Поделиться
Самый защищенный месcенджер в мире обзавелся опцией, которая указывает на его пользователей властям Ирана?
Разработчики мессенджера Signal и сторонние эксперты по безопасности не смогли решить, есть ли у него уязвимость, которая поможет цензорам раскрыть личности пользователей, или проблема отсутствует в принципе.
Взаимоисключающие параграфы
Довольно странная история развернулась вокруг защищенного мессенджера Signal: несколько экспертов по безопасности объявили об обнаружении в нем серьезной проблемы, которая при определенных условиях может раскрыть личность конечного пользователя. Создатели Signal заявили, что проблемы не существует. Более того, издание BleepingComputer сначала опубликовало масштабный материал по поводу происходившего, а затем удалило публикацию в связи с противоречивостью поступавшей информации.
Мессенджер Signal считается одним из самых защищенных на рынке. О нем крайне лестно отзывался Эдвард Сноуден (Edward Snowden), многие специалисты по безопасности считают, что лучше Signal приватность пользователей не защищает никто.
Signal запрещен в нескольких государствах с особо авторитарными режимами. В их числе Иран, где трафик мессенджера блокируется под предлогом «нелегального контента». Реальная причина, скорее всего, заключается в его сквозном шифровании, не позволяющим перехватывать чужую переписку. При этом непонятно даже, какой орган власти постановил блокировать данный мессенджер.
Создатели Signal обратились к пользователям в Иране с предложением создавать локальных TLS-прокси, используя код, опубликованный в официальном репозитории на GitHub. Это, дескать, помогло бы обходить правительственные ограничения. В идеале речь шла всего лишь о запуске пользователем нескольких команд на локальном устройстве.
Отследить к пользователю
Двое исследователей, известных как DuckSoft и studenmain, однако, заявили, что обнаружили ряд недочетов в этом коде, которые позволили бы выявить запущенные прокси и отследить трафик к конечным пользователям. Причина заключается в том, что туннель SSL/TLS разворачивается с сертификатом, раскрывающим IP-адрес и информацию в виде открытого текста в поле ServerNameIndication (SNI). Подключение к прокси Signal потребует только доменное имя сервера.
Цензору, перехватывающему трафик, будут видны IP-адреса и индикатор SNI, совпадающий с наименованием доменного имени. Если у цензора нет уверенности, видит ли он трафик именно Signal, он может попытаться подключиться к этому прокси самостоятельно — с подлинного или даже фальшивого клиента Signal, и удостовериться в его назначении.
Кроме того, прокси Signal принимает подключения только с доменов самого мессенджера и, естественно, не примет подключения с Telegram и других мессенджеров, что раскроет его природу.
Исследователей поддержали некоторые из коллег и предложили Signal отдельные варианты исправления проблемы. Вот только в самом Signal заявили, что проблемы не существует в принципе.
Нет никакой уязвимости?
«Миллионы людей в Иране используют Signal. Любой сетевой трафик уже указывает на то, что они используют Signal. Но это не тайна! Это всего лишь набор настроек для nginx. Разумеется, легко можно определить, что прокси — это прокси, если подключиться к нему», — написал в Twitter исполнительный директор Signal Мокси Марлинспайк (Moxie Marlinspike).
Но этим дело не ограничилось: мало того, что страница с баг-репортом на официальном репозитории Signal в GitHub, так и сами DuckSoft и studentmain оказались там забаненными. Причиной стало то, что они начали дискуссию о предполагаемой уязвимости прямо там, а не на официальных форумах Signal, где это, с точки зрения компании-разработчика, полагается делать.
Как впоследствии было заявлено представителями разработчика мессенджера, дискуссия носила далекий от вежливости и цивилизованности характер, что явилось нарушением правил поведения на ресурсах Signal и послужило, как настоятельно уверяют представители Signal, основной причиной для санкций.
Любопытно, что редакция Bleeping Computer в итоге тоже удалила исходную статью (она доступна только в кэше), сославшись на «противоречивость» данных о проблеме.
«К сожалению, уже вне зависимости от того, рассматривать выявленное обстоятельство в качестве проблемы безопасности или нет, Signal оказался в щекотливой ситуации, поскольку обвинения в попытке заткнуть рот неугодным тут не выглядят совсем уж безосновательными, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, указанные эксперты также высокого профессионализма не демонстрировали. В целом это история про колоссальное недопонимание со всех сторон. Исследователи не смогли подать информацию о баге как нужно, а вендор не захотел вникать и обсуждать вопрос. Впрочем, уязвимости тут, похоже, и правда нет».
Поделиться
Короткая ссылка
