I februari publicerade vi artikeln ”Not VPN alone. Ett fuskblad om hur du skyddar dig själv och din data." fick oss att skriva en fortsättning på artikeln. Den här delen är en helt oberoende informationskälla, men vi rekommenderar ändå att du läser båda inläggen.
Ett nytt inlägg ägnas åt frågan om datasäkerhet (korrespondens, foton, videor, det är allt) i instant messengers och själva enheterna som används för att arbeta med applikationer.
Budbärare
Telegram
Tillbaka i oktober 2018 upptäckte förstaårsstudenten i Wake Technical College Nathaniel Sachi att Telegram-budbäraren sparar meddelanden och mediefiler på den lokala datorns enhet i klartext.
Eleven fick tillgång till sin egen korrespondens, inklusive text och bilder. För att göra detta studerade han applikationsdatabaserna lagrade på hårddisken. Det visade sig att uppgifterna var svåra att läsa, men inte krypterade. Och de kan nås även om användaren har angett ett lösenord för applikationen.
I de mottagna uppgifterna hittades samtalspartnernas namn och telefonnummer, som om så önskas kan jämföras. Information från slutna chattar lagras också i tydligt format.
Durov sa senare att detta inte är ett problem, för om en angripare har tillgång till användarens dator kommer han att kunna få krypteringsnycklar och dekryptera all korrespondens utan problem. Men många experter på informationssäkerhet hävdar att detta fortfarande är allvarligt.
Dessutom visade sig Telegram vara sårbart för en nyckelstöldattack, vilket Habr användare. Du kan hacka lokala kodlösenord oavsett längd och komplexitet.
Så vitt vi vet lagrar denna budbärare även data på datorns disk i okrypterad form. Följaktligen, om en angripare har tillgång till användarens enhet, är alla data också öppna.
Men det finns ett mer globalt problem. För närvarande lagras alla säkerhetskopior från WhatsApp installerade på enheter med Android OS i Google Drive, vilket Google och Facebook kom överens om förra året. Men säkerhetskopior av korrespondens, mediafiler och liknande . Såvitt man kan bedöma, brottsbekämpande tjänstemän i samma USA , så det finns en möjlighet att säkerhetsstyrkor kan se alla lagrade data.
Det är möjligt att kryptera data, men båda företagen gör inte detta. Kanske helt enkelt för att okrypterade säkerhetskopior enkelt kan överföras och användas av användarna själva. Troligtvis finns det ingen kryptering, inte för att det är tekniskt svårt att implementera: tvärtom kan du skydda säkerhetskopior utan svårighet. Problemet är att Google har sina egna skäl för att arbeta med WhatsApp – företaget förmodligen och använder dem för att visa personlig reklam. Om Facebook plötsligt introducerade kryptering för WhatsApp-säkerhetskopior, skulle Google omedelbart tappa intresset för ett sådant partnerskap och förlora en värdefull datakälla om WhatsApp-användares preferenser. Detta är naturligtvis bara ett antagande, men mycket troligt i en värld av högteknologisk marknadsföring.
När det gäller WhatsApp för iOS sparas säkerhetskopior i iCloud-molnet. Men även här lagras informationen i okrypterad form, vilket anges även i applikationsinställningarna. Om Apple analyserar dessa data eller inte vet endast företaget självt. Det är sant att Cupertino inte har ett annonsnätverk som Google, så vi kan anta att sannolikheten för att de analyserar WhatsApp-användares personliga data är mycket lägre.
Allt som har sagts kan formuleras på följande sätt - ja, inte bara du har tillgång till din WhatsApp-korrespondens.
TikTok och andra budbärare
Denna korta videodelningstjänst kan bli populär mycket snabbt. Utvecklarna lovade att säkerställa fullständig säkerhet för sina användares data. Det visade sig att tjänsten själv använde denna data utan att meddela användarna. Ännu värre: tjänsten samlade in personuppgifter från barn under 13 år utan föräldrarnas medgivande. Personlig information om minderåriga – namn, e-post, telefonnummer, foton och videor – gjordes allmänt tillgängliga.
Tjänsten för flera miljoner dollar krävde tillsynsmyndigheter också borttagning av alla videor gjorda av barn under 13 år. TikTok efterlevde. Men andra meddelanden och tjänster använder användarnas personuppgifter för sina egna syften, så du kan inte vara säker på deras säkerhet.
Den här listan kan fortsätta i det oändliga - de flesta snabbmeddelanden har en eller annan sårbarhet som gör att angripare kan avlyssna användare ( — Viber, även om allt verkar ha fixats där) eller stjäl deras data. Dessutom lagrar nästan alla applikationer från topp 5 användardata i oskyddad form på datorns hårddisk eller i telefonens minne. Och detta utan att komma ihåg olika länders underrättelsetjänster, som kan ha tillgång till användardata tack vare lagstiftning. Samma Skype, VKontakte, TamTam och andra tillhandahåller all information om vilken användare som helst på begäran av myndigheterna (till exempel Ryska federationen).
Bra säkerhet på protokollnivå? Inga problem, vi bryter enheten
För några år sedan mellan Apple och den amerikanska regeringen. Företaget vägrade att låsa upp en krypterad smartphone som var inblandad i terrorattackerna i staden San Bernardino. På den tiden verkade detta som ett verkligt problem: data var väl skyddade, och hacka en smartphone var antingen omöjligt eller mycket svårt.
Nu är det annorlunda. Till exempel säljer det israeliska företaget Cellebrite till juridiska personer i Ryssland och andra länder ett mjukvaru- och hårdvarusystem som låter dig hacka alla iPhone- och Android-modeller. Förra året fanns det med relativt detaljerad information om detta ämne.
Magadans kriminaltekniska utredare Popov hackar en smartphone med samma teknik som används av US Federal Bureau of Investigation. Källa: BBC
Enheten är billig enligt statliga standarder. För UFED Touch2 betalade Volgograd-avdelningen i utredningskommittén 800 tusen rubel, Khabarovsk-avdelningen - 1,2 miljoner rubel. 2017 bekräftade Alexander Bastrykin, chef för Ryska federationens utredningskommitté, att hans avdelning israeliskt företag.
Sberbank köper också sådana enheter - dock inte för att genomföra undersökningar, utan för att bekämpa virus på enheter med Android OS. "Om mobila enheter misstänks vara infekterade med okänd skadlig programvarukod, och efter att ha erhållit obligatoriskt medgivande från ägarna av infekterade telefoner, kommer en analys att utföras för att söka efter ständigt uppkommande och förändrade nya virus med hjälp av olika verktyg, inklusive användning av UFED Touch2," - i sällskap.
Amerikaner har också teknologier som gör att de kan hacka vilken smartphone som helst. Grayshift lovar att hacka 300 smartphones för $15 50 ($1500 per enhet mot $XNUMX XNUMX för Cellbrite).
Det är troligt att cyberkriminella också har liknande enheter. Dessa enheter förbättras ständigt - deras storlek minskar och deras prestanda ökar.
Nu pratar vi om mer eller mindre välkända telefoner från stora tillverkare som är måna om att skydda sina användares data. Om vi pratar om mindre företag eller icke-namnorganisationer, så tas i det här fallet data bort utan problem. HS-USB-läget fungerar även när starthanteraren är låst. Servicelägen är vanligtvis en "bakdörr" genom vilken data kan hämtas. Om inte, kan du ansluta till JTAG-porten eller ta bort eMMC-chippet helt och hållet och sedan sätta in det i en billig adapter. Om data inte är krypterad, från telefonen allt i allmänhet, inklusive autentiseringstokens som ger tillgång till molnlagring och andra tjänster.
Om någon har personlig tillgång till en smartphone med viktig information så kan de hacka den om de vill, oavsett vad tillverkarna säger.
Det är tydligt att allt som har sagts inte bara gäller smartphones, utan även datorer och bärbara datorer som kör olika OS. Om du inte tar till avancerade skyddsåtgärder, utan nöjer dig med konventionella metoder som lösenord och inloggning, förblir data i fara. En erfaren hacker med fysisk åtkomst till enheten kommer att kunna få nästan all information - det är bara en tidsfråga.
Så vad ska man göra?
På Habré har frågan om datasäkerhet på personliga enheter tagits upp mer än en gång, så vi kommer inte att uppfinna hjulet igen. Vi kommer endast att ange de huvudsakliga metoderna som minskar sannolikheten för att tredje part skaffar dina uppgifter:
- Det är obligatoriskt att använda datakryptering på både din smartphone och PC. Olika operativsystem ger ofta bra standardfunktioner. Exempel - kryptobehållare i Mac OS med standardverktyg.
- Ställ in lösenord var som helst och överallt, inklusive korrespondenshistorik i Telegram och andra snabbmeddelanden. Naturligtvis måste lösenord vara komplexa.
- Tvåfaktorsautentisering – ja, det kan vara obekvämt, men om säkerheten kommer först får du stå ut med det.
- Övervaka den fysiska säkerheten för dina enheter. Ta en företagsdator till ett kafé och glöm det där? Klassisk. Säkerhetsstandarder, inklusive företagsstandarder, skrevs med tårar från offer för deras egen slarv.
Låt oss titta i kommentarerna på dina metoder för att minska sannolikheten för datahackning när en tredje part får tillgång till en fysisk enhet. Vi kommer sedan att lägga till de föreslagna metoderna i artikeln eller publicera dem i vår , där vi regelbundet skriver om säkerhet, life hacks för användning och internetcensur.
Källa: will.com