У фебруару смо објавили чланак „Не само ВПН. Варалица о томе како да заштитите себе и своје податке." подстакао нас да напишемо наставак чланка. Овај део је потпуно независан извор информација, али ипак препоручујемо да прочитате оба поста.
Нови пост је посвећен питању безбедности података (преписка, фотографије, видео записи, то је све) у инстант мессенгерима и самим уређајима који се користе за рад са апликацијама.
Гласници
Telegram
Још у октобру 2018, студент прве године Техничког факултета Ваке Натханиел Сацхи открио је да Телеграм месинџер чува поруке и медијске датотеке на локалном рачунарском диску у чистом тексту.
Ученик је могао да приступи сопственој преписци, укључујући текст и слике. Да би то урадио, проучавао је базе података апликација које се налазе на ХДД-у. Испоставило се да су подаци били тешки за читање, али не и шифровани. И њима се може приступити чак и ако је корисник поставио лозинку за апликацију.
У добијеним подацима пронађена су имена и телефони саговорника који се, по жељи, могу упоредити. Информације из затворених ћаскања се такође чувају у јасном формату.
Дуров је касније изјавио да то није проблем, јер ако нападач има приступ рачунару корисника, моћи ће без проблема да добије кључеве за шифровање и дешифрује сву преписку. Али многи стручњаци за безбедност информација тврде да је то још увек озбиљно.
Поред тога, показало се да је Телеграм подложан кључном нападу крађе, који Корисник Хабра. Можете хаковати лозинке локалног кода било које дужине и сложености.
Колико знамо, овај месинџер такође чува податке на диску рачунара у нешифрованом облику. Сходно томе, ако нападач има приступ корисниковом уређају, сви подаци су такође отворени.
Али постоји глобалнији проблем. Тренутно се све резервне копије са ВхатсАпп-а инсталиране на уређајима са Андроид ОС-ом чувају на Гоогле диску, као што су се Гоогле и Фацебоок договорили прошле године. Али резервне копије преписке, медијских датотека и слично . Колико се може судити, службеници за спровођење закона исте САД , тако да постоји могућност да безбедносне снаге могу да прегледају све сачуване податке.
Могуће је шифровати податке, али обе компаније то не раде. Можда једноставно зато што нешифроване резервне копије могу лако да пренесу и користе сами корисници. Највероватније, не постоји шифровање не зато што је технички тешко применити: напротив, можете заштитити резервне копије без икаквих потешкоћа. Проблем је у томе што Гугл има своје разлоге за рад са ВхатсАпп-ом - компанијом вероватно и користи их за приказивање персонализованог оглашавања. Ако би Фацебоок изненада увео шифровање за резервне копије ВхатсАпп-а, Гугл би одмах изгубио интересовање за такво партнерство, изгубивши драгоцен извор података о преференцијама корисника ВхатсАпп-а. Ово је, наравно, само претпоставка, али врло вероватно у свету високотехнолошког маркетинга.
Што се тиче ВхатсАпп-а за иОС, резервне копије се чувају у иЦлоуд облаку. Али и овде се информације чувају у нешифрованом облику, што је наведено чак иу подешавањима апликације. Да ли Аппле анализира ове податке или не, зна само сама корпорација. Истина, Купертино нема рекламну мрежу попут Гугла, па можемо претпоставити да је вероватноћа да ће анализирати личне податке корисника ВхатсАпп-а много мања.
Све што је речено може се формулисати на следећи начин - да, не само да имате приступ својој ВхатсАпп преписци.
ТикТок и други месинџери
Ова кратка услуга дељења видеа могла би врло брзо постати популарна. Програмери су обећали да ће осигурати потпуну сигурност података својих корисника. Како се испоставило, сам сервис је користио ове податке без обавештавања корисника. Још горе: служба је прикупљала личне податке деце млађе од 13 година без сагласности родитеља. Лични подаци малолетника – имена, е-маилови, бројеви телефона, фотографије и видео снимци – стављени су на располагање јавности.
Сервис за неколико милиона долара, регулатори су такође тражили уклањање свих видео снимака које су направила деца млађа од 13 година. ТикТок се придржавао. Међутим, други месинџери и сервиси користе личне податке корисника у сопствене сврхе, тако да не можете бити сигурни у њихову безбедност.
Ова листа се може наставити бесконачно - већина инстант мессенгер-а има једну или другу рањивост која омогућава нападачима да прислушкују кориснике ( — Вибер, иако изгледа да је тамо све поправљено) или украду њихове податке. Поред тога, скоро све апликације из првих 5 чувају корисничке податке у незаштићеном облику на хард диску рачунара или у меморији телефона. И то без сећања на обавештајне службе разних земаља, које могу имати приступ корисничким подацима захваљујући законодавству. Исти Скипе, ВКонтакте, ТамТам и други пружају све информације о било ком кориснику на захтев власти (на пример, Руска Федерација).
Добра безбедност на нивоу протокола? Нема проблема, покварили смо уређај
Пре неколико година између Аппле-а и владе САД. Корпорација је одбила да откључа шифровани паметни телефон који је био умешан у терористичке нападе у граду Сан Бернардино. У то време, ово је изгледало као прави проблем: подаци су били добро заштићени, а хаковање паметног телефона било је немогуће или веома тешко.
Сада су ствари другачије. На пример, израелска компанија Целлебрите продаје правним лицима у Русији и другим земљама софтверски и хардверски систем који вам омогућава да хакујете све иПхоне и Андроид моделе. Прошле године је било са релативно детаљним информацијама о овој теми.
Магадански форензички истражитељ Попов хакује паметни телефон користећи исту технологију коју користи амерички Федерални истражни биро. Извор: ББЦ
Уређај је јефтин по државним стандардима. За УФЕД Тоуцх2, Волгоградско одељење Истражног комитета платило је 800 хиљада рубаља, одељење Хабаровск - 1,2 милиона рубаља. Године 2017, Александар Бастрикин, шеф Истражног комитета Руске Федерације, потврдио је да је његово одељење израелска компанија.
Сбербанка такође купује такве уређаје – међутим, не за спровођење истрага, већ за борбу против вируса на уређајима са Андроид ОС-ом. „Уколико се сумња да су мобилни уређаји заражени непознатим злонамерним софтверским кодом, а након добијања обавезне сагласности власника заражених телефона, извршиће се анализа за тражење нових вируса који се стално појављују и мењају користећи различите алате, укључујући и коришћење. од УФЕД Тоуцх2,” - у предузећу.
Американци такође имају технологије које им омогућавају да хакују било који паметни телефон. Граисхифт обећава да ће хаковати 300 паметних телефона за 15 долара (50 долара по јединици наспрам 1500 долара за Целлбрите).
Вероватно је да и сајбер криминалци имају сличне уређаје. Ови уређаји се стално побољшавају - њихова величина се смањује, а перформансе се повећавају.
Сада говоримо о мање-више познатим телефонима великих произвођача који брину о заштити података својих корисника. Ако говоримо о мањим компанијама или организацијама без имена, онда се у овом случају подаци уклањају без проблема. ХС-УСБ режим ради чак и када је боотлоадер закључан. Режими сервиса су обично „стражња врата“ кроз која се подаци могу преузети. Ако не, можете се повезати на ЈТАГ порт или потпуно уклонити еММЦ чип, а затим га уметнути у јефтин адаптер. Ако подаци нису шифровани, са телефона све уопште, укључујући токене за аутентификацију који обезбеђују приступ складишту у облаку и другим услугама.
Ако неко има лични приступ паметном телефону са важним информацијама, онда може да га хакује ако жели, без обзира шта произвођачи кажу.
Јасно је да се све што је речено не односи само на паметне телефоне, већ и на рачунаре и лаптопове који раде на различитим оперативним системима. Ако не прибегнете напредним мерама заштите, већ се задовољите конвенционалним методама као што су лозинка и пријављивање, подаци ће остати у опасности. Искусни хакер са физичким приступом уређају моћи ће да добије скоро све информације - само је питање времена.
Па ста да радим?
На Хабре, питање безбедности података на личним уређајима је покренуто више пута, тако да нећемо поново измишљати точак. Навешћемо само главне методе које смањују вероватноћу да треће стране добију ваше податке:
- Обавезно је да користите шифровање података и на паметном телефону и на рачунару. Различити оперативни системи често пружају добре подразумеване функције. Пример - крипто контејнер у Мац ОС-у користећи стандардне алате.
- Поставите лозинке било где и свуда, укључујући историју преписке у Телеграму и другим инстант мессенгерима. Наравно, лозинке морају бити сложене.
- Двофакторска аутентификација – да, може бити незгодна, али ако је безбедност на првом месту, морате то да трпите.
- Пратите физичку безбедност својих уређаја. Однети корпоративни рачунар у кафић и заборавити га тамо? Цлассиц. Безбедносни стандарди, укључујући и корпоративне, писани су сузама жртава сопствене непажње.
Хајде да погледамо у коментарима ваше методе да смањите вероватноћу хаковања података када трећа страна добије приступ физичком уређају. Затим ћемо додати предложене методе у чланак или их објавити у нашем , где редовно пишемо о безбедности, лајф хаковима за коришћење и интернет цензура.
Извор: ввв.хабр.цом