В Госспецсвязи ответили на самые частые вопросы относительно платформы обмена зашифрованными сообщениями Signal и порекомендовали, как сделать пользование мессенджером максимальным безопасным. Советы специалисты ведомства обнародовали на сайте службы.
Сломали ли Signal?
По состоянию на лето 2023 – нет. Был инцидент летом 2022 года, о котором сообщила компания. В заявлении Signal отмечалось, что удалось сломать 1900 аккаунтов, а это очень немного. На аккаунты сотрудников компании Twilio, предоставляющей услуги SMS-проверки для Signal, совершили фишинговую атаку, в ходе которой хакерам удалось получить доступ к конфиденциальной информации.
«Приблизительно для 1 900 пользователей злоумышленник мог попытаться перерегистрировать номер на другое устройство или узнать, что их номер зарегистрирован на Signal», – сообщила компания.
По состоянию на август 2023 г. новых известных уязвимостей, о которых пользователям нужно волноваться, зафиксировано не было. За состоянием безопасности мессенджера и его уязвимостей следует следить на страницах:
- https://support.signal.org/hc/en-us/sections/360001614191-Security-FAQ
- https://www.cvedetails.com/vulnerability-list/vendor_id-17912/Signal.html
- https://cert.gov.ua
Нужно ли сделать что-нибудь прямо сейчас?
Рекомендуется дополнительно проверить настройки безопасности и обновить приложение до последней версии. Важно проверить членство в группах новых и неизвестных вам контактов и удалиться из ненужных неактивных групп. Риск в том, что кто-то из участников групп был сломан злоумышленниками, которые попытаются привлечь внимание участников группы привлекающими внимание файлами – «Срочно. Личному составу» и т.д. Конечно, вероятность того, что под маской важного файла будет скрываться вредоносная программа, достаточно высока.
Поэтому будьте внимательны, когда получаете от непроверенного адресанта сообщения типа «немедленно», «срочно», «важно». Срочность часто используется злоумышленником для взлома из-за доверия и лихорадки.
Есть ли более безопасные альтернативы для ВСУ?
Говоря о мессенджерах, важно понимать, что здесь нет так называемого «серебряного шара», который будет абсолютно безопасным и его невозможно будет сломать. Альтернативой Signal, часто используемой украинскими военными и считать условно безопасной, можно рассмотреть мессенджер Threema. Он имеет больше средств взаимного контроля и проверки, однако его установка платная.
Условно безопасным мы считаем мессенджер WhatsApp. Традиционно многие считают его хуже с точки зрения безопасности, чем Signal, однако сломать его сложнее. Чего бы мы ни рекомендовали использовать для пересылки чувствительных данных – это мессенджеры Telegram и Viber. Российские хакеры, например, используют функционал Telegram для того, чтобы выявлять концентрации мобильных устройств наших военнослужащих и наносить удар. Мы рекомендуем использовать средства, авторизованные в ВСУ и доведенные до использования личным составом и руководителями безопасности.
Куда обращаться при подозрении взлома?
Если вы организация, можно обратиться в Центр реагирования на киберинциденты CERT-UA Госспецсвязи, отправить сообщение на cert@cert.gov.ua или позвонить по:
+38 (044) 281-88-25
+38 (044) 281-88-05
+38 (044) 281-88-01
Если вы в ВСУ - Очередной центр кибербезопасности ВС Украины
Почта: csoc@post.mil.gov.ua
Telegram/Signal: +380673321891
Возможно ли сломать аккаунт Signal и как этому противодействовать?
Возможно, но для этого есть ряд сложных предпосылок:
1. Зная ваш номер телефона, российские злоумышленники могут перехватить SMS с кодом доступа в приложение на телефон российскими средствами РЕБ и подставными станциями мобильной связи (возможны даже на беспилотниках). Такой риск достаточно высок в приграничных районах и зоне боевых действий.
2. Самым популярным способом является взлом через компьютерную версию Signal – через отправку документа Word/Excel или других исполняемых файлов в архиве через Signal и злоумышленники смогут скрыто следить за экраном, делать скриншоты и перехватывать нажатие клавиш на клавиатуре. Также российские хакеры могут украсть сессию компьютерной версии Signal и скрыто следить за сообщениями в аккаунте и группах; и даже эксплуатируя доверие между абонентами отправкой сообщений легитимным абонентам (опять же для дальнейшего продвижения и захвата других компьютеров и аккаунтов).
Сейчас мы наблюдаем активные попытки проникновения по социальной инженерии, особенно в Signal-версии для компьютера.
Часто злоумышленники также притворяются службой безопасности Signal. Помните, что служба безопасности Signal никогда не контактирует своих клиентов через такие сообщения, а также не совершает вызовы и рассылки SMS.
3. Немаловажно не принимать и не доверять незнакомым контактам, их нужно сразу блокировать. При целенаправленных атаках против конкретных руководителей и офицеров – злоумышленники проводят детализированный сбор информации и имеют достаточно контактов знакомых и друзей, притворяясь которыми, просят совершить определенные действия.
Перезвонить даже по незащищенной связи, но для валидации абонента лучше, чем принимать и доверять сообщениям подобно описанию на скриншоте выше.
Не доверяйте файлам в архивах. Обязательно используйте антивирус на компьютере.
Что делать, чтобы не сломали Signal?
Не добавлять неизвестные и непроверенные контакты.
Внимательно верифицировать, кто с тобой в группе. Идентификация и авторизация новичков. Чем меньше админов – тем лучше.
Не доверять большим группам в Signal.
Настройка удаления сообщений за час или один день в зависимости от ваших потребностей. Но точно лучше, чтобы сообщения автоматически удалялись.
Зарегистрировать Signal на номер, который с вами не связан (пользоваться сервисами). Таким образом, российские военные хакеры, даже получив информацию о списках (например, руководителях артиллерийских бригад), не смогут таргетированно работать против вас, вас предстоит еще найти.
Проверьте подключенные устройства.
Обязательно иметь антивирус на Windows/Linux/MacOS компьютерах.
Зайти в настройку Signal и активировать PIN, отключить возможность проверять, набирает ли кто-то, есть ключевые настройки приватности и безопасности учетной записи. Settings → Account → Registration Lock.
Взламывали ли Signal группы аэроразведчиков и группы, где циркулировала важная военная информация?
Так, есть зафиксированные случаи, когда российские хакеры из ФСБ и ГРУ смогли вклиниться через украденные мобильные устройства (например, пленных военнослужащих) и скомпроментированные Windows компьютеры и получили доступ к чатам/группам, где передавались важные отчеты. Участники группы не знали о компрометации одного из участников. Контрразведочные действия и фиксирование похищенных файлов позволяли обнаружить, в какой именно группе данные/отчеты/справки передавались – и выявить скомпрометированных участников.
Госспецсвязь отмечает важность внимательной проверки и верификации с разработчиками целостности (checksum) специализированных приложений для Android, которые распространяются через группы в Signal и устанавливаются на мобильные устройства. Были зафиксированы случаи распространения инфицированных файлов APK, которыми злоумышленники отдаленно следили за жертвами.
Как проверить, не скомпроментировано ли мобильное устройство?
Если у вас есть подозрения в компрометации вашего устройства или чата – лучше обратиться в CERT-UA или в Очередной центр кибербезопасности ВС Украины на почту: csoc@post.mil.gov.ua. Альтернативно – просмотрите подключенные устройства (linked Devices) и проверьте, нет ли среди списка подключенных других гаджетов, которыми вы не пользовались. Также стоит обновить через Google Play Market приложение Signal и проверить, нет ли у вас порой двух приложений Signal на мобильном устройстве.
Как часто следует обновлять Signal?
Обязательно сразу обновляйтесь на мобильной и компьютерной версии.
Какие дополнительные настройки безопасности и конфиденциальности стоит сделать в Signal?
Такие настройки рекомендуется установить через ваше мобильное приложение:
Настройте обязательное автоматическое удаление месседжей за определенное время, а также рекомендуем удалить старые сообщения, чтобы информация в случае физической потери устройства не попала в руки врагу.
Включить разблокировку Signal пеном или через распознавание лица/пальцев.
Отключить отображение вызовов Signal в истории вызовов (чтобы никто не смог понимать, с какими контактами вы общаетесь).
Очистите всю историю прошлых чатов, если они вам не нужны.
Не называть своего подлинного имени, а использовать псевдоним. Это же касается и всех других мессенджеров и приложений – не "светите" своего имени и фамилии. Псевдоним – всегда хороший вариант.
Напомним, ранее родным пропавших без вести напомнили об информационной безопасности в соцсетях.
Также ранее полиция передала СБУ еще девять любителей публиковать в соцсетях работы ПВО.
Ранее было обезврежено более 5 тысяч ботов, распространявших дезинформацию в популярных соцсетях.