W lutym opublikowaliśmy artykuł „Nie sam VPN. Ściągawka pokazująca, jak chronić siebie i swoje dane.” skłoniło nas do napisania kontynuacji artykułu. Ta część jest całkowicie niezależnym źródłem informacji, ale mimo to zalecamy zapoznanie się z obydwoma postami.
Nowy wpis poświęcony jest zagadnieniu bezpieczeństwa danych (korespondencji, zdjęć, filmów i tyle) w komunikatorach i samych urządzeniach, na których współpracujemy z aplikacjami.
Posłańcy
Telegram
W październiku 2018 roku student pierwszego roku Wake Technical College, Nathaniel Sachi, odkrył, że komunikator Telegram zapisuje wiadomości i pliki multimedialne na dysku komputera lokalnego w postaci zwykłego tekstu.
Student miał dostęp do własnej korespondencji, zawierającej tekst i zdjęcia. W tym celu przestudiował bazy danych aplikacji przechowywane na dysku twardym. Okazało się, że dane były trudne do odczytania, ale nie zaszyfrowane. Dostęp do nich można uzyskać nawet wtedy, gdy użytkownik ustawił hasło do aplikacji.
W otrzymanych danych znaleziono nazwiska i numery telefonów rozmówców, które w razie potrzeby można porównać. Informacje z zamkniętych czatów są również przechowywane w przejrzystym formacie.
Durov stwierdził później, że nie stanowi to problemu, ponieważ jeśli atakujący uzyska dostęp do komputera użytkownika, będzie mógł bez problemu zdobyć klucze szyfrujące i odszyfrować całą korespondencję. Jednak wielu ekspertów ds. bezpieczeństwa informacji twierdzi, że jest to nadal poważna sprawa.
Ponadto Telegram okazał się podatny na atak polegający na kradzieży klucza, który Użytkownik Habra. Możesz hakować hasła lokalnego kodu o dowolnej długości i złożoności.
O ile nam wiadomo, komunikator ten przechowuje również dane na dysku komputera w formie niezaszyfrowanej. W związku z tym, jeśli atakujący uzyska dostęp do urządzenia użytkownika, wówczas wszystkie dane również zostaną otwarte.
Ale jest problem bardziej globalny. Obecnie wszystkie kopie zapasowe z WhatsApp zainstalowanego na urządzeniach z systemem operacyjnym Android są przechowywane na Dysku Google, zgodnie z ustaleniami Google i Facebooka w zeszłym roku. Ale kopie zapasowe korespondencji, plików multimedialnych i tym podobnych . O ile można sądzić, funkcjonariusze organów ścigania z tych samych USA , istnieje zatem możliwość, że siły bezpieczeństwa będą mogły przeglądać przechowywane dane.
Istnieje możliwość szyfrowania danych, jednak obie firmy tego nie robią. Być może po prostu dlatego, że niezaszyfrowane kopie zapasowe mogą być łatwo przesyłane i wykorzystywane przez samych użytkowników. Najprawdopodobniej nie ma szyfrowania nie dlatego, że jest to technicznie trudne do wdrożenia: wręcz przeciwnie, możesz bez problemu chronić kopie zapasowe. Problem w tym, że Google ma swoje własne powody, dla których współpracuje z WhatsApp – zapewne firmą i wykorzystuje je do wyświetlania spersonalizowanych reklam. Gdyby Facebook nagle wprowadził szyfrowanie kopii zapasowych WhatsApp, Google natychmiast straciłby zainteresowanie taką współpracą, tracąc cenne źródło danych o preferencjach użytkowników WhatsApp. To oczywiście tylko założenie, ale bardzo prawdopodobne w świecie marketingu hi-tech.
Jeśli chodzi o WhatsApp na iOS, kopie zapasowe są zapisywane w chmurze iCloud. Ale również tutaj informacje są przechowywane w formie niezaszyfrowanej, co jest określone nawet w ustawieniach aplikacji. To, czy Apple analizuje te dane, czy nie, wie tylko sama korporacja. Co prawda Cupertino nie ma takiej sieci reklamowej jak Google, więc możemy założyć, że prawdopodobieństwo, że analizują one dane osobowe użytkowników WhatsApp, jest znacznie mniejsze.
Wszystko, co zostało powiedziane, można sformułować następująco – tak, nie tylko Ty masz dostęp do swojej korespondencji WhatsApp.
TikTok i inne komunikatory
Ta krótka usługa udostępniania filmów może bardzo szybko stać się popularna. Twórcy obiecali zapewnić pełne bezpieczeństwo danych swoich użytkowników. Jak się okazało, sam serwis wykorzystał te dane, nie powiadamiając o tym użytkowników. Co gorsza: serwis zbierał dane osobowe dzieci poniżej 13 roku życia bez zgody rodziców. Dane osobowe nieletnich – imiona i nazwiska, adresy e-mail, numery telefonów, zdjęcia i filmy – zostały udostępnione publicznie.
Platforma za kilka milionów dolarów organy regulacyjne zażądały również usunięcia wszystkich filmów nakręconych przez dzieci poniżej 13 roku życia. TikTok zastosował się. Jednak inne komunikatory i serwisy wykorzystują dane osobowe użytkowników do własnych celów, więc nie możesz być pewien ich bezpieczeństwa.
Tę listę można kontynuować w nieskończoność - większość komunikatorów internetowych ma tę czy inną lukę, która umożliwia atakującym podsłuchiwanie użytkowników ( — Viber, chociaż wydaje się, że wszystko zostało tam naprawione) lub wykraść ich dane. Ponadto prawie wszystkie aplikacje z pierwszej piątki przechowują dane użytkownika w niezabezpieczonej formie na dysku twardym komputera lub w pamięci telefonu. I to bez pamiętania o służbach wywiadowczych różnych krajów, które dzięki ustawodawstwu mogą mieć dostęp do danych użytkowników. Ten sam Skype, VKontakte, TamTam i inne udostępniają wszelkie informacje o dowolnym użytkowniku na żądanie władz (na przykład Federacji Rosyjskiej).
Dobre bezpieczeństwo na poziomie protokołu? Nie ma problemu, rozbijamy urządzenie
Kilka lat temu pomiędzy Apple a rządem USA. Korporacja odmówiła odblokowania zaszyfrowanego smartfona, który brał udział w atakach terrorystycznych w mieście San Bernardino. Wtedy wydawało się to realnym problemem: dane były dobrze chronione, a zhakowanie smartfona było albo niemożliwe, albo bardzo trudne.
Teraz jest inaczej. Na przykład izraelska firma Cellebrite sprzedaje podmiotom prawnym w Rosji i innych krajach system oprogramowania i sprzętu, który pozwala zhakować wszystkie modele iPhone'a i Androida. W zeszłym roku było ze stosunkowo szczegółowymi informacjami na ten temat.
Śledczy z Magadan, Popow, włamuje się do smartfona, korzystając z tej samej technologii, z której korzysta Federalne Biuro Śledcze USA. Źródło: BBC
Urządzenie jest niedrogie jak na standardy rządowe. Za UFED Touch2 wydział Komitetu Śledczego w Wołgogradzie zapłacił 800 tysięcy rubli, wydział Chabarowska - 1,2 miliona rubli. W 2017 roku szef Komitetu Śledczego Federacji Rosyjskiej Aleksander Bastrykin potwierdził, że jego wydział Izraelska firma.
Sberbank również kupuje takie urządzenia – jednak nie do prowadzenia dochodzeń, ale do zwalczania wirusów na urządzeniach z systemem operacyjnym Android. „W przypadku podejrzenia zainfekowania urządzeń mobilnych nieznanym kodem złośliwego oprogramowania i po uzyskaniu obowiązkowej zgody właścicieli zainfekowanych telefonów, przeprowadzona zostanie analiza mająca na celu wyszukiwanie stale pojawiających się i zmieniających się nowych wirusów z wykorzystaniem różnych narzędzi, w tym z wykorzystaniem UFED Touch2” – w firmie.
Amerykanie mają także technologie, które pozwalają im zhakować dowolny smartfon. Grayshift obiecuje zhakować 300 smartfonów za 15 50 dolarów (1500 dolarów za sztukę w porównaniu z XNUMX dolarów w przypadku Cellbrite).
Jest prawdopodobne, że cyberprzestępcy również mają podobne urządzenia. Urządzenia te są stale udoskonalane – zmniejsza się ich rozmiar i wzrasta wydajność.
Teraz mówimy o mniej lub bardziej znanych telefonach dużych producentów, którym zależy na ochronie danych swoich użytkowników. Jeśli mówimy o mniejszych firmach lub organizacjach bez nazwy, to w tym przypadku dane zostaną usunięte bez problemów. Tryb HS-USB działa nawet przy zablokowanym bootloaderze. Tryby serwisowe to zazwyczaj „tylne drzwi”, przez które można odzyskać dane. Jeśli nie, możesz podłączyć się do portu JTAG lub całkowicie wyjąć układ eMMC i następnie włożyć go do niedrogiego adaptera. Jeśli dane nie są szyfrowane, z telefonu wszystko ogólnie, łącznie z tokenami uwierzytelniającymi, które zapewniają dostęp do przechowywania w chmurze i innych usług.
Jeśli ktoś ma osobisty dostęp do smartfona z ważnymi informacjami, to może go zhakować, jeśli chce, niezależnie od tego, co mówią producenci.
Oczywiste jest, że wszystko, co zostało powiedziane, dotyczy nie tylko smartfonów, ale także komputerów i laptopów z różnymi systemami operacyjnymi. Jeśli nie skorzystasz z zaawansowanych środków ochronnych, ale poprzestaniesz na konwencjonalnych metodach, takich jak hasło i login, dane będą nadal zagrożone. Doświadczony haker posiadający fizyczny dostęp do urządzenia będzie w stanie pozyskać niemal każdą informację – to tylko kwestia czasu.
Więc co robić?
W Habré kwestia bezpieczeństwa danych na urządzeniach osobistych była poruszana już nie raz, więc nie będziemy wymyślać koła na nowo. Wskażemy jedynie główne metody, które zmniejszają prawdopodobieństwo pozyskania Twoich danych przez osoby trzecie:
- Korzystanie z szyfrowania danych jest obowiązkowe zarówno na smartfonie, jak i na komputerze. Różne systemy operacyjne często zapewniają dobre funkcje domyślne. Przykład - kontener kryptowalut w systemie Mac OS przy użyciu standardowych narzędzi.
- Ustawiaj hasła w dowolnym miejscu i czasie, łącznie z historią korespondencji w Telegramie i innych komunikatorach internetowych. Naturalnie hasła muszą być złożone.
- Uwierzytelnianie dwuskładnikowe – tak, może być niewygodne, ale jeśli bezpieczeństwo jest na pierwszym miejscu, trzeba to znieść.
- Monitoruj bezpieczeństwo fizyczne swoich urządzeń. Zabierz firmowy komputer do kawiarni i tam o nim zapomnij? Klasyczny. Standardy bezpieczeństwa, także korporacyjne, pisane były łzami ofiar własnej nieostrożności.
Przyjrzyjmy się w komentarzach Twoim metodom zmniejszania prawdopodobieństwa włamania się do danych, gdy strona trzecia uzyska dostęp do urządzenia fizycznego. Następnie dodamy proponowane metody do artykułu lub opublikujemy je w naszym , gdzie regularnie piszemy o bezpieczeństwie, life hackach do stosowania i cenzura Internetu.
Źródło: www.habr.com