Polsko vyzývá k opatrnosti na Signalu. Koubský: Koncové šifrování nestačí proti naivním chybám

Polský úřad kvůli phishingovým útokům k pracovní komunikaci doporučil jiné služby, vyvinuté přímo ministerstvem pro digitální záležitosti.

Čtěte také

Proč hackeři zvolili útok na routery? Koubský: Nemyslíme na ně. Vypněte na nich vzdálenou správu

Signal je populární komunikační služba, která používá koncové šifrování – obsah konverzací nemůže číst nikdo jiný kromě autora a adresáta. Pro řadu lidí je příkladem dobře zabezpečené komunikační aplikace a symbolem dobrého zabezpečení. Změnila se tedy úroveň bezpečnosti Signalu?

„Technicky bezpečný je úplně stejně, jako byl předtím. Polsko mimochodem není první, kdo tenhle problém řeší, řešil se na úrovni Evropské unie a v Německu. Ale sebedokonalejší technické zabezpečení nestačí, když lidé budou s tou pomůckou zacházet naivně a nekvalifikovaně, což je přesně to, co se tady děje,“ říká Koubský.

„Je to série phishingových útoků vedených systematicky právě proti Signalu, protože je to tak dobrá služba a protože je dobré z hlediska útočníků odradit lidi od toho, aby ji používali. Dokud ji používají správně, tak se do jejich konverzací opravdu nedá dostat. Odradit je od takhle silné pomůcky se útočníkům – a je silné podezření, že je to státní aktivita z Ruska – se velice dobře hodí,“ vysvětluje.

Naivní selhání

Koubský upozorňuje na to, že podobnou výzvu, jaká se objevuje ve phishingových zprávách, by aplikace Signal nikdy neudělala. 

Čtěte také

Antivirus: Přišla vám SMS o nezaplacené pokutě? Pravděpodobně jde o podvod

„Žádná služba Signal se nikdy neobrací na své uživatele s tím, aby udělali něco, co prozradí jejich přihlašovací údaje, nepožádá je, aby je někam poslali. To je proti smyslu jakékoliv podobné pomůcky, nikdy se to nedělá,“ zdůrazňuje.

Útočníci, kteří za podobnými útoky stojí, se opakovaně tváří jako technická podpora a požadují osobní údaje takovým způsobem, že jsou v mnoha případech úspěšní.

„Žádný systém není zabezpečitelný proti naivitě selhání jeho uživatelů. Můžeš mít sebedokonalejší systém, ale když se necháš přemluvit k tomu, abys vyzradil své heslo, tak bezpečnost je systému v háji.“

Chyba uživatele, nebo systému?

Je ale vždy pouze na uživatelích, jestli budou vyzrazeny jejich osobní údaje?

V dubnu napsal server 404media o případu, kdy byla americká FBI schopna v iPhonu zobrazit zprávy poslané přes Signal, i když je uživatel smazal. Využila tehdy do té doby neznámou chybu v operačním systému, kvůli které iOS ukládal upozornění na

příchozí zprávy, včetně jejich obsahu. Společnost Apple později chybu opravila.

Čtěte také

Šifrované zprávy? O naší korespondenci mají zájem tajné služby i kriminálníci, říkají redaktoři Antiviru

„Tohle je hodně extrémní případ, ale ano, tohle je už technická chyba na úrovni operačního systému. Možná by Signalu prospělo, kdyby byl v tomhle ohledu striktnější, například u upozornění zakazoval zobrazovat jejich obsah, ten by byl přístupný až v aplikaci poté, co si ji uživatel rozklikne. Ono se to dá nastavit, ale je to maličko méně pohodlné, takže hodně lidí to nedělá,“ říká Koubský.

V takovém případě ale uživatelé riskují, že se jim tajná zpráva rozsvítí v libovolné chvíli na obrazovce.

„Bezpečnost je velice komplexní problém a redukovat ho na šifrovanou komunikaci z bodu A do bodu B nejde, to je málo. Tohle Signal řeší bezchybně a všechno ostatní je součinnost mnoha faktorů a věcí,“ pokračuje Koubský a dodává:

„Když se vrátíme k tomu polskému případu: Jsem zvědav, jak se jejich státní aplikace s těmito problémy vypořádá, bude je muset nutně řešit také.“

Jak zásadní je nová změna ve vyhledávání Google? O co šlo ve sporu Elona Muska s OpenAI, který nedávno Musk prohrál? A proč omezuje sociální síť X maximální počet příspěvků? Poslechněte si celé Online Plus.