සංකේතනය උදව් නොකරන විට: අපි උපාංගයට භෞතික ප්‍රවේශය ගැන කතා කරමු

පෙබරවාරි මාසයේදී අපි “VPN පමණක් නොවේ” ලිපිය පළ කළෙමු. ඔබව සහ ඔබේ දත්ත ආරක්ෂා කර ගන්නේ කෙසේද යන්න පිළිබඳ වංචා පත්‍රිකාවක්. අදහස් වලින් එකක් ලිපියේ අඛණ්ඩව ලිවීමට අපව පොළඹවන ලදී. මෙම කොටස සම්පූර්ණයෙන්ම ස්වාධීන තොරතුරු මූලාශ්‍රයකි, නමුත් ඔබ ලිපි දෙකම කියවන ලෙස අපි තවමත් නිර්දේශ කරමු.

ක්ෂණික පණිවිඩකරුවන් සහ යෙදුම් සමඟ වැඩ කිරීමට භාවිතා කරන උපාංගවල දත්ත ආරක්ෂාව (ලිපිලේඛන, ඡායාරූප, වීඩියෝ, එපමණයි) පිළිබඳ ගැටළුව සඳහා නව තනතුරක් කැප කර ඇත.

පණිවිඩකරුවන්

විදුලි පණිවුඩ

2018 ඔක්තෝම්බර් මාසයේදී, පළමු වසරේ වේක් කාර්මික විද්‍යාලයේ ශිෂ්‍ය Nathaniel Sachi විසින් Telegram පණිවිඩකරු විසින් දේශීය පරිගණක ධාවකයේ පණිවිඩ සහ මාධ්‍ය ගොනු පැහැදිලි පෙළකින් සුරකින බව සොයා ගන්නා ලදී.

පෙළ සහ පින්තූර ඇතුළුව ඔහුගේම ලිපි හුවමාරුවට ප්‍රවේශ වීමට ශිෂ්‍යයාට හැකි විය. මෙය සිදු කිරීම සඳහා, ඔහු HDD හි ගබඩා කර ඇති යෙදුම් දත්ත සමුදායන් අධ්යයනය කළේය. දත්ත කියවීමට අපහසු නමුත් සංකේතනය කර නොමැති බව පෙනී ගියේය. පරිශීලකයා යෙදුම සඳහා මුරපදයක් සකසා තිබුණද ඒවාට ප්‍රවේශ විය හැකිය.

ලැබුණු දත්තවල, මැදිහත්කරුවන්ගේ නම් සහ දුරකථන අංක සොයාගෙන ඇති අතර, අවශ්ය නම්, එය සැසඳිය හැකිය. සංවෘත කතාබස් වලින් ලැබෙන තොරතුරු ද පැහැදිලි ආකෘතියකින් ගබඩා කර ඇත.

ඩුරොව් පසුව ප්‍රකාශ කළේ මෙය ගැටළුවක් නොවන බවයි, මන්ද ප්‍රහාරකයෙකුට පරිශීලකයාගේ පරිගණකයට ප්‍රවේශය තිබේ නම්, ඔහුට සංකේතාංකන යතුරු ලබා ගැනීමට සහ කිසිදු ගැටළුවක් නොමැතිව සියලුම ලිපි හුවමාරු කර ගැනීමට හැකි වනු ඇත. නමුත් බොහෝ තොරතුරු ආරක්ෂණ විශේෂඥයින් තර්ක කරන්නේ මෙය තවමත් බරපතල බවයි.

ඊට අමතරව, ටෙලිග්‍රාම් ප්‍රධාන සොරකම් ප්‍රහාරයකට ගොදුරු විය හැකි බව පෙනී ගියේය РѕР ± РЅР ° ружиР» Habr පරිශීලක. ඔබට ඕනෑම දිගකින් සහ සංකීර්ණතාවයකින් යුත් දේශීය කේත මුරපද හැක් කළ හැකිය.

නම් වට්සැප්

අප දන්නා පරිදි, මෙම පණිවිඩකරු විසින් සංකේතනය නොකළ ආකාරයෙන් පරිගණක තැටියේ දත්ත ගබඩා කරයි. ඒ අනුව, ප්‍රහාරකයෙකුට පරිශීලකයාගේ උපාංගයට ප්‍රවේශය තිබේ නම්, සියලු දත්ත ද විවෘත වේ.

නමුත් ඊට වඩා ගෝලීය ගැටලුවක් තිබේ. දැනට, Android OS සහිත උපාංගවල ස්ථාපනය කර ඇති WhatsApp වෙතින් වන සියලුම උපස්ථ Google Drive හි ගබඩා කර ඇති අතර, Google සහ Facebook පසුගිය වසරේ එකඟ විය. නමුත් ලිපි හුවමාරුව, මාධ්‍ය ගොනු සහ ඒ හා සමාන උපස්ථ සංකේතනය නොකළ ගබඩා කර ඇත. කෙනෙකුට විනිශ්චය කළ හැකි තාක් දුරට, එකම එක්සත් ජනපදයේ නීතිය ක්රියාත්මක කරන නිලධාරීන් Google Drive වෙත ප්‍රවේශය ඇත, එබැවින් ආරක්ෂක හමුදාවන්ට ගබඩා කර ඇති ඕනෑම දත්තයක් බැලීමට හැකියාවක් ඇත.

දත්ත සංකේතනය කිරීමට හැකියාව ඇත, නමුත් සමාගම් දෙකම මෙය නොකරයි. සමහර විට හුදෙක් සංකේතනය නොකළ උපස්ථ පරිශීලකයන් විසින්ම පහසුවෙන් මාරු කර භාවිතා කළ හැකි නිසා විය හැකිය. බොහෝ දුරට ඉඩ, සංකේතාංකනයක් නොමැත එය ක්රියාත්මක කිරීමට තාක්ෂණික වශයෙන් අපහසු නිසා නොවේ: ඊට පටහැනිව, ඔබට කිසිදු අපහසුවකින් තොරව උපස්ථ ආරක්ෂා කළ හැකිය. ගැටළුව වන්නේ ගූගල් WhatsApp සමඟ වැඩ කිරීමට තමන්ගේම හේතු තිබීමයි - සමාගම අනුමාන කරයි Google Drive සේවාදායකයේ ගබඩා කර ඇති දත්ත විශ්ලේෂණය කරයි සහ පුද්ගලාරෝපිත වෙළඳ දැන්වීම් ප්‍රදර්ශනය කිරීමට ඒවා භාවිතා කරයි. Facebook හදිසියේ WhatsApp උපස්ථ සඳහා සංකේතනය හඳුන්වා දුන්නේ නම්, Google එවැනි හවුල්කාරිත්වයක් සඳහා ඇති උනන්දුව ක්ෂණිකව අහිමි වනු ඇත, WhatsApp භාවිතා කරන්නන්ගේ මනාපයන් පිළිබඳ වටිනා දත්ත මූලාශ්රයක් අහිමි වනු ඇත. ඇත්ත වශයෙන්ම මෙය උපකල්පනයක් පමණි, නමුත් අධි තාක්‍ෂණික අලෙවිකරණ ලෝකයේ බොහෝ දුරට ඉඩ ඇත.

IOS සඳහා WhatsApp සඳහා, උපස්ථ iCloud වලාකුළට සුරකිනු ලැබේ. නමුත් මෙහි ද තොරතුරු සංකේතනය නොකළ ආකාරයෙන් ගබඩා කර ඇති අතර එය යෙදුම් සැකසුම් තුළ පවා සඳහන් වේ. ඇපල් මෙම දත්ත විශ්ලේෂණය කරන්නේද නැද්ද යන්න දන්නේ සංස්ථාවම පමණි. ඇත්ත වශයෙන්ම, Cupertino හට Google වැනි වෙළඳ ප්‍රචාරණ ජාලයක් නොමැත, එබැවින් ඔවුන් WhatsApp භාවිතා කරන්නන්ගේ පුද්ගලික දත්ත විශ්ලේෂණය කිරීමේ සම්භාවිතාව බෙහෙවින් අඩු යැයි අපට උපකල්පනය කළ හැකිය.

පවසා ඇති සියල්ල පහත පරිදි සකස් කළ හැකිය - ඔව්, ඔබට පමණක් නොව ඔබේ WhatsApp ලිපි හුවමාරුවට ප්‍රවේශය ඇත.

TikTok සහ අනෙකුත් පණිවිඩකරුවන්

මෙම කෙටි වීඩියෝ බෙදාගැනීමේ සේවාව ඉතා ඉක්මනින් ජනප්‍රිය විය හැක. සංවර්ධකයින් තම පරිශීලකයින්ගේ දත්තවල සම්පූර්ණ ආරක්ෂාව සහතික කිරීමට පොරොන්දු විය. එය සිදු වූ පරිදි, පරිශීලකයින්ට දැනුම් දීමකින් තොරව සේවාවම මෙම දත්ත භාවිතා කළේය. ඊටත් වඩා නරකයි: සේවාව දෙමාපියන්ගේ අනුමැතියකින් තොරව වයස අවුරුදු 13 ට අඩු ළමුන්ගෙන් පුද්ගලික දත්ත රැස් කළේය. බාල වයස්කරුවන්ගේ පුද්ගලික තොරතුරු - නම්, ඊමේල්, දුරකථන අංක, ඡායාරූප සහ වීඩියෝ - ප්‍රසිද්ධියේ ලබා ගත හැකි විය.

සේවා දඩ ගැහුවා ඩොලර් මිලියන කිහිපයක් සඳහා, නියාමකයින් අවුරුදු 13 ට අඩු ළමුන් විසින් සාදන ලද සියලුම වීඩියෝ ඉවත් කරන ලෙස ඉල්ලා සිටියේය. TikTok එකඟ විය. කෙසේ වෙතත්, වෙනත් පණිවිඩකරුවන් සහ සේවා පරිශීලකයින්ගේ පුද්ගලික දත්ත ඔවුන්ගේම අරමුණු සඳහා භාවිතා කරයි, එබැවින් ඔබට ඔවුන්ගේ ආරක්ෂාව ගැන සහතික විය නොහැක.

මෙම ලැයිස්තුව නිමක් නැතිව දිගටම කරගෙන යා හැක - බොහෝ ක්ෂණික පණිවිඩකරුවන්ට පරිශීලකයින්ට සවන් දීමට ප්‍රහාරකයන්ට ඉඩ සලසන එක් හෝ තවත් අවදානමක් ඇත (විශිෂ්ට උදාහරණයක් - Viber, සෑම දෙයක්ම එහි සවි කර ඇති බවක් පෙනෙන්නට තිබුණත්) හෝ ඔවුන්ගේ දත්ත සොරකම් කරන්න. මීට අමතරව, ඉහළම 5 හි සියලුම යෙදුම් පාහේ පරිශීලක දත්ත පරිගණකයේ දෘඪ තැටියේ හෝ දුරකථනයේ මතකයේ අනාරක්ෂිත ආකාරයෙන් ගබඩා කරයි. මෙය විවිධ රටවල ඔත්තු සේවා මතක තබා නොගෙන, නීති සම්පාදනයට ස්තූතිවන්ත වන පරිශීලක දත්ත වෙත ප්‍රවේශ විය හැකිය. එම Skype, VKontakte, TamTam සහ වෙනත් අය බලධාරීන්ගේ ඉල්ලීම මත ඕනෑම පරිශීලකයෙකු පිළිබඳ ඕනෑම තොරතුරක් සපයයි (උදාහරණයක් ලෙස, රුසියානු සමූහාණ්ඩුව).

ප්රොටෝකෝල මට්ටමින් හොඳ ආරක්ෂාවක්ද? ගැටළුවක් නැත, අපි උපාංගය බිඳ දමමු

වසර කිහිපයකට පෙර ගැටුම ඇති විය Apple සහ US රජය අතර. සැන් බර්නාඩිනෝ නගරයේ ත්‍රස්ත ප්‍රහාරයට සම්බන්ධ වූ සංකේතාත්මක ස්මාර්ට් ජංගම දුරකතනයක් අගුළු හැරීම සංස්ථාව ප්‍රතික්ෂේප කළේය. එම අවස්ථාවේ දී, මෙය සැබෑ ගැටළුවක් ලෙස පෙනෙන්නට තිබුණි: දත්ත හොඳින් ආරක්ෂා කර ඇති අතර, ස්මාර්ට් ජංගම දුරකතනයක් අනවසරයෙන් ඇතුළුවීම කළ නොහැකි හෝ ඉතා අපහසු විය.

දැන් දේවල් වෙනස්. උදාහරණයක් ලෙස, ඊශ්‍රායල සමාගමක් වන Cellebrite රුසියාවේ සහ අනෙකුත් රටවල නීත්‍යානුකූල ආයතනවලට සියලුම iPhone සහ Android මාදිලි හැක් කිරීමට ඉඩ සලසන මෘදුකාංග සහ දෘඪාංග පද්ධතියක් අලෙවි කරයි. ගිය අවුරුද්දේ තිබුණා ප්‍රචාරණ පොත් පිංච ප්‍රකාශයට පත් කර ඇත මෙම මාතෘකාව පිළිබඳ සාපේක්ෂව සවිස්තරාත්මක තොරතුරු සමඟ.

මගදන් අධිකරණ වෛද්‍ය පරීක්ෂක පොපොව් විසින් එක්සත් ජනපද ෆෙඩරල් විමර්ශන කාර්යාංශය විසින් භාවිතා කරන ලද තාක්ෂණයම භාවිතා කරමින් ස්මාර්ට් ජංගම දුරකතනයක් හැක් කරයි. මූලාශ්රය: බීබීසී

උපකරණය රජයේ ප්‍රමිතීන්ට අනුව මිල අඩුය. UFED Touch2 සඳහා, විමර්ශන කමිටුවේ Volgograd දෙපාර්තමේන්තුව රුබල් 800 ක්, Khabarovsk දෙපාර්තමේන්තුව - රූබල් මිලියන 1,2 ක් ගෙවා ඇත. 2017 දී රුසියානු සමූහාණ්ඩුවේ විමර්ශන කමිටුවේ ප්‍රධානී ඇලෙක්සැන්ඩර් බැස්ට්‍රිකින් ඔහුගේ දෙපාර්තමේන්තුව තහවුරු කළේය. විසඳුම් භාවිතා කරයි ඊශ්‍රායල සමාගම.

Sberbank ද එවැනි උපාංග මිලදී ගනී - කෙසේ වෙතත්, පරීක්ෂණ පැවැත්වීම සඳහා නොව, Android OS සමඟ උපාංගවල වෛරස් වලට එරෙහිව සටන් කිරීම සඳහා. “ජංගම උපාංග නොදන්නා අනිෂ්ට මෘදුකාංග කේතයකින් ආසාදනය වී ඇති බවට සැක කරන්නේ නම් සහ ආසාදිත දුරකථන හිමිකරුවන්ගේ අනිවාර්ය කැමැත්ත ලබා ගැනීමෙන් පසුව, භාවිතය ඇතුළු විවිධ මෙවලම් භාවිතයෙන් නිරන්තරයෙන් නැගී එන සහ වෙනස් වන නව වෛරස් සෙවීම සඳහා විශ්ලේෂණයක් සිදු කරනු ලැබේ. UFED Touch2 හි," - ප්රකාශ කළේය සමාගම තුළ.

ඕනෑම ස්මාර්ට් ජංගම දුරකතනයක් හැක් කිරීමට ඉඩ සලසන තාක්ෂණයන් ද ඇමරිකානුවන්ට ඇත. ග්‍රේෂිෆ්ට් විසින් ස්මාර්ට්ෆෝන් 300ක් ඩොලර් 15කට හැක් කිරීමට පොරොන්දු වේ (එය ඒකකයකට ඩොලර් 50ක් සහ සෙල්බ්‍රයිට්ගේ ඩොලර් 1500).

සයිබර් අපරාධකරුවන් සතුවද එවැනිම උපාංග තිබෙන්නට ඇත. මෙම උපකරණ නිරන්තරයෙන් වැඩිදියුණු වෙමින් පවතී - ඒවායේ ප්රමාණය අඩු වන අතර ඒවායේ ක්රියාකාරිත්වය වැඩි වේ.

දැන් අපි ඔවුන්ගේ පරිශීලකයින්ගේ දත්ත ආරක්ෂා කිරීම ගැන සැලකිලිමත් වන විශාල නිෂ්පාදකයින්ගෙන් වැඩි වශයෙන් හෝ අඩු ප්රසිද්ධ දුරකථන ගැන කතා කරමු. අපි කුඩා සමාගම් හෝ නමක් නොමැති සංවිධාන ගැන කතා කරන්නේ නම්, මෙම අවස්ථාවේදී දත්ත ගැටළු නොමැතිව ඉවත් කරනු ලැබේ. ඇරඹුම් කාරකය අගුලු දමා ඇති විට පවා HS-USB මාදිලිය ක්‍රියා කරයි. සේවා මාදිලි සාමාන්‍යයෙන් දත්ත ලබා ගත හැකි "පසුපස දොරක්" වේ. එසේ නොවේ නම්, ඔබට JTAG තොටට සම්බන්ධ වීමට හෝ eMMC චිපය සම්පූර්ණයෙන්ම ඉවත් කර එය මිල අඩු ඇඩප්ටරයකට ඇතුල් කළ හැක. දත්ත සංකේතනය කර නොමැති නම්, දුරකථනයෙන් පිටතට ඇද ගත හැක වලාකුළු ආචයනය සහ අනෙකුත් සේවාවන් වෙත ප්‍රවේශය සපයන සත්‍යාපන ටෝකන ඇතුළුව පොදුවේ සියල්ල.

යමෙකුට වැදගත් තොරතුරු සහිත ස්මාර්ට් ජංගම දුරකතනයකට පුද්ගලික ප්‍රවේශයක් තිබේ නම්, නිෂ්පාදකයින් කුමක් කීවත් ඔවුන්ට අවශ්‍ය නම් එය හැක් කළ හැකිය.

කියපු හැමදෙයක්ම ස්මාට් ෆෝන් වලට විතරක් නෙවෙයි, විවිධ OS දුවන පරිගණක, ලැප්ටොප් පරිගණක වලටත් අදාල බව පැහැදිලියි. ඔබ උසස් ආරක්ෂණ පියවරයන් වෙත යොමු නොවන්නේ නම්, නමුත් මුරපදයක් සහ පිවිසුමක් වැනි සාම්ප්‍රදායික ක්‍රමවලින් සෑහීමට පත් වන්නේ නම්, දත්ත අනතුරේ පවතිනු ඇත. උපාංගයට භෞතික ප්රවේශයක් ඇති පළපුරුදු හැකර් ඕනෑම තොරතුරක් පාහේ ලබා ගැනීමට හැකි වනු ඇත - එය කාලය පිළිබඳ ප්රශ්නයක් පමණි.

ඉතින් මොනවා කරන්නද?

Habré හි, පුද්ගලික උපාංගවල දත්ත ආරක්ෂාව පිළිබඳ ගැටළුව එක් වරකට වඩා මතු කර ඇත, එබැවින් අපි නැවත රෝදය ප්‍රතිනිර්මාණය නොකරමු. තෙවන පාර්ශවයන් ඔබගේ දත්ත ලබා ගැනීමේ සම්භාවිතාව අඩු කරන ප්‍රධාන ක්‍රම පමණක් අපි දක්වන්නෙමු:

• ඔබගේ ස්මාර්ට් ජංගම දුරකතනයේ සහ පරිගණකයේ දත්ත සංකේතනය භාවිතා කිරීම අනිවාර්ය වේ. විවිධ මෙහෙයුම් පද්ධති බොහෝ විට හොඳ පෙරනිමි විශේෂාංග සපයයි. උදාහරණයක් - සත්වයා සම්මත මෙවලම් භාවිතයෙන් Mac OS හි crypto බහාලුම්.

• ටෙලිග්‍රාම් සහ අනෙකුත් ක්ෂණික පණිවිඩකරුවන්ගේ ලිපි හුවමාරු ඉතිහාසය ඇතුළුව ඕනෑම තැනක සහ සෑම තැනකම මුරපද සකසන්න. ස්වාභාවිකවම, මුරපද සංකීර්ණ විය යුතුය.

• ද්වි-සාධක සත්‍යාපනය - ඔව්, එය අපහසුතාවයක් විය හැකිය, නමුත් ආරක්ෂාව පළමුව පැමිණේ නම්, ඔබ එය ඉවසා සිටිය යුතුය.

• ඔබගේ උපාංගවල භෞතික ආරක්ෂාව නිරීක්ෂණය කරන්න. ආයතනික පරිගණකයක් කැෆේ එකකට ගෙන ගොස් එහි අමතකද? සම්භාව්ය. ආයතනික ඒවා ඇතුළුව ආරක්ෂිත ප්‍රමිතීන් ලියා ඇත්තේ ඔවුන්ගේම නොසැලකිලිමත්කම නිසා ගොදුරු වූවන්ගේ කඳුළු වලින්.

තෙවන පාර්ශ්වයක් භෞතික උපාංගයකට ප්‍රවේශය ලබා ගන්නා විට දත්ත අනවසරයෙන් ඇතුළුවීමේ සම්භාවිතාව අඩු කිරීමට ඔබගේ ක්‍රම පිළිබඳ අදහස් දෙස බලමු. ඉන්පසු අපි යෝජිත ක්‍රම ලිපියට එකතු කරන්නෙමු හෝ ඒවා අපගේ ප්‍රකාශනයෙහි පළ කරන්නෙමු විදුලි පණිවුඩ නාලිකාව, අපි නිතරම ආරක්ෂාව ගැන ලියන තැන, භාවිතා කිරීම සඳහා ජීවිත හැක් අපගේ VPN සහ අන්තර්ජාල වාරණය.

මූලාශ්රය: www.habr.com