Mikä Tchap tarkalleen on ja kuka sitä käyttää?

Tchap on suvereeni, yksinomaan Ranskassa käytettävä Matrix-protokollaan perustuva viestialusta, joka on suunniteltu vaihtoehdoksi WhatSappin kaltaisille sovelluksille Ranskan virkamiehille ja julkishallinnon edustajille kaikissa ministeriöissä ja julkisissa laitoksissa.

Mitä hyökkääjä väitti pimeän verkon foorumilla?

Verkkorikollinen väitti päässeensä käsiksi Tchapin sisäisiin viesteihin ja varastaneensa gigatavuja arkaluonteista tietoa alustalta.

Onko Ranskan hallitus vahvistanut, että tietoja todella varastettiin?

Ei, Ranskan viranomaiset myönsivät poikkeaman, mutta sanoivat, etteivät voi vahvistaa, onko dataa viety, mikä viittaa mahdollisiin puutteisiin lokituksessa tai valvonnassa.

Miksi mahdollinen Tchap-murto on erityisen hälyttävä?

Koska se on pelkästään hallituksen käyttämä alusta, se sisältää keskusteluja, jotka voivat kattaa ministereiden neuvotteluja, virastojen välistä koordinointia, arkaluonteista henkilöstöviestintää ja mahdollisesti turvaluokiteltua operatiivista sisältöä, joten tiedusteluarvo on valtava.

Mikä toinen äskettäinen poikkeama viittaa ranskalaisten instituutioiden tietovuotokuvioon?

Aiemmin tänä vuonna ranskalaisen sähköpostipalveluntarjoajan massiivinen tietovuoto paljasti yli 40 miljoonaa tietuetta, mukaan lukien suuryritysten ja valtion elinten viestintää.

Ranskan Tchap-viestisovelluksen väitetty tietomurto pimeässä verkossa

Ranskan pelkästään hallituksen käyttöön tarkoitettu sisäinen viestintäalusta Tchap on vakavan tietoturvapoikkeaman keskiössä, kun verkkorikollinen julkaisi pimeän verkon foorumilla väitteen tietomurrosta ja kertoi vieneensä järjestelmästä gigatavuja arkaluonteisia tietoja. Murto on merkittävä turvallisuushallinnon viestintään kohdistuva tietomurto, ja sitä tekee hälyttävämmäksi se, etteivät Ranskan viranomaiset ole vielä vahvistaneet, onko tietoja todellisuudessa vaarantunut. Jo pelkkä epävarmuus herättää suuria kysymyksiä valtion rakentamien viestintävälineiden tietoturvatasosta.

Mitä tapahtui: Tchap-murtoväite ja mitä hyökkääjät sanovat vieneensä

Hyökkääjän väite ilmestyi pimeän verkon foorumilla, jossa varastettua dataa tyypillisesti kaupitellaan ja mainostetaan. Väitteen mukaan tekijä pääsi käsiksi sisäisiin viesteihin ja latasi gigatavuja dataa Tchapista, Matrix-protokollaan perustuvasta viestisovelluksesta, joka on otettu käyttöön nimenomaan Ranskan virkamiehille ja hallituksen edustajille.

Tchap suunniteltiin suvereeniksi, Ranskan hallinnassa olevaksi vaihtoehdoksi kuluttajasovelluksille kuten WhatsAppille tai Telegramille, ja se antaa hallitukselle suoran valvonnan viestintäinfrastruktuuriinsa. Siksi väitetty tietomurto on erityisen arkaluonteinen. Alustalla käydään virkamiesten välisiä keskusteluja Ranskan ministeriöiden ja julkisten laitosten kesken, joten mikäli tietovuoto vahvistetaan, se voisi paljastaa poliittisia keskusteluja, henkilöstötietoja ja mahdollisesti myös turvaluokiteltua operatiivista sisältöä.

Ranskan viranomaiset ovat toistaiseksi myöntäneet poikkeaman, mutta kertovat, etteivät voi vahvistaa, onko tietoja todella viety järjestelmästä. Tämä myöntö viittaa mahdollisiin puutteisiin alustan tietoturvainfrastruktuurin lokituksessa, valvonnassa tai poikkeamien hallintakyvykkyyksissä.

Miksi hallitusten rakentamat viestintävälineet ovat arvokkaita kohteita

Suvereenit viestialustat kuten Tchap ovat houkuttelevia kohteita juuri käyttäjäkuntansa vuoksi. Onnistunut tunkeutuminen kuluttajasovellukseen voisi paljastaa henkilökohtaisia chateja ja valokuvia. Pelkästään hallitukselle tarkoitetun alustan murto voisi paljastaa ministereiden neuvotteluja, virastojen välistä koordinointia tai arkaluonteista henkilöstöviestintää. Tiedustelullinen arvo on valtava.

Lisäksi on organisaation monimutkaisuuteen liittyvä ongelma. Kun yksi alusta palvelee tuhansia virkamiehiä monissa eri hallintoyksiköissä, hyökkäyspinta on laaja. Jokainen käyttäjätili, jokainen laite ja jokainen API-integraatio muodostaa mahdollisen sisääntuloreitin. Yhtenäisen tietoturvahygienian ylläpitäminen tällaisessa ympäristössä on aidosti vaikeaa, vaikka käytössä olisikin oma julkinen IT-henkilöstö.

Tämä poikkeama ei ole yksittäistapaus. Ranska on käsitellyt useita julkishallinnon tietovuotoja. Aiemmin tänä vuonna massiivinen ranskalaisen sähköpostipalveluntarjoajan vuoto paljasti yli 40 miljoonaa tietuetta, mukaan lukien suuryritysten ja valtion elinten viestintää. Yhdessä nämä tapaukset viittaavat siihen, että Ranskan digitaalinen infrastruktuuri – niin julkinen kuin yksityinenkin – on jatkuvan kyberhyökkäyspaineen alla.

Päästä-päähän -salaus vs. suvereenit alustat: mitä Tchap-poikkeama paljastaa

Tchap on rakennettu avoimeen Matrix-protokollaan ja tarjoaa salausta, mutta murtoväite tuo esiin jännitteen, jota tietoturvatutkijat ovat pitkään pohtineet: eron päästä-päähän -salauksen kryptografisen takeen ja niiden järjestelmien todellisen operatiivisen tietoturvan välillä, jotka isännöivät ja hallinnoivat salattua viestintää.

Vaikka viestit olisivat salattuja siirron aikana, palvelinpuolen haavoittuvuudet, väärin konfiguroidut pääsynhallinnat tai vääriin käsiin joutuneet ylläpitotilit voivat paljastaa tietoja ennen salausta tai salauksen purkamisen jälkeen. Päästä-päähän -salaus suojaa sisältöä sen liikkuessa laitteiden välillä, mutta metatiedot, tilitunnukset ja palvelinlokit jäävät usein kaikkien saataville, jotka onnistuvat murtamaan infrastruktuurikerroksen.

Suvereenit alustat tuovat toisen riskikerroksen: niitä kehittävät ja ylläpitävät yleensä pienemmät tiimit, joilla on vähemmän resursseja kuin kaupallisilla palveluntarjoajilla, ja ne päivittyvät hitaammin. Tietoturvapäivitykset, jotka kaupallisilla alustoilla otetaan käyttöön muutamassa päivässä, voivat viedä julkishallinnon ympäristöissä viikkoja tai kuukausia hankintaprosessien ja yhteensopivuustestausten vuoksi.

Julkishallinnon kohtaama kompromissi on todellinen. Kuluttajasovellusten kuten Signalin tai WhatsAppin käyttö herättää avoimuuteen, suvereniteettiin ja asiakirjojen säilyttämiseen liittyviä huolia. Omien suvereenien alustojen rakentaminen tarkoittaa niiden tietoturvariskien hyväksymistä, jotka syntyvät pienemmistä kehittäjämääristä ja hitaammista päivityssykleistä.

Miten viranomaiset ja kansalaiset voivat suojata arkaluonteista viestintää jatkossa

Hallinnon organisaatioille, jotka tarkastelevat viestintänsä tietoturvaa Tchap-poikkeaman jälkeen, muutama käytännön painopiste nousee esiin.

Ensinnäkin tietoturvavalvonta ja lokitus eivät voi olla valinnaisia. Se, etteivät Ranskan viranomaiset pystyneet heti vahvistamaan, vietiinkö tietoja, viittaa riittämättömään näkyvyyteen alustan toimintaan. Kattavat lokitukset, poikkeamien havaitseminen ja poikkeamien hallintamenettelyt on rakennettava suvereeneihin alustoihin alusta alkaen, ei lisättävä jälkikäteen.

Toiseksi pääsynhallinta on yhtä tärkeää kuin salaus. Arkaluonteisiin kanaviin pääsyn rajoittaminen, monivaiheisen tunnistautumisen vaatiminen ja käyttöoikeuksien säännöllinen tarkastaminen ovat perustoimenpiteitä, jotka pienentävät yksittäisen vaarantuneen tunnuksen aiheuttamaa vahinkoa.

Kolmanneksi avoimuus käyttäjiä kohtaan on välttämätöntä. Virkamiehet, jotka käyttävät Tchapia arkaluonteiseen työhön, ansaitsevat ajantasaista ja paikkansapitävää tietoa tapahtuneesta ja siitä, mitä tietoja on voinut paljastua. Pitkittyvä epävarmuus murentaa luottamusta alustaan ja voi johtaa virkamiehet käyttämään vähemmän turvallisia vaihtoehtoja.

Kansalaisille ja yksityishenkilöille, jotka seuraavat tätä tapahtumaa, laajempi opetus on suoraviivainen: mikään alusta ei ole immuuni tietomurroille, myöskään ne, joita ylläpitävät valtiot selkeillä turvallisuusvaltuutuksilla. Arkaluonteisten henkilökohtaisten keskustelujen pitäminen alustoilla, joissa on vahva, riippumattomasti auditoitu päästä-päähän -salaus yhdistettynä hyvään tiliturvaan – kuten vahvoihin salasanoihin ja kaksivaiheiseen tunnistautumiseen – on edelleen luotettavin käytettävissä oleva lähestymistapa.

Tchap-poikkeama on edelleen kehittymässä, eikä väitetyn tietomurron koko laajuutta ole riippumattomasti vahvistettu. Mutta epävarmuus itsessään on opettavaista. Jos hallituksen ylläpitämä turvallinen viestialusta ei pysty nopeasti määrittämään, onko sen tietoja viety, kyse on vakavasta operatiivisen tietoturvan pettämisestä riippumatta siitä, mitä oikeuslääketieteelliset tutkimukset lopulta osoittavat. Sekä instituutioiden että yksityishenkilöiden tulisi pitää tätä herätyksenä tarkistaa ja vahvistaa omia viestintäturvakäytäntöjään.