0:00
0:00

0:00

Prawa autorskie: Foto Andrew Harnik / Getty Images via AFPFoto Andrew Harnik /...

Zaczęło się od przypadkowego zaproszenia redaktora naczelnego magazynu „The Atlantic” do grupy na komunikatorze Signal, w której wierchuszka administracji Trumpa koordynowała ataki na cele Huti w Jemenie.

Niedługo później okazało się, że Pete Hegseth, sekretarz obrony USA, dzielił się – również na Signalu – informacjami o planowanych uderzeniach z rodziną. Aby móc korzystać z Signala w pracy, miał w swoim biurze w Pentagonie zainstalowany niezgodny z regulacjami, niezabezpieczony dostęp do Internetu.

A jakby tego było mało, ostatnio usłyszeliśmy o specjalnej aplikacji, kompatybilnej z Signalem, z której rzeczona wierchuszka wydaje się korzystać, a która to aplikacja kopiuje otrzymane i wysłane wiadomości na… zewnętrzne serwery. Serwery, które bardzo szybko okazały się niewystarczająco zabezpieczone.

Akt 1.: Zaproszony nieproszony

W marcu, podczas planowania ataków na cele Huti w Jemenie, wysoko postawieni urzędnicy administracji Trumpa założyli grupę na Signalu w celu szybszej koordynacji. W grupie tej znaleźli się m.in. wiceprezydent JD Vance, sekretarz obrony Pete Hegseth, doradca ds. bezpieczeństwa narodowego Tim Waltz…

Oraz, ku własnemu zdumieniu, redaktor naczelny magazynu The Atlantic, Jeffrey Goldberg. Magazyn ten, a zwłaszcza sam Goldberg, nie jest – mówiąc delikatnie – lubiany w prezydenckich kręgach. Między innymi ze względu na tekst z października zeszłego roku, ostro krytykujący to, jak ówczesny kandydat Trump odnosi się do sił zbrojnych i osób w nich służących. Skąd więc zaproszenie do grupy?

Tym bardziej że wiadomości na niej wymieniane zawierały informacje, które zdecydowanie nie powinny były być dostępne dla prasy – jak planowane cele, uzbrojenie, dokładny czas i plan uderzeń. Zwłaszcza na kilka godziny przed rozpoczęciem nalotów

Jak to się stało, że redaktor Goldberg został dodany do grupy? Najwyraźniej zaproszony do grupy został przez Tima Waltza. Tyle że Tim Waltz wcale nie zamierzał zaprosić redaktora z „The Antlantic”. Prawdopodobnie myślał, że zaprasza Briana Hughesa, rzecznika Rady Bezpieczeństwa Narodowego.

Błędny numer i „sztuczna inteligencja”

Jak donosi The Guardian, opierając się na źródłach, które znają szczegóły wewnętrznego śledztwa przeprowadzonego w tej sprawie przez Biały Dom, Tim Waltz miał numer Goldberga błędnie zapisany w książce adresowej telefonu jako numer Hughesa właśnie. Czemu?

Gdy w październiku zeszłego roku redaktor Goldberg pracował nad wspomnianym wcześniej tekstem, wysłał kampanii prezydenckiej Trumpa maila z prośbą o komentarz. Mail trafił do Briana Hughesa, wówczas rzecznika prasowego kampanii. Ten zaś przekleił jego treść do wiadomości tekstowej, którą wysłał do Waltza.

Przeklejony tekst zawierał sygnaturę z maila Goldberga, ta zaś zawierała jego numer.

To oczywiście jeszcze nie dość, żeby numer został zapisany w książce adresowej pod błędnym nazwiskiem. Ale dość, by jakiś czas później numer Goldberga z wiadomości od Hughesa został Waltzowi przedstawiony jako możliwy numer Hughesa przez Siri (Waltz korzysta z iPhone'a). Być może właśnie wtedy, gdy ten próbował dodać Hughesa do nieszczęsnej grupy.

Akt 2.: Wszystko zostaje w rodzinie

Niedługo po ujawnieniu afery z redaktorem Goldbergiem i grupą na Signalu, New York Times doniósł, że sekretarz obrony Pete Hegseth dzielił się planami ataku na Jemen w grupie na Signalu, do której należą m.in. jego żona, prawnik, oraz brat.

W tym wypadku oczywiście nie ma mowy o pomyłce – zgodnie z informacjami źródła, na które gazeta się powołuje, grupa istniała od wielu miesięcy.

Aby sekretarz obrony Stanów Zjednoczonych mógł korzystać z Signala w pracy, w jego biurze w Pentagonie zainstalowano nawet nieregulaminowy, niezabezpieczony dostęp do Internetu.

Signal jest dobry, ale nie na wszystko

Dziwnie się czuję, musząc pisać te słowa, ale… Signal nie jest narzędziem, za pomocą którego powinna odbywać się koordynacja działań zbrojnych i komunikacja zawierająca informacje niejawne.

Nie oznacza to, że nie jest bezpieczny – trudno dziś znaleźć bezpieczniejszy komunikator internetowy. Szwedzkie siły zbrojne oficjalnie rekomendują Signal do komunikacji niezawierającej informacji niejawnych.

Osoby dbające o bezpieczeństwo informacji dziennikarek i dziennikarzy śledczych czy osób aktywistycznych polecały i nadal polecają osobom, z którymi pracują Signal jako bezpieczne, godne zaufania narzędzie.

W aferze Signalgate ten komunikator wykonał swoje zadanie poprawnie: bezpiecznie dostarczył wiadomości do wszystkich odbiorców w grupie.

Jak każda aplikacja, Signal działa jednak w pewnym kontekście. Na iPhonie Tima Waltza, byłego już doradcy ds. bezpieczeństwa, tym kontekstem była wiadomość od Briana Hughesa zawierająca numer redaktora z magazynu The Atlantic, która została błędnie zinterpretowana przez „sztuczną inteligencję„. Na urządzeniu Pete'a Hegsetha tym kontekstem była „rodzinna” grupa.

Systemy do wymiany i dostępu do informacji niejawnych muszą być projektowane tak, by taki kontekst również był odpowiednio wzięty pod uwagę – coś, czego aplikacja taka, jak Signal, zwyczajnie nie ma jak zrobić.

Tym bardziej że często negatywnie wpływa to na łatwość użycia. Na przykład: osoby niepowołane w ogóle nie powinny mieć dostępu do takiego systemu. To uchroniłoby na przykład Tima Waltza przed dodaniem redaktora z The Atlantic do grupy. Ale oznaczałoby też, że sekretarz obrony Hegseth nie mógłby się pochwalić planowanym atakiem przed rodziną – przynajmniej nie bez dodatkowych, mało wygodnych kroków.

Bez woli politycznej trudno taki system wdrożyć, wiemy to z polskiego podwórka.

W kontekście komunikacji rządowej istotne są też przepisy dotyczące przejrzystości i archiwizacji oficjalnej komunikacji organów administracji – taka komunikacja stanowi przecież często informację publiczną, do której obywatelki i obywatele powinni móc uzyskać dostęp. Signal nie udostępnia żadnych narzędzi pozwalających na archiwizację takiej komunikacji. Nie takie jest wszak jego zadanie.

Jest jeszcze nowy aktor, to TM SGNL

Wykorzystanie przez ekipę Donalda Trumpa komunikatora Signal było krytykowane między innymi właśnie ze względu na brak możliwości archiwizacji rozmów między osobami pełniącymi funkcje publiczne.

Na początku maja Tim Waltz został sfotografowany jak korzysta z aplikacji TM SGNL. Aplikacja jest najwyraźniej oparta na Signalu i z nim kompatybilna – to znaczy, korzystając z niej, możemy rozmawiać z innymi osobami korzystającymi z Signala. Tyle tylko, że archiwizuje całą komunikację na zewnętrznych serwerach.

TM SGNL przeanalizował Micah Lee, doświadczony ekspert od bezpieczeństwa informacji. Aplikacja jest elementem systemu archiwizacji wiadomości stworzonego przez firmę TeleMessage – założoną notabene przez osoby mające związki z izraelskim wywiadem.

Każda wiadomość wysyłana i odbierana przez TM SGNL jest również archiwizowana przez TeleMessage w jednym ze wskazanych przez klienta miejsc.

W swoim tekście z 2. maja Lee spekuluje, że dane mogą być przechowywane u jednego z dostawców rozwiązań chmurowych, jak Amazon Web Services czy Microsoft Azure, lub na serwerach e-mail, na przykład Microsoftu czy Google.

I dodaje:

Gdybym pracował dla zagranicznego wywiadu, to byłby mój główny cel.

Ktokolwiek włamie się do tej firmy, lub jej złośliwi pracownicy, prawdopodobnie może uzyskać dostęp do zapisów tych wszystkich rozmów, pełnych danych niejawnych.

Dwa dni później TeleMessage doświadczyło włamania. Okazało się, że przynajmniej część danych przechowywana była na niezabezpieczonym kontenerze w Amazon Web Services.

Z końca do końca

Dane, które wyciekły, potwierdziły też podejrzenia Lee, że TM SGNL nie szyfruje archiwizowanych rozmów end-to-end (ang. „z końca do końca”). Szyfrowanie end-to-end oznacza, że tylko nadawca i odbiorcy danej wiadomości mogą ją odczytać, niezależnie od tego, przez ile rąk (i czyich) ta wiadomość musi przejść.

W przypadku TM SGNL, wiadomości w ramach protokołu Signala (a więc wysyłane do i przychodzące od innych kontaktów) są rzecz jasna szyfrowane end-to-end, bo tego wymaga protokół Signala.

Ale gdy już są na urządzeniu osoby korzystającej z TM SGNL, te wiadomości wysyłane są do infrastruktury firmy TeleMessage, z której później trafiają do wybranego przez klienta miejsca docelowej archiwizacji (np. na serwer pocztowy). Połączenie z infrastrukturą TeleMessage jest szyfrowane, ale sama wiadomość wysyłana przez to połączenie już nie.

To oznacza, że firma TeleMessage ma pełny dostęp do treści archiwizowanych wiadomości!

Sam fakt archiwizacji informacji przesyłanych przez szyfrowany komunikator taki, jak Signal – TeleMessage ma identyczne rozwiązania również dla WhatsAppa, WeChata, czy Telegrama – jest problematyczny. Osoby z tego narzędzia korzystające nie spodziewają się, że ich wiadomości i media mogą być zachowane gdzieś poza urządzeniem osoby, z którą się komunikują.

Natomiast fakt, że wiadomości są przesyłane przez infrastrukturę TeleMessage w sposób dający firmie dostęp do ich treści jest absolutnie nie do zaakceptowania – i to nawet nie wchodząc na poziom informacji niejawnych! Nietrudno jest zaprojektować podobny system archiwizacji w taki sposób, by operator usługi nie miał dostępu do treści archiwizowanych wiadomości.

Niekompetencja i beztroska

Czemu wierchuszka administracji Trumpa korzysta z Signala, zamiast wewnętrznych, dodatkowo zabezpieczonych, przygotowanych i kompetentnie zarządzanych przez odpowiednie instytucje kanałów komunikacji, do których z pewnością mają dostęp?

Pewnie z tych samych powodów, dla których Michał Dworczyk i wierchuszka ówczesnego rządu PiS korzystała z prywatnych serwerów mailowych – po części wygoda, po części brak zaufania do służb. I brak zrozumienia zagrożeń. Skończyło się podobnie.

Czemu sekretarz obrony USA podważa swój własny autorytet, ignorując wewnętrzne regulacje organizacji, której jest szefem, instalując niezabezpieczony dostęp do sieci? Znów wygoda, podlana butą i beztroską.

Kiedy administracja Trumpa zaczęła korzystać z horrendalnie niebezpiecznego klona Signala, TM SGNL? Tego nie wiadomo.

Ale można spekulować, że być może wdrożyli to narzędzie jako szybką odpowiedź na krytykę dotyczącą braku możliwości archiwizacji rozmów na Signalu. Niedługo po pierwszym akcie Signalgate firma TeleMessage opublikowała wpis na blogu, który wydaje się wspierać taką interpretację faktów.

Dziś wpis jest usunięty, wraz z resztą zawartości strony TeleMessage – po drugim włamaniu.

;
Na zdjęciu Michał rysiek Woźniak
Michał rysiek Woźniak

Specjalista ds. bezpieczeństwa informacji, administrator sieci i aktywista w zakresie praw cyfrowych. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace’a. Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP – The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej. Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium” oraz “Katalogu Kompetencji Medialnych”.

Komentarze