Në shkurt publikuam artikullin “Jo vetëm VPN. Një fletë mashtrimi se si të mbroni veten dhe të dhënat tuaja." na nxiti të shkruanim një vazhdim të artikullit. Kjo pjesë është një burim plotësisht i pavarur informacioni, por gjithsesi ju rekomandojmë të lexoni të dy postimet.
Një postim i ri i kushtohet çështjes së sigurisë së të dhënave (korrespondencë, foto, video, kjo është e gjitha) në mesazhet e çastit dhe vetë pajisjet që përdoren për të punuar me aplikacione.
Messendgerы
Telegram
Në tetor 2018, studenti i vitit të parë të Kolegjit Teknik Wake Nathaniel Sachi zbuloi se mesazheri Telegram ruan mesazhet dhe skedarët e mediave në diskun e kompjuterit lokal në tekst të qartë.
Studenti ishte në gjendje të aksesonte korrespondencën e tij, duke përfshirë tekstin dhe fotografitë. Për ta bërë këtë, ai studioi bazat e të dhënave të aplikacioneve të ruajtura në HDD. Doli se të dhënat ishin të vështira për t'u lexuar, por jo të koduara. Dhe ato mund të aksesohen edhe nëse përdoruesi ka vendosur një fjalëkalim për aplikacionin.
Në të dhënat e marra janë gjetur emrat dhe numrat e telefonit të bashkëbiseduesve, të cilët sipas dëshirës mund të krahasohen. Informacioni nga bisedat e mbyllura ruhet gjithashtu në format të qartë.
Durov më vonë deklaroi se ky nuk është problem, sepse nëse një sulmues ka qasje në kompjuterin e përdoruesit, ai do të jetë në gjendje të marrë çelësat e enkriptimit dhe të deshifrojë të gjithë korrespondencën pa asnjë problem. Por shumë ekspertë të sigurisë së informacionit argumentojnë se kjo është ende serioze.
Për më tepër, Telegram doli të jetë i prekshëm ndaj një sulmi të vjedhjes kryesore, i cili Përdoruesi Habr. Ju mund të hakoni fjalëkalimet e kodit lokal të çdo gjatësi dhe kompleksiteti.
Me sa dimë, ky mesazher ruan edhe të dhënat në diskun e kompjuterit në formë të pakriptuar. Prandaj, nëse një sulmues ka qasje në pajisjen e përdoruesit, atëherë të gjitha të dhënat janë gjithashtu të hapura.
Por ka një problem më global. Aktualisht, të gjitha kopjet rezervë nga WhatsApp të instaluara në pajisjet me sistemin operativ Android ruhen në Google Drive, siç u pajtuan Google dhe Facebook vitin e kaluar. Por kopje rezervë të korrespondencës, skedarëve mediatikë dhe të ngjashme . Për aq sa mund të gjykohet, oficerë të zbatimit të ligjit të të njëjtës SHBA , kështu që ekziston mundësia që forcat e sigurisë të mund të shikojnë çdo të dhënë të ruajtur.
Është e mundur të kriptoni të dhënat, por të dyja kompanitë nuk e bëjnë këtë. Ndoshta thjesht sepse kopjet rezervë të pakriptuara mund të transferohen dhe përdoren lehtësisht nga vetë përdoruesit. Me shumë mundësi, nuk ka enkriptim jo sepse teknikisht është i vështirë për t'u zbatuar: përkundrazi, mund të mbroni kopjet rezervë pa ndonjë vështirësi. Problemi është se Google ka arsyet e veta për të punuar me WhatsApp - kompania me sa duket dhe i përdor ato për të shfaqur reklama të personalizuara. Nëse Facebook do të prezantonte papritur enkriptimin për kopjet rezervë të WhatsApp, Google do të humbiste menjëherë interesin për një partneritet të tillë, duke humbur një burim të vlefshëm të dhënash për preferencat e përdoruesve të WhatsApp. Ky, natyrisht, është vetëm një supozim, por ka shumë të ngjarë në botën e marketingut të teknologjisë së lartë.
Sa i përket WhatsApp për iOS, kopjet rezervë ruhen në cloud iCloud. Por edhe këtu informacioni ruhet në formë të pakriptuar, gjë që shprehet edhe në cilësimet e aplikacionit. Nëse Apple i analizon këto të dhëna apo jo, e di vetëm vetë korporata. Vërtetë, Cupertino nuk ka një rrjet reklamimi si Google, kështu që mund të supozojmë se gjasat që ata të analizojnë të dhënat personale të përdoruesve të WhatsApp janë shumë më të ulëta.
Gjithçka që është thënë mund të formulohet si më poshtë - po, jo vetëm ju keni akses në korrespondencën tuaj WhatsApp.
TikTok dhe lajmëtarë të tjerë
Ky shërbim i shkurtër i ndarjes së videove mund të bëhet i njohur shumë shpejt. Zhvilluesit premtuan të sigurojnë siguri të plotë të të dhënave të përdoruesve të tyre. Siç doli, vetë shërbimi i përdori këto të dhëna pa i njoftuar përdoruesit. Edhe më keq: shërbimi mblodhi të dhëna personale nga fëmijët nën 13 vjeç pa pëlqimin e prindërve. Të dhënat personale të të miturve – emrat, emailet, numrat e telefonit, fotot dhe videot – u bënë publike.
Shërbim për disa milionë dollarë, rregullatorët kërkuan gjithashtu heqjen e të gjitha videove të bëra nga fëmijët nën 13 vjeç. TikTok u pajtua. Megjithatë, lajmëtarët dhe shërbimet e tjera përdorin të dhënat personale të përdoruesve për qëllimet e tyre, kështu që nuk mund të jeni të sigurt për sigurinë e tyre.
Kjo listë mund të vazhdojë pafundësisht - shumica e lajmëtarëve të çastit kanë një ose një tjetër dobësi që i lejon sulmuesit të përgjojnë përdoruesit ( — Viber, megjithëse gjithçka duket se është rregulluar atje) ose vjedhin të dhënat e tyre. Për më tepër, pothuajse të gjitha aplikacionet nga 5 më të mirat ruajnë të dhënat e përdoruesit në një formë të pambrojtur në hard diskun e kompjuterit ose në kujtesën e telefonit. Dhe kjo pa kujtuar shërbimet inteligjente të vendeve të ndryshme, të cilat mund të kenë akses në të dhënat e përdoruesve falë legjislacionit. I njëjti Skype, VKontakte, TamTam dhe të tjerët ofrojnë çdo informacion për çdo përdorues me kërkesë të autoriteteve (për shembull, Federata Ruse).
Siguri e mirë në nivel protokolli? Nuk ka problem, ne e thyejmë pajisjen
Disa vite më parë mes Apple dhe qeverisë amerikane. Korporata refuzoi të zhbllokonte një smartphone të koduar që ishte përfshirë në sulmet terroriste në qytetin e San Bernardino. Në atë kohë, ky dukej si një problem i vërtetë: të dhënat ishin të mbrojtura mirë, dhe hakimi i një smartphone ishte ose i pamundur ose shumë i vështirë.
Tani gjërat janë ndryshe. Për shembull, kompania izraelite Cellebrite u shet personave juridikë në Rusi dhe vende të tjera një sistem softuerësh dhe harduerësh që ju lejon të hakoni të gjitha modelet e iPhone dhe Android. Vitin e kaluar ka pasur me informacion relativisht të detajuar për këtë temë.
Hetuesi mjeko-ligjor Magadan, Popov, hakon një smartphone duke përdorur të njëjtën teknologji të përdorur nga Byroja Federale e Hetimeve të SHBA-së. Burimi: BBC
Pajisja është e lirë sipas standardeve të qeverisë. Për UFED Touch2, departamenti i Komitetit Hetues të Volgogradit pagoi 800 mijë rubla, departamenti i Khabarovsk - 1,2 milion rubla. Në vitin 2017, Alexander Bastrykin, kreu i Komitetit Hetues të Federatës Ruse, konfirmoi se departamenti i tij kompani izraelite.
Sberbank gjithashtu blen pajisje të tilla - megjithatë, jo për kryerjen e hetimeve, por për të luftuar viruset në pajisjet me OS Android. “Nëse pajisjet celulare dyshohet se janë të infektuara me një kod të panjohur të softuerit me qëllim të keq, dhe pas marrjes së pëlqimit të detyrueshëm të pronarëve të telefonave të infektuar, do të bëhet një analizë për të kërkuar viruse të reja që shfaqen vazhdimisht dhe ndryshojnë duke përdorur mjete të ndryshme, duke përfshirë përdorimin i UFED Touch2,” - ne shoqeri.
Amerikanët gjithashtu kanë teknologji që i lejojnë ata të hakojnë çdo smartphone. Grayshift premton të hakojë 300 telefona inteligjentë për 15 dollarë (50 dollarë për njësi kundrejt 1500 dollarë për Cellbrite).
Ka të ngjarë që edhe kriminelët kibernetikë të kenë pajisje të ngjashme. Këto pajisje janë duke u përmirësuar vazhdimisht - madhësia e tyre zvogëlohet dhe performanca e tyre rritet.
Tani po flasim për telefona pak a shumë të njohur nga prodhues të mëdhenj, të cilët shqetësohen për mbrojtjen e të dhënave të përdoruesve të tyre. Nëse po flasim për kompani më të vogla ose organizata pa emër, atëherë në këtë rast të dhënat hiqen pa probleme. Modaliteti HS-USB funksionon edhe kur ngarkuesi është i kyçur. Mënyrat e shërbimit janë zakonisht një "derë e pasme" përmes së cilës mund të merren të dhënat. Nëse jo, mund të lidheni me portën JTAG ose të hiqni fare çipin eMMC dhe më pas ta futni në një përshtatës të lirë. Nëse të dhënat nuk janë të koduara, nga telefoni gjithçka në përgjithësi, duke përfshirë argumentet e vërtetimit që ofrojnë akses në ruajtjen e cloud dhe shërbime të tjera.
Nëse dikush ka akses personal në një smartphone me informacione të rëndësishme, atëherë ai mund ta hakojë nëse dëshiron, pavarësisht se çfarë thonë prodhuesit.
Është e qartë se gjithçka që u tha nuk vlen vetëm për telefonat inteligjentë, por edhe për kompjuterët dhe laptopët që përdorin OS të ndryshëm. Nëse nuk përdorni masa të avancuara mbrojtëse, por jeni të kënaqur me metodat konvencionale si fjalëkalimi dhe identifikimi, atëherë të dhënat do të mbeten në rrezik. Një haker me përvojë me qasje fizike në pajisje do të jetë në gjendje të marrë pothuajse çdo informacion - është vetëm çështje kohe.
Pra, çfarë të bëni?
Në Habré, çështja e sigurisë së të dhënave në pajisjet personale është ngritur më shumë se një herë, kështu që ne nuk do ta rikrijojmë më timonin. Ne do të tregojmë vetëm metodat kryesore që zvogëlojnë gjasat që palët e treta të marrin të dhënat tuaja:
- Është e detyrueshme të përdorni enkriptimin e të dhënave si në smartphone ashtu edhe në PC. Sisteme të ndryshme operative shpesh ofrojnë veçori të mira të paracaktuara. Shembull - enë kripto në Mac OS duke përdorur mjete standarde.
- Vendosni fjalëkalime kudo dhe kudo, duke përfshirë historinë e korrespondencës në Telegram dhe mesazhe të tjera të çastit. Natyrisht, fjalëkalimet duhet të jenë komplekse.
- Autentifikimi me dy faktorë - po, mund të jetë i papërshtatshëm, por nëse siguria vjen e para, duhet ta duroni.
- Monitoroni sigurinë fizike të pajisjeve tuaja. Merrni një kompjuter të korporatës në një kafene dhe harroni atë atje? Klasike. Standardet e sigurisë, përfshirë ato të korporatave, u shkruan me lotët e viktimave të pakujdesisë së tyre.
Le të shohim në komente metodat tuaja për të zvogëluar gjasat e hakimit të të dhënave kur një palë e tretë fiton akses në një pajisje fizike. Më pas ne do t'i shtojmë metodat e propozuara në artikull ose do t'i publikojmë ato në faqen tonë , ku ne shkruajmë rregullisht për sigurinë, hakimet e jetës për përdorim dhe censurë në internet.
Burimi: www.habr.com