Intervju: Forvent at visse regjeringsavdelinger begynner å utforske desentraliserte meldinger, sier Session-medgründer Kee Jefferys

Certified Information Systems Auditor (CISA) sin nylige advarsel om to kritiske sårbarheter i TeleMessage TM SGNL – som aktivt utnyttes av trusselaktører – har fått interessenter til å sette seg opp og legge merke til det.

Det amerikanske føderale cybersikkerhetsbyrået oppfordret organisasjoner på det sterkeste til å umiddelbart implementere eventuelle avbøtende tiltak fra leverandøren, og understreket alvorlighetsgraden av feilene.

"Når det gjelder TM SGNL, oppsto sårbarhetene fra flere alvorlige design- og implementeringsfeil, som undergravde den tiltenkte sikkerheten og resulterte i det som best kan beskrives som "sikkerhetsteater"," sa Kee Jefferys, medgründer av Session, en åpen kildekode-kryptert meldingsapp, i en samtale med Invezz.

Veksten av desentraliserte meldingsapper blir drevet av en konvergens av faktorer: økende personvernbekymringer, økende mistillit til Big Tech, fremskritt innen blokkjede og peer-to-peer-arkitektur og skiftende regulatoriske miljøer.

Mens Session har fått ros for sin forpliktelse til anonymitet og metadatamotstand, hevder noen tekniske anmeldere at Signal – en annen kryptert meldingsplattform – finner en mer mainstream balanse ved å kombinere sterke personvernprotokoller med brukervennlige, fellesskapsbyggende funksjoner.

"I Sessions tilfelle er den bygget for brukere som trenger anonymitet og metadatamotstand, selv om det betyr å gjøre noen avveininger på funksjoner eller UX," sa Jefferys.

Han berørte også den økende institusjonelle interessen for desentraliserte meldingsplattformer og hvorfor han tror at avdelinger som nasjonal sikkerhet og utenrikstjeneste sannsynligvis vil utforske disse teknologiene mer seriøst i de kommende årene, spesielt for intern kommunikasjon som involverer sensitive eller høyrisikoscenarier.

Utdrag:

Om CISA flagger sårbarheter i TM SGNL

Invezz: CISA-direktivet fremhever sårbarheter i TM SGNL. Hva gjorde etter ditt syn disse feilene så farlige til tross for bruken av ende-til-ende-kryptering?

Ende-til-ende-kryptering, når den er implementert riktig, hindrer noen utenfor samtalen i å få tilgang til brukernes meldinger.

Men når det gjelder TM SGNL, oppsto sårbarhetene fra flere alvorlige design- og implementeringsfeil, som undergravde den tiltenkte sikkerheten og resulterte i det som best kan beskrives som "sikkerhetsteater".

I stedet for en enkelt isolert feil, var det en kjede av dårlige designbeslutninger som til slutt avslørte brukerdata.

Først opprettet TM SGNL en ukryptert kopi av hver melding som ble sendt i en samtale og lagret deretter denne kopien på en server.

Denne praksisen skapte effektivt en honningkrukke med sensitive data, noe som gjorde den svært attraktiv for angripere.

For det andre avslørte serveren offentlig en URL som hvem som helst kunne laste ned den nåværende tilstanden til minnet fra.

Etter hvert som serveren mottok og behandlet disse ukrypterte meldingene, lagret den dem i minnet sammen med sensitive autentiseringsdetaljer, inkludert brukernes svakt hashede passord.

Kombinert tillot disse sårbarhetene en angriper, selv en med relativt begrenset raffinement, rutinemessig å laste ned serverminne, trekke ut autentiseringsinformasjon, bryte brukerkontoer og få tilgang til rentekstsamtaler.

Dette scenariet understreker et kritisk punkt: sikre protokoller er bare så sterke som den underliggende kodekvaliteten og infrastrukturimplementeringen.

Hvordan desentralisering reduserer risiko strukturelt

Invezz: Du har argumentert for at kontroll over én leverandør er den virkelige trusselen. Kan du lede oss gjennom hvordan desentralisering strukturelt reduserer denne risikoen?

Absolutt. Når ett selskap kontrollerer alt, inkludert koden, serverne, oppdateringene, kan selv en enkelt feil sette alle i fare.

Desentralisering sprer denne kontrollen, og reduserer muligheten til å målrette mot en hvilken som helst server for å oppnå et fullstendig nettverkskompromittering.

I nettverk som Session er det ingen sentral server å angripe, og heller ikke en enkelt enhet som holder alle meldingene.

I stedet består nettverket av uavhengig drevne noder fordelt over hele kloden, og kildekoden er åpent tilgjengelig for alle å inspisere.

Som et resultat, i stedet for å stole på påliteligheten til en enkelt leverandør, har du et system som er spesialbygd for å fungere uten å trenge tillit i det hele tatt.

Forskjellen mellom økt og signal

Invezz: Session blir ofte utpekt som en fullstendig desentralisert, metadataresistent messenger. Hvordan skiller infrastrukturen din seg fundamentalt fra Signal eller andre krypterte apper?

De fleste budbringere er fortsatt avhengige av sentralisert infrastruktur, Session er annerledes.

Session opererer på et desentralisert løkrutingsnettverk inspirert av Tor, spesielt bygget for meldinger.

I stedet for å stole på sentrale servere, ruter Session meldinger gjennom en rekke fellesskapsdrevne noder, og skjuler effektivt brukernes IP-adresser fra enhver node som lagrer meldingene deres.

I tillegg krever ikke Session et telefonnummer, e-post eller noen annen identifikator i den virkelige verden for å opprette en konto.

Alle meldinger er ende-til-ende-kryptert, og i motsetning til tradisjonell TM SGNL, sender Session aldri en ukryptert revisjonslogg over brukernes kommunikasjon til en sentral server.

Sessions bruksområde og pågående arbeid for å forbedre brukervennligheten

Invezz: Noen tekniske anmeldere har sagt at mens Session tilbyr et nivå av personvern som er flott for sikkerhetsformål, blander Signal robuste personvernregler med nyttige fellesskapsbyggende funksjoner, noe som gjør det attraktivt for et bredere publikum. Hva er dine tanker om dette?

Det er en rettferdig oppfatning. Signal har gjort en fantastisk jobb med å få private meldinger til å føles sømløse, spesielt for folk som ikke er personverneksperter.

I Sessions tilfelle er den bygget for brukere som trenger anonymitet og metadatamotstand, selv om det betyr å gjøre noen avveininger på funksjoner eller brukeropplevelse.

Men Session ignorerer definitivt ikke brukervennlighet, Session-bidragsytere har jobbet hardt med å forbedre brukeropplevelsen, ved å forenkle teknisk sjargong og gjøre det enkelt å hoppe inn og begynne å sende meldinger uten å måtte bekymre seg for de tekniske detaljene.

Om institusjonell etterspørsel etter desentraliserte meldinger

Invezz: Ser du at institusjonell eller bedriftsetterspørsel etter desentraliserte meldinger vokser? I så fall, hvilke vertikaler viser tidlig trekkraft?

Absolutt. Session ser økende interesse fra journalister, frivillige organisasjoner, varslere og juridiske fagfolk, i utgangspunktet alle som håndterer sensitiv informasjon eller trenger å holde kommunikasjonen privat.

Noen DAO-er og personvernfokuserte startups begynner også å utforske desentraliserte meldinger.

Det er fortsatt tidlig, men den røde tråden er at de alle ønsker sterkt personvern og infrastruktur som ikke har et eneste feilpunkt eller kontroll.

Etter hvert som regelverket strammes inn og datainnbrudd hoper seg opp, begynner desentralisering å se mindre ut som en nisje og mer som en nødvendighet.

Regjeringsgrener som nasjonal sikkerhet/utenrikstjeneste vil sannsynligvis utforske desentraliserte meldinger

Invezz: Tror du regjeringer noen gang seriøst vil ta i bruk desentraliserte meldingsprotokoller, eller vil de forbli avhengige av leverandører de kan føre tilsyn med?

Det er en tøff en. Myndigheter foretrekker naturligvis kontroll og revisjonsmuligheter, noe som ofte fører dem mot proprietære eller leverandørstyrte systemer.

Men som TM SGNL-hendelsen tydelig illustrerer, medfører denne sentraliserte tilnærmingen iboende risiko.

Jeg forventer at visse grener av regjeringen, spesielt de som arbeider med nasjonal sikkerhet eller utenrikstjeneste, i økende grad vil utforske desentraliserte løsninger for sensitiv intern kommunikasjon eller høyrisikoscenarier.

Vi vil sannsynligvis ikke se umiddelbar, utbredt adopsjon over natten, men de eskalerende kostnadene og virkningen av sikkerhetsbrudd er overbevisende nok til å få selv tradisjonelt risikovillige institusjoner til å revurdere tilnærmingen sin.