Η εφαρμογή Signal έχει αποτελέσει τα τελευταία χρόνια ένα εργαλείο το οποίο χρησιμοποιείται συχνά από άτομα εντός του κινήματος και μη, ως ένας ασφαλέστερος τρόπος επικοινωνίας. Η στροφή προς μέσα ψηφιακής δικτύωσης τα οποία –τουλάχιστον φαινομενικά– σέβονται την ιδιωτικότητα των χρηστών, αποτελεί θεμέλιο λίθο για την ασφάλεια και την προσωπική μας ζωή. Παρ’ όλα αυτά, οφείλουμε να γνωρίζουμε τα όρια μιας εφαρμογής, τις εναλλακτικές και πού τελικά βασιζόμαστε.
Το παρακάτω κείμενο αποτελεί συρραφή αποσπασμάτων, σε «ελεύθερη» μετάφραση, από τη μπροσούρα “The guide to Peer-to-Peer encryption and Tor: New communication ifrastructure for Anarchists”. Αν και η μπροσούρα καταπιάνεται με το Signal ως παράδειγμα, με σκοπό αντιπροτείνει άλλες εφαρμογές ως ασφαλέστερες, θεωρήθηκε σημαντικότερο, για αρχή, να γίνει μια κριτική ανασκόπηση της δομής και της ασφάλειάς του, ώστε να είναι όλα καλύτερα υποψιασμένα, σχετικά με την ασφαλή χρήση του. Σε κάθε περίπτωση, συστήνεται η ανάγνωση του πρωτότυπου στο link που παρατίθεται, το οποίο δυστυχώς για την ώρα, είναι διαθέσιμο μόνο στην αγγλική γλώσσα.
Ένας κριτικός σχολιασμός της εφαρμογής Signal
Το Signal ξεκίνησε από ένα παλιότερο project, το TextSecure, το οποίο έδινε τη δυνατότητα κρυπτογράφησης SMS. Στην αρχή, το TextSecure και το Signal δικαίως θεωρούνταν αξιόπιστα από αναρχικά άτομα. Η εμπιστοσύνη αυτή, σε μεγάλο βαθμό οφειλόταν στην εμπιστοσύνη μεταξύ αναρχικών και του βασικού developer, Moxie Marlinspike, εμπιστοσύνη που δομήθηκε σε πραγματικές σχέσεις και δια ζώσης επαφές. Στην αρχή του 2022 ο Moxie έφυγε από το Signal, γεγονός που αποτέλεσε την αρχή ένα νέου κύματος «συνωμοσιολογικών»-φοβικών σεναρίων σχετικά με την εφαρμογή.
Ο εξονυχιστικός έλεγχος του Signal δεν αποκαλύπτει κρυφές παράνομες προσβάσεις (backdoors), ή ανοιχτά τρωτά σημεία (vulnerabilities). Παρ’ όλα αυτά, δείχνει να τίθενται σε προτεραιότητα η εμπειρία του χρήστη και ο εξορθολογισμός της ανάπτυξης του λογισμικού, έναντι της στόχευσης για υψηλή ασφάλεια [στην επικοινωνία].
Σε δομικό επίπεδο, οι χρήστες της εφαρμογής στηρίζονται σε μια συγκεντρωτική (centralized) υπηρεσία, για τον κύριο όγκο της διαδικτυακής ασφαλούς επικοινωνίας τους. Αυτό έχει επιπτώσεις στην ασφάλεια, την ιδιωτικότητα και την αξιοπιστία. Η εφαρμογή του Signal από μόνη της δεν μπορεί να κάνει τίποτα. Ο server του Signal παρέχει τις βασικές υπηρεσίες, με το να διαχειρίζεται και να προωθεί όλα τα μηνύματα που στέλνονται και παραλαμβάνονται μέσω του Signal. Αυτός είναι ο τρόπος με τον οποίο λειτουργούν οι περισσότερες εφαρμογές chat. Τα προσωπικά μηνύματα σε Discord, WhatsApp, iMessage, Instagram/Facebook Messenger και Twitter διέρχονται σε centralized υπηρεσίες, όπου ο χρήστης τρέχει μια εφαρμογή στη συσκευή του, και ένας centralized server ,που τον διαχειρίζεται κάποιος τρίτος, προωθεί τα μηνύματα ανάμεσα στα άτομα.
Αυτός ο τύπος «συγκεντρωτικού» μοντέλου (centralization) παρέχει πολλά πλεονεκτήματα για τον χρήστη. Μπορεί να συγχρονίζει τα μηνύματα και το προφίλ του μέσω του server, ώστε να έχει πρόσβαση σε αυτά από διαφορετικές συσκευές. Μπορεί να στείλει ένα μήνυμα σε έναν φίλο, ακόμα και αν αυτός είναι offline, αφού ο server θα αποθηκεύσει το μήνυμα έως ότου ο φίλος συνδεθεί και το παραλάβει. Τα group chat μεταξύ πολλών ατόμων λειτουργούν χωρίς πρόβλημα, ακόμα και αν χρήστες μπορεί να είναι online ή offline διαφορετικές χρονικές στιγμές.
Το Signal χρησιμοποιεί κρυπτογράφηση από-άκρη-σε-άκρη (end-to-end), το οποίο σημαίνει ότι ο Signal server δεν μπορεί να διαβάσει κανένα από τα μηνύματα. Βέβαια, το γεγονός ότι πρόκειται για μια συγκεντρωτική υπηρεσία επικοινωνίας ενέχει σοβαρές επιπτώσεις στην ασφάλεια και την αξιοπιστία.
Ας υποθέσουμε, για παράδειγμα, πως η υπηρεσία που παρέχει το Signal αντιστοιχεί σε μια αξιόλογη ταχυδρομική υπηρεσία, όπως αυτές που βρίσκονται στην Ευρώπη. Ο Signal server αντιστοιχεί στο ταχυδρομείο. Γράφεις, λοιπόν, ένα γράμμα σε έναν φίλο και το σφραγίζεις σε έναν φάκελο που γράφει τα στοιχεία παραλήπτη (ας θεωρήσουμε ότι κανείς εκτός από τον φίλο δεν μπορεί να ανοίξει το φάκελο – αυτό είναι το αντίστοιχο της από-άκρη-σε-άκρη κρυπτογράφησης). Για λόγους ευκολίας, αφήνεις όλα τα γράμματα που στέλνεις στο ταχυδρομείο, όπου ταξινομούνται και στέλνονται στους διάφορους φίλους για τους οποίους προορίζονται. Αν ένας φίλος δεν είναι σπίτι, τότε κανένα πρόβλημα! Το ταχυδρομείο του Signal θα κρατήσει το γράμμα έως ότου πετύχει τον φίλο σου στο σπίτι, ή ο φίλος σου μπορέσει να επισκεφτεί το κοντινότερο ταχυδρομείο, και το παραλάβει ο ίδιος. Το ταχυδρομείο του Signal είναι πολύ καλό (Ευρώπη, έτσι δεν είναι;), και σε αφήνει ακόμα και να προωθείς τα γράμματά σου οπουδήποτε επιθυμείς να φτάσουν.
Ίσως γίνεται αντιληπτό το πιθανό κενό ασφάλειας όταν αφήνεται στην ταχυδρομική υπηρεσία του Signal η διαχείριση όλης της αλληλογραφίας. Κλειστοί φάκελοι σημαίνει ότι κανείς από τους ταχυδρόμους ή εργαζόμενους της ταχυδρομικής υπηρεσίας του Signal δεν μπορεί να διαβάσει κανένα από τα μηνύματά (κρυπτογράφηση = δεν μπορούν να ανοίξουν τους φακέλους). Αλλά όποιος χρησιμοποιεί τακτικά την ίδια ταχυδρομική υπηρεσία, γνωρίζει ότι [η συγκεκριμένη υπηρεσία] μπορεί να μάθει πολλά για εκείνον, μόνο και μόνο μέσα από τη διαχείριση όλης της αλληλογραφίας. Γνωρίζουν από ποια άτομα δέχεσαι γράμματα, όλες τις συνδρομές σου σε περιοδικά, όλα τα διαφορετικά μέρη που προωθείς τα γράμματά σου, και όλα τα ντροπιαστικά πράγματα που παραγγέλνεις online. Δυνητικά, αυτό είναι το πρόβλημα με τη centralized υπηρεσία η οποία διαχειρίζεται την αλληλογραφία σου – ή τα μηνύματά σου!
Το παράδειγμα με το ταχυδρομείο Signal αποτελεί μόνο μια μεταφορά, ώστε να γίνει αντιληπτό τι είναι και τι υποδεικνύουν τα metadata, και γιατί διατηρείται μια σχετική αμφιβολία για τις centralized υπηρεσίες επικοινωνιών.
Στην πραγματικότητα το Signal είναι πολύ καλό στο να ελαχιστοποιεί ή να αποκρύπτει τα metadata. Λόγω κρυπτογραφικής μαύρης μαγείας και έξυπνου σχεδιασμού λογισμικού, υπάρχουν ελάχιστα metadata όπου ο Signal server μπορεί να έχει εύκολα πρόσβαση. Με τα λόγια του Signal «μεταξύ αυτών που δεν αποθηκεύουμε περιλαμβάνονται οι επαφές ενός ατόμου, ένα hash των επαφών, ή οποιοδήποτε άλλο παράγωγο από τις πληροφορίες επαφών, οτιδήποτε σχετικά με τα group (όπως σε πόσα group κάποιος είναι συνδεδεμένος, σε ποια, τις λίστες με τα μέλη στα οποία βρίσκεται ένας χρήστης), ή οποιοδήποτε άλλη εγγραφή σχετικά με το ποιος χρήστη μιλούσε με ποιόν».
Υπάρχουν, λοιπόν, μόνο δύο πληροφορίες metadata που γνωρίζουμε ότι διατηρούνται:
α) αν ένας αριθμός είναι συνδεδεμένος με ένα λογαριασμό Signal
β) την τελευταία φορά που ένας λογαριασμός Signal συνδέθηκε στο server
Αυτό είναι καλό! Θεωρητικά, αυτά είναι όσα μπορεί να γνωρίζει για σένα ένας αδιάκριτος υπάλληλος του ταχυδρομείου Signal. Αλλά αυτό οφείλεται εν μέρει στην πολιτική «δεν κοιτάζω» που ακολουθεί ο Signal server, τον οποίο πρέπει σε έναν βαθμό να εμπιστευτούμε πως κάνει αυτό που ισχυρίζεται…
Αντίστοιχα με την εφαρμογή Signal για υπολογιστή ή τηλέφωνο, ο Signal Server επίσης βασίζεται (κυρίως) σε open-source κώδικα, και συνεπώς υπόκειται στον ίδιο συνεχή και ενδελεχή έλεγχο από ειδικούς στην ασφάλεια. Παρ’ όλα αυτά, υπάρχει ένα σημαντικό και αναπόφευκτο σημείο το οποίο πρέπει να επεξεργαστούμε αναφορικά με τον Signal Server: Η «αναγκαστική» εμπιστοσύνη ότι ο Signal Server πράγματι τρέχει τον ίδιο open source κώδικα τον οποίο μοιράζεται μαζί μας. Πρόκειται για ένα θεμελιώδες πρόβλημα, όταν βασίζεσαι σε μια centralized υπηρεσία ενός τρίτου.
«Δεν συλλέγουμε και δεν αποθηκεύουμε καμία ευαίσθητη πληροφορία για τους χρήστες μας, και αυτό δεν πρόκειται να αλλάξει ποτέ».
Η εταιρία Signal είναι μια τεράστια ΜΚΟ, και ως εκ τούτου η άρνηση συμμόρφωσης με εντάλματα και κλητεύσεις δεν θα μπορούσε να αποτελεί γι’ αυτήν μια βιώσιμη επιλογή. Στην ιστοσελίδα της, μάλιστα, διατηρεί μια λίστα στην οποία παραθέτει αρκετές κλητεύσεις που έλαβε, καθώς και τις αντίστοιχες απαντήσεις της. Τη στιγμή τη συγγραφής του κειμένου αυτού δεν υπάρχει λόγος να αμφισβητήσουμε αυτά που έχουν αποκαλυφθεί. Θα έπρεπε, όμως, να σημειωθεί ότι η εταιρία επίσης συμμορφώνεται με «οδηγίες φίμωσης» (gag orders), οι οποίες της απαγορεύουν να αποκαλύψει ακόμα και ότι έλαβε κάποια κλήτευση ή ένταλμα.
«Η ιστορία δείχνει ότι η Signal έχει παλέψει απέναντι στα gag orders, αλλά δεν γνωρίζουμε ό,τι δεν γνωρίζουμε, και το Signal δεν προειδοποιεί τους χρήστες στις περιπτώσεις που λάβει κάποια κλήτευση ή κάποιο ένταλμα, που δεν έχει αποκαλυφθεί επίσημα».
Δεν υπάρχει βάσιμη υποψία ώστε να πιστέψουμε ότι η Signal συνεργάζεται με τις αρχές συχνότερα ή σε μεγαλύτερο βαθμό από ό,τι ισχυρίζονται, υπάρχουν όμως τρία ενδεχόμενα για να λάβουμε υπόψη:
1. Αλλαγές στον νόμο θα μπορούσαν να οδηγήσουν τη Signal να αναγκαστεί να συλλέξει και να αποκαλύψει περισσότερες πληροφορίες για τις χρήστριές της κατόπιν αιτήματος, και αυτό θα μπορούσε να γίνει χωρίς να αποκαλυφθεί δημόσια.
2.Η Signal θα μπορούσε να πειστεί από ηθικά, πολιτικά ή πατριωτικά επιχειρήματα, ώστε να συνεργαστεί εν κρυπτώ με τις αρχές (ή κάποιον «αντίπαλο», με την έννοια κάποιου φορέα εχθρικά διακείμενου στα συμφέροντα των χρηστών).
3. Στη Signal θα μπορούσαν να εισχωρήσουν «αντίπαλοι», ή θα μπορούσε να χακαριστεί, ώστε είτε να συλλεχθούν περισσότερα δεδομένα χρηστριών εν κρυπτώ, είτε να παρασχεθούν όποια λίγα metadata είναι διαθέσιμα.
Δεν υπάρχει συγκεκριμένος λόγος να μην εμπιστευόμαστε τον Signal Server αυτή τη στιγμή, αλλά οι αναρχικές θα έπρεπε να ζυγίζουν το γεγονός ότι αναθέτουν την εμπιστοσύνη τους σε κάποιον τρίτο, ακόμα και με την ιστορική αξιοπιστία του Signal.
Στις συγκεντρωτικές υπηρεσίες, εκτός από την ύπαρξη ενός κεντρικού σημείου παρακολούθησης, υποβόσκει και ένα κοινό σημείο σφάλματος – το Signal δεν λειτουργεί αν ο Signal Server πέσει. Είναι εύκολο να το παραβλέπουμε αυτό ως τη μέρα που πράγματι θα συμβεί. Το Signal θα μπορούσε επίσης να πέσει λόγο εσκεμμένων ενεργειών από έναν «αντίπαλο». Φανταστείτε, για παράδειγμα μιας επίθεσης DDoS*,ή κάποια άλλη κυβερνοεπίθεση, προοριζόμενη να διακόψει την ομαλή λειτουργία του Signal κατά τη διάρκεια μιας μαζικής εξέγερσης. Επίσης, οι πάροχοι υπηρεσιών που φιλοξενούν τον Signal Server θα μπορούσαν να επιλέξουν να τον ρίξουν χωρίς προειδοποίηση για πολλούς λόγους: Αναγκαζόμενοι από την πίεση ενός αντιπάλου, λόγω πολιτικών πιέσεων, κοινής γνώμης ή για οικονομικούς λόγους.
Κλείνουμε με μια υπενθύμιση. Παρ’ όλο που τα εργαλεία που κρυπτογραφούν και προστατεύουν την ταυτότητά στο διαδίκτυο μπορούν να παρέχουν «δύναμη» και προστασία από «αντιπάλους», δεν θα έπρεπε ποτέ να πληκτρολογηθεί ή να γραφτεί σε μια εφαρμογή ή άλλη συσκευή οτιδήποτε, χωρίς να έχει προηγηθεί η εκτίμηση της πιθανότητας αυτό να συμπεριληφθεί μελλοντικά σε κάποιο δικαστήριο.
Η δια ζώσης συνάντηση με φίλους σε εξωτερικούς χώρους, μακριά από κάμερες και άλλες ηλεκτρονικές συσκευές, είναι μακράν ο πιο ασφαλής τρόπος να γίνει μια ασφαλής και ιδιωτική συζήτηση. Αφήστε τα κινητά σας πίσω, και πηγαίντε έξω!
Αντί κατακλείδας
Το Briar και το Cwtch είναι δυο νεότερες εφαρμογές για ασφαλή επικοινωνία, οι οποίες όπως το Signal, επιτρέπουν την ανταλλαγή κρυπτογραφημένων μηνυμάτων. Εκ πρώτης όψεως, φαίνονται να λειτουργούν με τρόπο παρόμοιο με το Signal, αλλά ο τρόπος που λειτουργούν στην πραγματικότητα είναι πολύ διαφορετικός. Ενώ το Signal είναι μια εφαρμογή ανταλλαγής κρυπτογραφημένων μηνυμάτων, εν αντιθέσει τα Briar και Cwtch είναι PET εφαρμογές – που σημαίνει ότι πρόκειται για ολοκληρωμένες εφαρμογές που επιτρέπουν την Peer-to-peer** ανταλλαγή κρυπτογραφημένων μηνυμάτων μέσω Tor.
Υπενθύμιση:
1. Κάθε ασφαλής μέθοδος επικοινωνίας εξαρτάται άμεσα από τις υπόλοιπες πρακτικές ασφάλειας του χρήστη. Δεν έχει σημασία αν χρησιμοποιείς το ασφαλές chat που προτιμάει ο Edward Snowden, αν ο «αντίπαλός» σου έχει ένα keylogger*** εγκατεστημένο στο κινητό σου, ή αν κάποιος μοιράζεται ένα στιγμιότυπο οθόνης από τα κρυπτογραφημένα μηνύματά σου στο Twitter, ή αν το κινητό σου κατασχεθεί και δεν είναι επαρκώς ασφαλισμένο.
2. Οι δυνατότητες και η υλοποίηση των εφαρμογών μπορεί να αλλάξει στο μέλλον, μερικώς καταρρίπτοντας κάποια από τα επιχειρήματα που καταγράφονται εδώ (ή ισχυροποιώντας τα). Αν η ασφάλεια των ηλεκτρονικών επικοινωνιών σας είναι κρίσιμης σημασίας για την ασφάλειά σας, δεν θα έπρεπε να παίρνετε τις μετρητοίς οποιαδήποτε πρόταση σάς δίνεται εδώ ή οπουδήποτε αλλού.
3. Το Signal είναι open-source, το οποίο σημαίνει ότι όλος ο κώδικάς του επιβλέπεται και ελέγχεται ενδελεχώς από ειδικούς. Είναι ένα βασικό «μέρος» όπου όλοι ψάχνουν για ένα backdoor, μία κρυφή πρόσβαση, «φυτεμένη» από τη CIA.
* Distributed Denial of Service: Η συντονισμένη επίθεση κατά την οποία ένας ιστότοπος ή μια διαδικτυακή εφαρμογή δέχεται πολλά περισσότερα αιτήματα από αυτά που μπορεί να ικανοποιήσει, και καταρρέει αδυνατώντας να ανταποκριθεί σε οποιοδήποτε από αυτά.
** Peer-to-peer είναι το δίκτυο στο οποίο οι κόμβοι του (π.χ. ο υπολογιστής ενός χρήστη) είναι ισότιμοι. Κάθε κόμβος, λειτουργεί ως client και server και συνεπώς δεν απαιτείται ένας centralized server για την επικοινωνία/διαμοιρασμό μεταξύ των κόμβων. Συνεπώς, σε ένα τέτοιο σενάριο, η επικοινωνία διαμεσολαβείται αποκλειστικά από ισότιμα μεταξύ τους μέλη.
*** Τα keylogger αποτελούν κατασκοπευτικά λογισμικά που έχουν τη δυνατότητα να καταγράφουν τα πλήκτρα που πατάει ο χρήστης. Τέτοια λογισμικά δεν περιορίζονται στους υπολογιστές, αλλά υπάρχουν επίσης στα κινητά και άλλες συσκευές.