عندما لا يساعد التشفير: تحدث عن الوصول الفعلي إلى الجهاز

في فبراير ، نشرنا مقالًا "ليس VPN واحد. ورقة الغش حول كيفية حماية نفسك وبياناتك. " دفعنا أحد التعليقات إلى كتابة استمرار للمقال. يعد هذا الجزء مصدرًا مستقلًا تمامًا للمعلومات ، لكن لا نوصيك بالتعرف على كلا المنشورين.



يتم تخصيص منشور جديد لقضية أمان البيانات (المراسلات والصور ومقاطع الفيديو وكل شيء) في برامج المراسلة الفورية والأجهزة نفسها ، والتي تستخدم للعمل مع التطبيقات.

رسل فوري

برقية

في شهر أكتوبر من عام 2018 ، تمكن طالب السنة الأولى في كلية ويك التقنية ، ناثانييل ساكي ، من العثور على مراسلة Telegram بتخزين الرسائل وملفات الوسائط على القرص المحلي للكمبيوتر.

تمكن الطالب من الوصول إلى مراسلاته الخاصة ، بما في ذلك النصوص والصور. للقيام بذلك ، درس قواعد بيانات التطبيق المخزنة على الأقراص الصلبة. اتضح أن البيانات يصعب قراءتها ، لكنها غير مشفرة. والوصول إليها يمكن الحصول عليها حتى لو قام المستخدم بتعيين كلمة مرور للتطبيق.

في البيانات التي تم الحصول عليها ، تم العثور على أسماء وأرقام هواتف المحاورين ، والتي ، إذا رغبت في ذلك ، يمكن مقارنتها. يتم تخزين المعلومات من الدردشات الخاصة أيضا في شكل مفتوح.

في وقت لاحق ، قال دوروف إن هذه ليست مشكلة ، لأنه إذا تمكن المهاجم من الوصول إلى جهاز الكمبيوتر الخاص بالمستخدم ، فسيتمكن من الحصول على مفاتيح التشفير وفك تشفير جميع المراسلات دون أي مشاكل. لكن العديد من خبراء أمن المعلومات يدعون أن هذا أمر خطير.


بالإضافة إلى ذلك ، تبين أن Telegram كانت عرضة لهجوم سرقة رئيسي ، اكتشفه مستخدم من مستخدمي Habr. يمكنك كسر كلمة مرور الرمز المحلي بأي طول وتعقيد.

ال WhatsApp

بقدر ما نعلم ، يقوم هذا messenger أيضًا بتخزين البيانات على قرص الكمبيوتر في شكل غير مشفر. وفقًا لذلك ، إذا كان لدى المهاجم حق الوصول إلى جهاز المستخدم ، فستكون جميع البيانات مفتوحة أيضًا.

ولكن هناك مشكلة أكثر عالمية. الآن يتم تخزين جميع النسخ الاحتياطية من WhatsApp المثبتة على أجهزة Android OS في Google Drive ، والتي وافق عليها Google و Facebook العام الماضي. ولكن يتم تخزين نسخ احتياطية من المراسلات وملفات الوسائط وما شابه ذلك في شكل غير مشفر . بقدر ما يمكن للمرء الحكم ، يمكن لموظفي إنفاذ القانون في الولايات المتحدة الأمريكية نفسها الوصول إلى Google Drive ، لذلك هناك احتمال أن تتمكن قوات الأمن من عرض أي بيانات مخزنة.

يمكنك تشفير البيانات ، لكن كلا الشركتين لا. ربما ببساطة لأن النسخ الاحتياطية بدون تشفير يمكن نقلها بسهولة واستخدامها من قبل المستخدمين أنفسهم. على الأرجح ، لا يوجد تشفير ليس لأنه من الصعب تطبيقه تقنيًا: على العكس ، يمكنك حماية النسخ الاحتياطية دون أي صعوبة. المشكلة هي أن لدى Google أسبابها الخاصة للعمل مع WhatsApp - من المفترض أن تحلل الشركة البيانات المخزنة على خوادم Google Drive وتستخدمها لعرض إعلانات مخصصة. إذا قام Facebook فجأة بتقديم تشفير للنسخ الاحتياطية لـ WhatsApp ، فستفقد Google اهتمامها على الفور بمثل هذه الشراكة ، بعد أن فقدت مصدرا قيما للبيانات حول تفضيلات مستخدم WhatsApp. هذا ، بالطبع ، ليس سوى افتراض ، ولكن من المحتمل جدًا في عالم التسويق عالي التقنية.

بالنسبة إلى WhatsApp لنظام التشغيل iOS ، يتم حفظ النسخ الاحتياطية في سحابة iCloud. ولكن هنا ، يتم تخزين المعلومات في شكل غير مشفر ، وهو ما ورد في إعدادات التطبيق. سواءً قامت Apple بتحليل هذه البيانات أم لا ، فهي معروفة فقط للشركة نفسها. صحيح أن Cupertinians ليس لديهم شبكة إعلانية مثل Google ، لذلك يمكننا افتراض أن احتمال قيامهم بتحليل البيانات الشخصية لمستخدمي WhatsApp أقل بكثير.

كل ما سبق يمكن صياغته على النحو التالي - نعم ، ليس فقط لديك حق الوصول إلى مراسلات WhatsApp الخاصة بك.

TikTok والرسل الآخرين

قد تصبح خدمة مشاركة الفيديو القصيرة هذه سريعة جدًا. وعد المطورون بضمان أمان البيانات الكامل لمستخدميهم. كما اتضح فيما بعد ، استخدمت الخدمة نفسها هذه البيانات دون إخطار المستخدمين. والأسوأ من ذلك: أن الخدمة جمعت بيانات شخصية من الأطفال دون سن 13 عامًا دون موافقة الوالدين. المعلومات الشخصية للقُصّر - كانت الأسماء والبريد الإلكتروني وأرقام الهواتف والصور ومقاطع الفيديو متاحة للجمهور.

تم تغريم هذه الخدمة بعدة ملايين من الدولارات ، كما طالب المنظمون بإزالة جميع مقاطع الفيديو التي التقطها أطفال تقل أعمارهم عن 13 عامًا. طاعة TikTok. ومع ذلك ، يستخدم الرسل والخدمات الأخرى بياناتهم الشخصية لأغراضهم ، لذلك لا يمكنك التأكد من سلامتهم.

يمكن الاستمرار في هذه القائمة إلى أجل غير مسمى - لدى معظم الرسل ثغرة أمنية واحدة أو أخرى تسمح للمهاجمين بالاستماع إلى المستخدمين (Viber مثال ممتاز ، على الرغم من أن كل شيء يبدو ثابتًا هناك) أو يسرق بياناتهم. بالإضافة إلى ذلك ، تخزن جميع التطبيقات الخمسة الأولى تقريبًا بيانات المستخدم في شكل غير محمي على القرص الصلب للكمبيوتر أو في ذاكرة الهاتف. وهذا إذا لم تتذكر الخدمات الخاصة لمختلف البلدان ، والتي قد يكون لها حق الوصول إلى بيانات المستخدم بفضل القانون. توفر نفس Skype و VKontakte و TamTam وغيرها أي معلومات حول أي مستخدم بناءً على طلب السلطات (على سبيل المثال ، الاتحاد الروسي).

حماية مستوى بروتوكول جيد؟ ليست مشكلة ، وكسر الجهاز

قبل بضع سنوات ، اندلع صراع بين شركة أبل والحكومة الأمريكية. رفضت الشركة فتح الهاتف الذكي المشفر الذي ظهر في حالة الهجمات الإرهابية في مدينة سان بيرناردينو. ثم بدا الأمر وكأنه مشكلة حقيقية: كانت البيانات محمية بشكل جيد ، وكان اختراق الهاتف الذكي مستحيلًا أو صعبًا للغاية.

الآن الوضع مختلف. على سبيل المثال ، تبيع شركة Cellebrite الإسرائيلية البرامج والأجهزة إلى كيانات قانونية في روسيا وبلدان أخرى ، مما يتيح لك اختراق جميع طرز iPhone و Android. تم نشر كتيب الإعلان العام الماضي مع معلومات مفصلة نسبيا حول هذا الموضوع.


يقوم محقق ماجادان الشرعي بوبوف باقتحام هاتف ذكي باستخدام نفس تقنية مكتب التحقيقات الفيدرالي الأمريكي. المصدر: بي بي سي

الجهاز غير مكلف بمعايير الدولة. ل UFED Touch2 ، دفعت إدارة فولغوغراد من SKR 800 ألف روبل ، خاباروفسك - 1.2 مليون روبل. في عام 2017 ، أكد ألكسندر باستريكين ، رئيس لجنة التحقيق التابعة للاتحاد الروسي ، أن وزارته تستخدم قرارات شركة إسرائيلية.

يقوم سبيربنك أيضًا بشراء مثل هذه الأجهزة ، ولكن ليس لإجراء التحقيقات ، ولكن لمحاربة الفيروسات على أجهزة Android. وقالت الشركة "إذا كان يشتبه في إصابة جهاز محمول برمز خبيث غير معروف وبعد الحصول على الموافقة الإلزامية لمالكي الهواتف المصابة ، فسيتم إجراء تحليل للبحث عن فيروسات جديدة ناشئة باستمرار وتحور باستخدام أدوات مختلفة ، بما في ذلك استخدام UFED Touch2".

يمتلك الأمريكيون أيضًا تقنيات تتيح اختراق أي هواتف ذكية. تعد شركة Grayshift بقطع 300 هاتف ذكي مقابل 15 ألف دولار أمريكي (أي 50 دولارًا لكل وحدة مقابل 1500 دولار لـ Cellbrite).

من المحتمل أن يكون لدى مجرمي الإنترنت أجهزة مماثلة. يتم تحسين هذه الأجهزة باستمرار - يتناقص الحجم ، والإنتاجية في ازدياد.

نتحدث الآن عن الهواتف المعروفة أو الأكثر شهرة لكبار المصنعين الذين يشعرون بالقلق من حماية بيانات مستخدميهم. إذا كنا نتحدث عن شركات أصغر أو مؤسسات ذات اسم ، في هذه الحالة تتم إزالة البيانات دون مشاكل. يعمل وضع HS-USB حتى عند قفل أداة تحميل التشغيل. أوضاع الخدمة ، كقاعدة عامة - "باب خلفي" يمكنك من خلاله استخراج البيانات. إذا لم يكن الأمر كذلك ، يمكنك الاتصال بمنفذ JTAG أو حتى إزالة شريحة eMMC ، ثم إدخاله في محول رخيص الثمن. إذا لم يتم تشفير البيانات ، فيمكن سحب كل شيء من الهاتف ، بما في ذلك الرموز المميزة للمصادقة التي توفر الوصول إلى التخزين السحابي والخدمات الأخرى.

إذا كان لدى شخص ما وصول شخصي إلى هاتف ذكي به معلومات مهمة ، فيمكنك اختراقه إذا أردت ، بغض النظر عن ما يقوله المصنعون.

من الواضح أن كل ما سبق لا ينطبق فقط على الهواتف الذكية ، ولكن أيضًا على أجهزة الكمبيوتر المزودة بأجهزة كمبيوتر محمولة على أنظمة تشغيل مختلفة. إذا لم تلجأ إلى تدابير وقائية متقدمة ، ولكنك راضٍ عن الأساليب التقليدية مثل كلمة المرور وتسجيل الدخول ، فستظل البيانات في خطر. سيكون بإمكان جهاز تكسير متمرس يتمتع بوصول فعلي إلى الجهاز الحصول على أي معلومات تقريبًا - إنها مسألة وقت فقط.

ماذا تفعل؟

فيما يتعلق بحبر ، تم التطرق إلى مسألة أمان البيانات على الأجهزة الشخصية أكثر من مرة ، وبالتالي لن نعيد اختراع العجلة. سنشير فقط إلى الطرق الرئيسية التي تقلل من احتمال حصول الأطراف الثالثة على بياناتك:

• لا بد من استخدام تشفير البيانات على كل من الهاتف الذكي وجهاز الكمبيوتر. غالبًا ما توفر أنظمة التشغيل المختلفة أدوات افتراضية جيدة. مثال على ذلك هو إنشاء cryptocontainer في نظام التشغيل Mac OS باستخدام أدوات عادية.
  

• قم بتعيين كلمات المرور في كل مكان وفي كل مكان ، بما في ذلك تاريخ المراسلات في Telegram والمراسلات الفورية الأخرى. بطبيعة الحال ، يجب أن تكون كلمات المرور معقدة.
  

• المصادقة ثنائية العوامل - نعم ، قد تكون غير مريحة ، ولكن إذا جاءت مشكلة الأمان أولاً ، فيجب عليك أن تتصالح.
  

• مراقبة الأمن المادي للأجهزة الخاصة بك. خذ جهاز كمبيوتر شخصي للشركات في أحد المقاهي ونسيانه هناك؟ الكلاسيكية. تتم كتابة معايير السلامة ، بما في ذلك الشركات ، من قبل دموع ضحايا إهمالهم.

دعنا نحلل طرقك في التعليقات ، والتي يمكن أن تقلل من احتمالية اختراق البيانات عندما يحصل طرف ثالث على إمكانية الوصول إلى جهاز مادي. سنقوم بعد ذلك بإضافة الأساليب المقترحة إلى المقالة أو نشرها في قناة التلغراف الخاصة بنا ، حيث نكتب بانتظام عن الأمان ، والمتطفلين على الحياة عند استخدام VPN لدينا والرقابة على الإنترنت.