Samo tri dana nakon što se američki ministar obrane Pete Hegseth pohvalio na nacionalnoj televiziji da Amerika "više ne izgleda kao budale", pokazalo se da je on bio dio skupine visokih dužnosnika koji su novinaru nenamjerno slali poruke o planovima za napad u Jemenu.

Hegseth je, zajedno s potpredsjednikom JD Vanceom, državnim tajnikom Marcom Rubiom, savjetnikom za nacionalnu sigurnost Michaelom Waltzom i drugima, koristio platformu za razmjenu poruka Signal za raspravu o vrlo osjetljivim i povjerljivim informacijama.

Demokratski zastupnici brzo su osudili taj incident kao "nečuveno" kršenje sigurnosti, a američki predsjednik Donald Trump rekao je da ne zna "ništa o tome", dok je njegov tim tvrdio da je "greška" bila kriva za dodavanje novinara Jeffreya Goldberga u lanac poruka pod nazivom "Houthi PC mala grupa".

Ljudska pogreška

Iako je šifrirana i tehnički sigurna, platforma je "puna rizika" povezanih s ljudskom pogreškom i špijunskim softverom, te nije bila prikladan izbor za takav razgovor, tvrdi direktor Vladinih poslova i zagovaranja u Internet Societyju Callum Voge.

"Vlade imaju posebne protokole za zaštitu povjerljivih podataka, a ti protokoli obično navode da se povjerljivi podaci mogu dijeliti samo pod određenim uvjetima. Dakle, kada ljudi kažu da Signal nije prikladan za dijeljenje državnih tajni, ne radi se samo o Signalu - radi se o bilo kojoj aplikaciji za razmjenu poruka potrošačima. Bilo da se radi o WhatsAppu, Signalu ili Telegramu, svi predstavljaju rizik", rekao je Voge za Euronews Next.

Ključna opasnost je da je Signal dostupan široj javnosti i da ga koriste milijuni diljem svijeta. 

"Svatko na svijetu može kreirati Signal račun. Tako bi, na primjer, netko bez sigurnosne provjere mogao biti slučajno dodan u grupni chat. To je jedan od načina na koji bi tajne mogle procuriti - slučajno, ljudskom greškom ili namjerno", dodao je Voge.

Špijuniranje

"Također, Signal se koristi na osobnim uređajima. To predstavlja rizik od špijunskog softvera - softvera koji može snimiti što se događa na vašem uređaju u stvarnom vremenu i poslati to trećoj strani. Dakle, čak i ako je Signal najsigurnija aplikacija na svijetu, ako vaš telefon ima špijunski softver, još uvijek curi", upozorio je Voge.

Zapravo, Pentagon je objavio dopis za cijeli odjel samo nekoliko dana nakon curenja grupnog chata Signal, upozoravajući da su ruske profesionalne hakerske skupine aktivno ciljale aplikaciju.

Prema dopisu, napadači su iskorištavali Signalovu značajku "povezanih uređaja" - legitimnu funkciju koja korisnicima omogućuje pristup njihovom računu na više uređaja - za špijuniranje šifriranih razgovora.

Ako je uređaj ugrožen - bilo zlonamjernim softverom, neovlaštenim pristupom ili sofisticiranim špijunskim softverom poput Pegasusa - enkripcija postaje nevažna.

"Učinkovitost signala ovisi o sigurnosti uređaja koji se koristi. To je kao da instalirate najsigurniji alarmni sustav u kući bez vrata", primijetio je stručnjak za kibernetičku sigurnost u tvrtki Equans BeLux Gustavo Alito. 

"Ako je uređaj ugrožen - bilo putem zlonamjernog softvera, neovlaštenog pristupa ili sofisticiranog špijunskog softvera kao što je Pegasus - enkripcija postaje nevažna. Napadači mogu pratiti i uhvatiti sve aktivnosti uređaja u stvarnom vremenu, uključujući poruke koje se pišu", rekao je Alito za Euronews Next.

"Iznenađujući razvoj u ovom slučaju je da izvješća pokazuju da je Signal bio unaprijed instaliran na uređajima američke vlade. Iako to sugerira institucionalni pritisak na šifriranu komunikaciju, također izaziva zabrinutost.

Činjenica da je Signal postao široko dostupan možda je navela dužnosnike da pretpostave da je odobren za povjerljive rasprave, unatoč upozorenjima NSA-e i Ministarstva obrane da ga ne koriste za osjetljiva pitanja"", dodao je Alito.

End-to-end enkripcija

Među najranjivijim aplikacijama za razmjenu poruka nalaze se platforme koje ili nemaju end-to-end enkripciju ili je ne omogućuju prema zadanim postavkama. 

Prema Vogeu, "to znači da je šifriran od krajnje točke do krajnje točke. Dakle, na primjer, jedna krajnja točka je vaš telefon, a druga je moj - i dok razgovor ili tekst ide naprijed - natrag između nas, nijedna treća strana ga ne može dešifrirati, čak ni davatelj usluga".

Aplikacije poput WeChata, na primjer, ne nude end-to-end enkripciju, što znači da porukama potencijalno može pristupiti pružatelj usluge ili državna tijela - što je velika briga u zemljama poput Kine. 

Slično tome, Telegram prema zadanim postavkama ne šifrira grupne razgovore ili čak razgovore jedan na jedan; korisnici moraju ručno omogućiti "tajne razgovore" za zaštitu od kraja do kraja. Zbog toga su poruke na tim platformama podložnije presretanju.

Na kraju visoke sigurnosti nalaze se aplikacije poput Signala, WhatsAppa i u ograničenoj mjeri iMessagea, a sve one prema zadanim postavkama nude end-to-end enkripciju. 

Među njima, Signal se ističe svojim protokolom otvorenog koda, neprofitnim upravljanjem, minimalnim zadržavanjem metapodataka i zadanom enkripcijom u porukama, pozivima i grupnim razgovorima. 

WhatsApp, iako je također šifriran korištenjem Signalovog protokola, u vlasništvu je Mete i zadržava više metapodataka, što neki smatraju potencijalnom ranjivošću. iMessage se smatra tehnički sigurnim, ali to je sustav zatvorenog koda, samo za Apple, što ograničava transparentnost i reviziju.

Stručnjaci općenito smatraju Signal zlatnim standardom za šifrirano slanje poruka, ali, kao što smo upravo vidjeli, nije imun na rizike koji proizlaze iz pogreške korisnika, kompromitacije uređaja ili zlouporabe u kontekstima koji zahtijevaju tajne komunikacijske protokole.

"Kao i svaka tvrtka, Signal redovito revidira druge dijelove svoje aplikacije - poput toga kako korisnici verificiraju svoje telefonske brojeve ili dodaju nove uređaje. Ponekad se pojave problemi, a oni reagiraju sigurnosnim zakrpama koje objavljuju na svojoj web stranici s detaljima", rekao je Voge.

"Možda ste čuli za nedavnu ranjivost koja uključuje Rusiju. To je bio phishing napad korišten u Ukrajini: napadači su slali lažne QR kodove kako bi prevarili ljude da se pridruže Signal grupama. Kada je netko skenirao kod, povezivao je novi uređaj s njihovim računom - učinkovito ga otimajući", nastavio je. 

"Nije bila greška u protokolu enkripcije, već u načinu na koji je Signal upravljao povezivanjem uređaja. Signal je odgovorio ažuriranjem - sada, ako želite povezati novi uređaj, trebate Face ID ili Touch ID".

Vladini sigurnosni protokoli

"Općenito se očekuje da državni dužnosnici koriste posebne uređaje i sustave koji nisu dostupni javnosti. Možete zamisliti platformu koju samo vladini službenici mogu preuzeti, a možda čak ima ugrađene razine tajnosti - poput povjerljivo, tajno i strogo povjerljivo", rekao je Voge.

Doista, on oslikava "vladino okruženje u kojem dužnosnici odlaze u sigurnu sobu, ostavljaju svoje osobne uređaje iza sebe i koriste posebno računalo koje nije povezano s internetom za pristup osjetljivim informacijama". 

"Budući da ljudi putuju, vjerojatno postoje vladine mreže ili aplikacije kojima mogu pristupiti samo dužnosnici koji koriste uređaje koje osigurava vlada. Ti sustavi ne bi bili dostupni javnosti i vjerojatno imaju ugrađene načine rukovanja razinama klasifikacije", dodao je. 

Ili, kako kaže Alito, "sustav šifriran s kraja na kraj koji je odobrila vlada posebno dizajniran za povjerljive komunikacije. Sigurne platforme poput NSA-ovog Secure Communications Interoperability Protocol (SCIP) ili povjerljivih mreža kao što su SIPRNet i JWICS više su usklađene sa sigurnosnim i enkripcijskim potrebama vladine organizacije".

Sustav bi također trebao omogućiti vođenje evidencije razgovora, što je povezano sa zakonima o vođenju evidencije. 

"Neke vlade zahtijevaju od kreatora politike da zadrže evidenciju svojih poruka ili e-pošte. Ali Signal ima značajke kao što su poruke koje nestaju. Dakle, ako ga vladini dužnosnici koriste, taj bi se zapis komunikacije mogao izgubiti, što bi moglo biti u suprotnosti sa zakonima o transparentnosti ili odgovornosti", upozorava Voge.