Em fevereiro, publicamos um artigo “Nem uma única VPN. Uma folha de dicas sobre como proteger você e seus dados ".
Um dos comentários nos levou a escrever uma continuação do artigo. Esta parte é uma fonte de informação completamente autônoma, mas ainda recomendamos que você se familiarize com as duas postagens.
Uma nova postagem é dedicada à questão da segurança de dados (correspondência, fotos, vídeos, isso é tudo) nos mensageiros instantâneos e nos próprios dispositivos, usados para trabalhar com aplicativos.
Mensageiros instantâneos
TelegramEm outubro de 2018, o aluno do primeiro ano da Wake Technical College, Nathaniel Sachi, conseguiu descobrir que o messenger Telegram armazena mensagens e arquivos de mídia no disco local do computador.
O aluno conseguiu acessar sua própria correspondência, incluindo texto e figuras. Para fazer isso, ele estudou os bancos de dados de aplicativos armazenados no disco rígido. Descobriu-se que os dados são difíceis de ler, mas não criptografados. E o acesso a eles pode ser obtido mesmo que o usuário tenha definido uma senha para o aplicativo.
Nos dados obtidos, foram encontrados os nomes e números de telefone dos interlocutores, que, se desejado, podem ser comparados. As informações de bate-papos particulares também são armazenadas em formato aberto.
Mais tarde, Durov disse que isso não é um problema, porque se um invasor tiver acesso a um PC de usuário, ele poderá obter chaves de criptografia e decodificar toda a correspondência sem problemas. Mas muitos especialistas em segurança da informação afirmam que isso é sério.
Além disso, o Telegram se mostrou vulnerável a um ataque de roubo de chave, que foi
descoberto por um usuário do Habr. Você pode decifrar a senha do código local de qualquer tamanho e complexidade.
WhatsappAté onde sabemos, esse mensageiro também armazena dados no disco do computador de forma não criptografada. Assim, se um invasor tiver acesso ao dispositivo de um usuário, todos os dados também estarão abertos.
Mas há um problema mais global. Agora, todos os backups do WhatsApp instalados em dispositivos Android OS são armazenados no Google Drive, que o Google e o Facebook concordaram no ano passado. Mas os backups de correspondência, arquivos de mídia e similares
são armazenados de forma não criptografada . Tanto quanto se pode julgar, agentes da lei dos mesmos EUA
têm acesso ao Google Drive , então existe a possibilidade de que as forças de segurança possam visualizar qualquer dado armazenado.
Você pode criptografar dados, mas as duas empresas não. Talvez simplesmente porque os backups sem criptografia possam ser facilmente transferidos e usados pelos próprios usuários. Provavelmente, não há criptografia, não porque é difícil de implementar tecnicamente: pelo contrário, você pode proteger backups sem nenhuma dificuldade. O problema é que o Google tem seus próprios motivos para trabalhar com o WhatsApp - a empresa supostamente
analisa os dados armazenados nos servidores do Google Drive e os usa para exibir anúncios personalizados. Se o Facebook de repente introduzisse a criptografia para backups do WhatsApp, o Google perderia instantaneamente o interesse em uma parceria, tendo perdido uma fonte valiosa de dados sobre as preferências do usuário do WhatsApp. Isso, é claro, é apenas uma suposição, mas muito provavelmente no mundo do marketing de alta tecnologia.
Quanto ao WhatsApp para iOS, os backups são salvos na nuvem do iCloud. Mas aqui, as informações são armazenadas em forma não criptografada, o que é declarado nas configurações do aplicativo. Se a Apple analisa esses dados ou não, é conhecido apenas pela própria empresa. É verdade que os cupertinos não têm uma rede de publicidade como o Google, portanto podemos assumir que a probabilidade de sua análise pessoal dos usuários do WhatsApp é muito menor.
Todos os itens acima podem ser formulados da seguinte maneira - sim, você não apenas tem acesso à sua correspondência do WhatsApp.
TikTok e outros mensageirosEste serviço de compartilhamento de vídeo curto pode rapidamente se tornar popular. Os desenvolvedores prometeram garantir a segurança completa dos dados para seus usuários. Como se viu, o próprio serviço usou esses dados sem notificar os usuários. Pior ainda: o serviço coletou dados pessoais de crianças menores de 13 anos sem o consentimento dos pais. Informações pessoais de menores - nomes, e-mail, números de telefone, fotos e vídeos estavam disponíveis ao público.
O serviço
foi multado em vários milhões de dólares, os reguladores também exigiram remover todos os vídeos gravados por crianças menores de 13 anos. O TikTok obedeceu. No entanto, outros mensageiros e serviços usam seus dados pessoais para seus fins, portanto, você não pode ter certeza de sua segurança.
Essa lista pode ser mantida indefinidamente - a maioria dos mensageiros tem uma ou outra vulnerabilidade que permite que os invasores ouçam os usuários (o Viber é
um excelente exemplo , embora tudo pareça estar corrigido lá) ou roubem seus dados. Além disso, quase todos os 5 principais aplicativos armazenam dados do usuário de forma desprotegida no disco rígido do computador ou na memória do telefone. E isso é se você não se lembrar dos serviços especiais de vários países, que podem ter acesso aos dados do usuário graças à lei. O mesmo Skype, VKontakte, TamTam e outros fornecem qualquer informação sobre qualquer usuário, a pedido das autoridades (por exemplo, a Federação Russa).
Boa proteção no nível do protocolo? Não é um problema, quebre o dispositivo
Alguns anos atrás,
surgiu um conflito entre a Apple e o governo dos EUA. A empresa se recusou a desbloquear o smartphone criptografado que foi destaque no caso de ataques terroristas na cidade de San Bernardino. Então parecia um problema real: os dados estavam bem protegidos e invadir um smartphone era impossível ou muito difícil.
Agora a situação é diferente. Por exemplo, a empresa israelense Cellebrite está vendendo software e hardware para entidades legais na Rússia e em outros países, o que permite invadir todos os modelos de iPhone e Android. Um
livreto publicitário foi
publicado no ano passado com informações relativamente detalhadas sobre esse tópico.
O investigador forense de Magadan, Popov, invade um smartphone usando a mesma tecnologia do Bureau Federal de Investigação dos EUA. Fonte: BBCO dispositivo é barato pelos padrões estaduais. Para o UFED Touch2, a administração da SKR em Volgogrado pagou 800 mil rublos, Khabarovsk - 1,2 milhão de rublos. Em 2017, Alexander Bastrykin, chefe do Comitê de Investigação da Federação Russa, confirmou que seu departamento está
usando as decisões de uma empresa israelense.
O Sberbank também compra esses dispositivos, embora não para conduzir investigações, mas para combater vírus em dispositivos Android. "Se houver suspeita de que um dispositivo móvel esteja infectado com um código malicioso desconhecido e após a obtenção do consentimento obrigatório dos proprietários de telefones infectados, será realizada uma análise para procurar constantemente novos vírus emergentes e mutantes usando várias ferramentas, incluindo o UFED Touch2", disse a empresa.
Os americanos também têm tecnologias que permitem invadir qualquer smartphone. A Grayshift promete decifrar 300 smartphones por 15 mil dólares americanos (US $ 50 por unidade, contra US $ 1.500 pela Cellbrite).
É provável que os cibercriminosos tenham dispositivos semelhantes. Esses dispositivos estão sendo aprimorados constantemente - o tamanho está diminuindo, a produtividade está aumentando.
Agora estamos falando dos telefones mais ou menos conhecidos dos principais fabricantes, preocupados em proteger os dados de seus usuários. Se estamos falando de empresas menores ou organizações de nomes substantivos, nesse caso, os dados são removidos sem problemas. O modo HS-USB funciona mesmo quando o carregador de inicialização está bloqueado. Modos de serviço, como regra - uma “porta dos fundos” através da qual você pode extrair dados. Caso contrário, você pode conectar-se à porta JTAG ou até remover o chip eMMC e inseri-lo em um adaptador barato. Se os dados não forem criptografados, tudo
poderá ser retirado do telefone, incluindo tokens de autenticação que fornecem acesso ao armazenamento em nuvem e outros serviços.
Se alguém tiver acesso pessoal a um smartphone com informações importantes, você poderá hacká-lo, se quiser, independentemente do que os fabricantes digam.
É claro que tudo isso se aplica não apenas a smartphones, mas também a computadores com laptops em vários sistemas operacionais. Se você não recorrer a medidas de proteção avançadas, mas se contentar com métodos convencionais, como senha e login, os dados permanecerão em perigo. Um cracker experiente com acesso físico ao dispositivo poderá obter quase todas as informações - isso é apenas uma questão de tempo.
Então o que fazer?
No Habr, a questão da segurança de dados em dispositivos pessoais foi abordada mais de uma vez, portanto, não reinventaremos a roda. Indicaremos apenas os principais métodos que reduzem a probabilidade de terceiros obterem seus dados:
- É imperativo usar a criptografia de dados em um smartphone e em um PC. Diferentes sistemas operacionais geralmente fornecem boas ferramentas padrão. Um exemplo é a criação de um cryptocontainer no Mac OS usando ferramentas regulares.
- Defina senhas em qualquer lugar e em qualquer lugar, incluindo o histórico de correspondência no Telegram e outros mensageiros instantâneos. Naturalmente, as senhas devem ser complexas.
- Autenticação de dois fatores - sim, pode ser inconveniente, mas se o problema de segurança ocorrer primeiro, você deverá aceitar os termos.
- Monitore a segurança física dos seus dispositivos. Pegue um PC corporativo em um café e esqueça lá? Clássico Os padrões de segurança, inclusive corporativos, são escritos pelas lágrimas das vítimas de sua própria negligência.
Vamos analisar seus métodos nos comentários, o que pode reduzir a probabilidade de invasão de dados quando terceiros obtêm acesso a um dispositivo físico. Em seguida, adicionaremos os métodos propostos ao artigo ou publicaremos em nosso
canal de telegrama , onde escrevemos regularmente sobre segurança e hackers ao usar
nossa censura de
VPN e Internet.