Wpadka sekretarza
W kwietniu „The New York Times” i inne gazety poinformowały, że sekretarz obrony Stanów Zjednoczonych Pete Hegseth udostępnił informacje o tej samej akcji militarnej w drugiej prywatnej grupie Signal, do której należeli: jego żona, brat i osobisty prawnik. Wszystko to wywołało ogromne kontrowersje, a w konsekwencji dalsze losy sekretarza Hegsetha wydają się dość niepewne.
Twórca Signala, Matthew Rosenfeld, lepiej znany pod pseudonimem Moxie Marlinspike, zażartował, że wśród „ważnych powodów” używania jego platformy znajduje się teraz „możliwość losowego dodania użytkownika przez wiceprezydenta USA do grupowego czatu, w celu koordynacji delikatnych operacji wojskowych”. Inni jednak nie widzą w tym nic śmiesznego. Demokratyczny lider Senatu Chuck Schumer nazwał to „jednym z najbardziej szokujących” przecieków informacji wywiadowczych w historii i wezwał do wszczęcia śledztwa.
Czym jednak właściwie jest Signal i jak bezpieczna była komunikacja wysoko postawionych polityków za jego pośrednictwem? Szacuje się, że Signal ma od 40 do 70 milionów użytkowników miesięcznie, co czyni tę platformę relatywnie niedużą w porównaniu do największych komunikatorów internetowych, takich jak WhatsApp i Messenger, których klienci liczą się w miliardach. Signal jest jednak liderem w dziedzinie bezpieczeństwa, gdyż stosuje szyfrowanie typu end-to-end (E2EE). Oznacza to, że tylko nadawca i odbiorca mogą czytać wiadomości. Nawet sam Signal nie ma do nich dostępu. E2EE jest dostępne również na kilku innych platformach (m.in. WhatsApp), jednak funkcje bezpieczeństwa Signala wykraczają daleko poza te możliwości.
Przykładowo kod, na którym opiera się działanie aplikacji, jest otwarty – co oznacza, że każdy może go sprawdzić i upewnić się, że nie zawiera luk, które mogliby wykorzystać hakerzy. Właściciele serwisu twierdzą też, że zbiera on znacznie mniej informacji o użytkownikach, a w szczególności nie przechowuje nazwisk użytkowników, zdjęć profilowych ani nazw grup, do których należą poszczególne osoby. Nie ma też potrzeby ograniczania tych funkcji, by zarobić więcej pieniędzy: Signal należy do Signal Foundation, amerykańskiej organizacji non-profit, która opiera się na darowiznach, a nie na dochodach z reklam.
Obszar zamknięty
„Signal jest standardem w dziedzinie prywatnej komunikacji” – twierdzi szefowa firmy, Meredith Whittaker. To właśnie sprawia, że aplikacja Signal jest atrakcyjna dla ekspertów ds. cyberbezpieczeństwa i dziennikarzy, którzy często z niej korzystają. Ale nawet ten poziom bezpieczeństwa uważa się za niewystarczający do prowadzenia rozmów na najwyższym szczeblu, dotyczących wyjątkowo delikatnych kwestii bezpieczeństwa narodowego.
Dzieje się tak, ponieważ komunikacja za pośrednictwem telefonu komórkowego wiąże się z nieuniknionym ryzykiem: jest tylko na tyle bezpieczna, na ile bezpieczna jest osoba, która jej używa. Jeśli ktoś uzyskuje dostęp do czyjegoś telefonu z włączoną aplikacją Signal, będzie mógł zobaczyć wszystkie wiadomości. Żadna aplikacja nie zapobiegnie temu, by ktoś zajrzał komuś przez ramię w czasie korzystania z telefonu w miejscu publicznym.
Ekspert ds. bezpieczeństwa danych Dean Robson, który współpracował kiedyś z administracją Stanów Zjednoczonych, powiedział, że „bardzo, bardzo rzadko” zdarza się, aby wysocy rangą funkcjonariusze służb bezpieczeństwa komunikowali się za pośrednictwem platformy komunikacyjnej takiej jak Signal. „Zwykle używa się bardzo bezpiecznego systemu rządowego, który jest obsługiwany i którego właścicielem jest rząd i stosuje bardzo wysoki poziom szyfrowania”.
Rząd Stanów Zjednoczonych od dawna korzysta ze specjalnego ośrodka wymiany informacji poufnych (Scif – wymawiane „skiff”) w celu omawiania spraw bezpieczeństwa narodowego. Sławę zdobyło zdjęcie zrobione w 2011 roku w najważniejszym pomieszczeniu Scif – tzw. White House Situation Room – które przedstawia ówczesnego prezydenta Baracka Obamę i jego zespół, wspólnie reagujących na transmisję na żywo prowadzoną podczas amerykańskiego ataku mającego na celu zabicie Osamy bin Ladena.
Scif to zamknięty, bardzo bezpieczny obszar, na terenie którego nie wolno przebywać z urządzeniami elektronicznymi. „Aby uzyskać dostęp do ściśle tajnych informacji, trzeba przebywać w konkretnym pomieszczeniu lub budynku, który jest regularnie sprawdzany pod kątem obecności podsłuchów i innych urządzeń szpiegowskich” – twierdzi Robson. Scify można znaleźć w różnych miejscach, od baz wojskowych po domy wybranych urzędników.
Tylne wejście
Aplikacja Signal, podobnie jak wiele innych aplikacji do przesyłania wiadomości, pozwala użytkownikom ustawić ten program w taki sposób, by wiadomości znikały automatycznie po ustalonym czasie. Jeffrey Goldberg twierdzi, że niektóre wiadomości w grupie Signal, o których stało się tak głośno w tym roku, zniknęły po tygodniu.
Przedstawiciele różnych administracji krajowych chcieli stworzyć tzw. tylne wejście do usług przesyłania wiadomości. Mogłoby ono być używane do odczytywania wiadomości, które potencjalnie stanowiły zagrożenie dla bezpieczeństwa narodowego. Jednak szefowie aplikacji takich jak Signal i WhatsApp sprzeciwiali się już wcześniej próbom stworzenia tego rodzaju rozwiązania. Twierdzili, że ostatecznie „tylne wejście” zostanie wykorzystane przez osoby kierujące się złymi zamiarami.
Signal zagroził, że wycofa aplikację z Wielkiej Brytanii w 2023 roku. W roku bieżącym rząd Wielkiej Brytanii uwikłał się w poważny spór z firmą Apple, która również korzysta z protokołu E2EE w celu ochrony niektórych plików. Apple ostatecznie wycofał tę funkcję w Wielkiej Brytanii z chwilą, gdy brytyjski rząd zażądał dostępu do danych chronionych w ten sposób przez giganta technologicznego.
Jak pokazuje ta kontrowersja, żaden poziom bezpieczeństwa ani ochrony prawnej nie ma znaczenia, jeśli ktoś po prostu udostępnia swoje poufne dane nieodpowiedniej osobie. Jak to ujął jeden z krytyków niedawnej afery w sferach rządowych USA, „szyfrowanie nie ochroni nikogo przed głupotą”.
Andrzej Heyduk
