На фона на скандала със споделянето на планове за атака на САЩ през приложението Signal, сигурността на платформите за съобщения отново се оказа под светлината на прожекторите.
Хегсет, заедно с вицепрезидента Джей Ди Ванс, държавния секретар Марко Рубио, съветника по националната сигурност Майкъл Уолц и други, са използвали платформата Signal, за да обсъждат изключително чувствителна и класифицирана информация.
Въпреки че е криптирана и технически сигурна, платформата „крие множество рискове“, свързани с човешка грешка и шпионски софтуер, и не е подходяща за подобен тип комуникация, твърди Калъм Вог, директор по правителствените въпроси и застъпничество в Internet Society. „Правителствата имат специфични протоколи за защита на класифицирана информация, и те обикновено изискват тази информация да се споделя само при определени условия. Затова, когато казваме, че Signal не е подходящ за държавни тайни, не става дума само за Signal – а за всяко потребителско приложение. Било то WhatsApp, Signal или Telegram – всички крият рискове“, каза Вог пред Euronews Next.
Основната опасност е, че Signal е достъпен за широката публика и се използва от милиони по света. Само дни след изтичането на класифицирани разговори, Пентагонът издаде общо предупреждение, че руски хакерски групи активно атакуват Signal.
Според служебен меморандум, хакерите използвали функцията „свързани устройства“ – легитимна възможност, която позволява достъп до акаунта от повече от едно устройство – за да шпионират криптирани разговори. „Ефективността на Signal зависи от сигурността на самото устройство. Все едно да сложиш най-сигурната аларма в къща без врати“, коментира Густаво Алито, експерт по киберсигурн. Коя е най-сигурната платформа?
В долния край на спектъра по сигурност са платформите, които или нямат криптиране от край до край, или не го активират по подразбиране. Kриптирането от край до край означава, че съобщението е кодирано още от момента на изпращане и остава такова до получателя, така че дори доставчикът на услугата не може да го декриптира.
Пример за по-слаба сигурност е WeChat – без криптиране от край до край, което значи, че съобщенията могат да бъдат достъпни от доставчика или властите. Telegram също не криптира груповите чатове по подразбиране, нито индивидуалните, освен ако не се включи режимът „секретен чат“. Това прави съобщенията уязвими към прихващане.
В горния край на спектъра са Signal, WhatsApp и в известна степен iMessage – всички предлагат криптиране от край до край по подразбиране.
Signal се откроява с това, че използва отворен код, не събира метаданни и криптира всички съобщения, обаждания и групови чатове. WhatsApp също използва протокола на Signal, но е собственост на Meta и съхранява повече метаданни – което се разглежда като възможна слабост. iMessage е сигурен, но е собственост на Apple и със затворен код, което ограничава прозрачността.
Signal се счита за златен стандарт сред криптираните приложения, но не е имунизирано срещу рискове от човешка грешка, несигурни устройства или неподходящо използване за класифицирана информация.
Правителствените служители обикновено използват специализирани устройства и системи, които не са достъпни за обществото.
Тези системи отговарят на стандартите за сигурност и криптиране в държавния сектор.
Освен това, законите в някои страни изискват съхраняване на официалната комуникация – нещо, което Signal не поддържа поради функциите си като изчезващи съобщения, което може да наруши правилата за отчетност и прозрачност.
За лична употреба Signal е сред най-сигурните платформи. За държавни и класифицирани разговори – не.
Източник: Euronews
