Interview: Forvent, at visse regeringsafdelinger vil begynde at udforske decentraliserede budskaber, siger Session-medstifter Kee Jefferys

CISA's nylige advarsel om to kritiske sårbarheder i TeleMessage TM SGNL – der aktivt udnyttes af trusselsaktører – har fået interessenter til at sætte sig op og lægge mærke til det.

Det amerikanske føderale cybersikkerhedsagentur opfordrede kraftigt organisationer til straks at implementere eventuelle afbødninger fra leverandøren, hvilket understregede alvoren af fejlene.

"I tilfældet med TM SGNL opstod sårbarhederne fra flere alvorlige design- og implementeringsfejl, der underminerede den tilsigtede sikkerhed og resulterede i, hvad der bedst kan beskrives som "sikkerhedsteater"," sagde Kee Jefferys, medstifter af Session, en open source-krypteret besked-app, i en samtale med Invezz.

Væksten i decentraliserede beskedapps er drevet af en konvergens af faktorer: stigende bekymringer om privatlivets fred, voksende mistillid til Big Tech, fremskridt inden for blockchain og peer-to-peer-arkitektur og skiftende lovgivningsmæssige miljøer.

Mens Session har fået ros for sit engagement i anonymitet og metadataresistens, hævder nogle tekniske anmeldere, at Signal - en anden krypteret meddelelsesplatform - rammer en mere mainstream balance ved at kombinere stærke privatlivsprotokoller med brugervenlige, fællesskabsopbyggende funktioner.

"I Sessions tilfælde er det bygget til brugere, der har brug for anonymitet og metadatamodstand, selvom det betyder, at der skal foretages et par afvejninger på funktioner eller UX," sagde Jefferys.

Han kom også ind på den stigende institutionelle interesse for decentraliserede meddelelsesplatforme, og hvorfor han mener, at afdelinger som national sikkerhed og udenrigstjeneste sandsynligvis vil udforske disse teknologier mere seriøst i de kommende år, især for intern kommunikation, der involverer følsomme eller højrisikoscenarier.

Uddrag:

Om CISA's markering af sårbarheder i TM SGNL

Invezz: CISA-direktivet fremhæver sårbarheder i TM SGNL. Hvad gjorde efter din mening disse fejl så farlige på trods af brugen af end-to-end-kryptering?

End-to-end-kryptering, når den implementeres korrekt, forhindrer nogen uden for samtalen i at få adgang til brugernes beskeder.

Men i tilfældet med TM SGNL opstod sårbarhederne fra flere alvorlige design- og implementeringsfejl, der underminerede den tilsigtede sikkerhed og resulterede i, hvad der bedst kan beskrives som "sikkerhedsteater".

I stedet for en enkelt isoleret fejl var det en kæde af dårlige designbeslutninger, der i sidste ende afslørede brugerdata.

Først oprettede TM SGNL en ukrypteret kopi af hver besked, der blev sendt i en samtale, og gemte derefter denne kopi på en server.

Denne praksis skabte effektivt en honningkrukke af følsomme data, hvilket gjorde det meget attraktivt for angribere.

For det andet afslørede serveren offentligt en URL, hvorfra enhver kunne downloade den aktuelle tilstand af dens hukommelse.

Da serveren modtog og behandlede disse ukrypterede meddelelser, gemte den dem i hukommelsen sammen med følsomme godkendelsesdetaljer, herunder brugernes svagt hashede adgangskoder.

Tilsammen gjorde disse sårbarheder det muligt for en angriber, selv en med relativt begrænset sofistikering, rutinemæssigt at downloade serverhukommelse, udtrække godkendelsesoplysninger, bryde brugerkonti og få adgang til klartekstsamtaler.

Dette scenarie understreger et kritisk punkt: sikre protokoller er kun så stærke som den underliggende kodekvalitet og infrastrukturimplementering.

Hvordan decentralisering reducerer risikoen strukturelt

Invezz: Du har argumenteret for, at kontrol med en enkelt leverandør er den virkelige trussel. Kan du fortælle os, hvordan decentralisering strukturelt reducerer denne risiko?

Absolut. Når en virksomhed kontrollerer alt, inklusive koden, serverne, opdateringerne, kan selv en enkelt fejl bringe alle i fare.

Decentralisering spreder denne kontrol ud, hvilket reducerer muligheden for at målrette mod en hvilken som helst server for at opnå et fuldstændigt netværkskompromittering.

I netværk som Session er der ingen central server at angribe, og heller ikke en enkelt enhed, der indeholder alle meddelelserne.

I stedet består netværket af uafhængigt drevne noder fordelt over hele kloden, og kildekoden er åbent tilgængelig for alle at inspicere.

Som et resultat, i stedet for at stole på en enkelt leverandørs troværdighed, har du et system, der er specialbygget til at fungere uden at have brug for tillid overhovedet.

Forskellen mellem Session og Signal

Invezz: Session bliver ofte udråbt som en fuldt decentraliseret, metadata-resistent messenger. Hvordan adskiller din infrastruktur sig fundamentalt fra Signal eller andre krypterede apps?

De fleste messengers er stadig afhængige af centraliseret infrastruktur, Session er anderledes.

Session fungerer på et decentraliseret løgrouting-netværk inspireret af Tor, specielt bygget til beskeder.

I stedet for at være afhængig af centrale servere, dirigerer Session meddelelser gennem en række fællesskabsdrevne noder, hvilket effektivt skjuler brugernes IP-adresser fra enhver node, der gemmer deres meddelelser.

Derudover kræver Session ikke et telefonnummer, e-mail eller andre identifikatorer fra den virkelige verden for at oprette en konto.

Alle meddelelser er end-to-end-krypterede, og i modsætning til traditionel TM SGNL sender Session aldrig en ukrypteret overvågningslog over brugernes kommunikation til en central server.

Sessionens use case og igangværende bestræbelser på at forbedre brugervenligheden

Invezz: Nogle tekniske anmeldere har sagt, at mens Session tilbyder et niveau af privatliv, som er fantastisk af sikkerhedsmæssige årsager, blander Signal robuste privatlivspolitikker med nyttige fællesskabsopbyggende funktioner, hvilket gør det attraktivt for et bredere publikum. Hvad er dine tanker om dette?

Det er en fair opfattelse. Signal har gjort et fantastisk stykke arbejde med at få private beskeder til at føles problemfrie, især for folk, der ikke er eksperter i privatlivets fred.

I Sessions tilfælde er den bygget til brugere, der har brug for anonymitet og metadatamodstand, selvom det betyder, at der skal foretages et par afvejninger på funktioner eller UX.

Men Session ignorerer bestemt ikke brugervenlighed, Session-bidragydere har arbejdet hårdt på at forbedre UX ved at forenkle teknisk jargon og gøre det nemt at hoppe ind og begynde at sende beskeder uden at skulle bekymre sig om de tekniske detaljer.

Om institutionernes efterspørgsel efter decentraliserede budskaber

Invezz: Ser du institutionel eller virksomheds efterspørgsel efter decentraliserede beskeder vokse? Hvis ja, hvilke vertikaler viser tidlig trækkraft?

Absolut. Session oplever stigende interesse fra journalister, NGO'er, whistleblowere og juridiske fagfolk, stort set alle, der håndterer følsomme oplysninger eller har brug for at holde kommunikationen privat.

Nogle DAO'er og privatlivsfokuserede startups er også begyndt at udforske decentraliserede beskeder.

Det er stadig tidligt, men den røde tråd er, at de alle ønsker et stærkt privatliv og infrastruktur, der ikke har et enkelt fejlpunkt eller kontrol.

Efterhånden som reglerne strammes, og databrud hober sig op, begynder decentralisering at ligne mindre en niche og mere som en nødvendighed.

Regeringsgrene som national sikkerhed/udenrigstjeneste vil sandsynligvis udforske decentraliserede meddelelser

Invezz: Tror du, at regeringer nogensinde seriøst vil indføre decentraliserede meddelelsesprotokoller, eller vil de forblive afhængige af leverandører, de kan føre tilsyn med?

Det er en svær en. Regeringer foretrækker naturligvis kontrol og revisionsmuligheder, hvilket ofte fører dem mod proprietære eller leverandørstyrede systemer.

Men som TM SGNL-hændelsen tydeligt illustrerer, indebærer denne centraliserede tilgang iboende risici.

Jeg forventer, at visse grene af regeringen, især dem, der beskæftiger sig med national sikkerhed eller udenrigstjeneste, i stigende grad vil udforske decentraliserede løsninger til følsom intern kommunikation eller højrisikoscenarier.

Vi vil sandsynligvis ikke se øjeblikkelig, udbredt adoption fra den ene dag til den anden, men de eskalerende omkostninger og konsekvenser af sikkerhedsbrud er overbevisende nok til at få selv traditionelt risikovillige institutioner til at genoverveje deres tilgang.