Когда шифрование не поможет: рассказываем про физический доступ к устройству +27


В феврале мы опубликовали статью «Не VPN-ом единым. Шпаргалка о том, как обезопасить себя и свои данные». Один из комментариев побудил нас написать продолжение статьи. Эта часть — вполне автономный источник информации, но всё же рекомендуем ознакомиться с обоими постами.

image

Новый пост посвящён вопросу защищённости данных (переписка, фото, видео, вот это всё) в мессенджерах и самих устройств, которые используются для работы с приложениями.

Мессенджеры


Telegram

Ещё в октябре 2018 года студенту первого курса колледжа Уэйк Текникал Натаниэлю Сачи удалось обнаружить, что мессенджер Telegram сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде.

Студент смог получить доступ к собственной переписке, включая текст и картинки. Для этого он изучил базы данных приложения, хранящиеся на HDD. Оказалось, что данные трудночитаемы, но не зашифрованы. И доступ к ним можно получить даже в том случае, если пользователь установил на приложение пароль.

В полученных данных были найдены имена и номера телефонов собеседников, которые при желании можно сопоставить. Информация из закрытых чатов тоже хранится в открытом виде.

Позже Дуров заявил, что это не проблема, ведь если у злоумышленника есть доступ к пользовательскому ПК, он сможет получить ключи шифрования и без проблем раскодировать всю переписку. Но многие специалисты по информационной безопасности утверждают, что это всё-таки серьезно.


Кроме того, Telegram оказался уязвим к атаке хищения ключей, что обнаружил пользователь Хабра. Взломать можно local code пароля любой длины и сложности.

WhatsApp

Насколько известно, этот мессенджер тоже хранит данные на диске компьютера в незашифрованном виде. Соответственно, если у злоумышленника есть доступ к устройству пользователя, то все данные тоже открыты.

Но есть более глобальная проблема. Сейчас все резервные копии из WhatsApp, установленного на устройствах с Android OS, хранятся в Google Drive, о чем Google и Facebook договорились в прошлом году. Но бэкапы переписки, медиафайлов и тому подобное хранятся в незашифрованном виде. Насколько можно судить, у сотрудников силовых ведомств того же США есть доступ к Google Drive, поэтому cуществует вероятность, что силовики могут просматривать любые сохранённые данные.

Шифровать данные можно, но обе компании этого не делают. Возможно, просто потому, что бэкапы без шифрования можно без проблем передавать и использовать самим пользователям. Скорее всего, шифрования нет не потому, что это сложно реализовать технически: наоборот, защитить бэкапы можно без всякого труда. Проблема в том, что у Google есть свои причины работать с WhatsApp — компания, предположительно, анализирует хранимые на серверах Google Drive данные и использует их для показа персонализированной рекламы. Если бы Facebook внезапно ввела шифрование для бэкапов WhatsApp, Google мгновенно бы потеряла интерес в таком партнёрстве, лишившись ценного источника данных о предпочтениях пользователей WhatsApp. Это, конечно, лишь допущение, но весьма вероятное в мире hi-tech маркетинга.

Что касается WhatsApp для iOS, то бэкапы сохраняются в облако iCloud. Но и здесь информация хранится в незашифрованном виде, о чем говорится даже в настройках приложения. Анализирует Apple эти данные или нет, известно только самой корпорации. Правда, у купертиновцев нет рекламной сети, как у Google, так что можем предположить, что вероятность анализа ими персональных данных пользователей WhatsApp значительно ниже.

Всё сказанное можно сформулировать следующим образом — да, к вашей переписке WhatsApp есть доступ не только у вас.

TikTok и другие мессенджеры

Этот сервис обмена короткими видео мог очень быстро стать популярным. Разработчики обещали обеспечить полную безопасность данных своих пользователей. Как оказалось, сам сервис использовал эти данные без уведомления пользователей. Хуже того: сервис собирал персональные данные детей до 13 лет без согласия родителей. Личная информация несовершеннолетних — имена, e-mail, номера телефонов, фото и видео оказывались в открытом доступе.

Сервис был оштрафован на несколько миллионов долларов, регуляторы также потребовали удалить все видео, снятые детьми до 13 лет. TikTok подчинился. Тем не менее, персональные данные пользователей используют в своих целях другие мессенджеры и сервисы, так что нельзя быть уверенными в их безопасности.

Этот список можно продолжать бесконечно — у большинства мессенджеров есть та или иная уязвимость, которая позволяет злоумышленникам прослушивать пользователей (отличный пример — Viber, хотя там всё вроде бы поправили) или похищать их данные. Кроме того, практически все приложения из топ-5 хранят данные пользователей в незащищённом виде на жестком диске компьютера или в памяти телефона. И это если не вспоминать о спецслужбах различных стран, у которых может быть доступ к данным пользователей благодаря законодательству. Тот же Skype, ВКонтакте, TamTam и другие предоставляют любую информацию о любом пользователе по запросу властей (например, РФ).

Хорошая защита на уровне протокола? Не проблема, ломаем устройство


Несколько лет назад разгорелся конфликт между Apple и правительством США. Корпорация отказывалась разблокировать зашифрованный смартфон, который фигурировал в деле о терактах в городе Сан-Бернардино. Тогда это казалось реальной проблемой: данные были хорошо защищены, и взломать смартфон было либо невозможно, либо очень трудно.

Сейчас дело обстоит по-другому. К примеру, израильская компания Cellebrite продаёт юридическим лицам России и других стран программно-аппаратный комплекс, который позволяет взломать все модели iPhone и Android. В прошлом году был издан рекламный буклет с относительно подробной информацией на эту тему.


Магаданский следователь-криминалист Попов взламывает смартфон с помощью той же технологии, что Федеральное бюро расследований США. Источник: BBC

Стоит устройство по государственным меркам недорого. За UFED Touch2 волгоградское управление СКР заплатило 800 тысяч рублей, хабаровское — 1,2 млн рублей. В 2017 году Александр Бастрыкин, глава Следственного комитета РФ, подтвердил, что его ведомство использует решения израильской компании.

Закупает такие устройства и «Сбербанк» — правда, не для проведения расследований, а для борьбы с вирусами на устройствах с ОС Android. «При подозрении на заражение мобильных устройств неизвестным вредоносным программным кодом и после получения обязательного согласия владельцев зараженных телефонов будет производиться анализ для поиска постоянно появляющихся и видоизменяющихся новых вирусов c использованием различных инструментов, в том числе с применением UFED Touch2», — заявили в компании.

У американцев тоже есть технологии, позволяющие взламывать любые смартфоны. Компания Grayshift обещает взломать 300 смартфонов за 15 тысяч долларов США (это $50 за единицу против $1500 у Cellbrite).

Вполне вероятно, что подобные устройства есть и у киберпреступников. Эти устройства постоянно совершенствуются — уменьшается размер, увеличивается производительность.

Сейчас мы говорим о более-менее известных телефонах крупных производителей, которые беспокоятся о защите данных своих пользователей. Если же речь о менее крупных компаниях или ноунейм-организациях, то в этом случае данные снимаются без проблем. Режим HS-USB работает даже в тех случаях, когда заблокирован загрузчик. Сервисные режимы, как правило — «чёрный ход», через который можно извлечь данные. Если нет, то можно подключиться к порту JTAG или вообще извлечь чип eMMC, вставив его затем в недорогой адаптер. Если данные не зашифрованы, из телефона можно вытащить вообще всё, включая маркеры аутентификации, которые предоставляют доступ к облачным хранилищам и другим сервисам.

Если у кого-то есть личный доступ к смартфону с важной информацией, то при желании взломать его можно, что бы ни говорили производители.

Понятно, что всё сказанное касается не только смартфонов, но и компьютеров с ноутбуками на различных ОС. Если не прибегать к продвинутым защитным мерам, а довольствоваться обычными методами вроде пароля и логина, то данные будут оставаться в опасности. Опытный взломщик при наличии физического доступа к устройству сможет получить практически любую информацию — это лишь вопрос времени.

Так что делать?


На Хабре вопрос защищённости данных на персональных устройствах затрагивали не раз, поэтому не будем снова изобретать велосипед. Укажем лишь основные методы, которые снижают вероятность получения сторонними лицами ваших данных:

  • В обязательном порядке использовать шифрование данных как на смартфоне, так и на ПК. Разные ОС зачастую предоставляют неплохие средства по умолчанию. Пример — создание криптоконтейнера в Мac OS штатными средствами.

  • Ставить пароли везде и всюду, включая историю переписки в Telegram и прочих мессенджерах. Естественно, пароли должны быть сложными.

  • Двухфакторная аутентификация — да, это может быть неудобно, но если вопрос безопасности стоит на первом месте, приходится смириться.

  • Контролировать физическую безопасность своих устройств. Взять корпоративный ПК в кафе и забыть его там? Классика. Нормы безопасности, включая корпоративную, написаны слезами жертв собственной неосторожности.

Давайте разберём в комментариях ваши способы, которые позволяют снизить вероятность взлома данных при получении сторонним лицом доступа к физическому устройству. Предложенные способы мы потом добавим в статью или опубликуем в нашем телеграм-канале, где регулярно пишем о безопасности, лайфхаках по использованию нашего VPN и цензуре в интернете.




К сожалению, не доступен сервер mySQL