Stany Zjednoczone doświadczają własnej wersji afery Dworczyka. Problemem jest nie tylko przesyłania tajnych informacji przez członków rządu za pomocą komunikatora Signal. Wygląda na to, że ta komunikacja była w dodatku archiwizowana przez niezabezpieczoną aplikację TM SGNL
Zaczęło się od przypadkowego zaproszenia redaktora naczelnego magazynu „The Atlantic” do grupy na komunikatorze Signal, w której wierchuszka administracji Trumpa koordynowała ataki na cele Huti w Jemenie.
Niedługo później okazało się, że Pete Hegseth, sekretarz obrony USA, dzielił się – również na Signalu – informacjami o planowanych uderzeniach z rodziną. Aby móc korzystać z Signala w pracy, miał w swoim biurze w Pentagonie zainstalowany niezgodny z regulacjami, niezabezpieczony dostęp do Internetu.
A jakby tego było mało, ostatnio usłyszeliśmy o specjalnej aplikacji, kompatybilnej z Signalem, z której rzeczona wierchuszka wydaje się korzystać, a która to aplikacja kopiuje otrzymane i wysłane wiadomości na… zewnętrzne serwery. Serwery, które bardzo szybko okazały się niewystarczająco zabezpieczone.
Dziwnie się czuję, musząc pisać te słowa, ale… Signal nie jest narzędziem, za pomocą którego powinna odbywać się koordynacja działań zbrojnych i komunikacja zawierająca informacje niejawne.
Nie oznacza to, że nie jest bezpieczny – trudno dziś znaleźć bezpieczniejszy komunikator internetowy. Szwedzkie siły zbrojne oficjalnie rekomendują Signal do komunikacji niezawierającej informacji niejawnych.
Osoby dbające o bezpieczeństwo informacji dziennikarek i dziennikarzy śledczych czy osób aktywistycznych polecały i nadal polecają osobom, z którymi pracują Signal jako bezpieczne, godne zaufania narzędzie.
W aferze Signalgate ten komunikator wykonał swoje zadanie poprawnie: bezpiecznie dostarczył wiadomości do wszystkich odbiorców w grupie.
Jak każda aplikacja, Signal działa jednak w pewnym kontekście. Na iPhonie Tima Waltza, byłego już doradcy ds. bezpieczeństwa, tym kontekstem była wiadomość od Briana Hughesa zawierająca numer redaktora z magazynu The Atlantic, która została błędnie zinterpretowana przez „sztuczną inteligencję„. Na urządzeniu Pete'a Hegsetha tym kontekstem była „rodzinna” grupa.
Systemy do wymiany i dostępu do informacji niejawnych muszą być projektowane tak, by taki kontekst również był odpowiednio wzięty pod uwagę – coś, czego aplikacja taka, jak Signal, zwyczajnie nie ma jak zrobić.
Tym bardziej że często negatywnie wpływa to na łatwość użycia. Na przykład: osoby niepowołane w ogóle nie powinny mieć dostępu do takiego systemu. To uchroniłoby na przykład Tima Waltza przed dodaniem redaktora z The Atlantic do grupy. Ale oznaczałoby też, że sekretarz obrony Hegseth nie mógłby się pochwalić planowanym atakiem przed rodziną – przynajmniej nie bez dodatkowych, mało wygodnych kroków.
Bez woli politycznej trudno taki system wdrożyć, wiemy to z polskiego podwórka.
W kontekście komunikacji rządowej istotne są też przepisy dotyczące przejrzystości i archiwizacji oficjalnej komunikacji organów administracji – taka komunikacja stanowi przecież często informację publiczną, do której obywatelki i obywatele powinni móc uzyskać dostęp. Signal nie udostępnia żadnych narzędzi pozwalających na archiwizację takiej komunikacji. Nie takie jest wszak jego zadanie.
Wykorzystanie przez ekipę Donalda Trumpa komunikatora Signal było krytykowane między innymi właśnie ze względu na brak możliwości archiwizacji rozmów między osobami pełniącymi funkcje publiczne.
Na początku maja Tim Waltz został sfotografowany jak korzysta z aplikacji TM SGNL. Aplikacja jest najwyraźniej oparta na Signalu i z nim kompatybilna – to znaczy, korzystając z niej, możemy rozmawiać z innymi osobami korzystającymi z Signala. Tyle tylko, że archiwizuje całą komunikację na zewnętrznych serwerach.
TM SGNL przeanalizował Micah Lee, doświadczony ekspert od bezpieczeństwa informacji. Aplikacja jest elementem systemu archiwizacji wiadomości stworzonego przez firmę TeleMessage – założoną notabene przez osoby mające związki z izraelskim wywiadem.
Każda wiadomość wysyłana i odbierana przez TM SGNL jest również archiwizowana przez TeleMessage w jednym ze wskazanych przez klienta miejsc.
W swoim tekście z 2. maja Lee spekuluje, że dane mogą być przechowywane u jednego z dostawców rozwiązań chmurowych, jak Amazon Web Services czy Microsoft Azure, lub na serwerach e-mail, na przykład Microsoftu czy Google.
I dodaje:
Gdybym pracował dla zagranicznego wywiadu, to byłby mój główny cel.
Ktokolwiek włamie się do tej firmy, lub jej złośliwi pracownicy, prawdopodobnie może uzyskać dostęp do zapisów tych wszystkich rozmów, pełnych danych niejawnych.
Dwa dni później TeleMessage doświadczyło włamania. Okazało się, że przynajmniej część danych przechowywana była na niezabezpieczonym kontenerze w Amazon Web Services.
Dane, które wyciekły, potwierdziły też podejrzenia Lee, że TM SGNL nie szyfruje archiwizowanych rozmów end-to-end (ang. „z końca do końca”). Szyfrowanie end-to-end oznacza, że tylko nadawca i odbiorcy danej wiadomości mogą ją odczytać, niezależnie od tego, przez ile rąk (i czyich) ta wiadomość musi przejść.
W przypadku TM SGNL, wiadomości w ramach protokołu Signala (a więc wysyłane do i przychodzące od innych kontaktów) są rzecz jasna szyfrowane end-to-end, bo tego wymaga protokół Signala.
Ale gdy już są na urządzeniu osoby korzystającej z TM SGNL, te wiadomości wysyłane są do infrastruktury firmy TeleMessage, z której później trafiają do wybranego przez klienta miejsca docelowej archiwizacji (np. na serwer pocztowy). Połączenie z infrastrukturą TeleMessage jest szyfrowane, ale sama wiadomość wysyłana przez to połączenie już nie.
To oznacza, że firma TeleMessage ma pełny dostęp do treści archiwizowanych wiadomości!
Sam fakt archiwizacji informacji przesyłanych przez szyfrowany komunikator taki, jak Signal – TeleMessage ma identyczne rozwiązania również dla WhatsAppa, WeChata, czy Telegrama – jest problematyczny. Osoby z tego narzędzia korzystające nie spodziewają się, że ich wiadomości i media mogą być zachowane gdzieś poza urządzeniem osoby, z którą się komunikują.
Natomiast fakt, że wiadomości są przesyłane przez infrastrukturę TeleMessage w sposób dający firmie dostęp do ich treści jest absolutnie nie do zaakceptowania – i to nawet nie wchodząc na poziom informacji niejawnych! Nietrudno jest zaprojektować podobny system archiwizacji w taki sposób, by operator usługi nie miał dostępu do treści archiwizowanych wiadomości.
Czemu wierchuszka administracji Trumpa korzysta z Signala, zamiast wewnętrznych, dodatkowo zabezpieczonych, przygotowanych i kompetentnie zarządzanych przez odpowiednie instytucje kanałów komunikacji, do których z pewnością mają dostęp?
Pewnie z tych samych powodów, dla których Michał Dworczyk i wierchuszka ówczesnego rządu PiS korzystała z prywatnych serwerów mailowych – po części wygoda, po części brak zaufania do służb. I brak zrozumienia zagrożeń. Skończyło się podobnie.
Czemu sekretarz obrony USA podważa swój własny autorytet, ignorując wewnętrzne regulacje organizacji, której jest szefem, instalując niezabezpieczony dostęp do sieci? Znów wygoda, podlana butą i beztroską.
Kiedy administracja Trumpa zaczęła korzystać z horrendalnie niebezpiecznego klona Signala, TM SGNL? Tego nie wiadomo.
Ale można spekulować, że być może wdrożyli to narzędzie jako szybką odpowiedź na krytykę dotyczącą braku możliwości archiwizacji rozmów na Signalu. Niedługo po pierwszym akcie Signalgate firma TeleMessage opublikowała wpis na blogu, który wydaje się wspierać taką interpretację faktów.
Dziś wpis jest usunięty, wraz z resztą zawartości strony TeleMessage – po drugim włamaniu.
Specjalista ds. bezpieczeństwa informacji, administrator sieci i aktywista w zakresie praw cyfrowych. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace’a. Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP – The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej. Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium” oraz “Katalogu Kompetencji Medialnych”.
Specjalista ds. bezpieczeństwa informacji, administrator sieci i aktywista w zakresie praw cyfrowych. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace’a. Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP – The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej. Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium” oraz “Katalogu Kompetencji Medialnych”.
Komentarze