3 puan yazan GN⁺ 2025-03-25 | 1 yorum | WhatsApp'ta paylaş
  • The Atlantic’in genel yayın yönetmeni, 15 Mart 2025’te Yemen’deki Husi hedeflerine düzenlenecek hava saldırısından yaklaşık 2 saat önce Signal grup sohbetinde saldırı planını aldı; mesajlarda silah, hedef ve zaman bilgileri yer alıyordu
  • “Houthi PC small group”da Michael Waltz, Pete Hegseth, JD Vance, Marco Rubio, John Ratcliffe gibi kişilerle ilişkilendirilen hesaplar yer alıyor ve üst düzey ulusal güvenlik görüşmelerini sürdürüyorlardı
  • Konuşma, Suez ticaret payı, Avrupa’nın yükü, petrol fiyatlarının yükselme olasılığı, operasyon güvenliği, Husilerin ne zaman karşılık vereceği gibi politika değerlendirmelerini ve planlanan askeri operasyona dair bilgileri birlikte içeriyordu
  • National Security Council sözcüsü, söz konusu Signal konuşmasının gerçek gibi göründüğünü söyledi ve istenmeyen bir numaranın nasıl eklendiğinin incelendiğini belirtti
  • Signal gizli bilgi paylaşımı için onaylı bir kanal değil; kaybolan mesaj ayarı federal kayıt yasası açısından da sorun yaratabileceğinden hem güvenlik hem de kayıtların korunması konusunda tartışma doğdu

Signal grubuna yanlışlıkla eklenen The Atlantic genel yayın yönetmeni

  • 11 Mart 2025’te The Atlantic’in genel yayın yönetmeni, Signal’de “Michael Waltz” olarak görünen bir kullanıcıdan bağlantı isteği aldı
  • Signal, gazeteciler gibi daha yüksek gizlilik korumasına ihtiyaç duyan kişilerin kullandığı açık kaynaklı, şifreli mesajlaşma servisi olarak tanıtılıyor
  • Bunun gerçekten Ulusal Güvenlik Danışmanı Michael Waltz olabileceği ihtimalini de, bir gazeteciyi tuzağa düşürmeye çalışan sahte bir hesap olabileceği ihtimalini de değerlendirdi
  • 13 Mart saat 16.28’de “Houthi PC small group” adlı bir Signal grubuna dahil edildiğine dair bildirim aldı
  • “Michael Waltz” hesabı, Husilerle ilgili koordinasyon için bir “principles group” kurduğunu söyleyerek, önümüzdeki 72 saat ve hafta sonu boyunca her ekibin irtibat kişilerini istedi

Grup yapısı ve üst düzey katılım emareleri

  • “principals committee” genellikle savunma bakanı, dışişleri bakanı, hazine bakanı, CIA direktörü gibi en üst düzey ulusal güvenlik yetkililerinden oluşan grubu ifade eder
  • Konuşmada çeşitli hesaplar kendi bakanlıkları veya kurumları için sorumlu kişileri belirledi
    • “MAR”, State sorumlusu olarak Mike Needham’ı belirledi
    • “JD Vance”, VP sorumlusu olarak Andy Baker’ı belirledi
    • “TG”, DNI sorumlusu olarak Joe Kent’i belirledi
    • “Scott B”, Treasury sorumlusu olarak Dan Katz’ı belirledi
    • “Pete Hegseth”, DoD sorumlusu olarak Dan Caldwell’ı belirledi
    • “John Ratcliffe” bir CIA yetkilisinin adını paylaştı; bu ad, halen görevdeki bir istihbarat görevlisi olduğu gerekçesiyle açıklanmadı
  • Grupta toplam 18 kişi görünüyordu; National Security Council yetkilileri, Steve Witkoff, Susie Wiles, “S M” ve başkaları vardı
  • Genel yayın yönetmeni kendi ekranında “JG” olarak görünüyordu ve diğer katılımcıların onun varlığını fark ettiğine dair bir iz yoktu

Hava saldırısı öncesi politika tartışması ve operasyon bilgileri

  • 14 Mart sabahı “Michael Waltz” hesabı, başkanın talimatlarına göre varılan sonuçlar ve görevlerin high side gelen kutusunda olacağını bildirdi
    • “high side”, hükümet terminolojisinde gizli bilgisayar ve iletişim sistemlerini ifade eder
    • State ve DOD’nin bölgesel müttefikler ve ortaklar için bilgilendirme listesi hazırlayacağını, Joint Staff’ın da ilerleyen takvimin daha ayrıntılı sırasını göndereceğini söyledi
  • “JD Vance” hesabı, hava saldırısını sürdürme konusunda endişelerini dile getirdi
    • ABD ticaretinin %3’ünün, Avrupa ticaretinin ise %40’ının Suez’den geçtiğini yazdı
    • Kamuoyunun gerekliliği anlamaması riskinden ve petrol fiyatlarının orta ile ciddi düzey arasında artması riskinden söz etti
    • Bir ay erteleyip mesaj çalışması yapmak ve ekonomik duruma bakmak yönünde de bir mantık olduğunu belirtti
  • “Joe Kent” olarak görünen hesap, mevcut takvimde zamana duyarlı bir durum olmadığını ve bir ay sonra da aynı seçeneklerin mevcut olacağını yazdı
  • “Pete Hegseth” hesabı, beklenirse sızıntılar nedeniyle kararsız görünme riskinden, Israel’in önce harekete geçmesi veya Gaza ateşkesinin bozulması riskinden söz etti
    • Operasyonun amacını seyrüsefer özgürlüğünün yeniden sağlanması ve caydırıcılığın yeniden tesis edilmesi olarak özetledi
    • Durdurmanın da mümkün olduğunu; bu durumda operasyon güvenliğini (OPSEC) %100 korumak için yapılabilecek her şeyi yapacağını yazdı
  • “Michael Waltz” hesabı, Avrupa donanmalarının sınırlı kapasitesine ve ticaret rakamlarına değinerek, zamanlamadan bağımsız olarak ABD’nin deniz yolunu yeniden açması gerektiğini söyledi
  • “JD Vance” hesabı “Avrupa’yı yine kurtarmaktan” hoşlanmadığını yazdı; “Pete Hegseth” hesabı ise Avrupa’nın beleşçiliğini “PATHETIC” diye niteledi
  • “S M” hesabı, başkanın onayını açıkça verdiğini ve Egypt ile Europe’a ABD’nin beklediği karşılığın net biçimde anlatılması gerektiğini yazdı

15 Mart hava saldırısı planı ve gerçek patlama

  • 15 Mart saat 11.44’te “Pete Hegseth” hesabı “TEAM UPDATE” paylaştı
  • Bu mesaj, Yemen’e yönelik planlanan hava saldırısının operasyonel ayrıntılarını içeriyordu
    • Hedef bilgisi
    • ABD’nin kullanacağı silahlar
    • Saldırı sırası
  • Genel yayın yönetmeni, bu bilginin ABD’nin düşmanları tarafından okunması halinde Middle East ve Central Command sorumluluk alanındaki ABD askeri ve istihbarat personeline zarar verebileceğini düşündüğü için ayrıntıları alıntılamadı
  • “JD Vance” olarak görünen kullanıcı zafer için dua edeceğini yazdı; diğer iki kullanıcı dua emojisi ekledi
  • Hegseth mesajına göre ilk patlama Doğu Saati ile 13.45’e planlanmıştı; genel yayın yönetmeni 13.55 civarında X’te Yemen araması yaparak Sanaa genelinde patlama sesleri olduğuna dair bilgileri doğruladı
  • Ardından Signal odasında “Michael Waltz” operasyonu “amazing job” diye niteledi; “John Ratcliffe” ise “A good start” yazdı
  • Birçok katılımcı kutlama mesajları ve emojiler gönderdi; sonrasındaki görüşmede hasar değerlendirmesi ve belirli bir kişinin ölmüş olma ihtimali yer aldı
  • Husilerin yönettiği Yemen Sağlık Bakanlığı, hava saldırılarında en az 53 kişinin öldüğünü açıkladı; ancak bu sayı bağımsız olarak doğrulanmadı

Gerçek konuşmanın doğrulanması ve yönetimin yanıtı

  • Genel yayın yönetmeni, hava saldırısı gerçekten gerçekleştikten sonra Signal grubunun neredeyse kesin biçimde gerçek olduğuna karar verip gruptan ayrıldı
  • Signal grubundan çıkıldığında grubun kurucusu olan “Michael Waltz”a otomatik bildirim gidiyor; ancak sonrasında kimse neden ayrıldığını ya da kim olduğunu sormadı
  • Genel yayın yönetmeni, Waltz, Hegseth, Ratcliffe, Gabbard ve diğerlerine e-posta ve Signal mesajlarıyla sorular yöneltti
    • “Houthi PC small group”un gerçek bir Signal yazışması olup olmadığı
    • Kendisinin dahil edildiğinin farkında olup olmadıkları
    • Kendisini kasıtlı olarak dahil edip etmedikleri
    • Değilse onu kim sandıkları
    • Üst düzey Trump yönetimi yetkililerinin hassas görüşmelerde Signal’i düzenli kullanıp kullanmadığı
    • Böyle bir kanal kullanımının ABD personelini riske atabileceğini düşünüp düşünmedikleri
  • National Security Council sözcüsü Brian Hughes yaklaşık 2 saat sonra söz konusu mesaj zincirinin gerçek gibi göründüğünü söyledi
    • İstenmeyen numaranın nasıl eklendiğinin incelendiğini belirtti
    • Bu yazışmanın üst düzey yetkililer arasında derin ve dikkatli bir politika koordinasyonunu gösterdiğini söyledi
    • Husi operasyonunun süren başarısının, askerler veya ulusal güvenlik için bir tehdit olmadığını gösterdiğini belirtti
  • Vance sözcüsü William Martin, başkan yardımcısının başkanla tamamen aynı çizgide olduğunu söyledi
    • Başkan yardımcısının en öncelikli görevinin, başkanın danışmanlarının iç görüşmelerin özünü yeterince raporlamasını sağlamak olduğunu belirtti
    • Vance’in yönetimin dış politikasını açıkça desteklediğini söyledi

Signal kullanımının yarattığı güvenlik ve hukuki sorunlar

  • Ulusal güvenlik yetkililerinin Signal kullanması kendi başına nadir değil; ancak bunun daha çok toplantı takvimi ve lojistik gibi gündelik konular için yapıldığı belirtiliyor
  • Yaklaşan askeri harekâta ilişkin ayrıntılı ve hassas tartışmaları ticari bir mesajlaşma uygulamasında yapmak, olağan kullanım kapsamının dışına çıkıyor
  • Shane Harris’in görüştüğü birkaç ulusal güvenlik hukukçusu, üst düzey bir ABD yetkilisinin aktif askeri operasyon bilgilerini kabine üyeleriyle paylaşmak için Signal yazışması başlatması varsayımının bile sorunlu olduğunu değerlendirdi
    • Aktif operasyon bilgileri “national defense” bilgisi tanımına girebilir
    • Signal, gizli bilgi paylaşımı için hükümet tarafından onaylanmış bir uygulama değil
    • Askeri faaliyet tartışmaları SCIF gibi özel tesislerde veya onaylı hükümet cihazlarında yapılmalı
  • Bazı üst düzey yetkililer bilgilerin gizlilik derecesini kaldırma yetkisine sahip olabilir; ancak hukukçular Signal’in bu kadar hassas bilgi paylaşımı için onaylanmış bir yer olmaması nedeniyle bu gerekçenin zayıf olduğunu düşünüyor
  • Waltz’ın bazı Signal mesajlarını 1 hafta veya 4 hafta sonra kaybolacak şekilde ayarlaması kayıtların korunması sorunu yaratıyor
  • Maryland Üniversitesi profesörü ve eski National Archives and Records Administration dava sorumlusu Jason R. Baron, bir kamu çalışanı Signal gibi elektronik mesajlaşma uygulamalarını resmi işler için kullanacaksa mesajları derhal resmi hükümet hesabına iletmesi veya kopyalaması gerektiğini söyledi
  • Eski ABD yetkilileri, yurtdışı seyahatlerinde hükümet sistemlerine erişim zor olduğunda Signal üzerinden gizli olmayan bilgiler ve gündelik konuları konuştuklarını, ancak gizli veya hassas bilgi paylaşmadıklarını söyledi
  • Bir gazetecinin yanlışlıkla principals committee konuşmasına eklenmesiyle, bilginin onaylanmamış bir alıcıya gönderildiği bir sızıntı sorunu ortaya çıktı
  • Hegseth, planlanan Husi hedef saldırısının içeriğini yazarken “We are currently clean on OPSEC” demişti; ancak o sırada sohbet odasında genel yayın yönetmeni de vardı

1 yorum

 
GN⁺ 2025-03-25
Hacker News yorumları
  • ABD dışında bulunan biri olarak, burada ve başka yerlerde gördüğüm hesap verebilirlik eksikliği havası beni çok endişelendiriyor.
    Güney Asya’da büyürken gördüklerimi ve hâlâ gördüklerimi hatırlatıyor. ABD’de de Overton penceresi kayıyor; özellikle yolsuzluk eylemlerine ilişkin normlar ve beklentiler ince ince değişiyor gibi görünüyor.
    Her ülkede arkadaşlar arasında küçük ricalar şeklinde işleyen ufak tefek yolsuzluklar vardır; bunun işleri yürütmeye yarayan bir esnekliği de olduğu için tamamen ortadan kaldırmanın zor olduğunu düşünüyorum. Ama normlar, iktidardakilerin istedikleri gibi davranmasının ve kendi çıkarlarını gözetmesinin doğal sayıldığı bir yöne kayarsa bu, girişimcilik ruhu için ölümcül olur.
    İnsanlar, birilerinin kan ter içinde inşa ettiği şeylere iktidar sahiplerinin göz dikip el koyabileceğine inanmaya başlarsa, bir şeyler üretmek isteyenler hayatlarının emeğini başka bir yerde mi vermeleri gerektiğini düşünmeye başlar. Bu düşünce biçimi norm hâline geldiğinde kökünü kazımak çok zor olur.

    • Durum zaten bundan çok daha kötü. ABD’nin karşı karşıya olduğu sorun sadece yolsuzluk olsaydı, geri döndürme umudu en azından olabilirdi.
    • Girişimcilerin de bilim insanları gibi Europe’u güvenli bölge olarak değerlendirmesi iyi olur. AB’de hukukun üstünlüğü hâlâ bir anlam taşıyor.
    • Artık amaç araçları meşrulaştırır tavrı açıkça kabul görüyor, hatta övülüyor.
    • Ne yazık ki o noktaya zaten gelmiş durumdayız. Cumhuriyetçi Parti ve destekçi tabanı öyle etkili biçimde kenetlendi ki her tür yolsuzluk ve ağır suç için güvenli bölge hâline geldi; seçmenler sandıkta cezalandırmıyor ve denge-denetleme mekanizmalarının neredeyse tamamını da ele geçirmiş durumdalar.
    • Bana girişimcilik ruhu zaten yok olmuş gibi geliyor.
      AI dev şirketlerin mülkiyetinde, buna en tepedeki yolsuzluk da eklenince otoriter bir ortamda startup kurmanın amacı bulanıklaşıyor.
      Trump’ın Elon’ın şirketini bir bahçe satışı gibi yasa dışı biçimde tanıtması, Citizens United sayesinde seçim kampanyasına milyonlarca dolar bağışladığı için onun ayaklarının dibini öpmesi, seçilmemiş ve kamu görevlisi bile olmayan birine federal hükümeti kurcalatması, öfkeli insanların mala zarar vermesini iç teröre dönüştürmesi ve şimdi de Signalgate soruşturmasını Elon’a emanet etmesi gibi bir durum var. İnsanlar şimdi ayağa kalkmalı; sonra bunu yapamayabilirler.
  • Kariyerime gizli bir ortamda devlet uydu programları üzerinde çalışarak başladım.
    İşe başladığım ilk hafta, onaylanmamış kanallardan gizli veya kontrollü gizli olmayan bilgi paylaşmanın disiplin cezasına, muhtemelen işten çıkarılmaya ve nadiren de kovuşturmaya yol açabileceği bana açıkça söylendi.
    Başkalarının dikkatsizliğine karşı devlet sırlarını korumanın da benim sorumluluğum olduğu öğretildi. Ama o ileti dizisinde 18 kişi varken hiç kimsenin bu tartışmanın SCIF’te yapılması gerektiğini söylememiş olması inanılmaz. SecDef’in başta Signal’da bir ileti dizisi başlatmış olmasını saymıyorum bile.
    Şu anda hükümetin en üst kademelerinde bunun gibi daha kaç ileti dizisi dönüyor? Çin istihbaratı bunu biliyor mu? İlgililerin cezalandırılmasını ya da haklarında dava açılmasını savunmuyorum; ancak böyle bir sızıntının hesap verme, sonuç ve operasyonel değişiklik olmadan geçiştirilmesi kabul edilemez.

    • Ceza ya da kovuşturma talep etmememiz için bir neden göremiyorum. Ben de gizli bilgilerle çalıştım ve kendi eylemlerimden sorumlu tutulurdum; bunlar neden istisna olsun? Sonuçlarla yüzleşmeyecek kadar önemli kişiler anlayışından bıktım. Yetkilendirme, güvenlik ve kurallar koymanın amacını tamamen çökertiyor.
    • Sorun şu ki o 18 kişinin çoğu fiilen tek bir nitelik, yani evet efendimci/evet hanımcı olma şartıyla seçilmiş rastgele kişiler. Kariyer uzmanı değiller. Bu keşmekeşin ve beceriksiz görev icrasının bundan kaynaklandığını düşünüyorum.
      Henüz geç değil; o palyaço sürüsünün tamamı azledilmeli.
    • FAANG’de çalışan bir meslektaşım, toplantı odasındaki beyaz tahtanın fotoğrafını şirket telefonu yerine kişisel telefonu ile çektiğini fark edince paniğe kapılmıştı. O öğleden sonranın tamamını fotoğrafı tamamen nasıl sileceğini araştırmakla geçirdi.
    • “Çin istihbaratı bunu biliyor mu?” sorusuna gelince, o 18 kişinin tamamının bilinen gerçek bir exploit zinciri olmayan mobil işletim sistemlerinden bağlanmış olma ihtimali epey düşük görünüyor.
    • Üstelik Steve Witkoff, o Signal mesaj zinciri sürerken Moscow’daydı.
  • Asıl konunun şokunu bir an kenara bırakıp bunu HN’ye yakışır bir konuya geri döndürme gibi zor bir işe girişirsek, NatSec ekibinde Jeffrey Goldberg adında biri vardı da onu eklemeye çalışıyorlardı diye düşünüyorum.
    İsim kombinasyonu da yaygın görünüyor; herhâlde The Atlantic genel yayın yönetmenini eklemeye çalışmıyorlardı. Signal’ın UI/UX sorunu olabilir mi? Kişi listesinde iki Jeffrey Goldberg’ü ayırt edememek gibi.

    • Bu, Signal sorunundan çok bilgi düzenleme sorunu gibi görünüyor. Signal yalnızca kendi veri deposunda, yani kişi listesinde olanları gösterebilir.
      Android’de kontrol ettim; birini grup sohbetine eklemeye çalışınca ad ve profil fotoğrafı görünüyor.
      Ancak Signal tarafında incelikli bir nokta var: Kişilerimde olmasa bile benimle aynı başka sohbet odalarında bulunan birini gruba ekleyebiliyorum. Birkaç yıl önce bir akşam yemeği buluşmasında aynı ortamda bulunduğum yabancılar bile grup sohbetine eklenebilir olarak görünüyor. Jeffrey Goldberg Signal profil adını JG yapmışsa ve Mike Waltz’un telefonunda daha ayrıntılı bir adla kayıtlı değilse böyle bir hata mümkün.
    • Jamieson Greer’e, yani JG’ye ulaşmaya çalışıyorlardı gibi görünüyor; Waltz da ikisini de baş harfleriyle kaydetmiş olabilir. Şu an en güçlü hipotez bu.
    • Muhtemelen öyle olmuştur. Yine de yanlışlıkla dokunmuş ya da sarhoş kafayla gruba eklemiş olması da en az o kadar makul. Ben de iki “yöntemle” de yanlışlıkla grup sohbetine eklenmiştim.
    • Gayet mümkün. Bu yüzden hükümete yönelik sohbet servisleri, en baştan hükümet içinden olmayan kişilerin görünmesini açıkça engeller. Hükümet posta kutusunda “dışarıdan geldi, güvenmeyin” gibi büyük kırmızı bir banner çıktığını ve tüm bağlantıların devre dışı bırakıldığını da görmüşsünüzdür.
      Asıl sorun iki tane. Birincisi, TPM’den Josh Marshall’ın işaret ettiği gibi, o sohbette kimsenin “Bunu neden Signal’da yapıyoruz?” diye sormamış olması. Bu, Signal’ın gayriresmî işlerde ilk kez kullanılmadığını ve benzer çok sayıda konuşma olabileceğini düşündürüyor.
      İkincisi, konuşma oluşturulduğu sırada katılımcılardan birinin Putin’le görüşmek için Kremlin’de bekliyor olması. Bu da “Kremlin Free WiFi” üzerinden ya da yerel baz istasyonları aracılığıyla bağlandığı anlamına geliyor.
      Pek çok yorumcu bu yönetimin bunu FOIA ve delil keşfi kapsamı dışında tutmaya çalıştığını düşünüyor; bu başlı başına büyük bir sorun. Hükümet iletişim araçlarında böyle bir sorun olmazdı; hatta Microsoft Teams’in ABD bulutu bile bundan daha iyi koruma sağlar.
    • Bahsimi yanlış kişiye dokunulduğu ihtimaline koyarım. Sadece bende mi böyle bilmiyorum ama şimdiye kadar kullandığım tüm telefon UI’ları aşırı dengesizdi. Hayalet dokunuşlar algılanıyor ve tam dokunacağım anda düğmelerin yer değiştirmesi buna ekleniyor.
      Sanki 1996’da telefon hattıyla GeoCities’teki bir Sonic the Hedgehog hayran sayfasını GIF’leri tek tek, zar zor yüklüyormuşsunuz gibi. Bu tür şeyler yalnızca telefonda oluyor, PC’de olmuyor.
      Elbette bu, sohbettekilerin kimliklerini doğrulamama hatasını, muhtemelen doğrulanmamış bir uygulamayı muhtemelen doğrulanmamış kişisel cihazlarda kullanma tercihini ve dünyanın öbür ucuna hava saldırısı emri verme yetkisine sahip insanların doğal olarak bilmesi gereken temel operasyon güvenliği kurallarının ihlalini haklı çıkarmaz.
  • Asıl şaşırtıcı olan, Jeff Goldberg’ün bu kaynağı yakmış olması.
    Kanalı mümkün olduğunca uzun süre açık tutacağını düşünmüştüm. Ya da daha iyi çalışan başka bir kanal da olabilir.
    Her hâlükârda gerçekten akıl almaz. Bu insanlar düpedüz aptal, başka türlü ifade etmenin yolu yok. İyi niyetli bir yorum bulmaya çalışıyorum ama hiçbir şey yok. Bu insanların aptallığı yüzünden askerlerin öleceği fazlasıyla açık.

    • O grup sohbetinin şaka olmadığını ve o kanal üzerinden gizli askerî bilgi aldığını fark ettiği an, ya da makul bir insanın fark etmiş olması gereken andan itibaren kanalda kalmaya devam etmesi, bilgiyi alma niyetini gösteren bir davranış olurdu. Bu da sonrasında o içerikleri yazmayı hukuken sorunlu hâle getirebilirdi.
      Karmaşık bir mesele; gizli bilgiyi bir kaynaktan almanın başlı başına özünde suç olduğu anlamına gelmez, ancak savcılığın öne süreceği olgular bütünü bu şekilde kurulabilir.
    • Signal sohbet odasının adı “Houthi PC small group” idi. Uzun vadeli açık bir grup değil, kısa süreli ve göreve özel oluşturulmuş bir grup gibi görünüyordu.
      Bu yüzden ileride daha fazla bilgi elde etmiş olma ihtimali düşük. Buradaki asıl haber, Goldberg’ün sohbete dahil edilmiş olmasıydı; ona açılan belirli ayrıntılar değil. Zaten bunların önemli bir kısmını yayımlamadı.
    • Muhtemelen hukuki sonuçlardan endişelenmiştir. Günümüzde, sohbeti gizlice dinlemeye devam etmektense bir haber yazıp onların şoke edici yetersizliğini ifşa ettiği için El Salvador’da bir hapishanenin bir köşesine gönderilme ihtimali daha yüksek görünüyor.
    • Doğru olanı yaptı. Siyasi eğilimi açık görünüyor ama böyle bir sızıntının Amerikan askerlerinin hayatına mal olabileceğinin farkındaydı. Sohbet içeriğinin tamamını da paylaşmadı. Yaptığına saygı duyuyorum.
      Aptal oldukları değerlendirmesine de katılıyorum.
    • Muhtemelen süreçte avukatlarla görüşmüştür. Avukat değilim ama gerçek olduğundan emin olur olmaz gruptan çıkmasaydı bunun suç olabileceğini düşünüyorum.
      İlk saldırıya kadar bunun gerçek olduğundan emin olmadığını sürekli söylüyor. İlk saldırıdan sonra bu iddiayı sürdüremezdi.
  • Steve Witkoff, Rusya’dayken o sohbetteydi.
    Signal’de, yalnızca bir QR kodu tarayarak mesajları kopyalayan bağlı cihazlar kurmaya izin veren bir zafiyet var. Bunun Rus hackerların kullandığı bir yöntem olduğu biliniyor.
    Rusya’nın, Moskova’da bulunan Witkoff’u kandırıp QR kodu taratmış olma ihtimali ne kadar?

    • Rusya’nın kandırmış olma ihtimalinden ziyade, bu yönetimin ona bunu bilerek yaptırmış olma ihtimali ne kadar?
    • Signal saldırısının illa Rusya içinde gerçekleşmesi neden gereksin? Rus istihbarat operasyonları ABD içinde serbestçe hareket edebiliyorsa, ABD’deki Amerikalı yetkilileri de hedef alabilir.
    • “Signal’de bağlı cihaz kurup mesajları kopyalamaya yarayan bir zafiyet var” derken masaüstü bağlantı özelliğinden mi bahsediliyor?
      Buna zafiyet diyeceksek, yurt dışındaki sunuculardan doğrulanmamış açık anahtarlar alıp biriyle sohbet etmeye dayanan varsayılan kullanım biçimi de zafiyettir. Herkes böyle kullanıyor; bu sohbettekiler de anahtar değişimini ayrı bir kanaldan yapmadığına göre, kesinlikle öyle yapmışlardır.
      Üstelik telefonun depolamasını kopyalayıp anahtar materyalini başka bir cihaza taşıyarak istediğin gibi kullanmanı sağlayan bir “zafiyet” de var. Donanıma bağlı olarak zor ya da kolay olabilir ama yeterli bütçeye sahip güvenlik kurumlarının yaygın cihazlarda bunu yapabileceğini düşünüyorum.
    • Tamamen mümkün. Muhtemelen restoran menüsü gibi bir şeye bakmak için taramış da olabilir. Ayrıca The Atlantic genel yayın yönetmeni Jeffrey Goldberg’ü medya kuruluşunun kendisi sanıp sohbete ekleyerek tüm bunların kamuya açılmasına yol açmış olmaları da mümkün görünüyor.
    • Trump portresinin içinde pasif bir mikrofon olma ihtimali ne kadar?
      [1] “Putin gave Trump portrait to envoy, Kremlin confirms” - https://thehill.com/policy/international/5212691-putin-trump...
      [2] https://en.wikipedia.org/wiki/The_Thing_(listening_device)
  • Bu ikiyüzlülük bana eskiden birlikte çalıştığım bir lead developer’ı hatırlatıyor.
    Ekipteki herkesten, mainline’a merge etmeden önce birden fazla kişiden kod incelemesi almasını ve kapsamlı CI’dan geçmesini isterdi.
    Ama kendisi değişikliklerinin yaklaşık yarısını incelemesiz doğrudan onaylar, kalan yarısında da force push yaparak CI sistemini tamamen bypass ederdi. Sistemi iyi bildiği ve yerelde yeterince test ettiği için büyük kesintilerden kaçınmış gibi görünüyor; ama insanın kendisinin uymayacağı bu kadar çok kural ve politika koymasını anlamıyorum.

    • Böyle kurallar ve politikalar, karar yetkisi ve sorumluluğu olan kişinin gerekli gördüğü kişilere uygulanır.
      Bu tür politikaların her zaman maliyeti ve getirisi vardır. O lead developer muhtemelen kendisi için maliyet-fayda dengesinin tutmadığına, başkaları içinse tuttuğuna karar vermiştir. Hatta bu değerlendirmenin doğru olmuş olma ihtimali de var.
    • Yapabiliyorsa neden böyle ayarlamasın ki. Kurallar size, istisnalar bana durumu.
      Bu tür güç kullanımına etik ya da ahlak merceğinden bakmaya çalışmamak gerekir. Esas mesele, kurallarla düşmanları bağlayıp cezalandırmak; dostların ise kuralları çiğneyip paçayı sıyırmasını sağlamaktır. Medya kontrolünü ve çarpıtılmış anlatıları kullanırsın; halk arasında hukukun üstünlüğünün saygı gören bir kavram olarak çökmesinden yararlanırsın.
    • Elma ile portakalı karşılaştırmak değil mi bu? Sistem bozulduğunda sorumluluğu alan kişi oysa bu tamamen onun tercihi. Bu durumda, senin onun sistemini bozmanı engellemiş oluyor; kendi sistemini kendisi bozarsa da sorumluluk ona ait.
      Sorumluluğu başka yere atamıyorsa bunu sorun olarak görmem.
    • Bu örnek kontrol ile ilgili. Başkalarının girdilerini kontrol etmek istiyordu ama kendisine güveniyordu. Bir lider için pek iyi görünmüyor.
    • Bu yüzden üst düzey bir çalışanın “hâlâ kod yazdığını” söylediğini duyduğumda hep endişelenirim. Kötü seçimler yapma fırsatı çok fazla ve birçok bireysel katkı sağlayan çalışan bunu engellemek için konuşmaya çekiniyor.
      Bazı 10x developer’lar da aynı. Kurallar kendilerine uygulanmadığı için hızlılar. Buna karşılık kurallar diğer herkesi yavaşlatıyor ve doğal olarak o daha hızlı görünüyor. Sonra bunlar işi baştan savma yaptığında temizliği geri kalanlar üstleniyor.
  • En az iki yorumun mümkün olduğunu düşünüyorum
    a) İstenmeyen bir operasyonel güvenlik hatası. Amaçlanan başka bir kullanıcıyla adres defteri çakışması olmuş ya da yanlışlıkla basılmış olabilir. Bu seçenek daha makul
    b) Kasıtlı bir sızıntı. Kanal üyelerinden biri ya da daha fazlası, bilinmeyen bir amaçla bunu açıkça veya örtülü biçimde sızdırmış olabilir. Ancak daha az tepki çekecek daha iyi sızdırma yöntemleri olduğundan olasılığı düşük görünüyor
    Signal kullanılması başlı başına kötü operasyonel güvenlik gibi görünse de, mevcut yönetimin çalışma grubunun resmî güvenli kanallara güvenmeyip yerli veya yabancı kurumlar tarafından izlendiğini varsaymış olması da mümkün. Duruma bakınca bu oldukça makul
    Öyleyse bu hâlâ bir operasyonel güvenlik hatası olabilir, ama güvenliği düşmanca olduğu bilinen kurumlara emanet etmekten daha az kötü bir risk de olabilir. Burada bu tür koordinasyonun resmî devlet kanallarında yapılması gerektiği varsayımı güçlü; ancak “devlet” mutlaka aynı hedefe yönelmiş tek ve bütünleşik bir grup değildir. Kendi ekibinizdeki ajanların hedefi sabote ettiğinden güçlü biçimde şüpheleniyorsanız, doğal olarak alternatif kanalları düşünmeniz gerekir
    Bunun Clinton’ın e-posta sunucusu gibi yasal kısıtlamalardan veya şeffaflıktan kaçmak için mi, yoksa sabotajı önlemek için mi olduğu ayrı mesele; burada etik bir hüküm vermek değil, gerçekten güvenli iletişim ihtiyacını düşünmek söz konusu. Signal’e duyulan güven haklı mı? Bu, en üst düzey güvenlik yetkilerine sahip kişilerin Signal’in ele geçirilmediğine inandığı anlamına gelir. Haklılar mı? Her hâlükârda, arka kapılar dışında da operasyonel güvenliğin başarısız olmasının birçok yolu var

    • Bu durumda Signal kullanmak yanlış ve aptalcaydı. Çok makul bir neden, standart devlet kayıt saklama uyumluluğundan, yani NARA’dan kaçmaya çalışmalarıydı
      Öncelikle gizli bilgiler yalnızca SCIF içinde görülmelidir. İkincisi, asla kişisel cihazlara konmamalıdır. Ulusal güvenlik liderliğinin kişisel telefonları, dünyadaki düşman istihbarat kurumlarının en öncelikli hedefleridir. Ana cihaz ele geçirilmişse aktarım sırasında şifrelemenin pek anlamı yoktur
      ABD hükümetinin tüm gizli araçlarına ve korumalarına güvenmezken, ticari bir telefondaki ticari bir uygulamayla ABD içinde ve dışında halka açık yerlerde gizli veri alışverişi yapmak ancak aptalca olmayan bir şey değildir. Yetkisiz bir kişiyi yanlışlıkla sohbete ekleyebilme ihtimali bile tek başına bu tercihin delilik olduğunu gösteriyor
    • Bir teknoloji forumu için, kötü/aptal aktörlere teknik gerekçelerle %0,0 oranında yeniden iyi niyet atfedip aslında 4 boyutlu operasyonel güvenlik satrancı oynadıklarını yorumlamaya epey yakın bir argüman
      “İdeolojik olarak kirlenmiş SCIF”i 18 ayrı iOS cihazıyla değiştirmişler; bu 18 cihazın hepsi de farklı işletim sistemi/uygulama sürümlerine ve cihaz durumlarına sahip olacaktır
      Uçtan uca şifrelemeyi ve Signal’i aşmak istiyorsanız, tam da onların yaptığı yöntemi kullanırsınız. Yani haklı oldukları anlamına gelmez
    • Tom Clancy tarzı mazeretler istediğiniz kadar uydurabilirsiniz. Yine de yasayı çiğnediler ve beceriksizdiler. Bunlardan birini görmezden gelseniz bile hâlâ istifa etmeleri gerekir. Başka herhangi bir yerde böyle bir hata yapsanız işinizi kaybedersiniz
    • Güvenlik açısından kötü olup olmadığı tartışmaya açık olabilir, ancak kayıt saklama gerekliliklerini açıkça ihlal ediyor
      Kamu görevlilerinin müzakereleri gizli olmak zorunda olabilir, ama mutlaka kayda geçirilmelidir. Kaybolan mesajlarla konuşma geçmişini otomatik siliyorsanız, bu halka karşı bir tür dolandırıcılıktır
    • Signal kullanımı çok, çok, çok kasıtlı. Davete yanlışlıkla basmış olabilirler, ama tüm ulusal güvenlik protokolünü baypas etmiş olmaları mazur görülemez
  • https://en.wikipedia.org/wiki/German_Taurus_leak aklıma geliyor
    “Standart ticari Cisco Webex video konferans yazılımıyla yapılan görüşmede yetkililer, Ukraine’deki İngiliz ve Amerikan askerî personelinin varlığını ve Taurus füzeleriyle Crimean Bridge’i havaya uçurma olasılığını tartıştı”

    • Onaylı bir kanal kullanırken başka bir ülke tarafından dinlenmeleri, bu olayla aslında ortak bir nokta taşımıyor
      Elbette o kanalın onaylanmaması gerekmiş olabilir, ama sonuçta onaylı bir kanaldı