Intervju: Räkna med att vissa statliga avdelningar kommer att börja utforska decentraliserade meddelanden, säger Sessions medgrundare Kee Jefferys

CISA (Certified Information Systems Auditor) varnade nyligen för två kritiska sårbarheter i TeleMessage TM SGNL – som aktivt utnyttjas av hotaktörer – och har fått intressenter att lägga märke till det.

USA:s federala cybersäkerhetsmyndighet uppmanade starkt organisationer att omedelbart genomföra alla åtgärder som leverantören tillhandahåller, vilket understryker hur allvarliga bristerna är.

"I fallet med TM SGNL uppstod sårbarheterna från flera allvarliga design- och implementeringsfel, vilket underminerade den avsedda säkerheten och resulterade i vad som bäst kan beskrivas som "säkerhetsteater", säger Kee Jefferys, medgrundare av Session, en krypterad meddelandeapp med öppen källkod, i ett samtal med Invezz.

Tillväxten av decentraliserade meddelandeappar drivs av en konvergens av faktorer: ökande oro för integritet, växande misstro mot Big Tech, framsteg inom blockchain och peer-to-peer-arkitektur och skiftande regelverk.

Även om Session har fått beröm för sitt engagemang för anonymitet och metadataresistens, hävdar vissa tekniska granskare att Signal – en annan krypterad meddelandeplattform – skapar en mer mainstream balans genom att kombinera starka integritetsprotokoll med användarvänliga, communitybyggande funktioner.

"I Sessions fall är det byggt för användare som behöver anonymitet och metadataresistens, även om det innebär att man måste göra några kompromisser när det gäller funktioner eller UX", säger Jefferys.

Han berörde också det ökande institutionella intresset för decentraliserade meddelandeplattformar och varför han tror att avdelningar som nationell säkerhet och utrikesförvaltning sannolikt kommer att utforska dessa tekniker mer seriöst under de kommande åren, särskilt för intern kommunikation som involverar känsliga eller högriskscenarier.

Utdrag:

Om CISA-flaggning av sårbarheter i TM SGNL

Invezz: CISA-direktivet belyser sårbarheter i TM SGNL. Vad är det, enligt din mening, som gjorde dessa brister så farliga trots användningen av end-to-end-kryptering?

End-to-end-kryptering, när den implementeras korrekt, förhindrar att någon utanför konversationen kommer åt användarnas meddelanden.

Men i fallet med TM SGNL uppstod sårbarheterna på grund av flera allvarliga design- och implementeringsfel, vilket underminerade den avsedda säkerheten och resulterade i vad som bäst kan beskrivas som "säkerhetsteater".

Snarare än ett enda isolerat fel var det en kedja av dåliga designbeslut som i slutändan exponerade användardata.

Först skapade TM SGNL en okrypterad kopia av varje meddelande som skickades i en konversation och lagrade sedan denna kopia på en server.

Den här metoden skapade effektivt en honungskruka med känsliga data, vilket gjorde dem mycket attraktiva för angripare.

För det andra exponerade servern offentligt en URL från vilken vem som helst kunde ladda ner det aktuella tillståndet för dess minne.

När servern tog emot och bearbetade dessa okrypterade meddelanden lagrade den dem i minnet tillsammans med känslig autentiseringsinformation, inklusive användarnas svagt hashade lösenord.

Tillsammans gjorde dessa sårbarheter det möjligt för en angripare, även en med relativt begränsad sofistikering, att rutinmässigt ladda ner serverminne, extrahera autentiseringsinformation, bryta sig in i användarkonton och få tillgång till konversationer i klartext.

Det här scenariot understryker en viktig punkt: säkra protokoll är bara lika starka som den underliggande kodkvaliteten och infrastrukturimplementeringen.

Hur decentralisering minskar risken strukturellt

Invezz: Du har argumenterat för att kontroll över en enda leverantör är det verkliga hotet. Kan du gå igenom hur decentralisering strukturellt minskar denna risk?

Absolut. När ett företag kontrollerar allt, inklusive koden, servrarna, uppdateringarna, kan till och med ett enda misstag utsätta alla för risker.

Decentralisering sprider ut den kontrollen, vilket minskar möjligheten att rikta in sig på en server för att uppnå en fullständig nätverkskompromiss.

I nätverk som Session finns det ingen central server att attackera, och inte heller någon enskild enhet som innehåller alla meddelanden.

Istället består nätverket av oberoende noder distribuerade över hela världen, och källkoden är öppet tillgänglig för alla att inspektera.

Som ett resultat, snarare än att förlita dig på pålitligheten hos en enda leverantör, har du ett system som är specialbyggt för att fungera utan att behöva förtroende alls.

Skillnaden mellan Session och Signal

Invezz: Session marknadsförs ofta som en helt decentraliserad, metadata-resistent budbärare. Hur skiljer sig din infrastruktur fundamentalt från Signal eller andra krypterade appar?

De flesta budbärare är fortfarande beroende av centraliserad infrastruktur, Session är annorlunda.

Session fungerar på ett decentraliserat onion-routing-nätverk inspirerat av Tor, speciellt byggt för meddelanden.

Istället för att förlita sig på centrala servrar dirigerar Session meddelanden genom en serie community-drivna noder, vilket effektivt döljer användarnas IP-adresser från alla noder som lagrar deras meddelanden.

Dessutom kräver Session inte ett telefonnummer, e-post eller någon annan verklig identifierare för att skapa ett konto.

Alla meddelanden är krypterade från början till slut, och till skillnad från traditionell TM SGNL skickar Session aldrig en okrypterad granskningslogg över användarnas kommunikation till en central server.

Sessionens användningsfall och pågående arbete med att förbättra användbarheten

Invezz: Vissa tekniska recensenter har sagt att även om Session erbjuder en nivå av integritet som är bra av säkerhetsskäl, blandar Signal robusta sekretesspolicyer med hjälpsamma communitybyggande funktioner, vilket gör det tilltalande för en bredare publik. Vad är dina tankar om detta?

Det är en rättvis uppfattning. Signal har gjort ett fantastiskt jobb med att få privata meddelanden att kännas sömlösa, särskilt för personer som inte är integritetsexperter.

I Sessions fall är den byggd för användare som behöver anonymitet och metadataresistens, även om det innebär att man måste göra några kompromisser när det gäller funktioner eller UX.

Men Session ignorerar definitivt inte användbarheten, Session-bidragsgivarna har arbetat hårt med att förbättra UX genom att förenkla teknisk jargong och göra det enkelt att hoppa in och börja skicka meddelanden utan att behöva oroa sig för de tekniska detaljerna.

Om institutionell efterfrågan på decentraliserad meddelandehantering

Invezz: Ser du att institutionella eller företags efterfrågan på decentraliserade meddelanden ökar? Om så är fallet, vilka vertikaler visar tidig dragkraft?

Absolut. Session ser ett växande intresse från journalister, icke-statliga organisationer, visselblåsare och jurister, i princip alla som hanterar känslig information eller behöver hålla kommunikationen privat.

Vissa DAO:er och integritetsfokuserade startups börjar också utforska decentraliserade meddelanden.

Det är fortfarande tidigt, men den gemensamma nämnaren är att de alla vill ha stark integritet och infrastruktur som inte har en enda felpunkt eller kontroll.

I takt med att reglerna skärps och dataintrången hopar sig börjar decentralisering se mindre ut som en nisch och mer som en nödvändighet.

Statliga grenar som nationell säkerhet/utrikesförvaltning kommer sannolikt att utforska decentraliserade meddelanden

Invezz: Tror du att regeringar någonsin på allvar kommer att anta decentraliserade meddelandeprotokoll, eller kommer de att förbli beroende av leverantörer som de kan övervaka?

Det är en svår fråga. Regeringar föredrar naturligtvis kontroll och granskningsbarhet, vilket ofta leder dem mot proprietära eller leverantörsstyrda system.

Men som TM SGNL-incidenten tydligt illustrerar medför detta centraliserade tillvägagångssätt inneboende risker.

Jag förväntar mig att vissa grenar av statsförvaltningen, särskilt de som arbetar med nationell säkerhet eller utrikesförvaltning, i allt högre grad kommer att utforska decentraliserade lösningar för känslig intern kommunikation eller högriskscenarier.

Vi kommer förmodligen inte att se en omedelbar, utbredd användning över en natt, men de eskalerande kostnaderna och effekterna av säkerhetsintrång är tillräckligt övertygande för att få även traditionellt riskaverta institutioner att ompröva sitt tillvägagångssätt.