizzjoni, iżda probabbli ħafna fid-dinja tal-marketing hi-tech.
Fir-rigward ta 'WhatsApp għall-iOS, il-backups jiġu ssejvjati fis-sħaba tal-iCloud. Iżda hawnhekk ukoll, l-informazzjoni hija maħżuna f'forma mhux kriptata, li hija ddikjarata anke fis-settings tal-applikazzjoni. Jekk Apple tanalizzax din id-dejta jew le hija magħrufa biss mill-korporazzjoni nnifisha. Veru, Cupertino m'għandux netwerk ta 'reklamar bħal Google, għalhekk nistgħu nassumu li l-probabbiltà li janalizzaw id-dejta personali tal-utenti ta' WhatsApp hija ħafna inqas.
Dak kollu li ntqal jista 'jiġi fformulat kif ġej - iva, mhux biss għandek aċċess għall-korrispondenza WhatsApp tiegħek.
TikTok u messaġġiera oħra
Dan is-servizz ta' qsim ta' vidjows qosra jista' jsir popolari malajr ħafna. L-iżviluppaturi wiegħdu li jiżguraw is-sigurtà sħiħa tad-dejta tal-utenti tagħhom. Kif irriżulta, is-servizz innifsu uża din id-dejta mingħajr ma nnotifika lill-utenti. Saħansitra agħar: is-servizz ġabar data personali minn tfal taħt it-13-il sena mingħajr il-kunsens tal-ġenituri. Informazzjoni personali ta' minuri - ismijiet, e-mails, numri tat-telefon, ritratti u vidjows - saret disponibbli pubblikament.
Servizz għal diversi miljuni ta’ dollari, ir-regolaturi talbu wkoll it-tneħħija tal-filmati kollha magħmula minn tfal taħt it-13-il sena. TikTok ikkonformat. Madankollu, messaġġiera u servizzi oħra jużaw id-dejta personali tal-utenti għall-iskopijiet tagħhom stess, u għalhekk ma tistax tkun ċert mis-sigurtà tagħhom.
Din il-lista tista' titkompla bla tmiem - il-biċċa l-kbira tal-messaġġiera instantanja għandhom vulnerabbiltà waħda jew oħra li tippermetti lill-attakkanti jisimgħu lill-utenti ( — Viber, għalkemm kollox jidher li ġie ffissat hemmhekk) jew jisirqu d-data tagħhom. Barra minn hekk, kważi l-applikazzjonijiet kollha mill-aqwa 5 jaħżnu d-dejta tal-utent f’forma mhux protetta fuq il-hard drive tal-kompjuter jew fil-memorja tat-telefon. U dan mingħajr ma niftakru s-servizzi ta’ intelligence ta’ diversi pajjiżi, li jista’ jkollhom aċċess għad-dejta tal-utenti grazzi għal-leġiżlazzjoni. L-istess Skype, VKontakte, TamTam u oħrajn jipprovdu kwalunkwe informazzjoni dwar kwalunkwe utent fuq talba tal-awtoritajiet (per eżempju, il-Federazzjoni Russa).
Sigurtà tajba fil-livell tal-protokoll? Ebda problema, aħna nkissru l-apparat
Xi snin ilu bejn Apple u l-gvern Amerikan. Il-korporazzjoni rrifjutat li tiftaħ smartphone encrypted li kien involut fl-attakki terroristiċi fil-belt ta’ San Bernardino. Dak iż-żmien, din kienet tidher problema reali: id-dejta kienet protetta tajjeb, u l-hacking ta’ smartphone kien jew impossibbli jew diffiċli ħafna.
Issa l-affarijiet huma differenti. Pereżempju, il-kumpanija Iżraeljana Cellebrite tbigħ lil entitajiet legali fir-Russja u f’pajjiżi oħra sistema ta’ softwer u ħardwer li tippermettilek li tħassar il-mudelli kollha ta’ iPhone u Android. Is-sena li għaddiet kien hemm b'informazzjoni relattivament dettaljata dwar dan is-suġġett.
L-investigatur forensiku ta’ Magadan Popov hack smartphone bl-użu tal-istess teknoloġija użata mill-Federal Bureau of Investigation tal-Istati Uniti. Sors: BBC
L-apparat huwa rħas mill-istandards tal-gvern. Għal UFED Touch2, id-dipartiment ta 'Volgograd tal-Kumitat Investigattiv ħallas 800 elf rublu, id-dipartiment ta' Khabarovsk - 1,2 miljun rublu. Fl-2017, Alexander Bastrykin, kap tal-Kumitat Investigattiv tal-Federazzjoni Russa, ikkonferma li d-dipartiment tiegħu kumpanija Iżraeljana.
Sberbank jixtri wkoll apparati bħal dawn - madankollu, mhux għat-twettiq ta 'investigazzjonijiet, iżda għall-ġlieda kontra l-viruses fuq apparati b'Android OS. “Jekk l-apparati mobbli huma suspettati li jkunu infettati b’kodiċi ta’ softwer malizzjuż mhux magħruf, u wara li jinkiseb il-kunsens obbligatorju tas-sidien ta’ telefowns infettati, issir analiżi biex jitfittxu viruses ġodda li qed jitfaċċaw u li jinbidlu b’mod kostanti bl-użu ta’ diversi għodod, inkluż l-użu. ta' UFED Touch2,” - fil-kumpanija.
L-Amerikani għandhom ukoll teknoloġiji li jippermettulhom hack kwalunkwe smartphone. Grayshift iwiegħed li hack 300 smartphones għal $ 15 ($ 50 għal kull unità kontra $ 1500 għal Cellbrite).
Huwa probabbli li ċ-ċiberkriminali għandhom ukoll apparati simili. Dawn l-apparati qed jitjiebu kontinwament - id-daqs tagħhom jonqos u l-prestazzjoni tagħhom tiżdied.
Issa qed nitkellmu dwar telefowns xi ftit jew wisq magħrufa minn manifatturi kbar li huma mħassba dwar il-protezzjoni tad-dejta tal-utenti tagħhom. Jekk qed nitkellmu dwar kumpaniji iżgħar jew organizzazzjonijiet bla isem, allura f'dan il-każ id-dejta titneħħa mingħajr problemi. Il-modalità HS-USB taħdem anke meta l-bootloader ikun imsakkar. Il-modi tas-servizz huma normalment "bieb ta' wara" li minnu tista' tiġi rkuprata d-dejta. Jekk le, tista 'tqabbad mal-port JTAG jew neħħi ċ-ċippa eMMC għal kollox u mbagħad daħħalha f'adapter rħas. Jekk id-data mhix encrypted, mit-telefon kollox b'mod ġenerali, inklużi tokens ta 'awtentikazzjoni li jipprovdu aċċess għall-ħażna tas-sħab u servizzi oħra.
Jekk xi ħadd ikollu aċċess personali għal smartphone b'informazzjoni importanti, allura jista 'hack jekk irid, irrispettivament minn dak li jgħidu l-manifatturi.
Huwa ċar li dak kollu li ntqal japplika mhux biss għal smartphones, iżda wkoll għal kompjuters u laptops li jħaddmu diversi OSs. Jekk ma tirrikorrix għal miżuri protettivi avvanzati, iżda tikkuntenta b'metodi konvenzjonali bħal password u login, allura d-dejta tibqa' fil-periklu. Hacker b'esperjenza b'aċċess fiżiku għall-apparat ikun jista 'jikseb kważi kull informazzjoni - hija biss kwistjoni ta' żmien.
Allura x'għandek tagħmel?
Fuq Habré, il-kwistjoni tas-sigurtà tad-data fuq apparat personali tqajmet aktar minn darba, għalhekk mhux se nerġgħu nivvintaw ir-rota. Aħna se nindikaw biss il-metodi ewlenin li jnaqqsu l-probabbiltà li partijiet terzi jiksbu d-dejta tiegħek:
- Huwa obbligatorju li tuża l-kriptaġġ tad-dejta kemm fuq l-ismartphone kif ukoll fuq il-PC tiegħek. Sistemi operattivi differenti ħafna drabi jipprovdu karatteristiċi default tajbin. Eżempju - kontenitur kripto fil-Mac OS bl-użu ta 'għodod standard.
- Issettja passwords kullimkien u kullimkien, inkluża l-istorja tal-korrispondenza f'Telegram u messaġġiera instantanja oħra. Naturalment, il-passwords għandhom ikunu kumplessi.
- Awtentikazzjoni b'żewġ fatturi - iva, tista 'tkun inkonvenjenti, imma jekk is-sigurtà tiġi l-ewwel, trid tpoġġi magħha.
- Immonitorja s-sigurtà fiżika tat-tagħmir tiegħek. Ħu PC korporattiv għal kafetterija u tinsa hemmhekk? Klassiku. L-istandards tas-sigurtà, inklużi dawk korporattivi, inkitbu bid-dmugħ tal-vittmi tat-traskuraġni tagħhom stess.
Ejja nħarsu fil-kummenti lejn il-metodi tiegħek biex tnaqqas il-probabbiltà ta 'hacking tad-data meta parti terza tikseb aċċess għal apparat fiżiku. Imbagħad inżidu l-metodi proposti mal-artiklu jew nippubblikawhom f'tagħna , fejn regolarment niktbu dwar is-sigurtà, hacks tal-ħajja għall-użu u ċ-ċensura tal-Internet.
Sors: www.habr.com