Interview: Anticipeer op bepaalde overheidsdepartementen om gedecentraliseerde berichtgeving te gaan verkennen, zegt mede-oprichter van Session Kee Jefferys

De recente waarschuwing van de Certified Information Systems Auditor (CISA) over twee kritieke kwetsbaarheden in TeleMessage TM SGNL - die actief worden uitgebuit door bedreigingsactoren - heeft belanghebbenden ertoe aangezet om rechtop te gaan zitten en kennis te nemen.

Het Amerikaanse federale cyberbeveiligingsagentschap drong er bij organisaties sterk op aan om onmiddellijk door de leverancier verstrekte maatregelen te implementeren, wat de ernst van de tekortkomingen onderstreept.

"In het geval van TM SGNL kwamen de kwetsbaarheden voort uit meerdere ernstige ontwerp- en implementatiefouten, die de beoogde beveiliging ondermijnden en resulteerden in wat het best kan worden omschreven als "beveiligingstheater"", zegt Kee Jefferys, mede-oprichter van Session, een open-source versleutelde berichten-app, in een gesprek met Invezz.

De groei van gedecentraliseerde berichten-apps wordt gedreven door een convergentie van factoren: toenemende privacyproblemen, groeiend wantrouwen jegens Big Tech, vooruitgang in blockchain en peer-to-peer-architectuur en verschuivende regelgeving.

Hoewel Session lof heeft gekregen voor zijn toewijding aan anonimiteit en metadata-weerstand, beweren sommige technische recensenten dat Signal - een ander versleuteld berichtenplatform - een meer mainstream balans vindt door sterke privacyprotocollen te combineren met gebruiksvriendelijke, community-building functies.

"In het geval van Session is het gebouwd voor gebruikers die anonimiteit en metadata-weerstand nodig hebben, zelfs als dat betekent dat ze een paar compromissen moeten sluiten op het gebied van functies of UX", aldus Jefferys.

Hij ging ook in op de toenemende institutionele belangstelling voor gedecentraliseerde berichtenplatforms en waarom hij gelooft dat afdelingen zoals nationale veiligheid en buitenlandse diensten deze technologieën de komende jaren waarschijnlijk serieuzer zullen onderzoeken, vooral voor interne communicatie met gevoelige of risicovolle scenario's.

Uittreksels:

Over de CISA die kwetsbaarheden signaleert in TM SGNL

Invezz: De CISA-richtlijn wijst op kwetsbaarheden in TM SGNL. Wat maakte deze fouten volgens u zo gevaarlijk, ondanks het gebruik van end-to-end-encryptie?

End-to-end-versleuteling voorkomt, indien correct geïmplementeerd, dat iemand buiten het gesprek toegang krijgt tot de berichten van gebruikers.

In het geval van TM SGNL kwamen de kwetsbaarheden echter voort uit meerdere ernstige ontwerp- en implementatiefouten, die de beoogde beveiliging ondermijnden en resulteerden in wat het best kan worden omschreven als 'beveiligingstheater'.

In plaats van een enkele geïsoleerde fout, was het een aaneenschakeling van slechte ontwerpbeslissingen die uiteindelijk gebruikersgegevens blootlegden.

Eerst maakte TM SGNL een niet-versleutelde kopie van elk bericht dat in een gesprek werd verzonden en sloeg deze kopie vervolgens op een server op.

Deze praktijk creëerde in feite een honeypot van gevoelige gegevens, waardoor het zeer aantrekkelijk werd voor aanvallers.

Ten tweede maakte de server publiekelijk een URL vrij waarvan iedereen de huidige staat van het geheugen kon downloaden.

Terwijl de server deze niet-versleutelde berichten ontving en verwerkte, sloeg hij ze op in het geheugen naast gevoelige authenticatiegegevens, waaronder de zwak gehashte wachtwoorden van gebruikers.

Gecombineerd zorgden deze kwetsbaarheden ervoor dat een aanvaller, zelfs een met relatief beperkte verfijning, routinematig servergeheugen kon downloaden, authenticatie-informatie kon extraheren, gebruikersaccounts kon schenden en toegang kon krijgen tot gesprekken in platte tekst.

Dit scenario onderstreept een cruciaal punt: veilige protocollen zijn slechts zo sterk als de onderliggende codekwaliteit en infrastructuurimplementatie.

Hoe decentralisatie risico's structureel vermindert

Invezz: U heeft betoogd dat controle door één leverancier de echte bedreiging is. Kunt u ons uitleggen hoe decentralisatie dit risico structureel vermindert?

Absoluut. Wanneer één bedrijf alles controleert, inclusief de code, de servers, de updates, kan zelfs een enkele fout iedereen in gevaar brengen.

Decentralisatie verspreidt die controle, waardoor het minder mogelijk is om zich op een server te richten om een volledig netwerkcompromis te bereiken.

In netwerken zoals Session is er geen centrale server om aan te vallen, noch een enkele entiteit die alle berichten bewaart.

In plaats daarvan bestaat het netwerk uit onafhankelijk geëxploiteerde knooppunten verspreid over de hele wereld, en de broncode is openlijk beschikbaar voor iedereen om te inspecteren.

Als gevolg hiervan hebt u, in plaats van te vertrouwen op de betrouwbaarheid van een enkele leverancier, een systeem dat speciaal is gebouwd om te functioneren zonder dat u vertrouwen nodig heeft.

Verschil tussen sessie en signaal

Invezz: Session wordt vaak aangeprezen als een volledig gedecentraliseerde, metadata-resistente messenger. Hoe verschilt uw infrastructuur fundamenteel van Signal of andere versleutelde apps?

De meeste messengers zijn nog steeds afhankelijk van een gecentraliseerde infrastructuur, Session is anders.

Session werkt op een gedecentraliseerd ui-routeringsnetwerk geïnspireerd door Tor, speciaal gebouwd voor berichten.

In plaats van te vertrouwen op centrale servers, routeert Session berichten via een reeks door de gemeenschap beheerde knooppunten, waardoor de IP-adressen van gebruikers effectief worden verborgen voor elk knooppunt dat hun berichten opslaat.

Bovendien heeft Session geen telefoonnummer, e-mailadres of andere echte ID nodig om een account aan te maken.

Alle berichten zijn end-to-end versleuteld en in tegenstelling tot traditionele TM SGNL stuurt Session nooit een niet-versleuteld auditlogboek van de communicatie van gebruikers naar een centrale server.

De use case van Session en voortdurende inspanningen om de bruikbaarheid te verbeteren

Invezz: Sommige technische recensenten hebben gezegd dat hoewel Session een niveau van privacy biedt dat geweldig is voor beveiligingsdoeleinden, Signal een robuust privacybeleid combineert met handige functies voor het opbouwen van een gemeenschap, waardoor het aantrekkelijk is voor een breder publiek. Wat vind je hiervan?

Dat is een eerlijke opvatting. Signal heeft geweldig werk geleverd door privéberichten naadloos aan te laten voelen, vooral voor mensen die geen privacy-experts zijn.

In het geval van Session is het gebouwd voor gebruikers die anonimiteit en metadata-weerstand nodig hebben, zelfs als dat betekent dat ze een paar compromissen moeten sluiten op het gebied van functies of UX.

Maar Session negeert zeker niet de bruikbaarheid, Session-bijdragers hebben hard gewerkt aan het verbeteren van de UX, door technisch jargon te vereenvoudigen en het gemakkelijk te maken om in te springen en berichten te sturen zonder je zorgen te hoeven maken over de technische details.

Over de vraag van institutionele instellingen naar gedecentraliseerd berichtenverkeer

Invezz: Ziet u de vraag van instellingen of bedrijven naar gedecentraliseerde berichtgeving groeien? Zo ja, welke verticals vertonen vroege tractie?

Absoluut. Session ziet een groeiende belangstelling van journalisten, ngo's, klokkenluiders en juridische professionals, eigenlijk iedereen die met gevoelige informatie omgaat of communicatie privé moet houden.

Sommige DAO's en op privacy gerichte startups beginnen ook gedecentraliseerde berichtgeving te verkennen.

Het is nog vroeg, maar de rode draad is dat ze allemaal een sterke privacy en een infrastructuur willen die geen enkel storingspunt of controle heeft.

Naarmate de regelgeving strenger wordt en datalekken zich opstapelen, begint decentralisatie minder op een niche te lijken en meer op een noodzaak.

Overheidstakken zoals nationale veiligheid / buitenlandse dienst zullen waarschijnlijk gedecentraliseerde berichten onderzoeken

Invezz: Gelooft u dat regeringen ooit serieus gedecentraliseerde berichtenprotocollen zullen invoeren, of zullen ze afhankelijk blijven van leveranciers die ze kunnen overzien?

Dat is een moeilijke. Overheden geven van nature de voorkeur aan controle en controleerbaarheid, wat hen vaak leidt tot eigen of door de leverancier beheerde systemen.

Zoals het TM SGNL-incident echter duidelijk illustreert, brengt deze gecentraliseerde aanpak inherente risico's met zich mee.

Ik verwacht dat bepaalde takken van de overheid, met name die welke zich bezighouden met nationale veiligheid of buitenlandse diensten, in toenemende mate gedecentraliseerde oplossingen zullen onderzoeken voor gevoelige interne communicatie of risicovolle scenario's.

We zullen waarschijnlijk niet van de ene op de andere dag een onmiddellijke, wijdverbreide acceptatie zien, maar de escalerende kosten en impact van beveiligingsinbreuken zijn overtuigend genoeg om zelfs traditioneel risicomijdende instellingen hun aanpak te laten heroverwegen.