Mike Waltz, Signal Kullanımında Bir Şekilde Daha da Kötüleşti
Perşembe günü Reuters, o zamanki ABD ulusal güvenlik danışmanı Mike Waltz'un Başkan Trump'ın Beyaz Saray'da düzenlediği bir kabine toplantısı sırasında telefonunu kontrol ettiğini gösteren bir fotoğraf yayınladı . Waltz'un ekranını yakalayan kısmı büyütürseniz, uçtan uca şifreli mesajlaşma uygulaması Signal'i kullandığını görürsünüz. Ancak daha yakından bakarsanız, ekrandaki bir bildirim uygulamadan "TM SGNL" olarak bahseder. O zaman Çarşamba günü Beyaz Saray kabine toplantısı sırasında Waltz, JD Vance, Marco Rubio ve Tulsi Gabbard gibi üst düzey ABD yetkilileri gibi görünen kişilerle mesajlaşmak için TeleMessage Signal adlı İsrail yapımı bir uygulamayı kullanıyordu.
Trump yönetiminin üst düzey kabine üyeleri Yemen'deki Mart askeri saldırılarını koordine etmek için kaybolan Signal mesajlarını kullandıktan ve yanlışlıkla The Atlantic'in baş editörünü grup sohbetine dahil ettikten sonra, "SignalGate" skandalı , geleneksel hükümet "operasyonel güvenlik" protokolünün ihlalleri ve federal kayıt saklama yasalarıyla ilgili uyum sorunlarıyla ilgili olarak vurgulandı. Debaklın merkezinde, Perşembe günü Trump tarafından ABD ulusal güvenlik danışmanlığı görevinden alınan Waltz vardı. Waltz, "Husi PC Küçük Grubu" sohbetini oluşturdu ve Atlantic'in baş editörü Jeffrey Goldberg'i ekleyen üyeydi. Waltz, Mart ayı sonlarında Fox News'e "Tüm sorumluluğu üstleniyorum. Grubu ben kurdum," dedi. O zamanlar, "Bunun nasıl gerçekleştiğine bakan en iyi teknik zekalara sahibiz," diye ekledi.
SignalGate'in Signal ile hiçbir ilgisi yoktu. Uygulama normal bir şekilde çalışıyordu ve özel amaçlı, sertleştirilmiş federal cihazlar ve yazılım platformlarında gerçekleştirilmesi gereken inanılmaz derecede hassas bir tartışma için uygunsuz bir zamanda kullanılıyordu. Ancak protokolleri ihlal edecekseniz, Signal (nispeten) bunu yapmak için iyi bir yerdir, çünkü uygulama yalnızca bir grup sohbetindeki mesajları gönderen ve alan kişilerin okuyabileceği şekilde tasarlanmıştır. Ve uygulama kullanıcıları ve ortakları hakkında mümkün olduğunca az bilgi toplamak için oluşturulmuştur. Bu, ABD hükümet yetkilileri uygulamada sohbet ediyorsa, casusların veya kötü niyetli bilgisayar korsanlarının iletişimlerine yalnızca katılımcıların cihazlarını doğrudan tehlikeye atarak erişebileceği anlamına gelir; bu, potansiyel olarak aşılabilir ancak en azından olası erişim noktalarını sınırlayan bir zorluktur. TeleMessage Signal gibi bir uygulamayı kullanmak, muhtemelen veri saklama gerekliliklerine uyma girişimi olarak, saldırganların mesajlara erişmesi için çok sayıda başka yol açar.
"Buna nereden başlayacağımı bile bilmiyorum," diyor eski bir NSA hacker'ı ve Hunter Strategy'de araştırma ve geliştirme başkan yardımcısı olan Jake Williams. "Federal hükümetin arşivleme amaçları için son derece hassas verileri yönlendirmek için İsrail teknolojisini kullanması akıl almaz bir şey. Birisinin o verilerin bir kopyasını aldığını biliyorsunuz. TeleMessage bunu gönüllü olarak vermese bile, şu anda oradaki en büyük ulus-devlet hedeflerinden biri haline geldiler."
TeleMessage, 1999 yılında İsrail'de eski İsrail Savunma Kuvvetleri teknoloji uzmanları tarafından kuruldu ve geçen yıl ABD merkezli dijital iletişim arşivleme şirketi Smarsh tarafından satın alınana kadar ülke dışında işletildi. Hizmet, uygulama aracılığıyla gönderilen mesajları kaydetmek ve depolamak için bir "mobil arşivleyici" aracıyla donatılmış iletişim uygulamalarının kopyalarını oluşturur.
TeleMessage web sitesinde, “Mobil iletişimi yakalayın, arşivleyin ve izleyin: SMS, MMS, Sesli Aramalar, WhatsApp, WeChat, Telegram ve Signal,” diyor. Signal için, “Kurumsal olarak verilen ve çalışanların BYOD telefonlarındaki Signal aramalarını, metinlerini, multimedya ve dosyalarını kaydedin ve yakalayın.” (BYOD, kendi cihazınızı getirin anlamına gelir.) Başka bir deyişle, esasen her ana akım tüketici cihazı için TeleMessage Signal sürümleri mevcuttur. Şirket, TeleMessage Signal'i kullanarak kullanıcıların “Signal uygulamasının tüm özelliklerini ve işlevlerini ve Signal şifrelemesini koruyabileceğini” ve uygulamanın “cep telefonundan kurumsal arşive kadar uçtan uca şifreleme” sağladığını söylüyor. Ancak “kurumsal arşivin” varlığı, uçtan uca şifreleme şemasının gizliliğini ve güvenliğini zayıflatıyor.
TeleMessage uygulamaları ABD hükümetinin Federal Risk ve Yetkilendirme Yönetim Programı veya FedRAMP kapsamında kullanım içinonaylanmamıştır . TeleMessage ve Smarsh, ürünlerinin ABD federal hükümeti tarafından kullanılıp kullanılmadığı ve hangi kapasitede kullanıldığına ilişkin yorum taleplerine hemen yanıt vermedi.
"Birçok kez söylediğimiz gibi, Signal hükümet kullanımı için onaylanmış bir uygulamadır ve hükümet telefonlarına yüklenir," diyor Beyaz Saray basın sekreteri Anna Kelly WIRED'a. Beyaz Saray'ın federal yetkililerin TeleMessage Signal'i kullanmasını onaylayıp onaylamadığı (Signal'den farklı bir uygulamadır) veya Waltz dışında başka yetkililerin uygulamayı kullanıp kullanmadığı veya şu anda kullanıp kullanmadığı hakkındaki soruları yanıtlamadı.
Siber Güvenlik ve Altyapı Güvenlik Ajansı federal teknoloji kullanımıyla ilgili politika oluşturmaz ancak kamu rehberliği yayınlar. Waltz'un TeleMessage Signal'i açıkça kullanması sorulduğunda, CISA WIRED'ı mobil iletişimler için en iyi uygulama kılavuzuna yönlendirdi. Belge özellikle "Uçtan uca şifreli bir mesajlaşma uygulaması seçerken, uygulamanın ve ilişkili hizmetlerin meta verileri toplama ve depolama derecesini değerlendirin" tavsiyesinde bulunur.
Waltz'un TeleMessage Signal'i ne zaman kullanmaya başladığı ve SignalGate sırasında mı kullandığı, yoksa Signal'in kaybolan mesajlar özelliğinin federal veri saklama yasalarıyla çeliştiği yönündeki eleştirilere yanıt olarak mı kullanmaya başladığı henüz bilinmiyor.
Johns Hopkins kriptografı Matt Green, "ABD ulusal güvenlik aygıtının liderliğinin, yabancı ülkelere bilgi sızıntısı olmadığından emin olmak için bu yazılımı tam bir bilgi güvence sürecinden geçirdiğinden şüphem yok," diyor. "Çünkü bunu yapmadılarsa, mahvolduk."
wired
