Denník N uverejnil článok, v ktorom vysvetľuje výhody aplikácie Signal. A keďže v článku nezazneli úplne všetky informácie, rozhodli sme sa ich doplniť.
Celý článok Prečo volať a četovať cez Signal? si môžete prečítať v Denníku N. V článku sú citované tie pasáže, ktoré si zaslúžia väčšiu pozornosť.
V úvode článku sú uvedené nasledovné odporúčania:
Denník N: Aký messenger používať a ktorému sa vyhnúť?
1. odporúčame: Signal, Threema (aj keď sa Europol nabúral do Kočnerovej komunikácie)
2. bezpečné s rezervami: Telegram (jeho autor Pavel Durov ušiel pred ruskou tajnou službou FSB z Ruska)
3. radšej sa im vyhnite: Whatsapp, Messenger, Skype, Viber, Instagram
Ide o najproblematickejšiu časť inak dobrého článku. Odporúčať konkrétne aplikácie bez poukázania na ich najväčšie slabiny nie je celkom správne. Neexistuje horšia situácia ako spoliehať sa na bezpečnosť aplikácie a nevedieť o jej prípadných rizikách.
S rozdelením uvedených aplikácií sa dá súhlasiť. Nie je však jasné, prečo sa v zozname vôbec neobjavili profesionálne riešenia pre bezpečnú komunikáciu, ktoré sú certifikované a používajú ich aj vládne organizácie.
Mnohé krajiny ako sú Nemecko, Francúzsko, Veľká Británia, Švédsko, Izrael, ale aj Slovensko majú svoje „národné“ šifrovacie aplikácie pre bezpečnú vládnu komunikáciu a mnohé z nich sú dostupné aj komerčne.
Signal, Threema a bezpečnostné slabiny
Denník N: Má Signal nejaké bezpečné alternatívy? Mohla by ňou byť napríklad appka Threema, hoci v prípade Mariana Kočnera, podozrivého z objednania vraždy Jána Kuciaka a Martiny Kušnírovej, sa do jeho komunikácie v Threeme Europol nabúral. V tomto prípade to však zrejme bolo individuálne zlyhanie človeka v rámci bezpečnosti – stačilo, aby sa našla záloha ku kľúču, ktorý im to umožnil.
Písali sme o tom už v samostatnom článku. Signal, podobne ako Threema a mnohé ďalšie aplikácie majú z pohľadu bezpečnosti hneď dva zásadné problémy.
Prvým je spôsob uchovávania správ, prípadne súborov a iných informácií v pamäti telefónov.
V prípade známeho prelomenia aplikácie Threema, ak ide o pravdivé informácie, potom by sa tento problém rovnako týkal aj Signalu a väčšiny ďalších podobných aplikácií.
Ak niekto získa váš telefón, na ktorom sú uložené správy v aplikáciách ako sú Threema alebo Signal, útočník má v podstate neobmedzený čas a neobmedzený počet pokusov, aby sa k správam dostal. A pokiaľ bude mať záujem sa k nim dostať, bude to len otázka času.
Druhým je otvorený spôsob registrácie. Aplikácie ako Signal a Threema umožňujú prípadnému útočníkovi sa zaregistrovať pod falošnou identitou, a v prípade, že pozná vaše telefónne číslo, veľmi jednoducho zistí, či používate niektorú z týchto aplikácií. Následne vás môže skúsiť cez túto aplikáciu aj kontaktovať a pokúsiť sa o phishingový útok. Systémy, ktoré poskytujú uzavretý spôsob registrácie sú v tomto ohľade výrazne bezpečnejšie.
Navyše v prípade Signalu je registrácia užívateľov vždy previazaná s telefónnym číslom. To znamená, že v rámci internetu sa vytvorí digitálna stopa, pomocou ktorej je možné spätne vyskladať informáciu o tom, s kým a kedy ste komunikovali.
Ilustračná fotografia (autor: Alex Schudich / Maroš Chromík)
Open source neznamená vždy bezpečnosť
Denník N: Bezpečnostní experti tiež vítajú, že Signal je jedným z mála programov, ktoré sú open source. To znamená, že ktokoľvek si môže pozrieť zdrojový kód a odhaliť možné bezpečnostné chyby skôr, ako by ich mohol nájsť útočník. Signal tak prešiel nezávislým auditom, ktorý mal skontrolovať, či je naozaj bezpečný a neobsahuje žiadne zadné dvierka (backdoor).
…
V takom prípade je dobrý princíp otvoreného zdrojového kódu, aby sa naň mohol ktokoľvek pozrieť a nájsť takéto slabiny. Výskumníci sa v tejto oblasti často prekonávajú, aby našli chyby v aplikáciách, ako je napríklad Signal.
Verejný záujem o kontrolu zdrojového kódu v prípade masovo používaných aplikácií je dobrý argument. Ale do takto otvoreného zdrojového kódu majú prístup aj útočníci a špecialisti „z druhej strany“, ktorí sa nebudú pretekať v tom, kto prvý zverejní prípadnú bezpečnostnú chybu. Skôr ju budú v tichosti využívať.
Ďalšia problematická vec je, že bežný užívateľ si nemá ako overiť, že aplikácia ktorú si do telefónu nainštaloval, pozostáva naozaj z presne tých istých zdrojových kódov, ktoré sú zverejnené.
V neposlednom rade, kontrolovať by bolo potrebné každú jednu aktualizáciu, ktorú si užívateľ inštaluje. Inak sa pokojne môže stať, že napríklad verzia 1.0 je bezpečná, ale do verzie 1.1 už niekto úmyselne zapracoval aj backdoor. Open source teda v tomto prípade vôbec nie je takou výhodou ako je prezentovaný.
Signal a Edward Snowden
Denník N: Signal veľmi odporúčal aj Edward Snowden, ktorý po svojom úteku cez Hongkong žije v Ruskej federácii.
Edward Snowden je človek, ktorého ľudia buď milujú alebo nenávidia. Na jednej strane jeden z najznámejších whistle-blowerov na svete. Na strane druhej človek, ktorý mal chrániť utajované informácie, ale nakoniec zradil.
Otázku, či sa dá dôverovať človeku, ktorý bol ochotný „obchodovať“ s utajovanými informáciami ponecháme otvorenú a budeme sa radšej venovať technickým faktom.
Obchádzanie štátnych blokácií už nefunguje
Denník N: Aby ešte viac pomohli v boji za súkromie ľudí, Signal implementoval do aplikácie obchádzanie štátnych blokácií. To sa hodí najmä v represívnych krajinách, ako sú Egypt alebo Spojené arabské emiráty, kde sa štát snaží odpočúvať všetku komunikáciu a znemožniť ľuďom súkromne komunikovať. Preto v týchto krajinách Signal automaticky zapne obchádzanie týchto blokácií.
Mnohé (represívne) krajiny sa snažia blokovať používanie šifrovacích aplikácií. Aplikácia Signal mala implementovaný spôsob ako toto blokovanie obísť. Ako však sami priznali, využívali na to služby od Amazonu, ktoré používali v rozpore s podmienkami, a preto museli túto podporu ukončiť.
Navyše využívanie služieb tretích strán aplikáciou, ktorá by mala mať plnú dôveru jej používateľov, je minimálne neetické.
Ochrana súkromia a komunikácie
V článku boli pekne vysvetlené dôvody, prečo je ochrana súkromia dôležitá aj vo virtuálnom svete a prečo štandardné hovory a SMS správy sú natoľko deravé, že ich v dnešnej dobe dokáže odpočúvať takmer každý. S týmto môžeme len súhlasiť a doplniť snáď, že kedysi to bola výsada najmä tajných služieb, dnes vybavenie na odpočúvanie mobilnej komunikácie je možné zhotoviť v nákladoch okolo tisíc eur.
Našťastie v súčasnosti existuje naozaj veľa aplikácií pre šifrovanú komunikáciu. Základ je vždy rovnaký – šifrujú prenos hlasu, správ alebo súborov. Pre mnohých užívateľov to stačí, alebo si len nie sú vedomí aj ďalších rizík. Pre náročnejších užívateľov sú zas k dispozícií aplikácie, ktoré riešia bezpečnosť oveľa komplexnejšie. Každý si teda podľa svojich potrieb môže vybrať riešenie, ktoré bude najlepšie vyhovovať jeho požiadavkám na bezpečnosť komunikácie a dát, ktoré má uložené v telefóne.
Obrázok: GregPlom/Pixabay.com