Wenn die Verschlüsselung nicht hilft: Sprechen Sie über den physischen Zugriff auf das Gerät

Im Februar veröffentlichten wir einen Artikel „Kein einziges VPN. Ein Spickzettel, wie Sie sich und Ihre Daten schützen können. " Einer der Kommentare veranlasste uns, eine Fortsetzung des Artikels zu schreiben. Dieser Teil ist eine völlig autonome Informationsquelle. Wir empfehlen Ihnen jedoch, sich mit beiden Beiträgen vertraut zu machen.



Ein neuer Beitrag befasst sich mit dem Thema Datensicherheit (Korrespondenz, Fotos, Videos usw.) in Instant Messenger und den Geräten selbst, die für die Arbeit mit Anwendungen verwendet werden.

Sofortige Boten

Telegramm

Bereits im Oktober 2018 konnte Nathaniel Sachi, Student im ersten Jahr am Wake Technical College, feststellen, dass der Telegramm-Messenger Nachrichten und Mediendateien auf der lokalen Festplatte des Computers im Klartext speichert.

Der Student konnte auf seine eigene Korrespondenz zugreifen, einschließlich Text und Bilder. Zu diesem Zweck untersuchte er die auf der Festplatte gespeicherten Anwendungsdatenbanken. Es stellte sich heraus, dass die Daten schwer zu lesen, aber nicht verschlüsselt sind. Der Zugriff darauf ist auch dann möglich, wenn der Benutzer ein Kennwort für die Anwendung festgelegt hat.

In den erhaltenen Daten wurden die Namen und Telefonnummern der Gesprächspartner gefunden, die auf Wunsch verglichen werden können. Informationen aus privaten Chats werden ebenfalls in offener Form gespeichert.

Später sagte Durov, dass dies kein Problem sei, denn wenn ein Angreifer Zugriff auf einen Benutzer-PC hat, kann er problemlos Verschlüsselungsschlüssel erhalten und die gesamte Korrespondenz entschlüsseln. Viele Experten für Informationssicherheit behaupten jedoch, dass dies ernst ist.


Darüber hinaus erwies sich Telegram als anfällig für einen Schlüsseldiebstahl, der von einem Habr-Benutzer entdeckt wurde. Sie können das lokale Code-Passwort beliebiger Länge und Komplexität knacken.

WhatsApp

Soweit wir wissen, speichert dieser Messenger auch Daten unverschlüsselt auf der Computerfestplatte. Wenn ein Angreifer Zugriff auf das Gerät eines Benutzers hat, sind dementsprechend auch alle Daten geöffnet.

Es gibt jedoch ein globaleres Problem. Jetzt werden alle auf Android-Geräten installierten Backups von WhatsApp in Google Drive gespeichert, was Google und Facebook im vergangenen Jahr vereinbart haben. Die Sicherungen von Korrespondenz, Mediendateien und dergleichen werden jedoch unverschlüsselt gespeichert . Soweit man beurteilen kann, haben Strafverfolgungsbeamte derselben USA Zugriff auf Google Drive , sodass die Sicherheitskräfte möglicherweise alle gespeicherten Daten anzeigen können.

Sie können Daten verschlüsseln, beide Unternehmen jedoch nicht. Vielleicht einfach, weil Backups ohne Verschlüsselung einfach von den Benutzern selbst übertragen und verwendet werden können. Höchstwahrscheinlich gibt es keine Verschlüsselung, nicht weil die technische Implementierung schwierig ist. Im Gegenteil, Sie können Backups problemlos schützen. Das Problem ist, dass Google seine eigenen Gründe hat, mit WhatsApp zu arbeiten. Das Unternehmen analysiert angeblich die auf Google Drive-Servern gespeicherten Daten und verwendet sie zur Anzeige personalisierter Anzeigen. Wenn Facebook plötzlich die Verschlüsselung für WhatsApp-Backups einführt, verliert Google sofort das Interesse an einer solchen Partnerschaft, da es eine wertvolle Datenquelle über die WhatsApp-Benutzereinstellungen verloren hat. Dies ist natürlich nur eine Annahme, aber in der Welt des High-Tech-Marketings sehr wahrscheinlich.

Wie bei WhatsApp für iOS werden Backups in der iCloud-Cloud gespeichert. Hier werden die Informationen jedoch unverschlüsselt gespeichert, was sogar in den Anwendungseinstellungen angegeben ist. Ob Apple diese Daten analysiert oder nicht, ist nur dem Unternehmen selbst bekannt. Die Cupertinianer haben zwar kein Werbenetzwerk wie Google, daher können wir davon ausgehen, dass die Wahrscheinlichkeit, dass sie die persönlichen Daten von WhatsApp-Nutzern analysieren, viel geringer ist.

Alle oben genannten Punkte können wie folgt formuliert werden: Ja, nicht nur Sie haben Zugriff auf Ihre WhatsApp-Korrespondenz.

TikTok und andere Boten

Dieser kurze Video-Sharing-Dienst könnte sehr schnell populär werden. Die Entwickler versprachen, ihren Benutzern vollständige Datensicherheit zu gewährleisten. Wie sich herausstellte, hat der Dienst selbst diese Daten verwendet, ohne die Benutzer zu benachrichtigen. Noch schlimmer: Der Dienst sammelte ohne Zustimmung der Eltern personenbezogene Daten von Kindern unter 13 Jahren. Persönliche Informationen von Minderjährigen - Namen, E-Mail, Telefonnummern, Fotos und Videos - waren öffentlich zugänglich.

Der Dienst wurde mit einer Geldstrafe von mehreren Millionen Dollar belegt. Die Aufsichtsbehörden forderten außerdem, alle von Kindern unter 13 Jahren aufgenommenen Videos zu entfernen. TikTok gehorchte. Trotzdem verwenden andere Messenger und Dienste ihre persönlichen Daten für ihre Zwecke, sodass Sie sich ihrer Sicherheit nicht sicher sein können.

Diese Liste kann auf unbestimmte Zeit fortgesetzt werden - die meisten Messenger haben die eine oder andere Sicherheitslücke, die es Angreifern ermöglicht, Benutzern zuzuhören (Viber ist ein hervorragendes Beispiel , obwohl dort anscheinend alles repariert ist) oder ihre Daten zu stehlen. Darüber hinaus speichern fast alle Top-5-Anwendungen Benutzerdaten in ungeschützter Form auf der Festplatte des Computers oder im Telefonspeicher. Und dies ist der Fall, wenn Sie sich nicht an die speziellen Dienste verschiedener Länder erinnern, die aufgrund des Gesetzes möglicherweise Zugriff auf Benutzerdaten haben. Dieselben Skype-, VKontakte-, TamTam- und andere Benutzer stellen auf Anfrage der Behörden (z. B. der Russischen Föderation) Informationen über Benutzer bereit.

Guter Schutz auf Protokollebene? Kein Problem, brechen Sie das Gerät

Vor einigen Jahren kam es zu einem Konflikt zwischen Apple und der US-Regierung. Das Unternehmen weigerte sich, das verschlüsselte Smartphone zu entsperren, das bei Terroranschlägen in der Stadt San Bernardino vorgestellt wurde. Dann schien es ein echtes Problem zu sein: Die Daten waren gut geschützt, und das Hacken eines Smartphones war entweder unmöglich oder sehr schwierig.

Jetzt ist die Situation anders. Zum Beispiel verkauft das israelische Unternehmen Cellebrite Software und Hardware an juristische Personen in Russland und anderen Ländern, wodurch Sie alle iPhone- und Android-Modelle hacken können. Im vergangenen Jahr wurde eine Werbebroschüre mit relativ detaillierten Informationen zu diesem Thema veröffentlicht.


Der forensische Ermittler Popov aus Magadan bricht mit der gleichen Technologie wie das US-amerikanische Federal Bureau of Investigation in ein Smartphone ein. Quelle: BBC

Das Gerät ist für staatliche Verhältnisse kostengünstig. Für UFED Touch2 zahlte die Wolgograder Verwaltung von SKR 800.000 Rubel, Chabarowsk - 1,2 Millionen Rubel. Im Jahr 2017 bestätigte Alexander Bastrykin, Leiter des Untersuchungsausschusses der Russischen Föderation, dass seine Abteilung die Entscheidungen eines israelischen Unternehmens verwendet.

Sberbank kauft auch solche Geräte, allerdings nicht, um Ermittlungen durchzuführen, sondern um Viren auf Android-Geräten zu bekämpfen. "Wenn ein mobiles Gerät im Verdacht steht, mit einem unbekannten Schadcode infiziert zu sein, und nachdem die obligatorische Zustimmung der Besitzer infizierter Telefone eingeholt wurde, wird eine Analyse durchgeführt, um mithilfe verschiedener Tools, einschließlich UFED Touch2, nach ständig neu auftretenden und mutierenden neuen Viren zu suchen", sagte das Unternehmen.

Amerikaner haben auch Technologien, die das Hacken von Smartphones ermöglichen. Grayshift verspricht, 300 Smartphones für 15.000 US-Dollar zu knacken (dies sind 50 US-Dollar pro Einheit gegenüber 1.500 US-Dollar für Cellbrite).

Es ist wahrscheinlich, dass Cyberkriminelle ähnliche Geräte haben. Diese Geräte werden ständig verbessert - die Größe nimmt ab, die Produktivität steigt.

Jetzt sprechen wir über die mehr oder weniger bekannten Telefone großer Hersteller, die sich Sorgen um den Schutz der Daten ihrer Benutzer machen. Wenn es sich um kleinere Unternehmen oder Nomen-Organisationen handelt, werden die Daten in diesem Fall problemlos entfernt. Der HS-USB-Modus funktioniert auch, wenn der Bootloader gesperrt ist. Servicemodi in der Regel - eine „Hintertür“, durch die Sie Daten extrahieren können. Wenn nicht, können Sie eine Verbindung zum JTAG-Port herstellen oder sogar den eMMC-Chip entfernen und ihn dann in einen kostengünstigen Adapter einsetzen. Wenn die Daten nicht verschlüsselt sind, kann alles aus dem Telefon gezogen werden , einschließlich Authentifizierungstoken, die den Zugriff auf Cloud-Speicher und andere Dienste ermöglichen.

Wenn jemand persönlichen Zugriff auf ein Smartphone mit wichtigen Informationen hat, können Sie es hacken, wenn Sie möchten, unabhängig davon, was die Hersteller sagen.

Es ist klar, dass all dies nicht nur für Smartphones gilt, sondern auch für Computer mit Laptops unter verschiedenen Betriebssystemen. Wenn Sie nicht auf erweiterte Schutzmaßnahmen zurückgreifen, sondern sich mit herkömmlichen Methoden wie Passwort und Login zufrieden geben, bleiben die Daten in Gefahr. Ein erfahrener Cracker mit physischem Zugriff auf das Gerät kann fast alle Informationen abrufen - dies ist nur eine Frage der Zeit.

Was tun?

Bei Habr wurde das Thema Datensicherheit auf persönlichen Geräten mehr als einmal angesprochen, daher werden wir das Rad nicht neu erfinden. Wir geben nur die wichtigsten Methoden an, mit denen die Wahrscheinlichkeit verringert wird, dass Dritte Ihre Daten erhalten:

• Die Datenverschlüsselung muss unbedingt sowohl auf einem Smartphone als auch auf einem PC verwendet werden. Verschiedene Betriebssysteme bieten häufig gute Standardtools. Ein Beispiel ist die Erstellung eines Kryptocontainers unter Mac OS mit regulären Tools.
  

• Legen Sie überall und überall Passwörter fest, einschließlich des Verlaufs der Korrespondenz in Telegramm und anderen Instant Messenger. Passwörter müssen natürlich komplex sein.
  

• Zwei-Faktor-Authentifizierung - ja, das kann unpraktisch sein, aber wenn das Sicherheitsproblem an erster Stelle steht, müssen Sie sich abfinden.
  

• Überwachen Sie die physische Sicherheit Ihrer Geräte. Nehmen Sie einen Firmen-PC in ein Café und vergessen Sie ihn dort? Klassisch Sicherheitsstandards, einschließlich Unternehmensstandards, werden von den Tränen der Opfer ihrer eigenen Fahrlässigkeit geschrieben.

Lassen Sie uns Ihre Methoden in den Kommentaren analysieren, wodurch die Wahrscheinlichkeit von Datenhacks verringert werden kann, wenn ein Dritter Zugriff auf ein physisches Gerät erhält. Wir werden dann die vorgeschlagenen Methoden zum Artikel hinzufügen oder in unserem Telegrammkanal veröffentlichen , wo wir regelmäßig über Sicherheit, Life Hacks bei der Verwendung unserer VPN- und Internet-Zensur schreiben.