Bezpečnostná komunita dlho považovala aplikáciu Signal za jeden z najbezpečnejších nástrojov na šifrovanú komunikáciu, no nedávna vlna útokov ukázala, že ani najlepšie kódovanie nezmôže nič proti rafinovanému sociálnemu inžinierstvu. Nemecká spolková prokuratúra spustila rozsiahle vyšetrovanie po tom, čo vyšlo najavo, že obete z radov politikov, vojakov a novinárov sa stali cieľom sofistikovanej phishingovej kampane. Útočníci nezneužili chybu v kóde aplikácie, ale ľudskú dôverčivosť. Prostredníctvom správ, ktoré sa tvárili ako oficiálna technická podpora, vylákali od používateľov prístupové údaje alebo ich prinútili naskenovať škodlivé QR kódy. Akonáhle získali kontrolu nad jedným účtom, začal sa nebezpečný reťazec infekcií. Páchatelia sa pod ukradnutou identitou infiltrovali do uzavretých skupinových chatov, kde mohli nerušene sledovať citlivé diskusie a ďalej šíriť pasce medzi nič netušiacich kolegov.
Čítajte viac Najzávažnejšie kybernetické útoky spáchané voči Spojenému kráľovstvu pochádzajú z Ruska, Iránu a Číny
Signal je v súčasnosti považovaná za zlatý štandard medzi aplikáciami na bezpečnú a súkromnú komunikáciu. Na rozdiel od mnohých komerčných konkurentov, ktorých cieľom je monetizácia dát, Signal vznikol s víziou vytvorenia priestoru pre slobodnú komunikáciu bez dohľadu tretích strán.
Filozofia a vlastníctvo – Signal neprevádzkuje technologický gigant zameraný na zisk, ale nezisková organizácia Signal Technology Foundation. Projekt založili Moxie Marlinspike a spoluzakladateľ WhatsAppu Brian Acton, ktorý do nadácie investoval milióny dolárov po tom, čo opustil Facebook kvôli nezhodám v otázkach ochrany súkromia. Keďže Signal nemá akcionárov a nie je na predaj, nehrozí, že by sa jeho prístup k ochrane dát zmenil pod tlakom investorov.
Technologická špička v šifrovaní – Základným kameňom aplikácie je Signal Protocol, ktorý zabezpečuje koncové šifrovanie (end-to-end encryption) pre textové správy, hlasové hovory aj videochaty. To znamená, že obsah komunikácie majú k dispozícii výhradne odosielateľ a prijímateľ. Dokonca ani samotný Signal ako prevádzkovateľ serverov k správam nemá prístup. Tento protokol je taký robustný a bezpečný, že ho do svojich systémov (hoci v upravenej podobe) implementovali aj giganti ako WhatsApp či Google.
Minimalizácia metadát – To, čo odlišuje Signal od konkurencie najviac, je prístup k metadátam. Kým iné aplikácie môžu šifrovať obsah správy, stále ukladajú informácie o tom, kto, kedy, s kým a ako často komunikuje. Signal sa snaží uchovávať absolútne minimum informácií. Pri súdnych príkazoch na vydanie dát dokáže Signal poskytnúť v podstate len dva údaje: dátum vytvorenia účtu a čas posledného pripojenia k serveru.
Kľúčové funkcie pre bezpečnosť
- Miznúce správy: Používatelia si môžu nastaviť automatické vymazanie správ po uplynutí zvoleného času (od pár sekúnd až po týždeň).
- Zapečatený odosielateľ (Sealed Sender): Funkcia, ktorá skrýva identitu odosielateľa aj pred samotným serverom Signal, čím sa ešte viac znižuje stopa metadát.
- PIN kód a zámok obrazovky: Aplikácia vyžaduje vlastný bezpečnostný kód a umožňuje zablokovať prístup pomocou biometrie (odtlačok prsta, FaceID).
- Open Source: Celý zdrojový kód aplikácie je verejne dostupný, čo umožňuje nezávislým bezpečnostným expertom neustále preverovať, či v systéme nie sú skryté „zadné vrátka“.
Výzvy a incidenty – Napriek špičkovému zabezpečeniu nie je žiadna technológia nepriestrelná, ak zlyhá ľudský faktor. Ako ukazujú nedávne udalosti z Nemecka, útočníci sa nesnažia prelomiť samotné šifrovanie, ktoré je matematicky takmer nemožné zdolať, ale využívajú phishing. Cez podvodné správy alebo QR kódy vylákajú od používateľov prístup k ich účtom. Signal teda zostáva bezpečným nástrojom, no jeho ochrana končí tam, kde používateľ stratí ostražitosť a odovzdá kľúč od svojho súkromia útočníkovi dobrovoľne.
Čítajte viac Francúzsko čelí neviditeľnej vlne zahraničnej kyberšpionáže
Rozsah kompromitácie je podľa nemeckých médií alarmujúci. Medzi potvrdenými obeťami figuruje ministerka školstva Karin Prien aj ministerka výstavby Verena Hubertz. Ešte závažnejšie je zasiahnutie predsedníčky Spolkového snemu Julie Klöckner, ktorá je z titulu svojej funkcie druhým najvyšším ústavným činiteľom v krajine. Terčom bol pravdepodobne aj samotný kancelár Friedrich Merz, ktorého strana CDU donedávna využívala Signal na koordináciu svojho vedenia. Hoci pracovníci Spolkového úradu na ochranu ústavy pri osobnej kontrole kancelárovho telefónu žiadne anomálie nezistili, samotný fakt, že sa cudzia mocnosť dokázala dostať tak blízko k vrcholu štátnej moci, vyvolal v Berlíne hlboké znepokojenie. Útoky sa pritom neobmedzujú len na poslancov Bundestagu, ale zasiahli aj armádnych dôstojníkov a príslušníkov ozbrojených síl NATO, čo kauze dodáva rozmer ohrozenia kolektívnej bezpečnosti.
Čítajte viac Fancy Bear v obývačke: Ako ruská rozviedka sledovala svet cez obyčajné Wi-Fi
Hoci nemecká prokuratúra zatiaľ oficiálne meno objednávateľa nevyslovila, vládne zdroje a poprední politici v tom majú jasno. Predseda parlamentného výboru pre kontrolu tajných služieb Marc Henrichmann priamo označil za vinníka Ruskú federáciu a varoval, že ide o jasný signál k zvýšeniu ostražitosti. Podobné útoky boli zaznamenané aj vo Veľkej Británii a Holandsku, pričom práve holandské úrady už skôr pripísali zodpovednosť ruským štátnym kybernetickým aktérom. Aktuálne sa nemeckým bezpečnostným zložkám podarilo únik dát zo známych zasiahnutých zariadení zastaviť, no priznávajú, že počet obetí môže byť v skutočnosti oveľa vyšší. Tento prípad slúži ako tvrdá lekcia pre celú Európu, že v ére hybridných hrozieb môže byť aj nevinná správa v telefóne začiatkom nebezpečnej špionážnej operácie, ktorá stiera hranice medzi súkromným životom a štátnym tajomstvom.
