Februarja smo objavili članek »Ne samo VPN. Goljufija o tem, kako zaščititi sebe in svoje podatke." nas je spodbudilo k pisanju nadaljevanja članka. Ta del je popolnoma neodvisen vir informacij, vendar vseeno priporočamo, da preberete obe objavi.
Nova objava je posvečena vprašanju varnosti podatkov (dopisovanje, fotografije, videoposnetki, to je vse) v hitrih sporočilih in samih napravah, ki se uporabljajo za delo z aplikacijami.
Glasniki
Telegram
Oktobra 2018 je študent prvega letnika Wake Technical College Nathaniel Sachi odkril, da Messenger Telegram shranjuje sporočila in predstavnostne datoteke na pogon lokalnega računalnika v obliki čistega besedila.
Študent je lahko dostopal do lastne korespondence, vključno z besedilom in slikami. Da bi to naredil, je preučil podatkovne baze aplikacij, shranjene na trdem disku. Izkazalo se je, da so bili podatki težko berljivi, vendar ne šifrirani. Do njih je mogoče dostopati tudi, če je uporabnik nastavil geslo za aplikacijo.
V prejetih podatkih so bila najdena imena in telefonske številke sogovornikov, ki jih po želji lahko primerjamo. Informacije iz zaprtih klepetov so prav tako shranjene v jasni obliki.
Durov je kasneje izjavil, da to ni problem, saj če ima napadalec dostop do uporabnikovega računalnika, bo lahko brez težav pridobil šifrirne ključe in dešifriral vso korespondenco. Toda mnogi strokovnjaki za informacijsko varnost trdijo, da je to še vedno resno.
Poleg tega se je izkazalo, da je Telegram ranljiv za napad kraje ključa, kar Uporabnik Habr. Vdrete lahko v lokalna kodna gesla poljubne dolžine in zapletenosti.
Kolikor vemo, ta messenger shranjuje podatke tudi na računalniški disk v nešifrirani obliki. V skladu s tem, če ima napadalec dostop do uporabnikove naprave, so tudi vsi podatki odprti.
Obstaja pa bolj globalen problem. Trenutno so vse varnostne kopije WhatsAppa, nameščenega v napravah z operacijskim sistemom Android, shranjene v Google Drive, kot sta se Google in Facebook dogovorila lani. Ampak varnostne kopije korespondence, medijskih datotek in podobno . Kolikor je mogoče soditi, policisti istih ZDA , zato obstaja možnost, da si varnostne sile ogledajo vse shranjene podatke.
Podatke je mogoče šifrirati, vendar obe podjetji tega ne počneta. Morda preprosto zato, ker lahko nešifrirane varnostne kopije preprosto prenesejo in uporabljajo uporabniki sami. Najverjetneje ni šifriranja, ne zato, ker je tehnično težko izvesti: nasprotno, varnostne kopije lahko zaščitite brez težav. Težava je v tem, da ima Google svoje razloge za sodelovanje s WhatsAppom – podjetjem verjetno in jih uporablja za prikaz prilagojenih oglasov. Če bi Facebook nenadoma uvedel šifriranje za varnostne kopije WhatsApp, bi Google takoj izgubil zanimanje za takšno partnerstvo in izgubil dragocen vir podatkov o preferencah uporabnikov WhatsApp. To je seveda le domneva, a v svetu visokotehnološkega marketinga zelo verjetno.
Kar zadeva WhatsApp za iOS, se varnostne kopije shranijo v oblak iCloud. Toda tudi tukaj so informacije shranjene v nešifrirani obliki, kar je navedeno celo v nastavitvah aplikacije. Ali Apple te podatke analizira ali ne, ve le sama korporacija. Resda Cupertino nima oglaševalskega omrežja, kot je Google, zato lahko domnevamo, da je verjetnost, da bodo analizirali osebne podatke uporabnikov WhatsAppa, precej manjša.
Vse, kar je bilo povedano, je mogoče formulirati na naslednji način - da, ne samo, da imate dostop do vaše korespondence WhatsApp.
TikTok in drugi messengerji
Ta storitev deljenja kratkih videoposnetkov bi lahko zelo hitro postala priljubljena. Razvijalci so obljubili, da bodo zagotovili popolno varnost podatkov svojih uporabnikov. Kot se je izkazalo, je storitev sama uporabila te podatke, ne da bi obvestila uporabnike. Še huje: storitev je zbirala osebne podatke otrok, mlajših od 13 let, brez privolitve staršev. Osebni podatki mladoletnikov - imena, e-pošta, telefonske številke, fotografije in video posnetki - so bili javno dostopni.
Orodja za več milijonov dolarjev so regulatorji zahtevali tudi odstranitev vseh videoposnetkov, ki so jih naredili otroci, mlajši od 13 let. TikTok je upošteval. Vendar drugi messengerji in storitve uporabljajo osebne podatke uporabnikov za lastne namene, zato ne morete biti prepričani o njihovi varnosti.
Ta seznam je mogoče nadaljevati neskončno - večina takojšnjih sporočil ima eno ali drugo ranljivost, ki napadalcem omogoča prisluškovanje uporabnikom ( — Viber, čeprav se zdi, da je tam vse popravljeno) ali ukradel njihove podatke. Poleg tega skoraj vse aplikacije iz top 5 shranjujejo uporabniške podatke v nezaščiteni obliki na trdem disku računalnika ali v pomnilniku telefona. In to brez obveščevalnih služb različnih držav, ki imajo zaradi zakonodaje morda dostop do uporabniških podatkov. Isti Skype, VKontakte, TamTam in drugi zagotavljajo kakršne koli informacije o katerem koli uporabniku na zahtevo oblasti (na primer Ruske federacije).
Dobra varnost na ravni protokola? Ni problema, pokvarimo napravo
Pred nekaj leti med Applom in vlado ZDA. Korporacija ni hotela odkleniti šifriranega pametnega telefona, ki je bil vpleten v teroristične napade v mestu San Bernardino. Takrat se je to zdela prava težava: podatki so bili dobro zaščiteni, vdiranje v pametni telefon pa nemogoče ali zelo težko.
Zdaj so stvari drugačne. Na primer, izraelsko podjetje Cellebrite pravnim osebam v Rusiji in drugih državah prodaja sistem programske in strojne opreme, ki vam omogoča vdor v vse modele iPhone in Android. Lani je bil z relativno podrobnimi informacijami o tej temi.
Magadanski forenzični preiskovalec Popov vdre v pametni telefon z isto tehnologijo, ki jo uporablja ameriški Zvezni preiskovalni urad. Vir: BBC
Naprava je po državnih standardih poceni. Za UFED Touch2 je Volgogradski oddelek preiskovalnega odbora plačal 800 tisoč rubljev, oddelek Habarovsk - 1,2 milijona rubljev. Leta 2017 je Alexander Bastrykin, vodja preiskovalnega odbora Ruske federacije, potrdil, da je njegov oddelek Izraelsko podjetje.
Takšne naprave kupuje tudi Sberbank - vendar ne za preiskave, temveč za boj proti virusom na napravah z operacijskim sistemom Android. »Če obstaja sum, da so mobilne naprave okužene z neznano zlonamerno programsko kodo, in po pridobitvi obveznega soglasja lastnikov okuženih telefonov, bo izvedena analiza za iskanje nenehno pojavljajočih se in spreminjajočih se novih virusov z uporabo različnih orodij, vključno z uporabo UFED Touch2,” - v družbi.
Američani imajo tudi tehnologije, ki jim omogočajo vdor v kateri koli pametni telefon. Grayshift obljublja, da bo vdrl v 300 pametnih telefonov za 15 $ (50 $ na enoto v primerjavi s 1500 $ za Cellbrite).
Verjetno imajo podobne naprave tudi kiberkriminalci. Te naprave se nenehno izboljšujejo - njihova velikost se zmanjšuje in njihova zmogljivost se povečuje.
Zdaj govorimo o bolj ali manj znanih telefonih velikih proizvajalcev, ki skrbijo za zaščito podatkov svojih uporabnikov. Če govorimo o manjših podjetjih ali neimenovanih organizacijah, se v tem primeru podatki odstranijo brez težav. Način HS-USB deluje tudi, ko je zagonski nalagalnik zaklenjen. Storitveni načini so običajno "zadnja vrata", skozi katera je mogoče pridobiti podatke. Če ne, se lahko povežete z vrati JTAG ali v celoti odstranite čip eMMC in ga nato vstavite v poceni adapter. Če podatki niso šifrirani, iz telefona vse na splošno, vključno z žetoni za preverjanje pristnosti, ki omogočajo dostop do shrambe v oblaku in drugih storitev.
Če ima nekdo osebni dostop do pametnega telefona s pomembnimi informacijami, potem lahko vanj vdre, če želi, ne glede na to, kaj pravijo proizvajalci.
Jasno je, da vse, kar je bilo povedano, ne velja le za pametne telefone, ampak tudi za računalnike in prenosnike z različnimi operacijskimi sistemi. Če se ne zatečete k naprednim zaščitnim ukrepom, ampak se zadovoljite z običajnimi metodami, kot sta geslo in prijava, bodo podatki ostali v nevarnosti. Izkušeni heker s fizičnim dostopom do naprave bo lahko pridobil skoraj vse informacije - to je le vprašanje časa.
Kaj torej storiti?
Na Habréju je bilo vprašanje varnosti podatkov na osebnih napravah izpostavljeno že večkrat, zato kolesa ne bomo znova izumljali. Navedli bomo le glavne metode, ki zmanjšujejo verjetnost, da bi tretje osebe pridobile vaše podatke:
- Obvezna je uporaba šifriranja podatkov na pametnem telefonu in osebnem računalniku. Različni operacijski sistemi pogosto zagotavljajo dobre privzete funkcije. Primer - kripto vsebnik v Mac OS z uporabo standardnih orodij.
- Nastavite gesla kjerkoli in povsod, vključno z zgodovino dopisovanja v Telegramu in drugih hitrih sporočilih. Seveda morajo biti gesla zapletena.
- Dvostopenjska avtentikacija – ja, lahko je neprijetno, a če je varnost na prvem mestu, se morate s tem sprijazniti.
- Spremljajte fizično varnost svojih naprav. Odnesete službeni računalnik v kavarno in ga tam pozabite? Klasična. Varnostni standardi, tudi korporativni, so bili napisani s solzami žrtev lastne malomarnosti.
Poglejmo v komentarjih vaše metode za zmanjšanje verjetnosti vdora v podatke, ko tretja oseba pridobi dostop do fizične naprave. Nato bomo predlagane metode dodali članku ali jih objavili v našem , kjer redno pišemo o varnosti, življenjskih trikih za uporabo in internetna cenzura.
Vir: www.habr.com