In februari publiceerden we het artikel “Not VPN alone. Een spiekbriefje over hoe u uzelf en uw gegevens kunt beschermen." heeft ons ertoe aangezet een vervolg op het artikel te schrijven. Dit deel is een volledig onafhankelijke informatiebron, maar toch raden wij u aan beide berichten te lezen.
Een nieuw bericht is gewijd aan de kwestie van gegevensbeveiliging (correspondentie, foto's, video's, dat is alles) in instant messengers en de apparaten zelf die worden gebruikt om met applicaties te werken.
Boodschappers
Telegram
In oktober 2018 ontdekte eerstejaars Wake Technical College-student Nathaniel Sachi dat de Telegram-messenger berichten en mediabestanden in duidelijke tekst opslaat op het lokale computerstation.
De student had toegang tot zijn eigen correspondentie, inclusief tekst en afbeeldingen. Om dit te doen, bestudeerde hij de applicatiedatabases die op de harde schijf waren opgeslagen. Het bleek dat de gegevens moeilijk te lezen waren, maar niet versleuteld. En ze zijn zelfs toegankelijk als de gebruiker een wachtwoord voor de applicatie heeft ingesteld.
In de ontvangen gegevens zijn de namen en telefoonnummers van de gesprekspartners gevonden, die desgewenst kunnen worden vergeleken. Informatie uit gesloten chats wordt ook in een duidelijk formaat opgeslagen.
Durov verklaarde later dat dit geen probleem is, want als een aanvaller toegang heeft tot de pc van de gebruiker, kan hij zonder problemen encryptiesleutels bemachtigen en alle correspondentie ontsleutelen. Maar veel informatiebeveiligingsexperts beweren dat dit nog steeds ernstig is.
Bovendien bleek Telegram kwetsbaar voor een sleuteldiefstalaanval Habr-gebruiker. U kunt lokale codewachtwoorden van elke lengte en complexiteit hacken.
Voor zover wij weten slaat deze messenger ook gegevens in ongecodeerde vorm op de computerschijf op. Als een aanvaller dus toegang heeft tot het apparaat van de gebruiker, zijn alle gegevens ook open.
Maar er is een meer mondiaal probleem. Momenteel worden alle back-ups van WhatsApp die op apparaten met Android OS zijn geïnstalleerd, opgeslagen in Google Drive, zoals Google en Facebook vorig jaar hebben afgesproken. Maar backups van correspondentie, mediabestanden en dergelijke . Voor zover men kan beoordelen, wetshandhavers van dezelfde VS , dus er is een mogelijkheid dat veiligheidstroepen alle opgeslagen gegevens kunnen bekijken.
Het is mogelijk om gegevens te versleutelen, maar beide bedrijven doen dit niet. Misschien simpelweg omdat niet-versleutelde back-ups eenvoudig kunnen worden overgedragen en door de gebruikers zelf kunnen worden gebruikt. Hoogstwaarschijnlijk is er geen codering, niet omdat deze technisch moeilijk te implementeren is: integendeel, u kunt back-ups zonder enige moeite beveiligen. Het probleem is dat Google zijn eigen redenen heeft om met WhatsApp samen te werken - vermoedelijk het bedrijf en gebruikt deze om gepersonaliseerde advertenties weer te geven. Als Facebook plotseling encryptie voor WhatsApp-back-ups zou introduceren, zou Google onmiddellijk de interesse in een dergelijke samenwerking verliezen en een waardevolle bron van gegevens over de voorkeuren van WhatsApp-gebruikers verliezen. Dit is natuurlijk slechts een veronderstelling, maar zeer waarschijnlijk in de wereld van hi-tech marketing.
Wat WhatsApp voor iOS betreft, worden back-ups opgeslagen in de iCloud-cloud. Maar ook hier wordt de informatie in niet-gecodeerde vorm opgeslagen, wat zelfs in de applicatie-instellingen wordt vermeld. Of Apple deze gegevens wel of niet analyseert, is alleen bekend bij het bedrijf zelf. Het is waar dat Cupertino geen advertentienetwerk heeft zoals Google, dus we kunnen ervan uitgaan dat de kans dat ze de persoonlijke gegevens van WhatsApp-gebruikers analyseren veel kleiner is.
Alles wat er is gezegd, kan als volgt worden geformuleerd: ja, niet alleen jij hebt toegang tot je WhatsApp-correspondentie.
TikTok en andere boodschappers
Deze dienst voor het delen van korte video's zou zeer snel populair kunnen worden. De ontwikkelaars beloofden de volledige beveiliging van de gegevens van hun gebruikers te garanderen. Het bleek dat de dienst deze gegevens zelf gebruikte zonder gebruikers hiervan op de hoogte te stellen. Erger nog: de dienst verzamelde zonder toestemming van de ouders persoonlijke gegevens van kinderen onder de 13 jaar. Persoonlijke informatie van minderjarigen – namen, e-mails, telefoonnummers, foto’s en video’s – werden openbaar gemaakt.
Dienst Voor enkele miljoenen dollars eisten de toezichthouders ook de verwijdering van alle video's gemaakt door kinderen onder de 13 jaar. TikTok voldeed hieraan. Andere boodschappers en diensten gebruiken de persoonlijke gegevens van gebruikers echter voor hun eigen doeleinden, dus u kunt niet zeker zijn van hun veiligheid.
Deze lijst kan eindeloos worden voortgezet - de meeste instant messengers hebben een of andere kwetsbaarheid waardoor aanvallers gebruikers kunnen afluisteren ( — Viber, hoewel alles daar lijkt te zijn opgelost) of hun gegevens stelen. Bovendien slaan vrijwel alle applicaties uit de top 5 gebruikersgegevens in onbeschermde vorm op op de harde schijf van de computer of in het geheugen van de telefoon. En dan hebben we het nog niet eens over de inlichtingendiensten van verschillende landen, die dankzij wetgeving mogelijk toegang hebben tot gebruikersgegevens. Dezelfde Skype, VKontakte, TamTam en anderen verstrekken op verzoek van de autoriteiten (bijvoorbeeld de Russische Federatie) informatie over elke gebruiker.
Goede beveiliging op protocolniveau? Geen probleem, wij maken het apparaat kapot
Een paar jaar geleden tussen Apple en de Amerikaanse overheid. Het bedrijf weigerde een gecodeerde smartphone te ontgrendelen die betrokken was bij de terroristische aanslagen in de stad San Bernardino. Destijds leek dit een reëel probleem: de gegevens waren goed beschermd en het hacken van een smartphone was onmogelijk of erg moeilijk.
Nu zijn de zaken anders. Het Israëlische bedrijf Cellebrite verkoopt bijvoorbeeld aan rechtspersonen in Rusland en andere landen een software- en hardwaresysteem waarmee je alle iPhone- en Android-modellen kunt hacken. Vorig jaar was dat zo met relatief gedetailleerde informatie over dit onderwerp.
Forensisch onderzoeker Popov van Magadan hackt een smartphone met dezelfde technologie die wordt gebruikt door het Amerikaanse Federal Bureau of Investigation. Bron: BBC
Het apparaat is naar overheidsnormen goedkoop. Voor UFED Touch2 betaalde de afdeling Volgograd van de Onderzoekscommissie 800 duizend roebel, de afdeling Khabarovsk - 1,2 miljoen roebel. In 2017 bevestigde Alexander Bastrykin, hoofd van de Onderzoekscommissie van de Russische Federatie, dat zijn afdeling Israëlisch bedrijf.
Sberbank koopt dergelijke apparaten ook aan - echter niet voor het uitvoeren van onderzoek, maar voor het bestrijden van virussen op apparaten met Android OS. “Als wordt vermoed dat mobiele apparaten zijn geïnfecteerd met onbekende kwaadaardige softwarecode, en na het verkrijgen van de verplichte toestemming van de eigenaren van geïnfecteerde telefoons, zal er een analyse worden uitgevoerd om te zoeken naar voortdurend opkomende en veranderende nieuwe virussen met behulp van verschillende tools, waaronder het gebruik van UFED Touch2,” - in gezelschap.
Amerikanen beschikken ook over technologieën waarmee ze elke smartphone kunnen hacken. Grayshift belooft 300 smartphones te hacken voor $ 15 ($ 50 per stuk versus $ 1500 voor Cellbrite).
Het is waarschijnlijk dat cybercriminelen ook over vergelijkbare apparaten beschikken. Deze apparaten worden voortdurend verbeterd: hun formaat neemt af en hun prestaties nemen toe.
Nu hebben we het over min of meer bekende telefoons van grote fabrikanten die zich zorgen maken over de bescherming van de gegevens van hun gebruikers. Als we het hebben over kleinere bedrijven of naamloze organisaties, dan worden de gegevens in dit geval zonder problemen verwijderd. De HS-USB-modus werkt zelfs als de bootloader is vergrendeld. Servicemodi zijn doorgaans een ‘achterdeur’ waarlangs gegevens kunnen worden opgehaald. Als dat niet het geval is, kunt u verbinding maken met de JTAG-poort of de eMMC-chip helemaal verwijderen en vervolgens in een goedkope adapter plaatsen. Als de gegevens niet gecodeerd zijn, vanaf de telefoon alles in het algemeen, inclusief authenticatietokens die toegang bieden tot cloudopslag en andere services.
Als iemand persoonlijk toegang heeft tot een smartphone met belangrijke informatie, dan kan hij deze hacken als hij dat wil, wat de fabrikanten ook zeggen.
Het is duidelijk dat alles wat er is gezegd niet alleen van toepassing is op smartphones, maar ook op computers en laptops met verschillende besturingssystemen. Als u geen toevlucht neemt tot geavanceerde beschermingsmaatregelen, maar genoegen neemt met conventionele methoden zoals een wachtwoord en login, blijven de gegevens in gevaar. Een ervaren hacker met fysieke toegang tot het apparaat kan vrijwel alle informatie verkrijgen - het is slechts een kwestie van tijd.
Dus wat te doen?
Bij Habré is de kwestie van gegevensbeveiliging op persoonlijke apparaten meer dan eens ter sprake gebracht, dus we zullen het wiel niet opnieuw uitvinden. Wij geven alleen de belangrijkste methoden aan die de kans verkleinen dat derden uw gegevens verkrijgen:
- Het is verplicht om gegevensversleuteling te gebruiken op zowel uw smartphone als pc. Verschillende besturingssystemen bieden vaak goede standaardfuncties. Voorbeeld - crypto-container in Mac OS met behulp van standaardtools.
- Stel overal en altijd wachtwoorden in, inclusief de geschiedenis van correspondentie in Telegram en andere instant messengers. Wachtwoorden moeten uiteraard complex zijn.
- Tweefactorauthenticatie - ja, het kan lastig zijn, maar als beveiliging op de eerste plaats komt, moet je het verdragen.
- Bewaak de fysieke beveiliging van uw apparaten. Een bedrijfs-pc meenemen naar een café en hem daar vergeten? Klassiek. Veiligheidsnormen, ook die van bedrijven, zijn geschreven met de tranen van slachtoffers van hun eigen onzorgvuldigheid.
Laten we in de opmerkingen eens kijken naar uw methoden om de kans op gegevenshacking te verkleinen wanneer een derde partij toegang krijgt tot een fysiek apparaat. Vervolgens zullen wij de voorgestelde methoden aan het artikel toevoegen of in onze publicatie publiceren , waar we regelmatig schrijven over veiligheid, lifehacks voor gebruik en internetcensuur.
Bron: www.habr.com