Kanarek Silent Circle nie żyje. Bezpieczny smartfon i komunikator przestały być bezpieczne?
Kanarki nie zawsze były ślicznie śpiewającymi ptaszkami. WXVIII i XIX wieku były wiernymi towarzyszami górników,wykorzystujących ich wrażliwość na ulatniające się w kopalniachtrujące gazy. Gdy ptaszki zaczynały stroszyć piórka i spadać zżerdzi, był to znak, że jest źle, że trzeba uciekać przedtlenkiem węgla lub metanem, bo za chwilę będzie już na to zapóźno. No dobrze, zapytacie pewnie, co to ma wspólnego z IT? Otóżw ostatnich latach pod nazwą „ostrzegawczego kanarka” zaczętonazywać metodę, dzięki której dostawcy usług internetowychpowiadamiali swoich użytkowników, że nie objęto ich sądowymnakazem milczenia w sprawie inwigilacji użytkowników przez służbyspecjalne czy organy ścigania. Ot po prostu pod pewnym adresem byłasobie pewna strona. A gdy przychodził nakaz milczenia… stronaznikała. Coś takiego właśnie się wydarzyło. Z żerdzi spadł„kanarek” słynnej firmy Silent Circle, znanej m.in. z prywatnegokomunikatora Silent Phone i utwardzonego smartfona Blackphone.
Kilka dni temu pojawiła się aktualizacja aplikacji Silent Phonena Androida i iOS-a, oznaczona numerem 5.2. Oficjalnie to tylkopoprawki błędów, ulepszenia interfejsu, lepsza obsługa kontaktówi usprawnienia w dostarczaniu wiadomości. Nieoficjalnie? A któż towie… TechCrunch odkrył, że subdomena, pod którą wcześniejhostowany był komunikat o tym, że wszystko jest w porządku –canary.silentcircle.com – nagle zniknęła.
Amerykańscy dziennikarze skontaktowali się z firmą, z pytaniemo co chodzi, i odpowiedź otrzymali bardzo szybko. Matt Neiderman,główny doradca Silent Circle stwierdził, że strącenie kanarkajest wyłącznie decyzją biznesową, nie ma nic wspólnego z żadnymnakazem sądowym. *W ramach naszej strategii nastawienia na budowębiznesowej platformy oprogramowania zrezygnowaliśmy z ostrzegawczegokanarka już jakiś czas temu. Była to decyzja biznesowa, nie mającanic wspólnego z żadnym nakazem wydania danych użytkownikówktórego nie otrzymaliśmy *– wtaki to nieco osobliwy sposób p. Neiderman chciał przekonać, żenie ma się czym martwić.
Przyciśnięty do muruniezadowolonymi z niejasności tej odpowiedzi doradca Silent Circlepóźniej jeszcze uzupełnił swoją deklarację, podkreślając żeusunięcie kanarka miało na celu ukazanie firmy jako dostawcybezpiecznych rozwiązań komunikacyjnych dla biznesu, który dajebiznesowym klientom narzędzia i możliwości do wypełnieniawszelkich prawomocnych nakazów ujawnienia informacji.Zarazem jednak stwierdził, że nic nie zmieniło się pod względemprywatności, a dzięki stosowanemu szyfrowaniu end-to-end zdefinicji firma nie ma dostępu do komunikacji użytkowników. Jakktoś nie wierzy, może sprawdzić publicznie dostępny kod źródłowy,w oprogramowaniu Silent Circle nie ma żadnych furtek, koniec ikropka.
Branża jakoś jednak nie jestprzekonana, w końcu o co chodzi z tym wypełnianiem prawomocnychnakazów? Dobrze znany ekspert Graham Cluley uznał to posunięcie zaosobliwe – w końcu Silent Circle powinno dobrze wiedzieć, żeciche ubicie kanarka może jedynie zaalarmować wielu ludzi, poza tymco to za decyzja biznesowa, wyłączyć jedną statyczną stronę,której utrzymanie kosztowało tyle co nic?
Tak samo Andy Yen, założycielpoczty ProtonMail, stwierdził, że nie chce mu się wierzyć w to,że do tej pory Silent Circe nie otrzymało żadnych nakazów. Jegofirma tylko w ostatnim kwartale otrzymała 29 żądań dostępu dodanych użytkowników, o czym otwarcie informuje na swoichstronach. W zdecydowanej większości zostały one odrzucone –ProtonMail uznaje jedynie jurysdykcję szwajcarskich sądów, i jeśliszwajcarski sąd nie wyda takiego nakazu, to służby innych krajówmogą sobie żądać do woli. Dziwne by więc było, że producentnastawionego na bezpieczeństwo BlackPhone’a nie wzbudził żadnegozainteresowania służb.
A jeśli to nie wystarczy dowzbudzenia wśród użytkowników podejrzeń, to jak wyjaśnićdziwny fakt, że nagle Silent Phone zaczął żądać prawa dostępudo kamery smartfonu – i jeśli tego dostępu się odmówi, toaplikacja się nie uruchomi? Na łamach swojegobloga firma nic nie mówi o tych dodatkowych uprawnieniach,skupiając się na nowościach w systemie Silent OS 3.0, świeżowprowadzonym na Blackphona’a. Zachęcają one każdego troszczącegosię o prywatność do kupienia smartfonu – miernik poziomuprywatności ustawień, wykrywacz ataków na sieć telefoniikomórkowej, zwirtualizowane bezpieczne kontenery do przechowywaniadanych… wszystko świetnie, tyle że kanarek nie żyje.
Z firmy zaś niedawno odeszliludzie, którzy ją współtworzyli – weteran kryptografii JonCallas oraz główny naukowiec Javier Agüera. Być może to decyzjabiznesowa, ale chyba lepiej dmuchać na zimne. Silent Phone przestałobyć aplikacją, której można ufać. Jeśli chcecie bezpiecznie iprywatnie prowadzić rozmowy głosowe przez smartfony, zapraszamy donaszego przewodnika Rozmowyniekontrolowane…, oraz całej serii Ochronaprywatności danych i komunikacji.
