Zálohovanie Signálu: Riziká pre súkromie

Signal, aplikácia známa svojím dôrazom na súkromie, nedávno predstavila novú funkciu zálohovania. Znie to skvele, však? Možnosť uložiť svoje správy a médiá pre prípad straty telefónu alebo výmeny zariadenia je určite užitočná. No za touto funkciou sa skrýva viacero otázok ohľadom súkromia a bezpečnosti, ktoré by ste si mali pred aktiváciou dôkladne premyslieť. V tomto článku sa pozrieme na detaily tejto novej funkcie, preveríme zázemie osoby zodpovednej za jej implementáciu a zhodnotíme potenciálne riziká.

Kľúčové poznatky

• Centralizované zálohy: Signal začal ponúkať možnosť zálohovať správy na ich vlastných serveroch, čo vyvoláva obavy o súkromie.
• Jim O'Leary a jeho minulosť: Hlavný architekt tejto funkcie, Jim O'Leary, má rozsiahle skúsenosti s budovaním systémov sledovania v spoločnostiach ako Twitter a Facebook.
• Vulnerabilita kľúčov: Signal v minulosti čelil kritike za ukladanie šifrovacích kľúčov v nešifrovanom stave, čo naznačuje potenciálne slabé miesta v ich bezpečnostných postupoch.
• Metadáta a paralelná konštrukcia: Zálohovací systém vytvára rozsiahle množstvo metadát, ktoré môžu byť zneužité na identifikáciu používateľov. Hrozí aj riziko "paralelnej konštrukcie", keď polícia využíva zálohy ako dôkaz po tom, čo už získala informácie inými prostriedkami.
• Závislosť od Signálu: Na rozdiel od lokálnych záloh, pri tejto funkcii ste úplne odkázaní na Signal a jeho servery.

Detailnejší Pohľad na Zálohovací Systém Signálu

Nová funkcia zálohovania v Signáli umožňuje používateľom uložiť svoje správy a médiá na serveroch spoločnosti. Na rozdiel od lokálnych záloh, ktoré si môžete vytvoriť sami, tieto zálohy sú uložené centralizovane. Signal tvrdí, že k nim nemajú prístup, ale môžu ich obnoviť v prípade straty 64-miestneho kľúča na obnovenie. Tento kľúč je generovaný lokálne a používateľ si ho musí bezpečne uložiť.

Problém však spočíva v tom, že tieto zálohy sú prepojené s vaším účtom Signálu a platobnými záznamami (ak ste si zaplatili za rozšírenú verziu). Používajú sa techniky „zero-knowledge addressing“, ktoré majú zabezpečiť ochranu pred prístupom Signálu, ale stále vytvárajú potenciálne riziká.

Kto stojí za touto funkciou? Jim O'Leary a jeho kariéra v sledovaní

Zálohovací systém bol verejne predstavený Jimom O’Learym, viceprezidentom pre inžinierstvo Signálu. Jeho pozadie však vyvoláva vážne otázky. Pred príchodom do Signálu pracoval osem rokov v spoločnostiach Twitter a Facebook, kde sa podieľal na budovaní systémov sledovania používateľskej aktivity.

V Twitteri (2011-2015) bol zodpovedný za vývoj systémov detekcie anomálií správania – inými slovami, sledoval a označoval „neobvyklú“ aktivitu používateľov. Neskôr prešiel do Facebooku (2015-2019), kde riadil bezpečnostné tímy a koordinoval reakciu na rozsiahle úniky dát, ako napríklad škandál Cambridge Analytica. Zúčastnil sa aj riešenia problému s VPN aplikáciou Onavo, ktorá tajne sledovala používateľov.

Táto kariéra naznačuje, že O'Leary má skúsenosti s budovaním centralizovaných systémov na monitorovanie a analýzu dát – presný opak toho, čo by ste očakávali od človeka pracujúceho v spoločnosti zameranej na súkromie.

Bezpečnostné Slabé Miesta a Potenciálne Hrozby

Signal v minulosti čelil kritike za bezpečnostné nedostatky. Napríklad, šifrovacie kľúče boli po dobu šiestich rokov uložené v nešifrovanom stave na stolných počítačoch. Výskumníci tiež dokázali dešifrovať databázy Signálu pomocou nástrojov na extrakciu kľúčov z mobilných zariadení.

Centralizované zálohovanie ešte viac zvyšuje riziká. Ak Signal prelomia, alebo ak polícia získa prístup k ich serverom, vaše správy by mohli byť kompromitované. Okrem toho, aj keď sú samotné správy šifrované, metadáta (informácie o tom, kedy ste zálohu vytvorili, kedy ste ju obnovili a ako často ste regenerovali kľúč) môžu byť zneužité na identifikáciu používateľov.

Odporúčania a Zváženia

Pred aktiváciou funkcie zálohovania v Signáli si dôkladne premyslite nasledovné:

• Bezpečnosť Kľúča: Uložte si 64-miestny kľúč na obnovenie bezpečne. Nikdy ho neuchovávajte v clóudových službách a nerobte si z neho screenshoty.
• Alternatívne Zálohy: Zvážte, či lokálne zálohy (ak sú vôbec dostupné) nie sú bezpečnejšou alternatívou.
• Dôvera v Signál: Skutočne dôverujete spoločnosti Signal a jej zamestnancom? Majú ich predchádzajúce skúsenosti s budovaním systémov sledovania vplyv na vaše rozhodnutie?
• Metadát: Uvedomte si, že zálohovací systém vytvára rozsiahle množstvo metadát, ktoré môžu byť zneužité.

Dôležité odkazy a zdroje:

• Sam Bent YouTube Video – Pôvodné video s analýzou situácie.
• Onavo VPN Scandal – Informácie o škandále okolo aplikácie Onavo, v ktorom zohral úlohu Jim O'Leary.

Približne 177 gCO₂ bolo uvoľnených do atmosféry a na chladenie sa spotrebovalo 0.89 l vody za účelom vygenerovania tohoto článku.