I februar publiserte vi artikkelen «Not VPN alone. Et jukseark om hvordan du kan beskytte deg selv og dataene dine." fikk oss til å skrive en fortsettelse av artikkelen. Denne delen er en helt uavhengig informasjonskilde, men vi anbefaler likevel at du leser begge innleggene.
Et nytt innlegg er viet til spørsmålet om datasikkerhet (korrespondanse, bilder, videoer, det er alt) i instant messengers og selve enhetene som brukes til å jobbe med applikasjoner.
Budbringere
Telegram
Tilbake i oktober 2018 oppdaget førsteårs Wake Technical College-student Nathaniel Sachi at Telegram-messengeren lagrer meldinger og mediefiler på den lokale datamaskinstasjonen i klartekst.
Eleven fikk tilgang til sin egen korrespondanse, inkludert tekst og bilder. For å gjøre dette studerte han applikasjonsdatabasene som er lagret på harddisken. Det viste seg at dataene var vanskelige å lese, men ikke krypterte. Og de kan nås selv om brukeren har angitt et passord for applikasjonen.
I de mottatte dataene ble det funnet navn og telefonnumre til samtalepartnerne, som om ønskelig kan sammenlignes. Informasjon fra lukkede chatter lagres også i oversiktlig format.
Durov uttalte senere at dette ikke er et problem, fordi hvis en angriper har tilgang til brukerens PC, vil han kunne skaffe krypteringsnøkler og dekryptere all korrespondanse uten problemer. Men mange informasjonssikkerhetseksperter hevder at dette fortsatt er alvorlig.
I tillegg viste Telegram seg å være sårbar for et nøkkeltyveriangrep, som Habr bruker. Du kan hacke lokale kodepassord uansett lengde og kompleksitet.
Så vidt vi vet, lagrer denne messenger også data på datamaskinens disk i ukryptert form. Følgelig, hvis en angriper har tilgang til brukerens enhet, er alle data også åpne.
Men det er et mer globalt problem. Foreløpig er alle sikkerhetskopier fra WhatsApp installert på enheter med Android OS lagret i Google Drive, som Google og Facebook ble enige om i fjor. Men sikkerhetskopier av korrespondanse, mediefiler og lignende . Så langt man kan bedømme, politimenn fra samme USA , så det er en mulighet for at sikkerhetsstyrker kan se alle lagrede data.
Det er mulig å kryptere data, men begge selskapene gjør ikke dette. Kanskje rett og slett fordi ukrypterte sikkerhetskopier enkelt kan overføres og brukes av brukerne selv. Mest sannsynlig er det ingen kryptering, ikke fordi det er teknisk vanskelig å implementere: tvert imot kan du beskytte sikkerhetskopier uten problemer. Problemet er at Google har sine egne grunner for å jobbe med WhatsApp – selskapet antagelig og bruker dem til å vise personlig tilpasset annonsering. Hvis Facebook plutselig introduserte kryptering for WhatsApp-sikkerhetskopier, ville Google umiddelbart miste interessen for et slikt partnerskap, og miste en verdifull kilde til data om preferansene til WhatsApp-brukere. Dette er selvfølgelig bare en antagelse, men svært sannsynlig i en verden av høyteknologisk markedsføring.
Når det gjelder WhatsApp for iOS, lagres sikkerhetskopier i iCloud-skyen. Men også her lagres informasjonen i ukryptert form, som oppgis selv i applikasjonsinnstillingene. Hvorvidt Apple analyserer disse dataene eller ikke, er bare kjent for selskapet selv. Riktignok har ikke Cupertino et annonsenettverk som Google, så vi kan anta at sannsynligheten for at de analyserer personlige data til WhatsApp-brukere er mye lavere.
Alt som er sagt kan formuleres som følger - ja, ikke bare du har tilgang til WhatsApp-korrespondansen din.
TikTok og andre budbringere
Denne korte videodelingstjenesten kan bli populær veldig raskt. Utviklerne lovet å sikre fullstendig sikkerhet for brukernes data. Det viste seg at tjenesten selv brukte disse dataene uten å varsle brukerne. Enda verre: tjenesten samlet inn personopplysninger fra barn under 13 år uten foreldrenes samtykke. Personopplysninger om mindreårige – navn, e-post, telefonnumre, bilder og videoer – ble gjort offentlig tilgjengelig.
Verktøy for flere millioner dollar krevde regulatorer også fjerning av alle videoer laget av barn under 13 år. TikTok overholdt. Andre budbringere og tjenester bruker imidlertid brukernes personlige data til sine egne formål, så du kan ikke være sikker på deres sikkerhet.
Denne listen kan fortsettes i det uendelige - de fleste instant messengers har en eller annen sårbarhet som lar angripere avlytte brukere ( — Viber, selv om alt ser ut til å ha blitt fikset der) eller stjele dataene deres. I tillegg lagrer nesten alle applikasjoner fra topp 5 brukerdata i ubeskyttet form på datamaskinens harddisk eller i telefonens minne. Og dette er uten å huske etterretningstjenestene i ulike land, som kan ha tilgang til brukerdata takket være lovverket. Den samme Skype, VKontakte, TamTam og andre gir all informasjon om enhver bruker på forespørsel fra myndighetene (for eksempel den russiske føderasjonen).
God sikkerhet på protokollnivå? Ikke noe problem, vi ødelegger enheten
For noen år siden mellom Apple og den amerikanske regjeringen. Selskapet nektet å låse opp en kryptert smarttelefon som var involvert i terrorangrepene i byen San Bernardino. På den tiden virket dette som et reelt problem: dataene var godt beskyttet, og hacking av en smarttelefon var enten umulig eller veldig vanskelig.
Nå er ting annerledes. For eksempel selger det israelske selskapet Cellebrite til juridiske personer i Russland og andre land et programvare- og maskinvaresystem som lar deg hacke alle iPhone- og Android-modeller. I fjor var det med relativt detaljert informasjon om dette emnet.
Magadan rettsmedisinske etterforsker Popov hacker en smarttelefon ved hjelp av samme teknologi som brukes av US Federal Bureau of Investigation. Kilde: BBC
Enheten er billig i henhold til offentlige standarder. For UFED Touch2 betalte Volgograd-avdelingen til Undersøkelseskomiteen 800 tusen rubler, Khabarovsk-avdelingen - 1,2 millioner rubler. I 2017 bekreftet Alexander Bastrykin, leder av den russiske føderasjonens etterforskningskomité, at hans avdeling Israelsk selskap.
Sberbank kjøper også slike enheter - imidlertid ikke for å utføre undersøkelser, men for å bekjempe virus på enheter med Android OS. "Hvis mobile enheter mistenkes å være infisert med ukjent skadelig programvarekode, og etter å ha innhentet obligatorisk samtykke fra eierne av infiserte telefoner, vil det bli utført en analyse for å søke etter stadig nye virus som dukker opp og endrer seg ved hjelp av ulike verktøy, inkludert bruk av UFED Touch2," - i selskap.
Amerikanerne har også teknologier som lar dem hacke hvilken som helst smarttelefon. Grayshift lover å hacke 300 smarttelefoner for $15 (det er $50 per enhet mot Cellbrites $1500).
Det er sannsynlig at nettkriminelle også har lignende enheter. Disse enhetene blir stadig forbedret - størrelsen reduseres og ytelsen øker.
Nå snakker vi om mer eller mindre kjente telefoner fra store produsenter som er opptatt av å beskytte dataene til brukerne sine. Hvis vi snakker om mindre selskaper eller organisasjoner uten navn, blir dataene i dette tilfellet fjernet uten problemer. HS-USB-modus fungerer selv når bootloaderen er låst. Tjenestemoduser er vanligvis en "bakdør" som data kan hentes gjennom. Hvis ikke, kan du koble til JTAG-porten eller fjerne eMMC-brikken helt og deretter sette den inn i en rimelig adapter. Hvis dataene ikke er kryptert, fra telefonen alt generelt, inkludert autentiseringstokens som gir tilgang til skylagring og andre tjenester.
Hvis noen har personlig tilgang til en smarttelefon med viktig informasjon, så kan de hacke den hvis de vil, uansett hva produsentene sier.
Det er klart at alt som er sagt ikke bare gjelder smarttelefoner, men også datamaskiner og bærbare datamaskiner som kjører forskjellige operativsystemer. Hvis du ikke tyr til avanserte beskyttelsestiltak, men nøyer deg med konvensjonelle metoder som passord og pålogging, vil dataene forbli i fare. En erfaren hacker med fysisk tilgang til enheten vil kunne få tak i nesten all informasjon – det er bare et spørsmål om tid.
Så, hva gjør vi?
På Habré har spørsmålet om datasikkerhet på personlige enheter blitt tatt opp mer enn én gang, så vi vil ikke finne opp hjulet på nytt. Vi vil kun angi hovedmetodene som reduserer sannsynligheten for at tredjeparter får tak i dataene dine:
- Det er obligatorisk å bruke datakryptering på både smarttelefon og PC. Ulike operativsystemer gir ofte gode standardfunksjoner. Eksempel - kryptobeholder i Mac OS ved hjelp av standardverktøy.
- Angi passord hvor som helst og overalt, inkludert historien om korrespondanse i Telegram og andre direktemeldinger. Naturligvis må passord være komplekse.
- Tofaktorautentisering – ja, det kan være upraktisk, men hvis sikkerheten kommer først, må du tåle det.
- Overvåk den fysiske sikkerheten til enhetene dine. Ta en bedrifts-PC til en kafé og glemme den der? Klassisk. Sikkerhetsstandarder, inkludert bedriftsstandarder, ble skrevet med tårene til ofrene for deres egen uforsiktighet.
La oss i kommentarfeltet se på metodene dine for å redusere sannsynligheten for datahakking når en tredjepart får tilgang til en fysisk enhet. Vi vil deretter legge til de foreslåtte metodene i artikkelen eller publisere dem i vår , hvor vi jevnlig skriver om sikkerhet, life hacks for bruk og internettsensur.
Kilde: www.habr.com