පෙබරවාරි මාසයේදී අපි “VPN පමණක් නොවේ” ලිපිය පළ කළෙමු. ඔබව සහ ඔබේ දත්ත ආරක්ෂා කර ගන්නේ කෙසේද යන්න පිළිබඳ වංචා පත්රිකාවක්. ලිපියේ අඛණ්ඩව ලිවීමට අපව පොළඹවන ලදී. මෙම කොටස සම්පූර්ණයෙන්ම ස්වාධීන තොරතුරු මූලාශ්රයකි, නමුත් ඔබ ලිපි දෙකම කියවන ලෙස අපි තවමත් නිර්දේශ කරමු.
ක්ෂණික පණිවිඩකරුවන් සහ යෙදුම් සමඟ වැඩ කිරීමට භාවිතා කරන උපාංගවල දත්ත ආරක්ෂාව (ලිපිලේඛන, ඡායාරූප, වීඩියෝ, එපමණයි) පිළිබඳ ගැටළුව සඳහා නව තනතුරක් කැප කර ඇත.
පණිවිඩකරුවන්
විදුලි පණිවුඩ
2018 ඔක්තෝම්බර් මාසයේදී, පළමු වසරේ වේක් කාර්මික විද්යාලයේ ශිෂ්ය Nathaniel Sachi විසින් Telegram පණිවිඩකරු විසින් දේශීය පරිගණක ධාවකයේ පණිවිඩ සහ මාධ්ය ගොනු පැහැදිලි පෙළකින් සුරකින බව සොයා ගන්නා ලදී.
පෙළ සහ පින්තූර ඇතුළුව ඔහුගේම ලිපි හුවමාරුවට ප්රවේශ වීමට ශිෂ්යයාට හැකි විය. මෙය සිදු කිරීම සඳහා, ඔහු HDD හි ගබඩා කර ඇති යෙදුම් දත්ත සමුදායන් අධ්යයනය කළේය. දත්ත කියවීමට අපහසු නමුත් සංකේතනය කර නොමැති බව පෙනී ගියේය. පරිශීලකයා යෙදුම සඳහා මුරපදයක් සකසා තිබුණද ඒවාට ප්රවේශ විය හැකිය.
ලැබුණු දත්තවල, මැදිහත්කරුවන්ගේ නම් සහ දුරකථන අංක සොයාගෙන ඇති අතර, අවශ්ය නම්, එය සැසඳිය හැකිය. සංවෘත කතාබස් වලින් ලැබෙන තොරතුරු ද පැහැදිලි ආකෘතියකින් ගබඩා කර ඇත.
ඩුරොව් පසුව ප්රකාශ කළේ මෙය ගැටළුවක් නොවන බවයි, මන්ද ප්රහාරකයෙකුට පරිශීලකයාගේ පරිගණකයට ප්රවේශය තිබේ නම්, ඔහුට සංකේතාංකන යතුරු ලබා ගැනීමට සහ කිසිදු ගැටළුවක් නොමැතිව සියලුම ලිපි හුවමාරු කර ගැනීමට හැකි වනු ඇත. නමුත් බොහෝ තොරතුරු ආරක්ෂණ විශේෂඥයින් තර්ක කරන්නේ මෙය තවමත් බරපතල බවයි.
ඊට අමතරව, ටෙලිග්රාම් ප්රධාන සොරකම් ප්රහාරයකට ගොදුරු විය හැකි බව පෙනී ගියේය Habr පරිශීලක. ඔබට ඕනෑම දිගකින් සහ සංකීර්ණතාවයකින් යුත් දේශීය කේත මුරපද හැක් කළ හැකිය.
නම් වට්සැප්
අප දන්නා පරිදි, මෙම පණිවිඩකරු විසින් සංකේතනය නොකළ ආකාරයෙන් පරිගණක තැටියේ දත්ත ගබඩා කරයි. ඒ අනුව, ප්රහාරකයෙකුට පරිශීලකයාගේ උපාංගයට ප්රවේශය තිබේ නම්, සියලු දත්ත ද විවෘත වේ.
නමුත් වඩාත් ගෝලීය ගැටලුවක් තිබේ. දැනට, WhatsApp වෙතින් ලැබෙන සියලුම උපස්ථ උපාංගවල ස්ථාපනය කර ඇත Android ගූගල් සහ ෆේස්බුක් පසුගිය වසරේ එකඟ වූ පරිදි, මෙහෙයුම් පද්ධතිය ගූගල් ඩ්රයිව් හි ගබඩා කර ඇත. නමුත් ලිපි හුවමාරුවේ උපස්ථ, මාධ්ය ගොනු සහ ඒ හා සමාන . කෙනෙකුට විනිශ්චය කළ හැකි තාක් දුරට, එකම එක්සත් ජනපදයේ නීතිය ක්රියාත්මක කරන නිලධාරීන් , එබැවින් ආරක්ෂක හමුදාවන්ට ගබඩා කර ඇති ඕනෑම දත්තයක් බැලීමට හැකියාවක් ඇත.
දත්ත සංකේතනය කිරීමට හැකියාව ඇත, නමුත් සමාගම් දෙකම මෙය නොකරයි. සමහර විට හුදෙක් සංකේතනය නොකළ උපස්ථ පරිශීලකයන් විසින්ම පහසුවෙන් මාරු කර භාවිතා කළ හැකි නිසා විය හැකිය. බොහෝ දුරට ඉඩ, සංකේතාංකනයක් නොමැත එය ක්රියාත්මක කිරීමට තාක්ෂණික වශයෙන් අපහසු නිසා නොවේ: ඊට පටහැනිව, ඔබට කිසිදු අපහසුවකින් තොරව උපස්ථ ආරක්ෂා කළ හැකිය. ගැටළුව වන්නේ ගූගල් WhatsApp සමඟ වැඩ කිරීමට තමන්ගේම හේතු තිබීමයි - සමාගම අනුමාන කරයි සහ පුද්ගලාරෝපිත වෙළඳ දැන්වීම් ප්රදර්ශනය කිරීමට ඒවා භාවිතා කරයි. Facebook හදිසියේ WhatsApp උපස්ථ සඳහා සංකේතනය හඳුන්වා දුන්නේ නම්, Google එවැනි හවුල්කාරිත්වයක් සඳහා ඇති උනන්දුව ක්ෂණිකව අහිමි වනු ඇත, WhatsApp භාවිතා කරන්නන්ගේ මනාපයන් පිළිබඳ වටිනා දත්ත මූලාශ්රයක් අහිමි වනු ඇත. ඇත්ත වශයෙන්ම මෙය උපකල්පනයක් පමණි, නමුත් අධි තාක්ෂණික අලෙවිකරණ ලෝකයේ බොහෝ දුරට ඉඩ ඇත.
IOS සඳහා WhatsApp සඳහා, උපස්ථ iCloud වලාකුළට සුරකිනු ලැබේ. නමුත් මෙහි ද තොරතුරු සංකේතනය නොකළ ආකාරයෙන් ගබඩා කර ඇති අතර එය යෙදුම් සැකසුම් තුළ පවා සඳහන් වේ. ඇපල් මෙම දත්ත විශ්ලේෂණය කරන්නේද නැද්ද යන්න දන්නේ සංස්ථාවම පමණි. ඇත්ත වශයෙන්ම, Cupertino හට Google වැනි වෙළඳ ප්රචාරණ ජාලයක් නොමැත, එබැවින් ඔවුන් WhatsApp භාවිතා කරන්නන්ගේ පුද්ගලික දත්ත විශ්ලේෂණය කිරීමේ සම්භාවිතාව බෙහෙවින් අඩු යැයි අපට උපකල්පනය කළ හැකිය.
පවසා ඇති සියල්ල පහත පරිදි සකස් කළ හැකිය - ඔව්, ඔබට පමණක් නොව ඔබේ WhatsApp ලිපි හුවමාරුවට ප්රවේශය ඇත.
TikTok සහ අනෙකුත් පණිවිඩකරුවන්
මෙම කෙටි වීඩියෝ බෙදාගැනීමේ සේවාව ඉතා ඉක්මනින් ජනප්රිය විය හැක. සංවර්ධකයින් තම පරිශීලකයින්ගේ දත්තවල සම්පූර්ණ ආරක්ෂාව සහතික කිරීමට පොරොන්දු විය. එය සිදු වූ පරිදි, පරිශීලකයින්ට දැනුම් දීමකින් තොරව සේවාවම මෙම දත්ත භාවිතා කළේය. ඊටත් වඩා නරකයි: සේවාව දෙමාපියන්ගේ අනුමැතියකින් තොරව වයස අවුරුදු 13 ට අඩු ළමුන්ගෙන් පුද්ගලික දත්ත රැස් කළේය. බාල වයස්කරුවන්ගේ පුද්ගලික තොරතුරු - නම්, ඊමේල්, දුරකථන අංක, ඡායාරූප සහ වීඩියෝ - ප්රසිද්ධියේ ලබා ගත හැකි විය.
සේවා ඩොලර් මිලියන කිහිපයක් සඳහා, නියාමකයින් අවුරුදු 13 ට අඩු ළමුන් විසින් සාදන ලද සියලුම වීඩියෝ ඉවත් කරන ලෙස ඉල්ලා සිටියේය. TikTok එකඟ විය. කෙසේ වෙතත්, වෙනත් පණිවිඩකරුවන් සහ සේවා පරිශීලකයින්ගේ පුද්ගලික දත්ත ඔවුන්ගේම අරමුණු සඳහා භාවිතා කරයි, එබැවින් ඔබට ඔවුන්ගේ ආරක්ෂාව ගැන සහතික විය නොහැක.
මෙම ලැයිස්තුව නිමක් නැතිව දිගටම කරගෙන යා හැක - බොහෝ ක්ෂණික පණිවිඩකරුවන්ට පරිශීලකයින්ට සවන් දීමට ප්රහාරකයන්ට ඉඩ සලසන එක් හෝ තවත් අවදානමක් ඇත ( - Viber, සෑම දෙයක්ම එහි සවි කර ඇති බවක් පෙනෙන්නට තිබුණත්) හෝ ඔවුන්ගේ දත්ත සොරකම් කරන්න. මීට අමතරව, ඉහළම 5 හි සියලුම යෙදුම් පාහේ පරිශීලක දත්ත පරිගණකයේ දෘඪ තැටියේ හෝ දුරකථනයේ මතකයේ අනාරක්ෂිත ආකාරයෙන් ගබඩා කරයි. මෙය විවිධ රටවල ඔත්තු සේවා මතක තබා නොගෙන, නීති සම්පාදනයට ස්තූතිවන්ත වන පරිශීලක දත්ත වෙත ප්රවේශ විය හැකිය. එම Skype, VKontakte, TamTam සහ වෙනත් අය බලධාරීන්ගේ ඉල්ලීම මත ඕනෑම පරිශීලකයෙකු පිළිබඳ ඕනෑම තොරතුරක් සපයයි (උදාහරණයක් ලෙස, රුසියානු සමූහාණ්ඩුව).
ප්රොටෝකෝල මට්ටමින් හොඳ ආරක්ෂාවක්ද? ගැටළුවක් නැත, අපි උපාංගය බිඳ දමමු
වසර කිහිපයකට පෙර Apple සහ US රජය අතර. සැන් බර්නාඩිනෝ නගරයේ ත්රස්ත ප්රහාරයට සම්බන්ධ වූ සංකේතාත්මක ස්මාර්ට් ජංගම දුරකතනයක් අගුළු හැරීම සංස්ථාව ප්රතික්ෂේප කළේය. එම අවස්ථාවේ දී, මෙය සැබෑ ගැටළුවක් ලෙස පෙනෙන්නට තිබුණි: දත්ත හොඳින් ආරක්ෂා කර ඇති අතර, ස්මාර්ට් ජංගම දුරකතනයක් අනවසරයෙන් ඇතුළුවීම කළ නොහැකි හෝ ඉතා අපහසු විය.
දැන් දේවල් වෙනස්. උදාහරණයක් ලෙස, ඊශ්රායල සමාගමක් වන Cellebrite, රුසියාවේ සහ අනෙකුත් රටවල නීතිමය ආයතනවලට සියලුම මාදිලි හැක් කිරීමට ඉඩ සලසන දෘඩාංග සහ මෘදුකාංග පද්ධතියක් අලෙවි කරයි. iPhone и Androidගිය අවුරුද්දේ තිබුණා මෙම මාතෘකාව පිළිබඳ සාපේක්ෂව සවිස්තරාත්මක තොරතුරු සමඟ.

මගදන් අධිකරණ වෛද්ය පරීක්ෂක පොපොව් විසින් එක්සත් ජනපද ෆෙඩරල් විමර්ශන කාර්යාංශය විසින් භාවිතා කරන ලද තාක්ෂණයම භාවිතා කරමින් ස්මාර්ට් ජංගම දුරකතනයක් හැක් කරයි. මූලාශ්රය: බීබීසී
උපකරණය රජයේ ප්රමිතීන්ට අනුව මිල අඩුය. UFED Touch2 සඳහා, විමර්ශන කමිටුවේ Volgograd දෙපාර්තමේන්තුව රුබල් 800 ක්, Khabarovsk දෙපාර්තමේන්තුව - රූබල් මිලියන 1,2 ක් ගෙවා ඇත. 2017 දී රුසියානු සමූහාණ්ඩුවේ විමර්ශන කමිටුවේ ප්රධානී ඇලෙක්සැන්ඩර් බැස්ට්රිකින් ඔහුගේ දෙපාර්තමේන්තුව තහවුරු කළේය. ඊශ්රායල සමාගම.
Sberbank ද එවැනි උපාංග මිලදී ගන්නේ, පරීක්ෂණ පැවැත්වීම සඳහා නොව, OS ක්රියාත්මක වන උපාංගවල වෛරස් වලට එරෙහිව සටන් කිරීමට ය. Android"නොදන්නා අනිෂ්ට මෘදුකාංග වලින් ජංගම උපාංග ආසාදනය වී ඇති බවට සැකයක් ඇත්නම් සහ ආසාදිත දුරකථන හිමිකරුවන්ගේ අනිවාර්ය කැමැත්ත ලැබීමෙන් පසු, UFED Touch2 ඇතුළු විවිධ මෙවලම් භාවිතයෙන් නිරන්තරයෙන් මතුවන සහ පරිණාමය වන නව වෛරස් සෙවීම සඳහා විශ්ලේෂණයක් පවත්වනු ලැබේ," සමාගම තුළ.
ඕනෑම ස්මාර්ට් ජංගම දුරකතනයක් හැක් කිරීමට ඉඩ සලසන තාක්ෂණයන් ද ඇමරිකානුවන්ට ඇත. ග්රේෂිෆ්ට් විසින් ස්මාර්ට්ෆෝන් 300ක් ඩොලර් 15කට හැක් කිරීමට පොරොන්දු වේ (එය ඒකකයකට ඩොලර් 50ක් සහ සෙල්බ්රයිට්ගේ ඩොලර් 1500).
සයිබර් අපරාධකරුවන් සතුවද එවැනිම උපාංග තිබෙන්නට ඇත. මෙම උපකරණ නිරන්තරයෙන් වැඩිදියුණු වෙමින් පවතී - ඒවායේ ප්රමාණය අඩු වන අතර ඒවායේ ක්රියාකාරිත්වය වැඩි වේ.
දැන් අපි ඔවුන්ගේ පරිශීලකයින්ගේ දත්ත ආරක්ෂා කිරීම ගැන සැලකිලිමත් වන විශාල නිෂ්පාදකයින්ගෙන් වැඩි වශයෙන් හෝ අඩු ප්රසිද්ධ දුරකථන ගැන කතා කරමු. අපි කුඩා සමාගම් හෝ නමක් නොමැති සංවිධාන ගැන කතා කරන්නේ නම්, මෙම අවස්ථාවේදී දත්ත ගැටළු නොමැතිව ඉවත් කරනු ලැබේ. ඇරඹුම් කාරකය අගුලු දමා ඇති විට පවා HS-USB මාදිලිය ක්රියා කරයි. සේවා මාදිලි සාමාන්යයෙන් දත්ත ලබා ගත හැකි "පසුපස දොරක්" වේ. එසේ නොවේ නම්, ඔබට JTAG තොටට සම්බන්ධ වීමට හෝ eMMC චිපය සම්පූර්ණයෙන්ම ඉවත් කර එය මිල අඩු ඇඩප්ටරයකට ඇතුල් කළ හැක. දත්ත සංකේතනය කර නොමැති නම්, දුරකථනයෙන් වලාකුළු ආචයනය සහ අනෙකුත් සේවාවන් වෙත ප්රවේශය සපයන සත්යාපන ටෝකන ඇතුළුව පොදුවේ සියල්ල.
යමෙකුට වැදගත් තොරතුරු සහිත ස්මාර්ට් ජංගම දුරකතනයකට පුද්ගලික ප්රවේශයක් තිබේ නම්, නිෂ්පාදකයින් කුමක් කීවත් ඔවුන්ට අවශ්ය නම් එය හැක් කළ හැකිය.
කියපු හැමදෙයක්ම ස්මාට් ෆෝන් වලට විතරක් නෙවෙයි, විවිධ OS දුවන පරිගණක, ලැප්ටොප් පරිගණක වලටත් අදාල බව පැහැදිලියි. ඔබ උසස් ආරක්ෂණ පියවරයන් වෙත යොමු නොවන්නේ නම්, නමුත් මුරපදයක් සහ පිවිසුමක් වැනි සාම්ප්රදායික ක්රමවලින් සෑහීමට පත් වන්නේ නම්, දත්ත අනතුරේ පවතිනු ඇත. උපාංගයට භෞතික ප්රවේශයක් ඇති පළපුරුදු හැකර් ඕනෑම තොරතුරක් පාහේ ලබා ගැනීමට හැකි වනු ඇත - එය කාලය පිළිබඳ ප්රශ්නයක් පමණි.
ඉතින් මොනවා කරන්නද?
Habré හි, පුද්ගලික උපාංගවල දත්ත ආරක්ෂාව පිළිබඳ ගැටළුව එක් වරකට වඩා මතු කර ඇත, එබැවින් අපි නැවත රෝදය ප්රතිනිර්මාණය නොකරමු. තෙවන පාර්ශවයන් ඔබගේ දත්ත ලබා ගැනීමේ සම්භාවිතාව අඩු කරන ප්රධාන ක්රම පමණක් අපි දක්වන්නෙමු:
- ඔබගේ ස්මාර්ට් ජංගම දුරකතනයේ සහ පරිගණකයේ දත්ත සංකේතනය භාවිතා කිරීම අනිවාර්ය වේ. විවිධ මෙහෙයුම් පද්ධති බොහෝ විට හොඳ පෙරනිමි විශේෂාංග සපයයි. උදාහරණයක් - සම්මත මෙවලම් භාවිතයෙන් Mac OS හි crypto බහාලුම්.
- ටෙලිග්රාම් සහ අනෙකුත් ක්ෂණික පණිවිඩකරුවන්ගේ ලිපි හුවමාරු ඉතිහාසය ඇතුළුව ඕනෑම තැනක සහ සෑම තැනකම මුරපද සකසන්න. ස්වාභාවිකවම, මුරපද සංකීර්ණ විය යුතුය.
- ද්වි-සාධක සත්යාපනය - ඔව්, එය අපහසුතාවයක් විය හැකිය, නමුත් ආරක්ෂාව පළමුව පැමිණේ නම්, ඔබ එය ඉවසා සිටිය යුතුය.
- ඔබගේ උපාංගවල භෞතික ආරක්ෂාව නිරීක්ෂණය කරන්න. ආයතනික පරිගණකයක් කැෆේ එකකට ගෙන ගොස් එහි අමතකද? සම්භාව්ය. ආයතනික ඒවා ඇතුළුව ආරක්ෂිත ප්රමිතීන් ලියා ඇත්තේ ඔවුන්ගේම නොසැලකිලිමත්කම නිසා ගොදුරු වූවන්ගේ කඳුළු වලින්.
තෙවන පාර්ශ්වයක් භෞතික උපාංගයකට ප්රවේශය ලබා ගන්නා විට දත්ත අනවසරයෙන් ඇතුළුවීමේ සම්භාවිතාව අඩු කිරීමට ඔබගේ ක්රම පිළිබඳ අදහස් දෙස බලමු. ඉන්පසු අපි යෝජිත ක්රම ලිපියට එකතු කරන්නෙමු හෝ ඒවා අපගේ ප්රකාශනයෙහි පළ කරන්නෙමු , අපි නිතරම ආරක්ෂාව ගැන ලියන තැන, භාවිතා කිරීම සඳහා ජීවිත හැක් සහ අන්තර්ජාල වාරණය.
මූලාශ්රය: www.habr.com
