Signal, publicznie dostępna aplikacja do przesyłania wiadomości znalazła się w centrum uwagi po tym, jak dziennikarz został dodany do czatu grupowego między urzędnikami odpowiedzialnymi za bezpieczeństwo narodowe Stanów Zjednoczonych.
REKLAMA
Prezydent Donald Trump zbagatelizował wyciek jako „usterkę”, podczas gdy dyrektor Wywiadu Narodowego Tulsi Gabbard stwierdziła, że nie udostępniono żadnych tajnych informacji wywiadowczych.
Dziennikarz nieumyślnie zaproszony na czat, redaktor naczelny "The Atlantic" Jeffrey Goldberg opublikował od tego czasu kolejne wiadomości, które opisują wrażliwość ujawnionych informacji.
Sekretarz obrony Pete Hegseth przedstawia w nich szczegółowe plany uderzenia na cele Huti w Jemenie, w tym terminy i planowaną do użycia broń.
Doradca ds. bezpieczeństwa narodowego Mike Waltz powiedział, że bierze na siebie „pełną odpowiedzialność” za tę gafę. Według zrzutów ekranu dostarczonych przez "The Atlantic" to Waltz był użytkownikiem, który dodał Goldberga do czatu.
Porażka wywołała pytania o to, dlaczego komercyjna aplikacja została wykorzystana do omówienia potencjalnie wrażliwych informacji i w jaki sposób dziennikarz został dodany do czatu.
Czym jest Signal?
Signal to aplikacja do przesyłania wiadomości uznawana za jedną z najbezpieczniejszych na rynku. Może być używana do bezpośredniego przesyłania wiadomości, czatów grupowych oraz połączeń audio i wideo.
Jest własnością grupy non-profit Signal Foundation, która twierdzi, że jej misją jest „umożliwienie bezpiecznej globalnej komunikacji za pomocą technologii typu open source”.
Według szacunków organizacji non-profit Lawfare, w 2024 roku Signal będzie miał około siedemdziesięciu milionów użytkowników na całym świecie, ale nie jest tak powszechnie używany jak konkurenci, tacy jak WhatsApp i iMessage.
Konta użytkowników są rejestrowane i zarządzane przy użyciu numeru telefonu komórkowego użytkownika, jedynych danych osobowych przechowywanych przez Signal.
Oznacza to, że podczas dodawania członków do czatu grupowego pojawia się lista kontaktów mobilnych użytkowników z aktywnym kontem Signal.
Przypuszcza się, że w przypadku Waltza lista ta mogła zawierać Goldberga, mimo że Waltz powiedział w środę telewizji Fox News: „Mogę powiedzieć na sto procent, że nie znam tego faceta”.
Jak bezpieczne jest to narzędzie?
Signal wykorzystuje formę szyfrowania end-to-end (E2EE), która jest bardziej niezawodna niż jej konkurenci.
Szyfrowanie oznacza, że w zasadzie żadna wiadomość wysłana od jednego użytkownika do drugiego nie może być dostępna dla osób trzecich, nawet przez samą platformę.
Krótko mówiąc, tylko nadawca i odbiorca wiadomości mają klucz do odszyfrowania wiadomości.
W Signal szyfrowanie nie jest opcją i jest domyślnie włączone. Różni się to na przykład od Telegrama, gdzie E2EE nie jest włączone w wielu najpopularniejszych funkcjach platformy.
Protokół szyfrowania Signal jest również open source, co oznacza, że badacze i eksperci ds. cyberbezpieczeństwa są w stanie przeanalizować kod, aby upewnić się, że jest on zgodny z najwyższymi standardami.
„Signal to najlepsza rzecz, jaką można uzyskać jako dziennikarz lub aktywista” - powiedział Euronews kryptograf i profesor na belgijskim uniwersytecie KU Leuven Bart Preneel nazywając go "zdecydowanie jednym z najlepszych".
„Najsłabszym punktem jest samo urządzenie” - dodał Preneel.
„Możemy założyć, że państwa mają możliwość hakowania urządzeń mobilnych a tym samym uzyskiwania dostępu do takiej komunikacji. Dlatego urzędnicy państwowi zwykle mają przeznaczone do tego celu urządzenia, z których powinni korzystać”.
Czy czat grupowy mógł zostać zhakowany?
Preneel opisał również klęskę amerykańskich urzędników związaną z Signalem jako „poważną porażkę”.
„Ci ludzie powinni byli wiedzieć, że nie należy używać nieprzeznaczonych do tego urządzeń” - dodał.
Według analizy śledzenia lotów przeprowadzonej przez stację CBS News, wysłannik Trumpa na Ukrainę i Bliski Wschód Steve Witkoff prawdopodobnie przebywał w Moskwie, kiedy został włączony do czatu grupowego.
Witkoff udał się do Rosji 13 marca, aby spotkać się z prezydentem Rosji Władimirem Putinem w ramach starań o zawieszenie broni na Ukrainie. Według śledztwa CBS, został on dodany do czatu około dwunastu godzin po wylądowaniu w Moskwie.
Euronews zapytał kryptografa Barta Preneela czy fakt, że Witkoff był w Rosji mógł zwiększyć zagrożenie bezpieczeństwa.
„W Rosji ryzyko jest zdecydowanie większe, ponieważ rząd kontroluje połączenia sieciowe. Bardzo dobrze wiadomo, że jeśli tam podróżujesz, twoje urządzenie może zostać zhakowane” - powiedział.
Preneel dodał, że inną „daleko idącą, ale nie niemożliwą” metodą, którą obce państwo mogłoby wykorzystać do uzyskania dostępu do takiej komunikacji, jest ukryte wykorzystanie promieniowania elektromagnetycznego do odbierania sygnałów z urządzenia za pośrednictwem anteny. Zasadniczo pozwala to na przechwytywanie całej aktywności z ekranu urządzenia.
Dlaczego Signal jest popularny i czy rządy z niego korzystają?
Aplikacja do przesyłania wiadomości jest popularna wśród dziennikarzy. Na przykład dziennikarze Euronews używają jej, aby zminimalizować ryzyko związane z bezpieczeństwem podczas komunikacji ze swoimi źródłami.
Jest również preferowana przez dysydentów, którzy chcą uniknąć szpiegowania przez rząd.
Na początku 2020 roku Komisja Europejska zaleciła swoim pracownikom rozpoczęcie korzystania z Signal w ramach działań na rzecz bezpieczeństwa.
W raporcie opublikowanym w ubiegłym roku amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury wezwała urzędników państwowych do przejścia na szyfrowane aplikacje komunikacyjne typu end-to-end, takie jak Signal.
Associated Press ustaliła, że ponad tysiąc stu urzędników państwowych we wszystkich pięćdziesięciu stanach korzysta z aplikacji Signal
Jednak na początku tego miesiąca Pentagon ostrzegł swoich pracowników przed korzystaniem z aplikacji do przesyłania wiadomości w celu udostępniania nawet niesklasyfikowanych informacji, zgodnie z notatką widzianą przez publicznego nadawcę NPR.
Notatka z 18 marca mówi, że „zidentyfikowano lukę w aplikacji Signal Messenger” i, że „rosyjskie profesjonalne grupy hakerskie wykorzystują funkcje” połączonych urządzeń „do szpiegowania zaszyfrowanych rozmów”.
W notatce Departamentu Obrony (DoD) z 2023 roku Signal został również sklasyfikowany jako aplikacja, która nie jest upoważniona do „uzyskiwania dostępu, przesyłania lub przetwarzania niepublicznych informacji DoD”.
Czy urzędnicy naruszyli amerykańskie prawo dotyczące rejestrów publicznych?
Inną kwestią jest to, czy wysocy rangą amerykańscy urzędnicy na czacie Signal złamali amerykańskie przepisy dotyczące prowadzenia publicznych rejestrów.
Czat grupowy, zgodnie z zeznaniami Goldberga wykorzystywał funkcję „znikających wiadomości” Signal do usuwania niektórych wiadomości tydzień po ich wysłaniu.
Preneel powiedział Euronews, że w przeciwieństwie do WhatsApp, który pozwala użytkownikom odzyskać usunięte wiadomości, jeśli zdecydowali się na system kopii zapasowych, znikających wiadomości w Signal nie można odzyskać.
Były urzędnik ds. bezpieczeństwa rządu USA, rozmawiający anonimowo z "Fortune", powiedział, że rodzaj komunikacji na czacie powinien zostać zachowany w ramach amerykańskich przepisów dotyczących rejestrów.