ఎన్క్రిప్షన్ సహాయం చేయనప్పుడు: మేము పరికరానికి భౌతిక యాక్సెస్ గురించి మాట్లాడుతాము

ఫిబ్రవరిలో, మేము “VPN మాత్రమే కాదు” అనే కథనాన్ని ప్రచురించాము. మిమ్మల్ని మరియు మీ డేటాను ఎలా రక్షించుకోవాలనే దానిపై చీట్ షీట్." వ్యాఖ్యలలో ఒకటి వ్యాసం యొక్క కొనసాగింపును వ్రాయమని మమ్మల్ని ప్రేరేపించింది. ఈ భాగం పూర్తిగా స్వతంత్ర సమాచార వనరు, కానీ మీరు రెండు పోస్ట్‌లను చదవాలని మేము ఇప్పటికీ సిఫార్సు చేస్తున్నాము.

తక్షణ మెసెంజర్‌లు మరియు అప్లికేషన్‌లతో పని చేయడానికి ఉపయోగించే పరికరాలలో డేటా భద్రత (కరస్పాండెన్స్, ఫోటోలు, వీడియోలు, అంతే) సమస్యకు కొత్త పోస్ట్ అంకితం చేయబడింది.

దూతలు

Telegram

అక్టోబర్ 2018లో, మొదటి సంవత్సరం వేక్ టెక్నికల్ కాలేజీ విద్యార్థి నథానియల్ సాచి, టెలిగ్రామ్ మెసెంజర్ మెసేజ్‌లు మరియు మీడియా ఫైల్‌లను స్థానిక కంప్యూటర్ డ్రైవ్‌లో స్పష్టమైన టెక్స్ట్‌లో సేవ్ చేస్తుందని కనుగొన్నాడు.

విద్యార్థి టెక్స్ట్ మరియు చిత్రాలతో సహా తన స్వంత కరస్పాండెన్స్‌ను యాక్సెస్ చేయగలిగాడు. దీన్ని చేయడానికి, అతను HDDలో నిల్వ చేయబడిన అప్లికేషన్ డేటాబేస్లను అధ్యయనం చేశాడు. డేటా చదవడం కష్టంగా ఉందని, కానీ ఎన్‌క్రిప్ట్ చేయలేదని తేలింది. మరియు వినియోగదారు అప్లికేషన్ కోసం పాస్‌వర్డ్‌ను సెట్ చేసినప్పటికీ వాటిని యాక్సెస్ చేయవచ్చు.

అందుకున్న డేటాలో, సంభాషణకర్తల పేర్లు మరియు టెలిఫోన్ నంబర్లు కనుగొనబడ్డాయి, కావాలనుకుంటే, పోల్చవచ్చు. క్లోజ్డ్ చాట్‌ల నుండి సమాచారం కూడా స్పష్టమైన ఆకృతిలో నిల్వ చేయబడుతుంది.

దురోవ్ తరువాత ఇది సమస్య కాదని పేర్కొన్నాడు, ఎందుకంటే దాడి చేసే వ్యక్తికి వినియోగదారు యొక్క PCకి ప్రాప్యత ఉంటే, అతను ఎన్క్రిప్షన్ కీలను పొందగలడు మరియు ఎటువంటి సమస్యలు లేకుండా అన్ని కరస్పాండెన్స్‌లను డీక్రిప్ట్ చేయగలడు. కానీ చాలా మంది సమాచార భద్రతా నిపుణులు ఇది ఇప్పటికీ తీవ్రమైనదని వాదిస్తున్నారు.

అదనంగా, టెలిగ్రామ్ కీలకమైన దొంగతనం దాడికి గురవుతుంది దొరకలేదు హబ్ర్ వినియోగదారు. మీరు ఏ పొడవు మరియు సంక్లిష్టత కలిగిన స్థానిక కోడ్ పాస్‌వర్డ్‌లను హ్యాక్ చేయవచ్చు.

WhatsApp

మనకు తెలిసినంతవరకు, ఈ మెసెంజర్ కంప్యూటర్ డిస్క్‌లోని డేటాను ఎన్‌క్రిప్టెడ్ రూపంలో నిల్వ చేస్తుంది. దీని ప్రకారం, దాడి చేసే వ్యక్తి వినియోగదారు పరికరానికి యాక్సెస్ కలిగి ఉంటే, అప్పుడు మొత్తం డేటా కూడా తెరవబడుతుంది.

కానీ మరింత ప్రపంచ సమస్య ఉంది. ప్రస్తుతం, Android OSతో ఉన్న పరికరాలలో ఇన్‌స్టాల్ చేయబడిన WhatsApp నుండి అన్ని బ్యాకప్‌లు Google డిస్క్‌లో నిల్వ చేయబడతాయి, గత సంవత్సరం Google మరియు Facebook అంగీకరించాయి. కానీ కరస్పాండెన్స్ బ్యాకప్, మీడియా ఫైల్స్ మరియు ఇలాంటివి గుప్తీకరించబడని నిల్వ చేయబడింది. ఒకరు తీర్పు చెప్పగలిగినంత వరకు, అదే US యొక్క చట్ట అమలు అధికారులు Google డిస్క్‌కి యాక్సెస్‌ని కలిగి ఉంటాయి, కాబట్టి భద్రతా దళాలు ఏదైనా నిల్వ చేసిన డేటాను వీక్షించే అవకాశం ఉంది.

డేటాను గుప్తీకరించడం సాధ్యమే, కానీ రెండు కంపెనీలు దీన్ని చేయవు. బహుశా కేవలం ఎన్‌క్రిప్ట్ చేయని బ్యాకప్‌లను వినియోగదారులు సులభంగా బదిలీ చేయవచ్చు మరియు ఉపయోగించుకోవచ్చు. చాలా మటుకు, ఎన్క్రిప్షన్ లేదు ఎందుకంటే ఇది అమలు చేయడం సాంకేతికంగా కష్టం: దీనికి విరుద్ధంగా, మీరు ఎటువంటి ఇబ్బంది లేకుండా బ్యాకప్‌లను రక్షించవచ్చు. సమస్య ఏమిటంటే, Google WhatsAppతో పని చేయడానికి దాని స్వంత కారణాలను కలిగి ఉంది - బహుశా కంపెనీ Google డిస్క్ సర్వర్‌లలో నిల్వ చేయబడిన డేటాను విశ్లేషిస్తుంది మరియు వ్యక్తిగతీకరించిన ప్రకటనలను ప్రదర్శించడానికి వాటిని ఉపయోగిస్తుంది. Facebook అకస్మాత్తుగా WhatsApp బ్యాకప్‌ల కోసం ఎన్‌క్రిప్షన్‌ను ప్రవేశపెడితే, Google తక్షణమే అటువంటి భాగస్వామ్యంపై ఆసక్తిని కోల్పోతుంది, WhatsApp వినియోగదారుల ప్రాధాన్యతల గురించి విలువైన డేటాను కోల్పోతుంది. ఇది కేవలం ఒక ఊహ మాత్రమే, కానీ హైటెక్ మార్కెటింగ్ ప్రపంచంలో చాలా అవకాశం ఉంది.

iOS కోసం WhatsApp కొరకు, బ్యాకప్‌లు iCloud క్లౌడ్‌లో సేవ్ చేయబడతాయి. కానీ ఇక్కడ కూడా, సమాచారం అన్‌క్రిప్టెడ్ రూపంలో నిల్వ చేయబడుతుంది, ఇది అప్లికేషన్ సెట్టింగ్‌లలో కూడా పేర్కొనబడింది. ఆపిల్ ఈ డేటాను విశ్లేషిస్తుందా లేదా అనేది కార్పొరేషన్‌కు మాత్రమే తెలుసు. నిజమే, కుపెర్టినోకు Google వంటి అడ్వర్టైజింగ్ నెట్‌వర్క్ లేదు, కాబట్టి వారు WhatsApp వినియోగదారుల వ్యక్తిగత డేటాను విశ్లేషించే అవకాశం చాలా తక్కువగా ఉంటుందని మేము భావించవచ్చు.

చెప్పబడినవన్నీ ఈ క్రింది విధంగా రూపొందించవచ్చు - అవును, మీకు మీ WhatsApp కరస్పాండెన్స్‌కు మాత్రమే ప్రాప్యత ఉంది.

టిక్‌టాక్ మరియు ఇతర మెసెంజర్‌లు

ఈ చిన్న వీడియో షేరింగ్ సర్వీస్ చాలా త్వరగా పాపులర్ కావచ్చు. డెవలపర్లు తమ వినియోగదారుల డేటాకు పూర్తి భద్రత కల్పిస్తామని హామీ ఇచ్చారు. ఇది ముగిసినట్లుగా, సేవ వినియోగదారులకు తెలియజేయకుండా ఈ డేటాను ఉపయోగించింది. ఇంకా దారుణం: ఈ సేవ తల్లిదండ్రుల అనుమతి లేకుండా 13 ఏళ్లలోపు పిల్లల నుండి వ్యక్తిగత డేటాను సేకరించింది. మైనర్‌ల వ్యక్తిగత సమాచారం - పేర్లు, ఇ-మెయిల్‌లు, ఫోన్ నంబర్‌లు, ఫోటోలు మరియు వీడియోలు - పబ్లిక్‌గా అందుబాటులో ఉంచబడ్డాయి.

సేవ జరిమానా విధించారు అనేక మిలియన్ డాలర్లకు, రెగ్యులేటర్లు 13 ఏళ్లలోపు పిల్లలు చేసిన అన్ని వీడియోలను తీసివేయాలని డిమాండ్ చేశారు. TikTok పాటించింది. అయినప్పటికీ, ఇతర మెసెంజర్‌లు మరియు సేవలు వారి స్వంత ప్రయోజనాల కోసం వినియోగదారుల వ్యక్తిగత డేటాను ఉపయోగిస్తాయి, కాబట్టి మీరు వారి భద్రత గురించి ఖచ్చితంగా చెప్పలేరు.

ఈ జాబితాను అనంతంగా కొనసాగించవచ్చు - చాలా తక్షణ మెసెంజర్‌లు ఒకటి లేదా మరొక దుర్బలత్వాన్ని కలిగి ఉంటారు, ఇది దాడి చేసేవారిని వినియోగదారులను దొంగిలించడానికి అనుమతిస్తుంది (గొప్ప ఉదాహరణ — Viber, అయితే ప్రతిదీ అక్కడ పరిష్కరించబడింది) లేదా వారి డేటాను దొంగిలించండి. అదనంగా, టాప్ 5 నుండి దాదాపు అన్ని అప్లికేషన్లు కంప్యూటర్ హార్డ్ డ్రైవ్‌లో లేదా ఫోన్ మెమరీలో అసురక్షిత రూపంలో వినియోగదారు డేటాను నిల్వ చేస్తాయి. మరియు ఇది వివిధ దేశాల ఇంటెలిజెన్స్ సేవలను గుర్తుంచుకోకుండా, చట్టానికి ధన్యవాదాలు వినియోగదారు డేటాకు ప్రాప్యత కలిగి ఉండవచ్చు. అదే స్కైప్, VKontakte, TamTam మరియు ఇతరులు అధికారుల అభ్యర్థనపై ఏదైనా వినియోగదారు గురించి ఏదైనా సమాచారాన్ని అందిస్తారు (ఉదాహరణకు, రష్యన్ ఫెడరేషన్).

ప్రోటోకాల్ స్థాయిలో మంచి భద్రత ఉందా? ఫర్వాలేదు, మేము పరికరాన్ని విచ్ఛిన్నం చేస్తాము

కొన్నేళ్ల క్రితం వివాదం చెలరేగింది Apple మరియు US ప్రభుత్వం మధ్య. శాన్ బెర్నార్డినో నగరంలో జరిగిన తీవ్రవాద దాడులలో పాల్గొన్న ఎన్‌క్రిప్టెడ్ స్మార్ట్‌ఫోన్‌ను అన్‌లాక్ చేయడానికి కార్పొరేషన్ నిరాకరించింది. ఆ సమయంలో, ఇది నిజమైన సమస్యగా అనిపించింది: డేటా బాగా రక్షించబడింది మరియు స్మార్ట్‌ఫోన్‌ను హ్యాకింగ్ చేయడం అసాధ్యం లేదా చాలా కష్టం.

ఇప్పుడు విషయాలు భిన్నంగా ఉన్నాయి. ఉదాహరణకు, ఇజ్రాయెల్ కంపెనీ Cellebrite రష్యా మరియు ఇతర దేశాలలో చట్టపరమైన సంస్థలకు విక్రయిస్తుంది సాఫ్ట్‌వేర్ మరియు హార్డ్‌వేర్ సిస్టమ్, ఇది అన్ని iPhone మరియు Android మోడల్‌లను హ్యాక్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. గత సంవత్సరం ఉంది ప్రకటనల బుక్‌లెట్ ప్రచురించబడింది ఈ అంశంపై సాపేక్షంగా వివరణాత్మక సమాచారంతో.

మగడాన్ ఫోరెన్సిక్ ఇన్వెస్టిగేటర్ పోపోవ్ US ఫెడరల్ బ్యూరో ఆఫ్ ఇన్వెస్టిగేషన్ ఉపయోగించే అదే సాంకేతికతను ఉపయోగించి స్మార్ట్‌ఫోన్‌ను హ్యాక్ చేశాడు. మూలం: BBC

ప్రభుత్వ ప్రమాణాల ప్రకారం పరికరం చవకైనది. UFED టచ్ 2 కోసం, ఇన్వెస్టిగేటివ్ కమిటీ యొక్క వోల్గోగ్రాడ్ విభాగం 800 వేల రూబిళ్లు, ఖబరోవ్స్క్ విభాగం - 1,2 మిలియన్ రూబిళ్లు చెల్లించింది. 2017 లో, రష్యన్ ఫెడరేషన్ యొక్క ఇన్వెస్టిగేటివ్ కమిటీ అధిపతి అలెగ్జాండర్ బాస్ట్రికిన్, తన శాఖను ధృవీకరించారు పరిష్కారాలను ఉపయోగిస్తుంది ఇజ్రాయెల్ కంపెనీ.

Sberbank అటువంటి పరికరాలను కూడా కొనుగోలు చేస్తుంది - అయితే, పరిశోధనలు నిర్వహించడం కోసం కాదు, కానీ Android OS ఉన్న పరికరాల్లో వైరస్లతో పోరాడడం కోసం. "మొబైల్ పరికరాలు తెలియని హానికరమైన సాఫ్ట్‌వేర్ కోడ్‌తో సంక్రమించినట్లు అనుమానించబడితే మరియు సోకిన ఫోన్‌ల యజమానుల తప్పనిసరి సమ్మతి పొందిన తర్వాత, ఉపయోగంతో సహా వివిధ సాధనాలను ఉపయోగించి నిరంతరం ఉద్భవిస్తున్న మరియు మారుతున్న కొత్త వైరస్‌లను శోధించడానికి విశ్లేషణ నిర్వహించబడుతుంది. UFED టచ్2,” - పేర్కొన్నారు కంపెనీ లో.

అమెరికన్లు కూడా ఏదైనా స్మార్ట్‌ఫోన్‌ను హ్యాక్ చేయడానికి అనుమతించే సాంకేతికతను కలిగి ఉన్నారు. గ్రేషిఫ్ట్ 300 స్మార్ట్‌ఫోన్‌లను $15 (యూనిట్‌కు $50 మరియు సెల్‌బ్రైట్ కోసం $1500)తో హ్యాక్ చేస్తామని హామీ ఇచ్చింది.

సైబర్ నేరగాళ్ల వద్ద కూడా ఇలాంటి పరికరాలు ఉండే అవకాశం ఉంది. ఈ పరికరాలు నిరంతరం మెరుగుపరచబడుతున్నాయి - వాటి పరిమాణం తగ్గుతుంది మరియు వాటి పనితీరు పెరుగుతుంది.

ఇప్పుడు మేము వారి వినియోగదారుల డేటాను రక్షించడం గురించి ఆందోళన చెందుతున్న పెద్ద తయారీదారుల నుండి ఎక్కువ లేదా తక్కువ ప్రసిద్ధ ఫోన్‌ల గురించి మాట్లాడుతున్నాము. మేము చిన్న కంపెనీలు లేదా పేరు లేని సంస్థల గురించి మాట్లాడుతున్నట్లయితే, ఈ సందర్భంలో డేటా సమస్యలు లేకుండా తీసివేయబడుతుంది. బూట్‌లోడర్ లాక్ చేయబడినప్పుడు కూడా HS-USB మోడ్ పని చేస్తుంది. సేవా మోడ్‌లు సాధారణంగా "వెనుక తలుపు", దీని ద్వారా డేటాను తిరిగి పొందవచ్చు. కాకపోతే, మీరు JTAG పోర్ట్‌కి కనెక్ట్ చేయవచ్చు లేదా eMMC చిప్‌ను పూర్తిగా తీసివేసి, ఆపై దానిని చవకైన అడాప్టర్‌లో చేర్చవచ్చు. డేటా గుప్తీకరించబడకపోతే, ఫోన్ నుండి బయటకు లాగవచ్చు క్లౌడ్ నిల్వ మరియు ఇతర సేవలకు ప్రాప్యతను అందించే ప్రమాణీకరణ టోకెన్‌లతో సహా సాధారణంగా ప్రతిదీ.

ఎవరైనా ముఖ్యమైన సమాచారం ఉన్న స్మార్ట్‌ఫోన్‌కు వ్యక్తిగత యాక్సెస్‌ను కలిగి ఉంటే, తయారీదారులు ఏమి చెప్పినా, వారు కోరుకుంటే దానిని హ్యాక్ చేయవచ్చు.

చెప్పినవన్నీ కేవలం స్మార్ట్‌ఫోన్‌లకే కాదు, కంప్యూటర్‌లు మరియు ల్యాప్‌టాప్‌లకు కూడా వివిధ OS లను అమలు చేస్తున్నాయని స్పష్టంగా తెలుస్తుంది. మీరు అధునాతన రక్షణ చర్యలను ఆశ్రయించకుండా, పాస్‌వర్డ్ మరియు లాగిన్ వంటి సాంప్రదాయ పద్ధతులతో సంతృప్తి చెందితే, డేటా ప్రమాదంలో ఉంటుంది. పరికరానికి భౌతిక ప్రాప్యతతో అనుభవజ్ఞుడైన హ్యాకర్ దాదాపు ఏదైనా సమాచారాన్ని పొందగలుగుతారు - ఇది సమయం మాత్రమే.

కాబట్టి ఏమి చేయాలి?

హబ్రేలో, వ్యక్తిగత పరికరాలలో డేటా భద్రత సమస్య ఒకటి కంటే ఎక్కువసార్లు లేవనెత్తబడింది, కాబట్టి మేము మళ్లీ చక్రాన్ని ఆవిష్కరించము. మూడవ పక్షాలు మీ డేటాను పొందే సంభావ్యతను తగ్గించే ప్రధాన పద్ధతులను మాత్రమే మేము సూచిస్తాము:

• మీ స్మార్ట్‌ఫోన్ మరియు PC రెండింటిలోనూ డేటా ఎన్‌క్రిప్షన్‌ను ఉపయోగించడం తప్పనిసరి. వివిధ ఆపరేటింగ్ సిస్టమ్‌లు తరచుగా మంచి డిఫాల్ట్ లక్షణాలను అందిస్తాయి. ఉదాహరణ - సృష్టి ప్రామాణిక సాధనాలను ఉపయోగించి Mac OSలో క్రిప్టో కంటైనర్.

• టెలిగ్రామ్ మరియు ఇతర ఇన్‌స్టంట్ మెసెంజర్‌లలో కరస్పాండెన్స్ చరిత్రతో సహా ఎక్కడైనా మరియు ప్రతిచోటా పాస్‌వర్డ్‌లను సెట్ చేయండి. సహజంగానే, పాస్‌వర్డ్‌లు సంక్లిష్టంగా ఉండాలి.

• రెండు-కారకాల ప్రామాణీకరణ - అవును, ఇది అసౌకర్యంగా ఉంటుంది, అయితే భద్రత మొదట వస్తే, మీరు దానిని సహించవలసి ఉంటుంది.

• మీ పరికరాల భౌతిక భద్రతను పర్యవేక్షించండి. కార్పోరేట్ PCని కేఫ్‌కి తీసుకెళ్లి అక్కడ మర్చిపోయాలా? క్లాసిక్. కార్పొరేట్ ప్రమాణాలతో సహా భద్రతా ప్రమాణాలు, వారి స్వంత అజాగ్రత్త బాధితుల కన్నీళ్లతో వ్రాయబడ్డాయి.

మూడవ పక్షం భౌతిక పరికరానికి ప్రాప్యతను పొందినప్పుడు డేటా హ్యాకింగ్ సంభావ్యతను తగ్గించడానికి మీ పద్ధతులను వ్యాఖ్యలలో చూద్దాం. మేము ప్రతిపాదిత పద్ధతులను కథనానికి జోడిస్తాము లేదా వాటిని మాలో ప్రచురిస్తాము టెలిగ్రామ్ ఛానల్, ఇక్కడ మేము తరచుగా భద్రత గురించి వ్రాస్తాము, ఉపయోగం కోసం లైఫ్ హక్స్ మా VPN మరియు ఇంటర్నెట్ సెన్సార్షిప్.

మూలం: www.habr.com