Signalgate jest poważniejszą wpadką niż dotychczas opisywano

Zaczęło się od przypadkowego zaproszenia redaktora naczelnego magazynu „The Atlantic” do grupy na komunikatorze Signal, w której wierchuszka administracji Trumpa koordynowała ataki na cele Huti w Jemenie.

Niedługo później okazało się, że Pete Hegseth, sekretarz obrony USA, dzielił się – również na Signalu – informacjami o planowanych uderzeniach z rodziną. Aby móc korzystać z Signala w pracy, miał w swoim biurze w Pentagonie zainstalowany niezgodny z regulacjami, niezabezpieczony dostęp do Internetu.

A jakby tego było mało, ostatnio usłyszeliśmy o specjalnej aplikacji, kompatybilnej z Signalem, z której rzeczona wierchuszka wydaje się korzystać, a która to aplikacja kopiuje otrzymane i wysłane wiadomości na… zewnętrzne serwery. Serwery, które bardzo szybko okazały się niewystarczająco zabezpieczone.

Signal jest dobry, ale nie na wszystko

Dziwnie się czuję, musząc pisać te słowa, ale… Signal nie jest narzędziem, za pomocą którego powinna odbywać się koordynacja działań zbrojnych i komunikacja zawierająca informacje niejawne.

Nie oznacza to, że nie jest bezpieczny – trudno dziś znaleźć bezpieczniejszy komunikator internetowy. Szwedzkie siły zbrojne oficjalnie rekomendują Signal do komunikacji niezawierającej informacji niejawnych.

Osoby dbające o bezpieczeństwo informacji dziennikarek i dziennikarzy śledczych czy osób aktywistycznych polecały i nadal polecają osobom, z którymi pracują Signal jako bezpieczne, godne zaufania narzędzie.

W aferze Signalgate ten komunikator wykonał swoje zadanie poprawnie: bezpiecznie dostarczył wiadomości do wszystkich odbiorców w grupie.

Jak każda aplikacja, Signal działa jednak w pewnym kontekście. Na iPhonie Tima Waltza, byłego już doradcy ds. bezpieczeństwa, tym kontekstem była wiadomość od Briana Hughesa zawierająca numer redaktora z magazynu The Atlantic, która została błędnie zinterpretowana przez „sztuczną inteligencję„. Na urządzeniu Pete'a Hegsetha tym kontekstem była „rodzinna” grupa.

Systemy do wymiany i dostępu do informacji niejawnych muszą być projektowane tak, by taki kontekst również był odpowiednio wzięty pod uwagę – coś, czego aplikacja taka, jak Signal, zwyczajnie nie ma jak zrobić.

Tym bardziej że często negatywnie wpływa to na łatwość użycia. Na przykład: osoby niepowołane w ogóle nie powinny mieć dostępu do takiego systemu. To uchroniłoby na przykład Tima Waltza przed dodaniem redaktora z The Atlantic do grupy. Ale oznaczałoby też, że sekretarz obrony Hegseth nie mógłby się pochwalić planowanym atakiem przed rodziną – przynajmniej nie bez dodatkowych, mało wygodnych kroków.

Bez woli politycznej trudno taki system wdrożyć, wiemy to z polskiego podwórka.

W kontekście komunikacji rządowej istotne są też przepisy dotyczące przejrzystości i archiwizacji oficjalnej komunikacji organów administracji – taka komunikacja stanowi przecież często informację publiczną, do której obywatelki i obywatele powinni móc uzyskać dostęp. Signal nie udostępnia żadnych narzędzi pozwalających na archiwizację takiej komunikacji. Nie takie jest wszak jego zadanie.

Jest jeszcze nowy aktor, to TM SGNL

Wykorzystanie przez ekipę Donalda Trumpa komunikatora Signal było krytykowane między innymi właśnie ze względu na brak możliwości archiwizacji rozmów między osobami pełniącymi funkcje publiczne.

Na początku maja Tim Waltz został sfotografowany jak korzysta z aplikacji TM SGNL. Aplikacja jest najwyraźniej oparta na Signalu i z nim kompatybilna – to znaczy, korzystając z niej, możemy rozmawiać z innymi osobami korzystającymi z Signala. Tyle tylko, że archiwizuje całą komunikację na zewnętrznych serwerach.

TM SGNL przeanalizował Micah Lee, doświadczony ekspert od bezpieczeństwa informacji. Aplikacja jest elementem systemu archiwizacji wiadomości stworzonego przez firmę TeleMessage – założoną notabene przez osoby mające związki z izraelskim wywiadem.

Każda wiadomość wysyłana i odbierana przez TM SGNL jest również archiwizowana przez TeleMessage w jednym ze wskazanych przez klienta miejsc.

W swoim tekście z 2. maja Lee spekuluje, że dane mogą być przechowywane u jednego z dostawców rozwiązań chmurowych, jak Amazon Web Services czy Microsoft Azure, lub na serwerach e-mail, na przykład Microsoftu czy Google.

I dodaje:

Ktokolwiek włamie się do tej firmy, lub jej złośliwi pracownicy, prawdopodobnie może uzyskać dostęp do zapisów tych wszystkich rozmów, pełnych danych niejawnych.

Dwa dni później TeleMessage doświadczyło włamania. Okazało się, że przynajmniej część danych przechowywana była na niezabezpieczonym kontenerze w Amazon Web Services.

Z końca do końca

Dane, które wyciekły, potwierdziły też podejrzenia Lee, że TM SGNL nie szyfruje archiwizowanych rozmów end-to-end (ang. „z końca do końca”). Szyfrowanie end-to-end oznacza, że tylko nadawca i odbiorcy danej wiadomości mogą ją odczytać, niezależnie od tego, przez ile rąk (i czyich) ta wiadomość musi przejść.

W przypadku TM SGNL, wiadomości w ramach protokołu Signala (a więc wysyłane do i przychodzące od innych kontaktów) są rzecz jasna szyfrowane end-to-end, bo tego wymaga protokół Signala.

Ale gdy już są na urządzeniu osoby korzystającej z TM SGNL, te wiadomości wysyłane są do infrastruktury firmy TeleMessage, z której później trafiają do wybranego przez klienta miejsca docelowej archiwizacji (np. na serwer pocztowy). Połączenie z infrastrukturą TeleMessage jest szyfrowane, ale sama wiadomość wysyłana przez to połączenie już nie.

To oznacza, że firma TeleMessage ma pełny dostęp do treści archiwizowanych wiadomości!

Sam fakt archiwizacji informacji przesyłanych przez szyfrowany komunikator taki, jak Signal – TeleMessage ma identyczne rozwiązania również dla WhatsAppa, WeChata, czy Telegrama – jest problematyczny. Osoby z tego narzędzia korzystające nie spodziewają się, że ich wiadomości i media mogą być zachowane gdzieś poza urządzeniem osoby, z którą się komunikują.

Natomiast fakt, że wiadomości są przesyłane przez infrastrukturę TeleMessage w sposób dający firmie dostęp do ich treści jest absolutnie nie do zaakceptowania – i to nawet nie wchodząc na poziom informacji niejawnych! Nietrudno jest zaprojektować podobny system archiwizacji w taki sposób, by operator usługi nie miał dostępu do treści archiwizowanych wiadomości.

Niekompetencja i beztroska

Czemu wierchuszka administracji Trumpa korzysta z Signala, zamiast wewnętrznych, dodatkowo zabezpieczonych, przygotowanych i kompetentnie zarządzanych przez odpowiednie instytucje kanałów komunikacji, do których z pewnością mają dostęp?

Pewnie z tych samych powodów, dla których Michał Dworczyk i wierchuszka ówczesnego rządu PiS korzystała z prywatnych serwerów mailowych – po części wygoda, po części brak zaufania do służb. I brak zrozumienia zagrożeń. Skończyło się podobnie.

Czemu sekretarz obrony USA podważa swój własny autorytet, ignorując wewnętrzne regulacje organizacji, której jest szefem, instalując niezabezpieczony dostęp do sieci? Znów wygoda, podlana butą i beztroską.

Kiedy administracja Trumpa zaczęła korzystać z horrendalnie niebezpiecznego klona Signala, TM SGNL? Tego nie wiadomo.

Ale można spekulować, że być może wdrożyli to narzędzie jako szybką odpowiedź na krytykę dotyczącą braku możliwości archiwizacji rozmów na Signalu. Niedługo po pierwszym akcie Signalgate firma TeleMessage opublikowała wpis na blogu, który wydaje się wspierać taką interpretację faktów.

Dziś wpis jest usunięty, wraz z resztą zawartości strony TeleMessage – po drugim włamaniu.