Dina bulan Pebruari, kami nyebarkeun tulisan "Henteu VPN nyalira. Lembar curang ngeunaan cara ngajagaan diri sareng data anjeun." ngajurung urang nulis tuluyan tina artikel. Bagian ieu mangrupikeun sumber inpormasi lengkep bebas, tapi kami tetep nyarankeun yén anjeun maca duanana tulisan.
Pos anyar dikhususkeun pikeun masalah kaamanan data (susuratan, poto, pidéo, éta sadayana) dina utusan instan sareng alat sorangan anu dianggo pikeun dianggo sareng aplikasi.
Utusan
telegram
Deui dina Oktober 2018, mahasiswa Wake Technical College taun kahiji Nathaniel Sachi mendakan yén utusan Telegram nyimpen pesen sareng file média dina drive komputer lokal dina téks anu jelas.
Murid éta tiasa ngaksés korespondensi nyalira, kalebet téks sareng gambar. Jang ngalampahkeun ieu, anjeunna diajar database aplikasi disimpen dina HDD. Tétéla yén data éta hésé dibaca, tapi teu énkripsi. Sareng aranjeunna tiasa diaksés sanaos pangguna parantos nyetél kecap konci pikeun aplikasi éta.
Dina data anu ditampi, nami sareng nomer telepon interlocutors kapanggih, anu, upami hoyong, tiasa dibandingkeun. Inpormasi tina obrolan katutup ogé disimpen dina format anu jelas.
Durov engké nyatakeun yén ieu sanés masalah, sabab upami panyerang ngagaduhan aksés kana PC pangguna, anjeunna bakal tiasa kéngingkeun konci enkripsi sareng ngadekrip sadaya korespondensi tanpa masalah. Tapi loba ahli kaamanan informasi ngajawab yén ieu masih serius.
Salaku tambahan, Telegram tétéla rentan ka serangan maling konci, anu pamaké Habr. Anjeun tiasa hack sandi kode lokal tina sagala panjang tur pajeulitna.
Sajauh anu kami terang, utusan ieu ogé nyimpen data dina disk komputer dina bentuk anu teu énkripsi. Sasuai, upami panyerang ngagaduhan aksés kana alat pangguna, maka sadaya data ogé kabuka.
Tapi aya masalah anu langkung global. Ayeuna, sadaya cadangan ti WhatsApp dipasang dina alat sareng Android OS disimpen dina Google Drive, sakumaha Google sareng Facebook sapuk dina taun ka tukang. Tapi cadangan tina susuratan, payil media jeung kawas . Sajauh hiji bisa nangtoskeun, aparat penegak hukum AS sarua , ku kituna aya kamungkinan yén pasukan kaamanan bisa nempo sagala data disimpen.
Kasebut nyaéta dimungkinkeun pikeun encrypt data, tapi duanana pausahaan teu ngalakukeun ieu. Panginten ngan kusabab cadangan anu teu énkripsi tiasa gampang ditransfer sareng dianggo ku pangguna sorangan. Paling dipikaresep, euweuh enkripsi teu sabab téhnisna hésé pikeun nerapkeun: sabalikna, anjeun tiasa ngajaga cadangan tanpa kasusah nanaon. Masalahna nyaéta Google gaduh alesan sorangan pikeun damel sareng WhatsApp - perusahaan sigana sareng ngagunakeunana pikeun nampilkeun iklan anu dipersonalisasi. Upami Facebook ujug-ujug ngenalkeun enkripsi pikeun cadangan WhatsApp, Google bakal langsung kaleungitan minat kana kerjasama sapertos kitu, kaleungitan sumber data anu berharga ngeunaan karesep pangguna WhatsApp. Ieu, tangtosna, ngan hiji asumsi, tapi kamungkinan pisan di dunya pamasaran hi-tech.
Sedengkeun pikeun WhatsApp pikeun ios, cadangan disimpen kana awan iCloud. Tapi di dieu ogé, inpormasi disimpen dina bentuk anu teu énkripsi, anu dinyatakeun sanajan dina setélan aplikasi. Naha Apple nganalisa data ieu atanapi henteu ngan ukur dipikanyaho ku perusahaan sorangan. Leres, Cupertino teu gaduh jaringan iklan sapertos Google, ku kituna urang tiasa nganggap yén kamungkinan aranjeunna nganalisa data pribadi pangguna WhatsApp langkung handap.
Sadaya anu parantos nyarios tiasa dirumuskeun sapertos kieu - leres, sanés ngan ukur anjeun gaduh aksés kana korespondensi WhatsApp anjeun.
TikTok sareng utusan anu sanés
Ladenan babagi video pondok ieu bisa jadi populér pisan gancang. Pamekar jangji pikeun mastikeun kaamanan lengkep data panggunana. Tétéla, jasa sorangan ngagunakeun data ieu tanpa ngabéjaan pamaké. Malah parah: jasa ngumpulkeun data pribadi ti barudak di handapeun 13 taun tanpa idin parental. Inpormasi pribadi budak leutik - nami, e-mail, nomer telepon, poto sareng pidéo - sayogi pikeun umum.
palayanan pikeun sababaraha juta dollar, régulator ogé nungtut ngaleupaskeun sagala video dijieun ku barudak di handapeun 13 taun. TikTok matuh. Nanging, utusan sareng jasa sanés nganggo data pribadi pangguna pikeun tujuanana nyalira, janten anjeun henteu tiasa mastikeun kaamananna.
Daptar ieu tiasa diteruskeun tanpa wates - kalolobaan utusan instan gaduh hiji atanapi kerentanan anu sanés anu ngamungkinkeun panyerang nguping pangguna ( - Viber, sanajan sagalana sigana geus dibereskeun aya) atawa maok data maranéhanana. Sajaba ti éta, ampir kabéh aplikasi ti luhur 5 nyimpen data pamaké dina formulir ditangtayungan dina hard drive komputer atawa dina mémori telepon. Sareng ieu tanpa émut kana jasa intelijen sababaraha nagara, anu tiasa gaduh aksés kana data pangguna berkat panerapan. Skype sami, VKontakte, TamTam sareng anu sanésna nyayogikeun inpormasi ngeunaan pangguna naon waé anu dipénta ku otoritas (contona, Féderasi Rusia).
Kaamanan anu saé dina tingkat protokol? Taya masalah, urang megatkeun alat
Sababaraha taun ka pengker antara Apple jeung pamaréntah AS. Korporasi nampik muka konci smartphone énkripsi anu kalibet dina serangan teroris di kota San Bernardino. Dina waktos éta, ieu sigana masalah nyata: data ieu ditangtayungan ogé, sarta Hacking smartphone éta boh teu mungkin atawa hésé pisan.
Ayeuna hal anu béda. Salaku conto, perusahaan Israél Cellebrite ngajual ka badan hukum di Rusia sareng nagara-nagara sanés sistem parangkat lunak sareng hardware anu ngamungkinkeun anjeun hack sadaya modél iPhone sareng Android. Taun kamari aya kalawan informasi rélatif lengkep dina topik ieu.
Panyidik forensik Magadan Popov hacks smartphone nganggo téknologi anu sami anu dianggo ku Biro Investigasi Federal AS. Sumber: BBC
Alatna murah ku standar pamaréntah. Pikeun UFED Touch2 departemén Volgograd Komite Investigative mayar 800 sarébu rubles, departemén Khabarovsk - 1,2 juta rubles. Dina 2017, Alexander Bastrykin, kapala Panitia Investigatif Féderasi Rusia, negeskeun yén jabatanna pausahaan Israél.
Sberbank ogé ngagaleuh alat-alat sapertos kitu - sanés pikeun ngalaksanakeun panyelidikan, tapi pikeun merangan virus dina alat anu nganggo OS Android. "Upami alat sélulér disangka katépaan ku kode parangkat lunak jahat anu teu dipikanyaho, sareng saatos nampi idin wajib ti pamilik telepon anu katépaan, analisa bakal dilakukeun pikeun milarian virus anyar anu terus-terusan muncul sareng robih nganggo sababaraha alat, kalebet pamakean. tina UFED Touch2, "- di pausahaan.
Urang Amerika ogé gaduh téknologi anu ngamungkinkeun aranjeunna pikeun hack smartphone naon waé. Grayshift janji bakal hack 300 smartphone pikeun $15 ($50 per unit versus $1500 pikeun Cellbrite).
Éta kamungkinan yén cybercriminals ogé gaduh alat anu sami. Alat-alat ieu terus ditingkatkeun - ukuranana ngirangan sareng kinerjana ningkat.
Ayeuna urang ngobrol ngeunaan telepon nu leuwih atawa kirang well-dipikawanoh ti pabrik badag anu paduli ngajaga data pamaké maranéhanana. Lamun urang ngobrol ngeunaan pausahaan leutik atawa organisasi no-ngaran, dina hal ieu data dihapus tanpa masalah. Modeu HS-USB tiasa dianggo sanajan bootloader dikonci. Modeu jasa biasana mangrupikeun "panto tukang" dimana data tiasa dicandak. Upami henteu, anjeun tiasa nyambung ka port JTAG atanapi cabut chip eMMC sadayana teras selapkeun kana adaptor anu murah. Lamun data teu énkripsi, ti telepon sagalana sacara umum, kaasup tokens auténtikasi nu nyadiakeun aksés ka gudang awan sarta jasa lianna.
Upami aya anu ngagaduhan aksés pribadi kana smartphone kalayan inpormasi anu penting, maka aranjeunna tiasa hack upami aranjeunna hoyong, henteu paduli naon anu dicarioskeun ku produsén.
Ieu jelas yén sagalana geus disebutkeun manglaku teu ukur keur smartphone, tapi ogé pikeun komputer tur laptop ngajalankeun rupa OS. Upami anjeun henteu nganggo langkah-langkah pelindung anu canggih, tapi sugema ku metode konvensional sapertos kecap akses sareng login, maka data bakal tetep bahaya. Peretas anu berpengalaman sareng aksés fisik kana alat bakal tiasa nampi inpormasi naon waé - éta ngan ukur waktos.
Janten naon anu kedah dilakukeun?
Dina Habré, masalah kaamanan data dina alat pribadi parantos diangkat langkung ti sakali, ku kituna kami henteu bakal nyiptakeun roda deui. Kami ngan bakal nunjukkeun metodeu utama anu ngirangan kamungkinan pihak katilu nampi data anjeun:
- Wajib ngagunakeun enkripsi data dina smartphone sareng PC Anjeun. Sistem operasi anu béda sering nyayogikeun fitur standar anu saé. conto - wadahna crypto dina Mac OS ngagunakeun parabot baku.
- Setel kecap akses dimana waé sareng dimana waé, kalebet sajarah korespondensi dina Telegram sareng utusan instan anu sanés. Alami, kecap akses kedah rumit.
- Auténtikasi dua-faktor - enya, éta tiasa ngaganggu, tapi upami kaamanan mimitina, anjeun kedah sabar.
- Monitor kaamanan fisik alat anjeun. Candak PC perusahaan ka kafe sareng hilap di dinya? Klasik. Standar kaamanan, kalebet perusahaan, diserat ku cimata korban tina kacerobohan sorangan.
Hayu urang tingali dina koméntar ngeunaan metode anjeun pikeun ngirangan kamungkinan hacking data nalika pihak katilu kéngingkeun aksés kana alat fisik. Kami teras bakal nambihan metode anu diusulkeun kana tulisan atanapi nyebarkeunana dina tulisan kami , dimana urang rutin nulis ngeunaan kaamanan, hacks hirup pikeun ngagunakeun jeung sénsor Internét.
sumber: www.habr.com