Чи зламали Signal та як убезпечитись від ризиків: відповіді Держспецзв'язку

У Держспецзв'язку дали відповіді на найчастіші питання щодо Signal та дала рекомендації, як зробити користування месенджером максимальним безпечним.

Чи зламали Signal?

Станом на літо 2023 року – ні. Був інцидент влітку 2022 року, про який повідомила сама компанія. У заяві Signal зазначалось, що вдалося зламати 1 900 акаунтів, а це дуже небагато. На акаунти працівників компанії Twilio, що надає послуги SMS-перевірки для Signal, здійснили фішингову атаку, під час якої хакерам вдалося дістати доступ до конфіденційної інформації.

«Приблизно для 1 900 користувачів зловмисник міг спробувати перереєструвати номер на інший пристрій або дізнатися, що їхній номер зареєстрований на Signal», – як повідомила компанія.

Станом на серпень 2023 року нових відомих вразливостей, про які користувачам потрібно хвилюватися, зафіксовано не було. За станом безпеки месенджера та його вразливостями варто слідкувати на сторінках:

• https://support.signal.org/hc/en-us/sections/360001614191-Security-FAQ 
• https://www.cvedetails.com/vulnerability-list/vendor_id-17912/Signal.html 
• https://cert.gov.ua 

Чи потрібно зробити щось просто зараз?

Рекомендовано додатково перевірити налаштування безпеки та оновити додаток до останньої версії. Важливо перевірити членство в групах нових та невідомих вам контактів і видалитися з непотрібних-неактивних груп. Ризик у тому, що хтось із учасників тих груп був зламаний зловмисниками, які спробують привернути увагу учасників групи файлами, що привертатимуть увагу – «Терміново. Особовому складу» тощо. Звісно, вірогідність того, що під маскою важливого файлу ховатиметься шкідлива програма, є доволі високою.

Тому будьте уважні, коли отримуєте від неперевіреного адресанта повідомлення на кшталт «негайно», «терміново», «важливо». Терміновість часто використовується зловмисником для злому через довіру та гарячковість.

Чи є більш безпечні альтернативи для ЗСУ?
Говорячи про месенджери, важливо розуміти, що тут немає так званої «срібної кулі», яка буде абсолютно безпечною і її неможливо буде зламати. Альтернативою Signal, який часто використовують українські військові та який можна вважати умовно безпечним, можна розглянути месенджер Threema. Він має більше засобів взаємного контролю та перевірки, проте його встановлення є платним.

Умовно безпечним ми також вважаємо месенджер WhatsApp. Традиційно багато хто вважає його гіршим з точки зору безпеки за Signal, проте зламати його складніше. Чого б ми не рекомендували використовувати для пересилання чутливих даних – це месенджери Telegram та Viber. Російські хакери, наприклад, використовують функціонал Telegram для того, щоб виявляти концентрації мобільних пристроїв наших військовослужбовців та завдавати удару. Загалом ми рекомендуємо використовувати засоби, авторизовані в ЗСУ та доведені до використання особовим складом та керівниками безпеки.

Куди звертатися при підозрі взлому?
Якщо ви організація, можна звернутися до Центру реагування на кіберінциденти CERT-UA Держспецзв'язку, надіслати повідомлення на cert@cert.gov.ua або зателефонувати на:

+38 (044) 281-88-25
+38 (044) 281-88-05
+38 (044) 281-88-01
Якщо ви в ЗСУ -  Черговий центру кібербезпеки ЗС України
Пошта: csoc@post.mil.gov.ua
Telegram / Signal: +380673321891

Чи можливо зламати акаунт Signal та як цьому протидіяти?
Можливо, але для цього є низка складних передумов: 

1. Знаючи ваш номер телефону, російські зловмисники можуть перехопити SMS із кодом доступу на додаток на телефон російськими засобами РЕБ та підставними станціями мобільного зв'язку (які можливі навіть на безпілотниках). Такий ризик доволі високий у прикордонних районах та зоні бойових дій.

2. Найпопулярнішим способом є злом через комп'ютерну версію Signal – через надсилання документу Word / Excel або інших файлів у архіві через Signal, які виконаються, і зловмисники зможуть приховано стежити за екраном, робити скриншоти та перехоплювати натискання клавіш на клавіатурі. Також російські хакери можуть викрасти сесію комп'ютерної версії Signal та приховано стежити за повідомленнями в обліковому записі та групах; та навіть експлуатуючи довіру між абонентами надсиланням повідомлень легітимним абонентам (знову ж – для подальшого просування та захоплення інших комп'ютерів та акаунтів).

Наразі ми спостерігаємо активні спроби проникнення шляхом соціальної інженерії, особливо в Signal-версії для комп'ютера. 

Часто зловмисники також прикидаються службою безпеки Signal. Пам'ятайте, служба безпеки Signal ніколи не контактує своїх клієнтів через такі повідомлення, а також не здійснює дзвінків та розсилань SMS.

3. Неабияк важливо не приймати і не довіряти незнайомим контактам, їх потрібно відразу блокувати. При цілеспрямованих атаках проти конкретних керівників та офіцерів – зловмисники проводять деталізований збір інформації та мають достатньо контактів знайомих і друзів, прикидаючись якими, просять вчинити певні дії.

Передзвонити навіть по незахищеному зв'язку, але для валідації абонента – краще, ніж приймати і довіряти повідомленням подібно до опису на скриншоті вище.

Не довіряйте файлам в архівах. Обов'язково використовуйте антивірус на комп'ютері.

Що робити, щоб не зламали в Signal?
Не додавати невідомих та неперевірених контактів.
Уважно верифікувати, хто з тобою в групі. Ідентифікація і авторизація новачків. Що менше адмінів – то краще.
Не довіряти великим групам у Signal.
Налаштувати видалення повідомлень за годину або один день, залежно від ваших потреб. Але точно краще, щоб повідомлення автоматично видалялися.
Зареєструвати Signal на номер, який з вами не пов'язаний (скористатися сервісами). Таким чином російські військові хакери, навіть отримавши інформацію про списки (наприклад, керівників артилерійських бригад), не зможуть таргетовано працювати проти вас, вас треба буде ще знайти.
Перевіряти підключені пристрої.
Обов'язково мати антивірус на Windows / Linux / MacOS комп'ютерах.
Зайти в налаштування Signal та активувати PIN, відключити можливість перевіряти, чи хтось набирає, є ключові налаштування приватності та безпеки облікового запису. Settings → Account → Registration Lock.
Чи зламували Signal групи аеророзвідників та групи, де циркулювала важлива військова інформація?
Так, є зафіксовані випадки, коли російські хакери з ФСБ і ГРУ змогли вклинитися через викрадені мобільні пристрої (наприклад, полонених військовослужбовців) і скомпроментовані Windows комп'ютери та дістали доступ до чатів / груп, де передавалися важливі звіти. Учасники групи не знали про компрометацію одного з учасників. Контррозвідувальні дії та фіксування викрадених файлів дозволяли виявити, в якій саме групі ці дані / звіти / довідки передавалися – та виявити скомпрометованих учасників.

Держспецзв'язок наголошує на важливості уважної перевірки та верифікації з розробниками цілісності (checksum) спеціалізованих додатків для Android, які розповсюджуються через групи в Signal та встановлюються на мобільні пристрої. Були зафіксовані випадки розповсюдження інфікованих APK-файлів, якими зловмисники віддалено стежили за жертвами.

Як перевірити, чи мобільний пристрій не скомпроментовано?
Якщо у вас є підозри щодо компрометації вашого пристрою чи чату – краще звернутися в CERT-UA або до Чергового центру кібербезпеки ЗС України на пошту: csoc@post.mil.gov.ua . Альтернативно – перегляньте підключені пристрої (linked Devices) та перевірте, чи немає серед списку підключених інших невідомих гаджетів, якими ви не користувались. Також варто обновити через Google Play Market додаток Signal і перевірити, чи у вас, часом, немає двох додатків Signal на мобільному пристрої.

Як часто варто оновлювати Signal? 

Обов'язково відразу оновлюватися на мобільній і комп'ютерній версії.

Які додаткові налаштування безпеки і приватності варто зробити в Signal?
Такі налаштування рекомендовано встановити через ваш мобільний додаток:

Налаштувати обов'язкове автоматичне видалення меседжів за певний час, а також рекомендуємо видалити старі повідомлення, щоб інформація у випадку фізичної втрати пристрою не потрапила до рук ворогу.
Ввімкнути розблокування Signal піном або через розпізнавання обличчя / пальців.
Вимкнути відображення дзвінків Signal в історії дзвінків (щоб ніхто не зміг розуміти, з якими контактами ви спілкуєтеся).
Очистити всю історію минулих чатів, якщо вони вам не потрібні.
Не називати свого справжнього імені, а використовувати псевдонім. Це ж стосується і всіх інших месенджерів та додатків – не “світіть” свого імені та прізвища. Псевдонім – завжди хороший варіант.