Fevral oyida biz “VPN yolg'iz emas. O'zingizni va ma'lumotlaringizni qanday himoya qilish haqida hiyla-nayrang." maqolaning davomini yozishga undadi. Ushbu qism mutlaqo mustaqil ma'lumot manbai, ammo biz har ikkala xabarni ham o'qishni tavsiya qilamiz.
Yangi post messenjerlarda va ilovalar bilan ishlashda foydalaniladigan qurilmalarda maʼlumotlar xavfsizligi (xat yozishmalar, fotosuratlar, videolar, hammasi) masalasiga bagʻishlangan.
Xabarchilar
Telegram
2018-yil oktabr oyida Wake texnik kollejining birinchi kurs talabasi Nataniel Sachi Telegram messenjeri xabarlar va media fayllarni mahalliy kompyuter diskida aniq matnda saqlashini aniqladi.
Talaba o'z yozishmalariga, jumladan matn va rasmlarga kira oldi. Buning uchun u HDDda saqlangan dastur ma'lumotlar bazalarini o'rgandi. Ma'lum bo'lishicha, ma'lumotlarni o'qish qiyin, lekin shifrlanmagan. Va agar foydalanuvchi dastur uchun parol o'rnatgan bo'lsa ham, ularga kirish mumkin.
Qabul qilingan ma'lumotlarda suhbatdoshlarning ismlari va telefon raqamlari topilgan, agar xohlasangiz, ularni solishtirish mumkin. Yopiq chatlardagi ma'lumotlar ham aniq formatda saqlanadi.
Keyinchalik Durov bu muammo emasligini aytdi, chunki agar tajovuzkor foydalanuvchining shaxsiy kompyuteriga kirish imkoniga ega bo'lsa, u hech qanday muammosiz shifrlash kalitlarini olishi va barcha yozishmalarning shifrini ochishi mumkin. Ammo axborot xavfsizligi bo'yicha ko'plab mutaxassislar bu hali ham jiddiy ekanligini ta'kidlaydilar.
Bundan tashqari, Telegram kalit o'g'irlik hujumiga qarshi himoyasiz bo'lib chiqdi Habr foydalanuvchisi. Siz har qanday uzunlik va murakkablikdagi mahalliy kod parollarini buzishingiz mumkin.
Biz bilan bog'lanish
Bizga ma'lumki, bu messenjer kompyuter diskidagi ma'lumotlarni shifrlanmagan holda ham saqlaydi. Shunga ko'ra, agar tajovuzkor foydalanuvchi qurilmasiga kirish imkoniga ega bo'lsa, unda barcha ma'lumotlar ham ochiq.
Ammo globalroq muammo bor. Hozirda Android operatsion tizimiga ega qurilmalarda o‘rnatilgan WhatsApp’dan barcha zaxira nusxalar Google va Facebook o‘tgan yili kelishib olganidek, Google Drive’da saqlanadi. Ammo yozishmalarning zaxira nusxalari, media fayllari va boshqalar . Hukm qilish mumkinki, xuddi shu AQShning huquq-tartibot idoralari xodimlari , shuning uchun xavfsizlik kuchlari har qanday saqlangan ma'lumotlarni ko'rish imkoniyati mavjud.
Ma'lumotlarni shifrlash mumkin, lekin ikkala kompaniya ham buni qilmaydi. Ehtimol, shunchaki shifrlanmagan zaxira nusxalari foydalanuvchilarning o'zlari tomonidan osongina uzatilishi va ishlatilishi mumkinligi sababli. Ehtimol, shifrlash yo'q, chunki uni amalga oshirish texnik jihatdan qiyin emas: aksincha, siz zahira nusxalarini hech qanday qiyinchiliksiz himoya qilishingiz mumkin. Muammo shundaki, Googlening WhatsApp bilan ishlash uchun o'ziga xos sabablari bor - bu kompaniya, ehtimol va shaxsiylashtirilgan reklamani ko'rsatish uchun ulardan foydalanadi. Agar Facebook kutilmaganda WhatsApp zaxira nusxalari uchun shifrlashni joriy qilsa, Google bir zumda bunday hamkorlikka qiziqishni yo'qotib, WhatsApp foydalanuvchilarining afzalliklari haqidagi qimmatli ma'lumotlar manbasini yo'qotadi. Bu, albatta, faqat taxmin, lekin yuqori texnologiyali marketing dunyosida juda katta ehtimol.
IOS uchun WhatsApp-ga kelsak, zaxira nusxalari iCloud bulutida saqlanadi. Ammo bu erda ham ma'lumotlar shifrlanmagan shaklda saqlanadi, bu hatto dastur sozlamalarida ham ko'rsatilgan. Apple ushbu ma'lumotlarni tahlil qiladimi yoki yo'qmi, faqat korporatsiyaning o'ziga ma'lum. To'g'ri, Cupertinoda Google kabi reklama tarmog'i yo'q, shuning uchun ularning WhatsApp foydalanuvchilarining shaxsiy ma'lumotlarini tahlil qilish ehtimoli ancha past deb taxmin qilishimiz mumkin.
Aytilganlarning barchasini quyidagicha shakllantirish mumkin - ha, nafaqat siz WhatsApp yozishmalariga kirishingiz mumkin.
TikTok va boshqa messenjerlar
Ushbu qisqa video almashish xizmati juda tez mashhur bo'lishi mumkin. Ishlab chiquvchilar o'z foydalanuvchilari ma'lumotlarining to'liq xavfsizligini ta'minlashga va'da berishdi. Ma'lum bo'lishicha, xizmatning o'zi bu ma'lumotlardan foydalanuvchilarni ogohlantirmasdan foydalangan. Bundan ham yomoni: xizmat ota-ona roziligisiz 13 yoshgacha bo'lgan bolalardan shaxsiy ma'lumotlarni to'plagan. Voyaga etmaganlarning shaxsiy ma'lumotlari - ism-shariflari, elektron pochtalari, telefon raqamlari, fotosuratlari va videolari hamma uchun ochiq bo'ldi.
xizmat bir necha million dollar evaziga tartibga solish organlari 13 yoshgacha bo'lgan bolalar tomonidan yaratilgan barcha videolarni olib tashlashni talab qilishdi. TikTok rozi bo'ldi. Biroq, boshqa messenjerlar va xizmatlar foydalanuvchilarning shaxsiy ma'lumotlaridan o'z maqsadlari uchun foydalanadi, shuning uchun siz ularning xavfsizligiga ishonch hosil qila olmaysiz.
Ushbu ro'yxatni cheksiz davom ettirish mumkin - ko'pchilik messenjerlarda tajovuzkorlarga foydalanuvchilarni tinglash imkonini beruvchi zaiflik mavjud ( - Viber, garchi u erda hamma narsa tuzatilganga o'xshaydi) yoki ularning ma'lumotlarini o'g'irlang. Bundan tashqari, eng yaxshi 5 dan deyarli barcha ilovalar foydalanuvchi ma'lumotlarini kompyuterning qattiq diskida yoki telefon xotirasida himoyalanmagan shaklda saqlaydi. Va bu qonunchilik tufayli foydalanuvchi ma'lumotlariga kirishi mumkin bo'lgan turli mamlakatlarning razvedka xizmatlarini eslamasdan. Xuddi shu Skype, VKontakte, TamTam va boshqalar hokimiyatning iltimosiga binoan har qanday foydalanuvchi haqida har qanday ma'lumotni taqdim etadi (masalan, Rossiya Federatsiyasi).
Protokol darajasida yaxshi xavfsizlik? Muammo yo'q, biz qurilmani buzamiz
Bir necha yil oldin Apple va AQSh hukumati o'rtasida. Korporatsiya San-Bernardino shahridagi teraktlarda ishtirok etgan shifrlangan smartfonni qulfdan chiqarishdan bosh tortdi. O'sha paytda bu haqiqiy muammoga o'xshardi: ma'lumotlar yaxshi himoyalangan va smartfonni buzish imkonsiz yoki juda qiyin edi.
Endi ishlar boshqacha. Misol uchun, Isroilning Cellebrite kompaniyasi Rossiya va boshqa mamlakatlardagi yuridik shaxslarga barcha iPhone va Android modellarini buzish imkonini beruvchi dasturiy-apparat tizimini sotadi. O'tgan yili bor edi ushbu mavzu bo'yicha nisbatan batafsil ma'lumotlarga ega.
Magadanlik sud-tibbiyot eksperti Popov AQSh Federal qidiruv byurosi qo‘llagan texnologiya yordamida smartfonni buzib tashladi. Manba: BBC
Qurilma davlat standartlari bo'yicha arzon. UFED Touch2 uchun Tergov qo'mitasining Volgograd bo'limi 800 ming rubl, Xabarovsk departamenti - 1,2 million rubl to'lagan. 2017 yilda Rossiya Federatsiyasi Tergov qo'mitasi rahbari Aleksandr Bastrikin uning bo'limi ekanligini tasdiqladi. Isroil kompaniyasi.
Sberbank ham bunday qurilmalarni sotib oladi - ammo, tergov o'tkazish uchun emas, balki Android operatsion tizimiga ega qurilmalarda viruslarga qarshi kurashish uchun. “Agar mobil qurilmalar noma’lum zararli dastur kodlari bilan zararlanganlikda gumon qilinsa va zararlangan telefonlar egalarining majburiy roziligi olinsa, turli vositalar yordamida doimiy ravishda paydo bo‘ladigan va o‘zgarib turadigan yangi viruslarni izlash bo‘yicha tahlil o‘tkaziladi. UFED Touch2,” - kompaniyada.
Amerikaliklar ham har qanday smartfonni buzish imkonini beruvchi texnologiyalarga ega. Grayshift 300 ta smartfonni 15 50 dollarga buzishni va'da qilmoqda (bir birlik uchun 1500 dollar, Cellbrite uchun XNUMX dollar).
Ehtimol, kiberjinoyatchilar ham xuddi shunday qurilmalarga ega. Ushbu qurilmalar doimiy ravishda takomillashtirilmoqda - ularning hajmi kamayadi va ularning ishlashi oshadi.
Endi biz o'z foydalanuvchilarining ma'lumotlarini himoya qilishdan xavotirda bo'lgan yirik ishlab chiqaruvchilarning ko'proq yoki kamroq taniqli telefonlari haqida gapiramiz. Agar biz kichikroq kompaniyalar yoki nomsiz tashkilotlar haqida gapiradigan bo'lsak, unda bu holda ma'lumotlar muammosiz o'chiriladi. HS-USB rejimi yuklash qurilmasi qulflangan bo'lsa ham ishlaydi. Xizmat rejimlari odatda ma'lumotlarni olish mumkin bo'lgan "orqa eshik" dir. Agar yo'q bo'lsa, siz JTAG portiga ulanishingiz yoki eMMC chipini butunlay olib tashlashingiz va keyin uni arzon adapterga ulashingiz mumkin. Agar ma'lumotlar shifrlanmagan bo'lsa, telefondan umuman hamma narsa, shu jumladan bulutli saqlash va boshqa xizmatlarga kirishni ta'minlaydigan autentifikatsiya tokenlari.
Agar kimdir muhim ma'lumotlarga ega bo'lgan smartfonga shaxsiy kirish huquqiga ega bo'lsa, ishlab chiqaruvchilar nima deyishidan qat'i nazar, agar xohlasa, uni buzishi mumkin.
Aytilganlarning barchasi nafaqat smartfonlarga, balki turli xil operatsion tizimlarda ishlaydigan kompyuterlar va noutbuklarga ham tegishli ekanligi aniq. Agar siz ilg'or himoya choralariga murojaat qilmasangiz, lekin parol va login kabi an'anaviy usullardan mamnun bo'lsangiz, ma'lumotlar xavf ostida qoladi. Qurilmaga jismoniy kirish huquqiga ega bo'lgan tajribali xaker deyarli har qanday ma'lumotni qo'lga kirita oladi - bu faqat vaqt masalasi.
Xo'sh, nima qilish kerak?
Habré-da shaxsiy qurilmalarda ma'lumotlar xavfsizligi masalasi bir necha bor ko'tarilgan, shuning uchun biz g'ildirakni qaytadan ixtiro qilmaymiz. Biz faqat uchinchi shaxslar tomonidan ma'lumotlaringizni olish ehtimolini kamaytiradigan asosiy usullarni ko'rsatamiz:
- Smartfoningizda ham, shaxsiy kompyuteringizda ham ma'lumotlarni shifrlashdan foydalanish majburiydir. Turli xil operatsion tizimlar ko'pincha yaxshi standart xususiyatlarni taqdim etadi. Misol - standart vositalar yordamida Mac OS-da kripto konteyneri.
- Parollarni istalgan joyda va hamma joyda, jumladan Telegram va boshqa messenjerlardagi yozishmalar tarixini o'rnating. Tabiiyki, parollar murakkab bo'lishi kerak.
- Ikki faktorli autentifikatsiya - ha, bu noqulay bo'lishi mumkin, ammo xavfsizlik birinchi o'rinda tursa, bunga chidash kerak.
- Qurilmalaringizning jismoniy xavfsizligini kuzatib boring. Korporativ kompyuterni kafega olib boring va u erda unutasizmi? Klassik. Xavfsizlik standartlari, shu jumladan korporativ standartlar, o'zlarining beparvoligi qurbonlarining ko'z yoshlari bilan yozilgan.
Keling, uchinchi tomon jismoniy qurilmaga kirish huquqiga ega bo'lganida ma'lumotlarni buzish ehtimolini kamaytirish usullarini sharhlarda ko'rib chiqaylik. Keyin biz taklif qilingan usullarni maqolaga qo'shamiz yoki ularni nashr qilamiz , bu erda biz muntazam ravishda xavfsizlik, foydalanish uchun layfxiklar haqida yozamiz va Internet tsenzurasi.
Manba: www.habr.com