Vo februári sme uverejnili článok „Nie len VPN. Cheat sheet o tom, ako chrániť seba a svoje údaje." nás podnietilo napísať pokračovanie článku. Táto časť je úplne nezávislým zdrojom informácií, no aj tak vám odporúčame prečítať si oba príspevky.
Nový príspevok je venovaný problematike bezpečnosti dát (korešpondencia, fotografie, videá, to je všetko) v instant messengeroch a samotných zariadeniach, ktoré sa používajú na prácu s aplikáciami.
Poslovia
telegram
V októbri 2018 študent prvého ročníka Wake Technical College Nathaniel Sachi zistil, že telegramový messenger ukladá správy a mediálne súbory na disk lokálneho počítača vo forme čistého textu.
Študent mal prístup k svojej vlastnej korešpondencii vrátane textu a obrázkov. K tomu študoval databázy aplikácií uložené na HDD. Ukázalo sa, že dáta boli ťažko čitateľné, no neboli zašifrované. A dajú sa k nim dostať aj vtedy, ak si používateľ nastavil heslo pre aplikáciu.
V prijatých údajoch sa našli mená a telefónne čísla účastníkov rozhovoru, ktoré je možné v prípade potreby porovnať. Informácie z uzavretých chatov sú tiež uložené v prehľadnom formáte.
Durov neskôr uviedol, že to nie je problém, pretože ak má útočník prístup k PC používateľa, bude môcť bez problémov získať šifrovacie kľúče a dešifrovať všetku korešpondenciu. Mnohí odborníci na informačnú bezpečnosť však tvrdia, že je to stále vážne.
Okrem toho sa ukázalo, že Telegram je zraniteľný voči útoku krádeže kľúčov, ktorý Používateľ Habr. Môžete hacknúť heslá miestneho kódu ľubovoľnej dĺžky a zložitosti.
Pokiaľ vieme, tento messenger ukladá dáta aj na disk počítača v nezašifrovanej podobe. Preto, ak má útočník prístup k zariadeniu používateľa, všetky údaje sú tiež otvorené.
Ale je tu globálnejší problém. Aktuálne sú všetky zálohy z WhatsApp nainštalované na zariadeniach s OS Android uložené na Google Drive, na čom sa Google a Facebook dohodli minulý rok. Ale zálohy korešpondencie, mediálnych súborov a podobne . Pokiaľ možno súdiť, policajti z tých istých USA , takže existuje možnosť, že bezpečnostné zložky budú môcť nahliadnuť do akýchkoľvek uložených údajov.
Dáta je možné šifrovať, ale obe spoločnosti to nerobia. Možno jednoducho preto, že nešifrované zálohy môžu byť jednoducho prenášané a používané samotnými používateľmi. S najväčšou pravdepodobnosťou neexistuje žiadne šifrovanie nie preto, že by bolo technicky náročné na implementáciu: naopak, zálohy môžete chrániť bez akýchkoľvek problémov. Problém je v tom, že Google má svoje vlastné dôvody pre prácu s WhatsApp - pravdepodobne spoločnosťou a používa ich na zobrazovanie personalizovanej reklamy. Ak by Facebook zrazu zaviedol šifrovanie pre zálohy WhatsApp, Google by okamžite stratil záujem o takéto partnerstvo a stratil by cenný zdroj údajov o preferenciách používateľov WhatsApp. To je, samozrejme, len predpoklad, no vo svete hi-tech marketingu veľmi pravdepodobné.
Pokiaľ ide o WhatsApp pre iOS, zálohy sa ukladajú do cloudu iCloud. Ale aj tu sú informácie uložené v nezašifrovanej podobe, ktorá je uvedená aj v nastaveniach aplikácie. Či spoločnosť Apple tieto údaje analyzuje alebo nie, vie iba samotná spoločnosť. Je pravda, že Cupertino nemá reklamnú sieť ako Google, takže môžeme predpokladať, že pravdepodobnosť, že budú analyzovať osobné údaje používateľov WhatsApp, je oveľa nižšia.
Všetko, čo bolo povedané, možno formulovať nasledovne – áno, nielen vy máte prístup k svojej korešpondencii WhatsApp.
TikTok a ďalší poslovia
Táto služba na zdieľanie krátkych videí by sa mohla veľmi rýchlo stať populárnou. Vývojári sľúbili, že zabezpečia úplnú bezpečnosť údajov svojich používateľov. Ako sa ukázalo, samotná služba tieto údaje použila bez toho, aby o tom používateľov informovala. Ešte horšie: služba zbierala osobné údaje od detí mladších ako 13 rokov bez súhlasu rodičov. Osobné informácie maloletých – mená, e-maily, telefónne čísla, fotografie a videá – boli zverejnené.
Služba regulátori za niekoľko miliónov dolárov požadovali aj odstránenie všetkých videí vyrobených deťmi mladšími ako 13 rokov. TikTok vyhovel. Iní poslovia a služby však používajú osobné údaje používateľov na svoje vlastné účely, takže si nemôžete byť istí ich bezpečnosťou.
Tento zoznam môže pokračovať donekonečna – väčšina instant messengerov má jednu alebo druhú zraniteľnosť, ktorá umožňuje útočníkom odpočúvať používateľov ( — Viber, aj keď sa zdá, že tam bolo všetko opravené) alebo ukradnúť ich údaje. Takmer všetky aplikácie z top 5 navyše ukladajú používateľské dáta v nechránenej podobe na pevný disk počítača alebo do pamäte telefónu. A to bez toho, aby sme si spomenuli na spravodajské služby rôznych krajín, ktoré môžu mať vďaka legislatíve prístup k užívateľským dátam. Rovnaké Skype, VKontakte, TamTam a ďalšie poskytujú akékoľvek informácie o akomkoľvek používateľovi na žiadosť orgánov (napríklad Ruskej federácie).
Dobré zabezpečenie na úrovni protokolu? Žiadny problém, rozbijeme zariadenie
Pred niekoľkými rokmi medzi Apple a vládou USA. Korporácia odmietla odomknúť zašifrovaný smartfón, ktorý sa podieľal na teroristických útokoch v meste San Bernardino. V tom čase sa to zdalo ako skutočný problém: dáta boli dobre chránené a hacknutie smartfónu bolo buď nemožné, alebo veľmi ťažké.
Teraz sú veci iné. Napríklad izraelská spoločnosť Cellebrite predáva právnickým osobám v Rusku a iných krajinách softvérový a hardvérový systém, ktorý vám umožňuje hacknúť všetky modely iPhone a Android. Minulý rok tam bolo s pomerne podrobnými informáciami o tejto téme.
Magadanský forenzný vyšetrovateľ Popov hackne smartfón pomocou rovnakej technológie, akú používa americký Federálny úrad pre vyšetrovanie. Zdroj: BBC
Zariadenie je podľa vládnych noriem lacné. Za UFED Touch2 zaplatilo volgogradské oddelenie vyšetrovacieho výboru 800 tisíc rubľov, oddelenie Chabarovsk - 1,2 milióna rubľov. V roku 2017 Alexander Bastrykin, vedúci Vyšetrovacieho výboru Ruskej federácie, potvrdil, že jeho oddelenie Izraelská spoločnosť.
Sberbank tiež nakupuje takéto zariadenia - nie však na vykonávanie vyšetrovania, ale na boj proti vírusom na zariadeniach s OS Android. „V prípade podozrenia na infikovanie mobilných zariadení neznámym škodlivým softvérovým kódom a po získaní povinného súhlasu vlastníkov infikovaných telefónov bude vykonaná analýza na vyhľadávanie neustále sa objavujúcich a meniacich sa nových vírusov pomocou rôznych nástrojov, vrátane využitia UFED Touch2,“ - v spoločnosti.
Američania majú tiež technológie, ktoré im umožňujú hacknúť akýkoľvek smartfón. Grayshift sľubuje hacknutie 300 smartfónov za 15 50 dolárov (1500 dolárov za jednotku oproti XNUMX XNUMX dolárov za Cellbrite).
Je pravdepodobné, že podobné zariadenia majú aj kyberzločinci. Tieto zariadenia sa neustále zdokonaľujú – zmenšuje sa ich veľkosť a zvyšuje sa výkon.
Teraz hovoríme o viac či menej známych telefónoch veľkých výrobcov, ktorým záleží na ochrane dát svojich používateľov. Ak hovoríme o menších firmách alebo no-name organizáciách, tak v tomto prípade sú dáta odstránené bez problémov. Režim HS-USB funguje, aj keď je bootloader uzamknutý. Servisné režimy sú zvyčajne „zadnými dvierkami“, cez ktoré je možné získať údaje. Ak nie, môžete sa pripojiť k portu JTAG alebo úplne odstrániť čip eMMC a potom ho vložiť do lacného adaptéra. Ak údaje nie sú šifrované, z telefónu všetko vo všeobecnosti, vrátane autentifikačných tokenov, ktoré poskytujú prístup ku cloudovému úložisku a ďalším službám.
Ak má niekto osobný prístup k smartfónu s dôležitými informáciami, potom ho môže hacknúť, ak chce, bez ohľadu na to, čo hovoria výrobcovia.
Je jasné, že všetko, čo bolo povedané, platí nielen pre smartfóny, ale aj pre počítače a notebooky s rôznymi operačnými systémami. Ak sa neuchýlite k pokročilým ochranným opatreniam, ale uspokojíte sa s konvenčnými metódami, ako je heslo a prihlásenie, údaje zostanú v nebezpečenstve. Skúsený hacker s fyzickým prístupom k zariadeniu bude môcť získať takmer akékoľvek informácie – je to len otázka času.
Čo teda robiť?
Na Habré bola otázka bezpečnosti údajov na osobných zariadeniach nastolená viac ako raz, takže nebudeme znovu objavovať koleso. Uvedieme len hlavné metódy, ktoré znižujú pravdepodobnosť, že tretie strany získajú vaše údaje:
- Na smartfóne aj počítači je povinné používať šifrovanie údajov. Rôzne operačné systémy často poskytujú dobré predvolené funkcie. Príklad - kryptografický kontajner v Mac OS pomocou štandardných nástrojov.
- Nastavte si heslá kdekoľvek a všade, vrátane histórie korešpondencie v telegrame a iných instant messengeroch. Prirodzene, heslá musia byť zložité.
- Dvojfaktorová autentifikácia – áno, môže to byť nepohodlné, ale ak je bezpečnosť na prvom mieste, musíte sa s tým zmieriť.
- Sledujte fyzickú bezpečnosť svojich zariadení. Vezmete si firemný počítač do kaviarne a zabudnete ho tam? klasické. Bezpečnostné normy, vrátane firemných, boli napísané so slzami obetí ich vlastnej neopatrnosti.
Pozrime sa v komentároch na vaše metódy na zníženie pravdepodobnosti hacknutia údajov, keď tretia strana získa prístup k fyzickému zariadeniu. Navrhnuté metódy potom pridáme do článku alebo ich zverejníme v našom , kde pravidelne píšeme o bezpečnosti, life hackoch na použitie a cenzúra internetu.
Zdroj: hab.com