Minister Gawkowski się myli co do Signala. Tłumaczymy, dlaczego 

„Czas bezpieczeństwa w sieci się skończył” – oznajmił w zeszłym tygodniu wicepremier, minister cyfryzacji Krzysztof Gawkowski w programie „Kod bezpieczeństwa” w TVP Info. Była to część dłuższej wypowiedzi, którą można bardzo łatwo zinterpretować jako odradzającą korzystania z popularnego komunikatora Signal.

Wbrew temu, co premier Gawkowski zdawał się sugerować, Signal nadal jest jednym z najbezpieczniejszych komunikatorów internetowych. Atak, do którego się odnosił, nie wykorzystuje żadnych konkretnych podatności czy wad Signala, opiera się na socjotechnice. Podobne kampanie dotykają inne narzędzia komunikacyjne.

Jego celem nie jest przejęcie naszego urządzenia, tylko uzyskanie dostępu do przesyłanych przez komunikator wiadomości. I nie dotknie to ogromnej większości osób z tego komunikatora korzystających – skupia się na osobach publicznych i piastujących eksponowane stanowiska.

Oczywiście, zawsze warto zachować czujność i z ostrożnością podchodzić do nieoczekiwanych wiadomości wysłanych z nieznanych nam kont, ale to rada dobra niezależnie od komunikatora, z którego korzystamy.

Co wicepremier miał na myśli

Mimo że zajmuję się bezpieczeństwem informacji na co dzień, a Signal jest jednym z kluczowych narzędzi, z których korzystam (więc śledzę na bieżąco wszelkie informacje związane z jego bezpieczeństwem), nie kojarzyłem niczego, co pasowałoby do wypowiedzi wicepremiera Gawkowskiego.

Postanowiłem więc spytać Ministerstwo Cyfryzacji, CERT Polska, oraz Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT GOV). Te dwie ostatnie instytucje działają w ramach krajowego systemu cyberbezpieczeństwa.

„[I]dentyfikowano ataki z wykorzystaniem elementów inżynierii społecznej, których celem było przejęcie poświadczeń bądź uzyskanie dostępu do usługi elektronicznej, w tym m.in. kont komunikatora Signal” – czytam w odpowiedzi od CSIRT GOV.

Chodzi o phishing

Chodzi zatem o phishing, czyli próbę przekonania nas do kliknięcia w złośliwy link lub przekazania osobom stojącym za danym atakiem wrażliwych informacji.

„Celem ataku jest utrata poufności korespondencji prowadzonej z wykorzystaniem komunikatora Signal i stały dostęp do wiadomości ofiary” – pisze Ministerstwo Cyfryzacji. Nie ma mowy o żadnym rzekomym „przejmowaniu telefonu” z wypowiedzi premiera Gawkowskiego.

Wiadomości od atakujących mogą zawierać informację o nieudanej „próbie logowania”, prośbę o przesłanie kodu potwierdzającego, który dostaniemy SMS-em. Tak naprawdę atakujący próbuje przejąć nasze konto ponownie rejestrując je na innym urządzeniu. Nie ma jednak dostępu do naszego urządzenia, nie może więc sam odebrać SMS-a z niezbędnym do tego kodem. Jeśli przekażemy odebrany przez nas kod, stracimy dostęp do naszego konta w komunikatorze.

Drugim wariantem takich ataków są wiadomości zawierające złośliwy link, który prowadzi do strony podstępem próbującej nas skłonić do podłączenia aplikacji kontrolowanej przez cyberprzestępców jako połączonego urządzenia. Jeśli się na to nabierzemy, uzyskają oni dostęp do wysyłanych do nas i przez nas wiadomości.

„Kampania phishingowa wymierzona w użytkowników komunikatora Signal polegała na rozsyłaniu fałszywych wiadomości podszywających się pod obsługę aplikacji” – wyjaśnia Ministerstwo Cyfryzacji.

Atakujący próbują podszywać się pod wsparcie techniczne komunikatora Signal, po prostu ustawiając wyświetlaną nazwę kont użytych w ataku na przykład na „Support Signal” czy „Signal Notification”, i wysyłając nam z nich wiadomości. Operator Signala nigdy się jednak z nami w ten sposób nie komunikuje, organizacja pisze o tym jednoznacznie na swojej stronie internetowej oraz w mediach społecznościowych.

Co ważne, CERT Polska podkreśla, że „[w] wypadku tej kampanii nie ma mowy o podatności, jest to typowy atak socjotechniczny”.

Oznacza to, że atak nie wykorzystuje żadnego błędu bezpieczeństwa (podatności) w Signalu, a więc „nie jest to luka, którą można naprawić”. Połączone urządzenia to standardowa funkcjonalność komunikatorów internetowych pozwalająca nam na korzystanie z naszego konta nie tylko na smartfonie, ale też jednocześnie na laptopie.

Celem są konkretne grupy osób

Większości osób korzystających z Signala ten konkretny atak nie dotknie.

„[D]ziałania są wymierzone przede wszystkim w osoby pełniące kluczowe funkcje publiczne – ministrów, parlamentarzystów, samorządowców i innych decydentów w administracji. Ataki mogą też dotyczyć innych osób publicznych, którymi interesują się adwersarze” – czytam w mejlu od Ministerstwa Cyfryzacji. – „W kampanii kluczowa jest grupa docelowa, którą są osoby rozpoznawalne, zajmujące eksponowane stanowiska publiczne. Jest to bardzo specyficzne i strategiczne targetowanie, w przeciwieństwie do szerokich kampanii wymierzonych w przypadkowych użytkowników”.

CERT Polska również zaznacza, że atak jest „targetowany precyzyjnie na konkretne osoby – polityków, żołnierzy, urzędników czy dziennikarzy”.

To oczywiście nie oznacza, że nie powinniśmy mieć się na baczności. Phishing to szerokie zjawisko, podobne ataki przeprowadzane są z użyciem wszelkich narzędzi komunikacyjnych. Podkreśla to CSIRT GOV:

Mając na uwadze wykorzystanie w ataku właśnie elementów socjotechniki, zauważyć należy, że

„Ten konkretny przykład, podniesiony przez premiera Gawkowskiego, dotyczy wyłącznie Signala, ale należy pamiętać, że ta sama technika występuje także w atakach na inne komunikatory” – pisze CERT Polska. – „Kluczowe jest jednak informowanie o tych działaniach, po to, żeby budować społeczną odporność i świadomość”.

Kto za tym stoi?

To nie jest zwykły phishing próbujący uzyskać dostęp do naszego konta poczty elektronicznej. Atak polegający na próbie podpięcia złośliwego połączonego urządzenia czy kompletnym przejęciu konta na Signalu jest bardziej skomplikowany, niż zwykłe przekręty opierające się na socjotechnice i mejlach. A sama kampania jest bardzo dokładnie wycelowana w konkretne grupy osób.

„Za kampanią stoi grupa prawdopodobnie powiązana z państwami wrogo nastawionymi do Polski” – czytam w odpowiedzi od Ministerstwa Cyfryzacji. Nic więc dziwnego, że wcześniej podobne kampanie zaobserwowano w Armenii i (ponad rok temu) w Ukrainie.

Sprawa nie jest bardzo świeża. Ta konkretna kampania od kilku miesięcy znana jest polskim instytucjom zajmującym się bezpieczeństwem informacji.

Komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa na jej temat datowany jest na maj bieżącego roku. Wojska Obrony Cyberprzestrzeni informowały o niej w czerwcu (wpis nie jest datowany, ale można to sprawdzić w Internet Archive).

Jak się zabezpieczyć

Przede wszystkim: nie ma powodu, by rezygnować z Signala. Pozostaje on jednym z najbezpieczniejszych komunikatorów internetowych i jest nadal polecany przez osoby profesjonalnie zajmujące się bezpieczeństwem informacji jako lepsza alternatywa do innych popularnych komunikatorów.

„Słowa wicepremiera nie miały wywołać paniki ani zachęcać do rezygnacji z korzystania z komunikatora Signal” – klaruje Biuro Komunikacji Ministerstwa Cyfryzacji. – „Należy je traktować jako wskazówkę do bezpiecznej konfiguracji własnych komunikatorów oraz przypomnienie, że żadne rozwiązanie nie jest w pełni bezpieczne, a najsłabszym ogniwem w cyberbezpieczeństwie bywa często sam użytkownik”.

Zgadza się z tym CERT Polska:

Warto jedynie zachować pewne zasady bezpieczeństwa:

• uważać na wszystkie prośby przekazania kodu SMS do aktywacji konta na innym telefonie,
• ustawić kod zabezpieczający migrację na inny telefon,
• z ostrożnością podchodzić do próśb o zeskanowania kodu qr aplikacją komunikatora w celu powiązania aplikacji z innym urządzeniem,
• okresowo sprawdzać listę podłączonych urządzeń i odpinać te, z których już nie korzystamy.

Dokładniejsze instrukcje dotyczące zabezpieczenia naszego konta przed podobnymi atakami znajdziemy w dokumencie udostępnionym przez Wojska Obrony Cyberprzestrzeni.