Signal xabarlar ilovasi foydalanuvchilari xakerlik hujumiga uchradi. Biz nima bo’lganini va nima uchun xakerlik hujumi Signal ishonchli ekanligini isbotlab qo’yganini tahlil qilamiz.
2022 yil 15 avgust kuni Signal jamoasi noma’lum xakerlar messenjer foydalanuvchilariga kibrhujum qilgani haqida xabar berdi. Bugun biz sizga nima uchun bu voqea Signalning boshqa ba’zi messenjerlarga nisbatan afzalliklarini ko’rsatishini tushuntiramiz.
Nima bo’ldi?
Signal tomonidan e’lon qilingan bayonotga ko’ra, hujum ilovaning 1900 ga yaqin foydalanuvchilariga ta’sir ko’rsatdi. Signal auditoriyasi oyiga 40 milliondan ortiq faol foydalanuvchini tashkil etishini hisobga olsak, voqea ularning ozgina qismiga ta’sir qildi. Bundan ma’lumki, Signal ilovasi asosan yozishmalarining maxfiyligi haqida qayg’uradiganlar tomonidan foydalaniladi. Shunday qilib, hujum foydalanuvchilarning ozgina qismiga ta’sir qilgan bo’lsa-da, u hali ham axborot xavfsizligi dunyosida aks-sado bermoqda.
Hujum natijasida xakerlar jabrlanuvchining akkauntiga boshqa qurilmadan kirishga yoki falon telefon raqami egasi Signaldan foydalanishini aniqlashga muvaffaq bo‘ldi. Xakerlar ushbu 1900 foydalanuvchilar orasidan uchtasiga ahamiyat berdilar, shundan so’ng ushbu uchta foydalanuvchidan biri ularning akkaunti boshqa qurilmada ular bilmagan holda faollashtirilganligi haqida Signalga xabar berdi.
Bu qanday sodir bo’ldi?
Ommaviy axborot sahifalarida Signal xavfsiz messenjer ekanligi haqida ko’p bora ta’kidlangan, ammo u muvaffaqiyatli hujumga uchradi. Endi bu uning mashhur xavfsizligi va maxfiyligi shunchaki quruq gap ekanligini anglatadimi? Keling, hujum qanday ko’rinishga ega ekanligini va Signal aslida qanday rol o’ynaganini ko’rib chiqaylik.
Keling Signal akkauntlaridan boshlaymiz, masalan, WhatsApp va Telegram telefon raqamiga bog’lanadi. Bu keng tarqalgan, ammo universal amaliyot emas. Masalan, Threema xavfsiz messenjeri o’zining katta mavqei sifatida g’urur bilan ta’kidlaydiki, u telefon raqamlariga akkauntlarni bog’lamaydi. Signal messenjerida autentifikatsiya qilish uchun telefon raqami kerak: foydalanuvchi o’z telefon raqamini kiritadi, unga kod matnli xabarda yuboriladi. So’ngra kod kiritilishi kerak: agar u to’g’ri bo’lsa, bu foydalanuvchi haqiqatan ham yuborilgan raqam egasi ekanligini anglatadi.
Bunday matnli xabarlarni bir martalik kodlar bilan yuborish bir nechta xizmatlar uchun bir xil autentifikatsiya usulini taqdim etadigan ixtisoslashgan kompaniyalar tomonidan amalga oshiriladi. Signal holatida, bu provayder Twilio – va xakerlar aynan shu kompaniyani nishonga olishgan.
Keyingi qadam fishing (tuzoqqa tushirish) edi. Ba’zi Twilio xodimlari ularning parollari eski va yangilanishi kerakligi haqida xabarlar oldi. Buning uchun ularga fishing havolasini bosish taklif qilindi. Bir xodim o’ljaga aylandi, soxta saytga kirdi, ularning hisob ma’lumotlarini kiritdi, bu esa to’g’ridan-to’g’ri xakerlarning qo’liga tushdi.
Ushbu hisob ma’lumotlari ularga Twilio’ning ichki tizimlariga kirish imkonini berib, foydalanuvchilarga matnli xabarlar yuborish va ularni o’qish imkonini berdi. Shundan so‘ng xakerlar ushbu xizmatdan Signal’ni yangi qurilmaga o‘rnatish uchun foydalanishdi: ular jabrlanuvchining telefon raqamini kiritishdi, faollashtirish kodi bilan matnni ushlab olishdi va Signal akkauntiga kirishdi.
Bu hodisa Signalning mustahkamligini qanday isbotlaydi ?
Shunday qilib, hatto Signal ham bunday hodisalardan himoyalanmaganligi ma’lum bo’ldi. Nega biz uning xavfsizligi va maxfiyligi haqida gapiramiz?
Birinchidan, kiberjinoyatchilar yozishmalarga kirish imkoniga ega bo’lishmagan. Signal xavfsiz E2E (end-to-end encryption, ya’ni yakuniy ma’lumotlar almashinuvi usuli, maʼlumot faqat oxirgi qurilmalarda shifrlanadi va deshifrlanadi.) Signal Protokol shifrlashdan foydalanadi. E2E shifrlashdan foydalangan holda, foydalanuvchi xabarlari Signal serverlarida yoki boshqa joyda emas, faqat o’z qurilmalarida saqlanadi. Shuning uchun, Signal infratuzilmasini buzish orqali ularni o’qishning hech qanday iloji yo’q.
Signal serverlarida saqlanadigan narsa foydalanuvchilarning telefon raqamlari, shuningdek ularning kontaktlarining telefon raqamlaridir. Bu sizning kontaktingiz Signaldan ro’yxatdan o’tganida messenjerga sizni xabardor qilish imkonini beradi. Biroq, ma’lumotlar, birinchi navbatda, xavfsiz anklavlar deb ataladigan maxsus joylarda saqlanadi, bunga hatto Signal ishlab chiquvchilari ham kira olmaydi. Ikkinchidan, raqamlarning o’zi u yerda oddiy matnda emas, balki xesh-kod ko’rinishida saqlanadi. Bu mexanizm telefoningizdagi Signal ilovasiga kontaktlar haqida shifrlangan maʼlumotlarni yuborish va kontaktlaringizdan qaysi biri Signaldan foydalanishi haqida shifrlangan javob olish imkonini beradi. Boshqacha qilib aytganda, xakerlar foydalanuvchining kontaktlar ro’yxatiga ham kira olmaydilar.
Nihoyat, Signal ta’minot zanjirida – kompaniya tomonidan kamroq himoyalangan xizmat ko’rsatuvchi provayder orqali hujumga uchraganini ta’kidlashimiz kerak. Demak, bu uning zaif bo’g’inidir. Biroq, Signal ham bunga qarshi kafolatlarga ega.
Ilovada ,,Ro‘yxatdan o‘tish” bandi (faollashtirish uchun Sozlamalar → Hisob qaydnomasi → Ro‘yxatdan o‘tish bo‘limiga o‘ting) deb nomlangan funksiya mavjud bo‘lib, u yangi qurilmada Signalni faollashtirishda foydalanuvchi tomonidan belgilangan PIN-kodni kiritishni talab qiladi. Har holda, Signaldagi PIN-kod ilovani qulfdan chiqarishga hech qanday aloqasi yo‘qligini aniqlab olaylik — bu siz smartfonni qulfdan chiqarish uchun foydalanadigan vositalar orqali amalga oshiriladi.
Odatda Signalning Sozlamalar bo’limidagi ,,Ro’yxatdan o’tish” bandi o’chirilgan bo’ladi. Xakerlik hujumiga uchragan 3 kishilarda ushbu sozlama o’chirilgan holda bo’lgan. Shunday qilib, kiberjinoyatchilar taxminan 13 soat davomida hujum qurboni sifatida o‘zini namoyon qilib, hujumni amalga oshirishga muvaffaq bo‘lishdi. Agar ,,Ro’yxatdan o’tish” bandi yoqilgan bo’lganida, ular faqat telefon raqami va tasdiqlash kodini bilgan holda ilovaga kira olmasdilar.
Xabarlarni yaxshiroq himoya qilish uchun nima qilish kerak?
Xulosa qilib aytadigan bo’lsak: hujumchilar Signalning o’zini emas, balki uning hamkori Twilioni buzib, ularga 1900 ta akkauntga kirish huquqini berishgan, ular uchtasiga kirishgan. Bundan tashqari, ular na yozishmalarga, na kontaktlar ro’yxatiga kirish imkoniga ega bo’lishdi va faqat o’zlari kirgan akkauntlarning foydalanuvchilarini taqlid qilishga urinishlari mumkin edi. Agar bu foydalanuvchilar Registration Lock-ni yoqgan bo’lganida, xakerlar buni amalga oshirishlari ham mumkin emas edi.
Va hujum rasmiy ravishda muvaffaqiyatli bo’lsa-da, xavotirga tushishga va Signaldan foydalanishni to’xtatish uchun hech qanday sabab yo’q. Bu xakerlik hodisasidan ko’rinib turibdiki, bu sizning xabarlaringiz uchun yaxshi maxfiylikni ta’minlaydigan juda xavfsiz dastur bo’lib qolmoqda. Ammo siz buni yanada xavfsizroq qilishingiz mumkin:
Signal sozlamalarida Registration Lock funksiyasini yoqing, shunda kiberjinoyatchilar yangi qurilmada Signalni faollashtirish uchun bir martalik kodga ega bo‘lsalar ham shaxsiy PIN-kodingizni bilmasdan hisobingizga kira olmaydilar.
Signalda xavfsizlik va maxfiylikni o’rnatib ilovangizni sozlang. Signalda asosiy sozlamalar bilan bir qatorda haqiqiy paranoid uchun variantlar mavjud bo’lib, ular ba’zi qulaylik evaziga qo’shimcha xavfsizlikni ta’minlaydi.
Va, albatta, smartfoningizga xavfsizlik dasturini o’rnating. Agar zararli dastur qurilmangizga kirsa, Signal tomonidagi hech qanday himoya choralari sizning xabarlaringiz va kontaktlar ro‘yxatini himoya qilmaydi. Ammo zararli dasturlarga ruxsat berilmasa yoki hech bo’lmaganda o’z vaqtida qo’lga olinsa, ma’lumotlaringizga hech qanday tahdid yo’q.
Eng ko’p o’qilgan maqolalar