Co se vlastně stalo?
Celkem neuvěřitelná neopatrnost. Americký poradce pro národní bezpečnost (název pozice zní docela důležitě) Mike Waltz omylem přidal do hromadného chatu na aplikaci Signal novináře Jeffreyho Goldberga. Ve stejné skupině byl i viceprezident Spojených států JD Vance. V této chatovací skupině se mimo jiné probíral vojenský útok v Jemenu (sdílely se přesné časy startu stíhaček F-18, časy útoků dronů a výstřelů raket Tomahawk atd.). Screenshoty této komunikace (v angličtině) může najít například zde - https://www.theatlantic.com/politics/archive/2025/03/signal-group-chat-attack-plans-hegseth-goldberg/682176/
Jinak zde jsou články o tom, co se stalo v češtině:
- Demokraté obviňují Trumpův tým, že lže o statusu utajení konverzace na Signalu
- Waltz řekl, že přejímá zodpovědnost v souvislosti s únikem vojenských plánů
Nechci tu rozebírat politickou stránku tohoto přešlapu ani to, že se zjevně jedná o hrubé pochybení, které by za normálních okolností stálo příslušného pracovníka prověrku (v lepším případě). To, co teď vidíme od americké administrativy, je takzvaný "damage control", kdy se snaží lidem nalhat, že se nejednalo o utajené informace.
Rád bych tu spíš rozvinul úvahy, které z toho plynou pro oblast soukromí a bezpečnosti na internetu.
Co je tedy zajímavé na tom, co se stalo? (z pohledu IT bezpečnosti a soukromí)
Za prvé: Vybrali si Signal. Ne WhatsApp, ne Facebook Messenger nebo nějakého dalšího kecálka. Byl to Signal. Ze všech komunikačních aplikací, které jsou na trhu si vybrali ji. To může dávat další možný důvod důvěřovat této aplikaci. Když se jedná o bezpečnost a anonymitu na internetu, tak nebudeme nikdy nic vědět na 100% (jako skoro o všem v reálném životě). Máme spíš informace, na základě kterých můžeme zkoušet hodnotit jednotlivé produkty jako Signal, a pak si udělat finální názor. Mohou to být věci typu:
- Existují nezávislé audity třetích stran?
- Je aplikace open-source nebo má uzavřený kód?
- V jaké zemi sídlí firma, která aplikaci vyvíjí?
- Jaká byla reakce firmy na případné předešlé bezpečnostní incidenty/zranitelnosti?
- Perličkou může být i reakce na žádosti policie o vydání dat o uživatelích. Pokud k tomu někdy došlo a bylo zveřejněno, jak firma postupovala?
I toto mohou být otázky, které by u vás měly hrát roli při rozhodování, jakou aplikaci budete používat. Jsou tu samozřejmě i věci typu uživatelská přívětivost nebo i to, jak moc je aplikace používaná vaším okolím. Nechci tu teď dělat srovnání jednotlivých aplikací (možná v budoucnu) ani říkat, že Signal je nejlepší. Je ale dost indicií, že Signal to nedělá úplně špatně, co se týče šifrování a soukromí (zde hlavně selhávají aplikace typu WhatsApp, iMessage, Facebook Messenger atd.). Nesmírně by mě zajímalo, jestli a kdo jim poradil používat aplikaci Signal. Docela si dovedu představit, že příslušné osazenstvo by radši používalo jiné aplikace.
Za druhé: Nabízí se otázka: Proč nepoužili speciální typ telefonu? Tady sázím na lenost.
Ostatně dovedu si představit scénu, když přišel bezpečnosní aparát za Donaldem Trumpem s tím, jaké bezpečnostní protokoly bude muset od teď splňovat a jak se chovat. Sázím na to, že jim zase on vysvětlil, že se svého iPhonu nevzdá. Podobně na tom asi bude i jeho viceprezident a další část jeho administrativy.
Za třetí: Potvrzení, že lidský faktor je obvykle tím nejslabším článkem bezpečnosti. Ukliknout se může každý. Při vytváření skupiny na Signalu můžete přidávat pomocí telefonního čísla, kontaktu (pokud jste dovolili Signalu číst vaše kontakty) nebo přezdívky, kterou si můžete vytvořit speciálně pro Signal. Je možné, že pan Waltz přidával telefonní číslo a spletl se. To už se teď asi nedozvíme. Ale jednak udělal velkou chybu on a druhak menší chybu ostatní účastníci chatu, že si nezkontrolovali osazenstvo. Tuto lenost jde částečně chápat, protože většina lidí nekontroluje členy chatovací skupiny, když jich je víc než prstů na ruce.
Za čtvrté: Být společností Signal, tak se silně zamyslím nad svým Threat modelem. Pojďme si bez dávky naivity říct, že tohle nebyl jediný chat tohoto druhu na Signalu. Dovedu si představit, že tuto aplikaci používají politici a bezpečností aparát USA celkem čile a pouze zde jsme se o tom dozvěděli. Bude tam obecně víc informací, než "pouze" to, kdy startují F-18 a kdy budou střílet rakety Tomahawk. Také tam nepochybně budou tajné informace vlád, armád a tajných služeb i dalších států - patrně i toho našeho. Kdybych byl nějakou pokročilou hackerskou skupinou podporovanou Ruskem/Čínou/Iránem, tak bych se o Signal hodně zajímal. Nejvíc by se mi asi líbilo dostat se do firmy Signal a snažit se tam tiše podstrčit svůj update.
Update: V relativně krátké době sdílela média informaci o další Signal skupině opět Mike Waltze ke sdílení informacích o útocích v Yemenu (link: https://www.theguardian.com/us-news/2025/apr/20/pete-hegseth-signal-chat-yemen-attack). Lze to brát jako potvrzení, že někteří lidé se nejsou schopni poučit ani ze svých vlastních chyb (natož pak od druhých) a také, že na Signalu bude nepochybně spousta skupinových konverzací s přísně tajným obsahem.
Tolik asi mé postřehy.