Cuando el cifrado no ayuda: hable sobre el acceso físico al dispositivo

En febrero, publicamos un artículo "Ni una sola VPN. Una hoja de trucos sobre cómo protegerse y proteger sus datos ". Uno de los comentarios nos impulsó a escribir una continuación del artículo. Esta parte es una fuente de información completamente autónoma, pero le recomendamos que se familiarice con ambas publicaciones.



Una nueva publicación está dedicada al tema de la seguridad de los datos (correspondencia, fotos, videos, eso es todo) en mensajería instantánea y los dispositivos en sí, que se utilizan para trabajar con aplicaciones.

Mensajeros instantaneos

Telegrama

En octubre de 2018, el estudiante de primer año en el Wake Technical College, Nathaniel Sachi, pudo descubrir que el mensajero Telegram almacena mensajes y archivos multimedia en el disco local de la computadora de forma clara.

El alumno pudo acceder a su propia correspondencia, incluyendo texto e imágenes. Para hacer esto, estudió las bases de datos de la aplicación almacenadas en el HDD. Resultó que los datos son difíciles de leer, pero no están encriptados. Y se puede obtener acceso a ellos incluso si el usuario ha establecido una contraseña para la aplicación.

En los datos obtenidos, se encontraron los nombres y números de teléfono de los interlocutores, que, si se desea, se pueden comparar. La información de los chats privados también se almacena en forma abierta.

Más tarde, Durov dijo que esto no es un problema, porque si un atacante tiene acceso a una PC de usuario, podrá obtener claves de cifrado y decodificar toda la correspondencia sin ningún problema. Pero muchos expertos en seguridad de la información afirman que esto es grave.


Además, Telegram resultó ser vulnerable a un ataque de robo clave, que fue descubierto por un usuario de Habr. Puede descifrar la contraseña del código local de cualquier longitud y complejidad.

Whatsapp

Hasta donde sabemos, este mensajero también almacena datos en el disco de la computadora en forma no cifrada. En consecuencia, si un atacante tiene acceso al dispositivo de un usuario, entonces todos los datos también están abiertos.

Pero hay un problema más global. Ahora todas las copias de seguridad de WhatsApp instaladas en dispositivos con sistema operativo Android se almacenan en Google Drive, que Google y Facebook acordaron el año pasado. Pero las copias de seguridad de la correspondencia, los archivos multimedia y similares se almacenan sin cifrar . Hasta donde se puede juzgar, los agentes de la ley de los mismos Estados Unidos tienen acceso a Google Drive , por lo que existe la posibilidad de que las fuerzas de seguridad puedan ver los datos almacenados.

Puede cifrar datos, pero ambas compañías no. Quizás simplemente porque las copias de seguridad sin cifrado pueden ser transferidas y utilizadas fácilmente por los propios usuarios. Lo más probable es que no haya encriptación, no porque sea difícil de implementar técnicamente: por el contrario, puede proteger las copias de seguridad sin ninguna dificultad. El problema es que Google tiene sus propias razones para trabajar con WhatsApp: la empresa supuestamente analiza los datos almacenados en los servidores de Google Drive y los usa para mostrar anuncios personalizados. Si Facebook repentinamente introdujo el cifrado para las copias de seguridad de WhatsApp, Google perdería instantáneamente interés en dicha asociación, al haber perdido una valiosa fuente de datos sobre las preferencias de los usuarios de WhatsApp. Esto, por supuesto, es solo una suposición, pero muy probablemente en el mundo del marketing de alta tecnología.

En cuanto a WhatsApp para iOS, las copias de seguridad se guardan en la nube de iCloud. Pero aquí, la información se almacena sin cifrar, lo que incluso se indica en la configuración de la aplicación. Ya sea que Apple analice estos datos o no, solo es conocido por la propia corporación. Es cierto que los cupertinianos no tienen una red publicitaria como Google, por lo que podemos suponer que la probabilidad de que analicen los datos personales de los usuarios de WhatsApp es mucho menor.

Todo lo anterior se puede formular de la siguiente manera: sí, no solo tiene acceso a su correspondencia de WhatsApp.

TikTok y otros mensajeros

Este breve servicio para compartir videos podría rápidamente hacerse popular. Los desarrolladores prometieron garantizar una seguridad de datos completa para sus usuarios. Al final resultó que, el servicio en sí utilizó estos datos sin notificar a los usuarios. Peor aún: el servicio recopiló datos personales de niños menores de 13 años sin el consentimiento de los padres. Información personal de menores: nombres, correos electrónicos, números de teléfono, fotos y videos estaban disponibles públicamente.

El servicio fue multado con varios millones de dólares, los reguladores también exigieron eliminar todos los videos grabados por niños menores de 13 años. TikTok obedeció. Sin embargo, otros mensajeros y servicios utilizan sus datos personales para sus fines, por lo que no puede estar seguro de su seguridad.

Esta lista puede continuar indefinidamente: la mayoría de los mensajeros tienen una u otra vulnerabilidad que permite a los atacantes escuchar a los usuarios (Viber es un excelente ejemplo , aunque todo parece estar arreglado allí) o robar sus datos. Además, casi todas las 5 aplicaciones principales almacenan los datos del usuario de forma desprotegida en el disco duro de la computadora o en la memoria del teléfono. Y esto es si no recuerda los servicios especiales de varios países, que pueden tener acceso a los datos del usuario gracias a la ley. El mismo Skype, VKontakte, TamTam y otros proporcionan información sobre cualquier usuario a petición de las autoridades (por ejemplo, la Federación de Rusia).

¿Buena protección a nivel de protocolo? No hay problema, rompa el dispositivo

Hace unos años, estalló un conflicto entre Apple y el gobierno de EE. UU. La corporación se negó a desbloquear el teléfono inteligente cifrado que se presentó en el caso de ataques terroristas en la ciudad de San Bernardino. Entonces parecía un problema real: los datos estaban bien protegidos y piratear un teléfono inteligente era imposible o muy difícil.

Ahora la situación es diferente. Por ejemplo, la compañía israelí Cellebrite está vendiendo software y hardware a entidades legales en Rusia y otros países, lo que le permite hackear todos los modelos de iPhone y Android. El año pasado se publicó un folleto publicitario con información relativamente detallada sobre este tema.


El investigador forense de Magadan, Popov, irrumpe en un teléfono inteligente utilizando la misma tecnología que la Oficina Federal de Investigaciones de EE. UU. Fuente: BBC

El dispositivo es económico según los estándares estatales. Para UFED Touch2, la administración de SKR en Volgogrado pagó 800 mil rublos, Khabarovsk, 1,2 millones de rublos. En 2017, Alexander Bastrykin, jefe del Comité de Investigación de la Federación Rusa, confirmó que su departamento está utilizando las decisiones de una empresa israelí.

Sberbank también compra dichos dispositivos, aunque no para realizar investigaciones, sino para combatir virus en dispositivos Android. "Si se sospecha que un dispositivo móvil está infectado con un código malicioso desconocido y después de obtener el consentimiento obligatorio de los propietarios de los teléfonos infectados, se realizará un análisis para buscar nuevos virus en constante aparición y mutación utilizando diversas herramientas, incluido el uso de UFED Touch2", dijo la compañía.

Los estadounidenses también tienen tecnologías que permiten hackear cualquier teléfono inteligente. Grayshift promete descifrar 300 teléfonos inteligentes por 15 mil dólares estadounidenses (esto es $ 50 por unidad frente a $ 1,500 para Cellbrite).

Es probable que los cibercriminales tengan dispositivos similares. Estos dispositivos se mejoran constantemente: el tamaño está disminuyendo, la productividad está aumentando.

Ahora estamos hablando de los teléfonos más o menos conocidos de los principales fabricantes que están preocupados por proteger los datos de sus usuarios. Si estamos hablando de compañías más pequeñas u organizaciones con nombres nominales, entonces en este caso los datos se eliminan sin problemas. El modo HS-USB funciona incluso cuando el gestor de arranque está bloqueado. Modos de servicio, por regla general, una "puerta trasera" a través de la cual puede extraer datos. De lo contrario, puede conectarse al puerto JTAG o incluso quitar el chip eMMC y luego insertarlo en un adaptador económico. Si los datos no están encriptados, todo se puede extraer del teléfono, incluidos los tokens de autenticación que proporcionan acceso al almacenamiento en la nube y otros servicios.

Si alguien tiene acceso personal a un teléfono inteligente con información importante, puede piratearlo si lo desea, sin importar lo que digan los fabricantes.

Está claro que todo lo anterior se aplica no solo a los teléfonos inteligentes, sino también a las computadoras con computadoras portátiles en varios sistemas operativos. Si no recurre a medidas de protección avanzadas, pero se conforma con métodos convencionales como contraseña e inicio de sesión, los datos seguirán en peligro. Un cracker experimentado con acceso físico al dispositivo podrá obtener casi cualquier información, esto es solo cuestión de tiempo.

Entonces que hacer?

En Habr, el tema de la seguridad de los datos en dispositivos personales se ha tocado más de una vez, por lo tanto, no reinventaremos la rueda. Solo indicaremos los métodos principales que reducen la probabilidad de que terceros obtengan sus datos:

• Es imprescindible utilizar el cifrado de datos tanto en un teléfono inteligente como en una PC. Los diferentes sistemas operativos a menudo proporcionan buenas herramientas predeterminadas. Un ejemplo es la creación de un criptocontenedor en Mac OS utilizando herramientas normales.
  

• Establezca contraseñas en todas partes y en todas partes, incluido el historial de correspondencia en Telegram y otros mensajeros instantáneos. Naturalmente, las contraseñas deben ser complejas.
  

• Autenticación de dos factores: sí, puede ser un inconveniente, pero si el problema de seguridad es lo primero, debe aceptarlo.
  

• Monitoree la seguridad física de sus dispositivos. ¿Tomar una PC corporativa en un café y olvidarla allí? Clásico Las normas de seguridad, incluidas las corporativas, están escritas por las lágrimas de las víctimas de su propia negligencia.

Analicemos sus métodos en los comentarios, lo que puede reducir la probabilidad de piratería de datos cuando un tercero tiene acceso a un dispositivo físico. Luego agregaremos los métodos propuestos al artículo o lo publicaremos en nuestro canal de telegramas , donde escribimos regularmente sobre seguridad, trucos de vida en el uso de nuestra VPN y censura de Internet.