Пришла беда откуда не ждали: максимально приватный мессенджер Signal, по мнению редактора американского сайта City Journal, оказался не таким уж приватным. Разбираемся, какие вопросы возникли к мессенджеру и к чему это привело.
Signal скомпрометирован?
Спойлер: пока нет!
Давайте честно: вы ведь не пользуетесь Signal и вряд ли когда-нибудь будете. Но хайп есть хайп, и тема, нужно признаться, действительно интересная, так что я предлагаю всё-таки обсудить некоторые странности, которые многие пока почему-то игнорируют.
Вопросы к руководящему составу Signal
Signal вырос из простенькой утилиты, шифрующей текстовые сообщения, и на ранних этапах своего развития Signal получал весьма солидные для подобных проектов гранты от Open Technology Fund (OTF) – аж 3 миллиона долларов за четыре года! А OTF в свою очередь когда-то выделился из Radio Free Asia, информационного агентства, которое правительство США использовало для борьбы с неугодными режимами в Азии. Так вот Кристоферу Руфо этого оказалось вполне достаточно, чтобы заподозрить Signal в связи с американской разведкой.
А дальше начинается лютая конспирология: мол, через OTF ЦРУ финансирует создание нужных управлению инструментов, а чтобы не привлекать лишнего внимания и отвести подозрения, всё это публикуется под видом открытых проектов от независимых разработчиков-энтузиастов. Возможно ли это? Я считаю, вполне. Не забывайте, что Tor тоже начинался как проект для оборонки.
Дальше Руфо обращает своё внимание на Кэтрин Махер (на самом деле я понятия не имею, как читается её фамилия): сейчас она возглавляет правление Signal Foundation, а во времена арабских революций работала в Национальном демократическом институте, который, по мнению многих, был связующем звеном между американской разведкой и диссидентами. И логично, что как раз для связи с активистами на местах им и понадобился защищённый канал связи.
Потом Махер успела поработать в Википедии, где открыто боролась с «дезинформацией», а спустя ещё пару лет активно топила за блокировку аккаунтов Трампа и его сторонников, заявляя, что первая поправка (та, что про свободу слова) – главный бич современного общества.
Так вот, по информации от неназванного источника, Мередит Уиттакер, возглавившая Signal Foundation после ухода Мокси Марлинспайка, позвала Махер как раз из-за её тесных связей с OTF. Чувакам, которые шарят за инфосек, такие манёвры ожидаемо не понравились, но даже они вроде как признают, что, даже если всё именно так, как кажется нам со стороны, скорее всего, OTF просто нужен максимально надёжный канал связи со своими сторонниками на местах (совсем как при создании сети Tor).
И прикол в том, что это всё.
То есть все претензии к Signal сводятся к тому, что в правлении фонда, который контролирует разработку мессенджера, сидит какая-то тётенька, которая раньше была как-то связана с правительством и у которой, скорее всего, остались связи с фондом, который регулярно кидается деньгами в подобные проекты. Подозрительно, но… Что, если это тупо ради бабок? И кто сказал, что интерес OTF в том, чтобы тайком следить за вашей перепиской, а не в том, чтобы обеспечить своих единомышленников надёжным каналом коммуникации?
Дуров и его претензии
Статью Руфо запостили у себя основатель твиттера Джек Дорси и его нынешний владелец Илон Маск, когда-то агитировавший за переход на защищённые мессенджеры вроде того же Signal. Паровозик хайпа разогнался настолько, что уже через пару часов о ситуации высказался и создатель вроде бы тоже довольно приватного мессенджера Telegram Павел Дуров. Вот только претензии его показались странными даже тем, кому его детище искренне нравится.
Во-первых, Дуров справедливо заметил, что протокол Signal довольно часто используют сторонние сервисы: WhatsApp, Facebook Messenger, Google Messages и даже Skype используют шифрование от Signal. И по мнению Дурова, это говорит лишь об одном: правительство США не даёт по-настоящему независимым компаниям создавать собственные протоколы шифрования. Жуть какая!
А как же Wire? Как же Treema, Session и Element? У них вроде бы собственные протоколы шифрования, но правительство США их почему-то не трогает? Или это другое?
Затем Дуров снова рассказывает о каких-то друзьях, чью переписку в казалось бы полностью защищённом мессенджере использовали против них в суде. И это тоже жутко! Всё-таки мне бы не хотелось, чтобы у кого-то был доступ к моей переписке. Вот только ровно то же самое Дуров говорил и о WhatsApp. Разница только в том, что WhatsApp, по словам Дурова, выдавал переписку полицейским, а Signal передаёт её суду. Конкретных имён и конкретных дел мы, видимо, не дождёмся, а то могли бы сходить почитать протоколы заседаний и собственнолично убедиться в том, что Signal действительно сливает наши сообщения.
К тому же Signal отчитывается о каждом случае, когда их вызвали в суд и потребовали от них раскрыть данные конкретных пользователей. Из этих процессов мы и знаем, что Signal собирает чрезвычайно мало данных: номер телефона, дата регистрации и время последнего визита. Возможно, в каком-то из судебных процессов в качестве доказательств действительно использовали переписку в Signal, но кто сказал, что суд получил её от администрации сервиса? В переписке участвуют двое, и, если у полиции был доступ к одному из аккаунтов, это запросто могли использовать и против другого. Пруфы то будут, не?
Третий тейк Дурова – фейковый исходный код: мол, кто сказал, что Signal действительно публикует тот же код, который использует? Что, если они убирают из него все бекдоры и только потом размещают на GitHub? И вот это уже совсем некрасиво: Signal код публикует, но вы пойдите докажите, что это настоящий код, а Telegram вообще не публикует серверную часть кода, но вы не понимаете, это другое! Возможно, Signal действительно юлит, но можно нам уже код от телеги глянуть? Кстати, Signal регулярно проходит независимый аудит (последний был в самом начале 2024-го). А проходит ли такие проверки телега?
Комментарии у Дурова закрыты (есть только странные смайлики), но в тех местах, куда его тезисы перепечатали, народ указывает на те же несоответствия: полностью открытый код против частично открытого, полное сквозное шифрование по умолчанию против почти полного его отсутствия. Выводы, как говориться, делайте сами.
Реакция со стороны
Меня же во всей этой истории смущает вот что: всё началось с претензий к конкретному человеку – Кэтрин Махер, но отвечая на эти претензии Мередит о ней даже не обмолвилась: она говорила в основном про открытый исходный код, регулярные аудиты безопасности, полное шифрование по умолчанию, доверие со стороны тысяч энтузиастов, которые могут заметить даже самые незначительные странности и т. д. Но ни слова о Махер и о том, как именно и за какие заслуги она попала в руководящий состав самого защищённого мессенджера.
Илон Маск, который также высказал свои претензии к Signal, ссылаясь на какие-то уязвимости, которые не фиксят годами, на момент написания данного текста так и не привёл конкретных примеров. Они как бы есть, но ищите сами.
Эдвард Сноуден, без которого Signal и близко не подобрался бы к тому положению, которое он занимает сегодня, тоже почему-то молчит. Хотя его мнение в данной ситуации было бы весьма важным.
Фонд электронных рубежей (EFF) официальных заявлений по этому поводу тоже пока не делал. Долгие годы они называли Signal самым безопасным мессенджером и единственным его недостатком считали необходимость раскрывать номер своего телефона. Изменится ли позиция фонда после всплывших подробностей о руководстве Signal?
И только Ева Гальперина высказалась почти сразу: «Просто напомню, что большинство чатов в Telegram вообще не имеет сквозного шифрования: оно работает только в секретных чатах один на один, а в каналах и групповых чатах его даже вручную активировать нельзя». Нет сквозного шифрования и в десктопной версии мессенджера.
А ещё странно, что Дорси в попытке угодить своему новому другу случайно потоптался по репутации старого. Некрасиво как-то, Джек!
Как-то так…
Короче, я считаю, что всё далеко не так страшно, как нас пугают. Вопросов к мессенджеру резко стало в разы больше, чем ещё неделю назад, но нам с вами по большому счёту на всё это должно быть плевать: мы им как не пользовались, так и не будем!
9 мая 2024