Důvodem nejsou prolomené šifry, ale phishing na úředníky

Polská vláda doporučila státní správě omezit používání aplikace Signal pro služební komunikaci a přejít na národní komunikační platformy. Reaguje tím na phishingové kampaně, které podle polských úřadů cílily na veřejně exponované osoby a zaměstnance státních institucí.

Nejde o zprávu, že by bylo prolomeno šifrování Signalu. Polské varování popisuje jiný problém: útočníci se snaží převzít účty uživatelů pomocí sociálního inženýrství, podvodných zpráv a zneužití ověřovacích mechanismů.

Útočníci se vydávali za podporu Signalu

Podle polského Ministerstva cyfryzacji identifikovaly národní CSIRT týmy phishingové kampaně vedené pokročilými skupinami typu APT. Ty se měly vydávat například za technickou podporu aplikace Signal a posílat obětem zprávy o údajné blokaci účtu.

Cílem bylo přimět uživatele ke kliknutí na škodlivý odkaz, předání ověřovacího kódu nebo k provedení kroku, který útočníkům umožní převzít kontrolu nad komunikací.

Podobné kampaně se v posledních měsících objevily i v dalších evropských zemích. Nizozemské zpravodajské služby AIVD a MIVD už dříve varovaly před útoky na účty v aplikacích Signal a WhatsApp, které cílily na vládní zaměstnance, novináře a další citlivé osoby.

Signal nebyl „rozbitý“. Slabým místem byl uživatel a správa účtu

Klíčové je rozlišit dvě věci.

Signal jako šifrovaný komunikátor nebyl podle dostupných informací kryptograficky prolomen. Útoky se nezaměřovaly na samotné end-to-end šifrování, ale na uživatele a procesy kolem ověřování účtu.

Útočníci mohou například oběť přesvědčit, aby jim předala ověřovací kód, PIN nebo naskenovala QR kód, kterým si útočník připojí vlastní zařízení jako další zařízení k účtu. Tím se může dostat k části komunikace, aniž by musel lámat šifrování.

To je pro státní správu zásadní problém. U běžného uživatele jde o narušení soukromí. U politika, vojáka nebo úředníka může jít o přístup k citlivým kontaktům, pracovním skupinám a informacím, které se nikdy neměly dostat mimo kontrolované prostředí.

Polsko doporučuje mSzyfr a SKR-Z

Polské úřady proto doporučují pro služební komunikaci používat národní nástroje spravované státem.

Prvním je mSzyfr, šifrovaný komunikátor určený pro veřejnou správu a subjekty polského národního systému kybernetické bezpečnosti. Vyvíjí ho Ministerstvo cyfryzacji společně s NASK-PIB. Podle vlády má být infrastruktura provozována v Polsku a pod polskou jurisdikcí.

Druhým nástrojem je SKR-Z, tedy systém pro utajovanou komunikaci až do úrovně „ZASTRZEŻONE“, respektive „EU RESTRICTED“ a „NATO RESTRICTED“. Ten má fungovat v prostředí izolovaném od internetu.

Polská vláda tím jasně odděluje běžnou služební komunikaci od komunikace s vyšším stupněm citlivosti. Zároveň doporučuje, aby Signal nebyl používán pro předávání utajovaných ani citlivých informací.

Evropa řeší stejný problém: bezpečný nástroj nestačí

Případ Polska zapadá do širšího evropského trendu. Státy stále častěji řeší, jak mají politici, úředníci, armáda nebo kritická infrastruktura komunikovat mimo běžné e-mailové systémy.

Problém není jen v tom, zda je konkrétní aplikace technicky bezpečná. I velmi dobře navržený komunikátor může selhat ve chvíli, kdy útočník přesvědčí uživatele, aby sám otevřel dveře.

Právě proto jsou útoky na Signal, WhatsApp nebo jiné komunikátory atraktivní pro špionážní skupiny. Místo lámání šifrování stačí zneužít důvěru, časový tlak a nepozornost uživatele.

Atribuce na Rusko zůstává citlivá

Polské oznámení mluví o APT skupinách napojených na služby nepřátelských států. Některá média a bezpečnostní zdroje dávají tyto kampaně do souvislosti s aktéry podporovanými Ruskem.

Tuto atribuci je ale potřeba brát opatrně. Ve veřejně dostupných polských dokumentech je hlavní důraz na phishingové kampaně, převzetí účtů a riziko pro státní správu. Přímé technické důkazy k jednoznačnému přiřazení konkrétní skupině nejsou v dostupných zdrojích dostatečně detailně zveřejněny.