ABD Savunma Bakanı'nın resmi DoD iletişim ekipmanlarını aşma yöntemi
(electrospaces.net)- ABD Savunma Bakanı Pete Hegseth'in Pentagon'daki makam odasında genel internete doğrudan bağlı kişisel bir bilgisayar bulundurduğu ve bu cihazda Trump yönetimi yetkililerinin tercih ettiği Signal'ı kullanmaya çalıştığına dair bulgular olduğu görülüyor
- Makam odasında CMS, DRSN, NIPRNet, SIPRNet, JWICS, Webex gibi resmi güvenli iletişim araçları zaten mevcut; bazı ekipmanlar TS/SCI seviyesinde görüşmeleri bile destekliyor
- Devlet bilgisayarlarında veya gizli görüşmeler için onaylı akıllı telefonlarda Signal kullanımı zor ya da izinli olmadığından, Hegseth önce makam odasının arka tarafındaki Wi‑Fi bölgesini kullandı, daha sonra masası için doğrudan internet hattı talep etti
- Söz konusu hat, Pentagon güvenlik protokollerini atlayarak genel internete doğrudan bağlandı; NIPRNet'e göre daha zayıf izlemeye sahip bir yapı olduğundan güvenlik riski arttı
- Savunma Bakanı için 26 asker ve 4 sivilin işlettiği SecDef Cables iletişim merkezi bulunmasına rağmen, ayrı bir kişisel cihaz ve Signal kullanımının gündeme gelmesi tartışmanın merkezinde yer alıyor
Hegseth'in makam odasındaki resmi iletişim ekipmanları
- Savunma Bakanı Pete Hegseth, selefleri gibi çeşitli güvenli ve güvenli olmayan telefonlara ve bilgisayar ağlarına erişebiliyor
- Ekipmanlar Pentagon'daki makam odasında, büyük masanın arkasındaki sehpaya kurulmuş durumda; yapı, 2013–2015 yılları arasında Savunma Bakanı olan Chuck Hagel döneminden bu yana temelde fazla değişmedi
-
Telefon ekipmanları
- Ahşap standın üzerinde Cisco IP Phone 8841 ve 14 tuşlu genişletme modülü bulunuyor; bu Crisis Management System(CMS)'nin bir parçası
- CMS; başkan, National Security Council, kabine üyeleri, Joint Chiefs of Staff gibi üst düzey hükümet yetkililerini birbirine bağlıyor
- Parlak sarı çerçeve, Top Secret/Sensitive Compartmented Information yani TS/SCI seviyesinde görüşmeler için kullanılabileceği anlamına geliyor
- Ahşap standın altında Integrated Services Telephone-2, yani IST-2, neredeyse görünmeyecek şekilde yerleştirilmiş
- IST-2 hem güvenli hem de güvenli olmayan telefon görüşmeleri için kullanılabiliyor ve Defense Red Switch Network(DRSN) veya Multilevel Secure Voice hizmetine ait
- DRSN, gizli askeri görüşmeler için ana sistem olup White House, askeri komuta merkezleri, istihbarat kurumları ve NATO müttefiklerini birbirine bağlıyor
- IST-2'nin önünde bir başka Cisco IP Phone 8841 ve 14 tuşlu genişletme modülü bulunuyor; yeşil çerçeve bunun gizli olmayan telefon için olduğunu gösteriyor
- Bu telefon Pentagon'un dahili telefon ağının parçası ve 2021 tarihli fotoğraflarda görülen Avaya Lucent 6424 yönetici telefonunun yerini almış durumda
-
Bilgisayar ve video konferans ekipmanları
- Telefonların yanında parlak yeşil duvar kâğıdı gösteren 2 bilgisayar ekranı var; bu, gizli olmayan ağ bağlantısını gösteriyor
- Bu ağın büyük olasılıkla NIPRNet olduğu düşünülüyor
- Eski Savunma Bakanı Lloyd Austin'in makam odası fotoğrafında aynı klavye, ekran ve fareyle SIPRNet ve JWICS arasında güvenli geçiş sağlayan bir KVM switch de görülüyor
- Masanın sağ tarafında 2 adet Cisco Webex DX80 video konferans ekranı bulunuyor
- Sağdaki ekipmanın sarı etiketi, TS/SCI onaylı ekipman olduğunu gösteriyor
- Bu ekipmanın CMS'ye ait olma olasılığı var ve Secure Video Teleconferencing System(SVTS)'in devamı niteliğinde görülebilir
- Diğer ekran daha düşük sınıflandırma seviyesindeki video konferanslar için olabilir
Signal kullanımı için kişisel bilgisayar
- Hegseth, uygun ve güvenli devlet kanalları üzerinden iletişim için birçok seçeneği olmasına rağmen Signal kullanımında ısrar etti
- Signal'ın devlet bilgisayarlarına veya gizli görüşmeler için onaylı akıllı telefonlara yüklenemediği ya da buna izin verilmediği görülüyor
- AP News'e göre Hegseth, başlangıçta Signal kullanmak için makam odasının arka tarafında Wi‑Fi'ye erişilebilen bölgeye geçti
- Bu sırada kişisel dizüstü bilgisayar mı yoksa kişisel akıllı telefon mu kullandığı net değil
- Her iki cihazın da bu tür güvenli bölgelerde kullanılmasının büyük olasılıkla kesin şekilde yasaklanmış olması gerekir
- Daha sonra Hegseth, kendi bilgisayarını masasında kullanabilmek için internet bağlantısı talep etti
- Bu hat genel internete doğrudan bağlanıyordu
- Pentagon güvenlik protokollerini atlıyordu
- 20 Mart 2025 tarihli fotoğrafta görünen yeni masaüstü bilgisayarın söz konusu cihaz olduğu anlaşılıyor
- 21 Şubat 2025 tarihli fotoğrafta henüz yoktu
- Sınıflandırma seviyesini gösteren bir etiketi de yoktu
Doğrudan genel internet hattının niteliği
- Pentagon'daki bazı başka çalışanlar da genel internete doğrudan bağlanan hatlar kullanıyor
- Örneğin Pentagon'a tahsis edilmiş bir IP adresiyle tanınmak istemediklerinde bu tür hatlar kullanılıyor
- Bu doğrudan hatlar NIPRNet'e kıyasla daha az izlendiği için riskli
- NIPRNet, dış internete sınırlı erişime izin veren gizli olmayan bir ağ
- Hegseth yeni masaüstü bilgisayara Signal kurdu
- Bu, kişisel akıllı telefonundaki Signal uygulamasının fiilen kopyalanması anlamına geliyordu
- Bazı medya kaynaklarına göre Hegseth, bu kişisel bilgisayardan normal kısa mesaj göndermeye yarayan bir program kurmakla da ilgilendi
- Bu hamlenin amacı, Pentagon'un önemli bölümlerinde cep telefonu hizmetinin yetersiz kalması sorununu aşmak ve Signal kullanan White House ile diğer Trump yönetimi yetkilileriyle daha kolay iletişim kurmaktı
- 5 Mayıs 2025'te X'te yayımlanan videoda, yeni izinsiz bilgisayarın en azından Hegseth'in masasından kaldırılmış olduğu görülüyor
SecDef Cables iletişim merkezi
- Hegseth'in Signal kullanmak için büyük çaba harcaması, Savunma Bakanı için ayrı bir özel iletişim merkezi bulunduğu düşünüldüğünde daha da dikkat çekiyor
- Bu iletişim merkezi genel olarak SecDef Cables olarak adlandırılıyor ve Secretary of Defense Communications(SDC) biriminin parçası
- SecDef Cables operasyonel bilgi yönetimi sağlıyor ve komuta-kontrol destek merkezi işlevi görüyor
- 26 asker ve 4 sivil görev yapıyor
- Savunma Bakanı ve doğrudan bağlı personeline, konumdan bağımsız olarak birden fazla platform ve sınıflandırma seviyesi üzerinden ses, video ve veri yetenekleri sunuyor
- SecDef Cables, çeşitli önemli iletişim merkezleriyle irtibat noktası olarak da kullanılıyor
- National Military Command Center(NMCC)
- White House Situation Room
- State Department Operations Center
- Benzer iletişim merkezleri
- Cables ayrıca Defense Telephone Link(DTL) bağlantılarını da yönetiyor
- DTL, Rusya ve Çin dahil yaklaşık 25 ülkenin askeri muhataplarıyla kurulan düşük seviyeli bir yardım hattı
2 yorum
Hacker News yorumları
Five Eyes’ın diğer üyeleri, bu süreç yaşanırken ABD ile ne paylaşacakları konusunda dikkatli olmalı.
Signal’ın kullandığı açık anahtarlı şifreleme çoğu kullanım için yeterince iyidir; kredi kartı işlemleri gibi şeyler için de harikadır. Ancak devlet sırlarının iletilmesinde uzun vadeli gizlilik beklemenin zor olması gibi bir sorun var.
Bugün Signal üzerinden gönderilen bir mesaj şifreli metin olarak saklanıp 10 yıl sonraki donanım ve algoritmalarla saldırıya uğrayabilir. O zaman da Signal’ın şifresi güçlü olabilir, ama kolayca da kırılabilir. Mesajdaki sır 10 yıl sonra da hassassa bu bir sorundur.
Signal üzerinden gönderilenler, ne zaman yayımlanacağı belirsiz bir açık metin gibi ele alınmalı; ABD ile bilgi paylaşılıyorsa bu kabul edilmesi zor bir koşuldur.
Tek bir zero-day ya da dikkatsiz bir tıklama, bir hasmın mesajlara erişmesine veya mesaj göndermesine imkân verebilir. Signal’ın kaybolan mesajlar özelliği ilk riski azaltır, ancak devlet kayıtlarının saklanmasına ilişkin mevzuatla çatışır.
Devlet sistemlerine erişimin sınırlandırılmasının nedeni, bu sistemlerin güvenlik açıklarına sihirli biçimde bağışık olması değil; gerçekten yetkin profesyonel ekipler tarafından izlenmeleri ve proaktif güvenlik önlemleri alınmasıdır. Onun telefonu, numarasını bilen dünyanın herhangi bir yerinden herkesin gönderebileceği şüpheli SMS/MMS’lere maruz kalabilir ve ticari bir spyware lisansı bile risk oluşturabilir; oysa güvenli ağdaki gizli bir bilgisayar bu tür trafiği zaten alamaz, yapılandırması da kilitlidir ve ihlal çok daha hızlı tespit edilir.
Asıl mesele daha geniş bağlam. Bu, bir banka sahibinin sarhoş golf arkadaşına yönetimi emanet etmesine ve o arkadaşın da kolayına geldiği için defterleri arabada tutmaya başlamasına benziyor. Tamamen iyi niyetle, iyi bir iş çıkarmaya çalışan biri bile kimseye fayda sağlamayan ve baş etmeye hazır olunmayan riskleri ciddi biçimde artırmış olur.
Signal, RSA gibi mesajı basitçe açık anahtarla şifreleyip/çözen naif bir yöntem değil. Asimetrik anahtar çiftiyle önce Diffie-Hellman anahtar değişimi yaparak tek kullanımlık simetrik anahtar oluşturur, ardından bu anahtarla şifreleme/çözme yapar. Bu da ileri gizliliği sağlar: https://signal.org/blog/asynchronous-security/
Günümüzde buna ek olarak kuantuma dayanıklı kriptografi yöntemleri de ekleniyor; bunun dışında atlanan pek çok ayrıntı da vardır.
Önemli olan, yayımlanmasına kadar geçeceği varsayılan sürenin birkaç hafta mı yoksa birkaç yıl mı olduğunun değişmesidir; ilgili kullanım için makul seviyeye göre güvenlik gücü farklı uygulanır.
Eğer asla açığa çıkmaması gereken bir bilgiyse, şifreleme çözüm değildir; genellikle bilgisayarlar da çözüm değildir.
O sırlar yanlış yapılandırılmış bir bulut hesabında duracak ya da bu tür hesaplar arasında gidip gelecektir. Bir kurum bir gün finansal istihbarat amacıyla analiz izni alacak; o sırrın sızmış olma ihtimali ya da doğrulanmış sızıntısı da, ABD onu kötüye kullandığında makul inkâr edilebilirlik sağlayacaktır.
İkiyüzlülük inanılmaz boyutta
https://www.theguardian.com/us-news/2016/sep/02/hillary-clin...
https://www.theguardian.com/us-news/2016/jul/05/fbi-no-charg...
Ayrıca:
https://www.fbi.gov/news/press-releases/statement-by-fbi-dir...
“Açık olmak gerekirse, benzer koşullarda böyle davranan birinin hiçbir sonuçla karşılaşmayacağı anlamına gelmez. Aksine, bu kişiler çoğu zaman güvenlik ya da idari yaptırımlarla karşılaşır. Ancak şu anda değerlendirdiğimiz şey bu değil.”
Ancak bir Dışişleri Bakanı’nın gizli belgeleri dikkatsizce ele alması ile bir Savunma Bakanı’nın planlanmış saldırı planlarını paylaşması ve bilgi güvenliğini aktif biçimde baypas etmesi aynı ya da bağlantılı şeylermiş gibi gösterilmemeli. Özellikle de Dışişleri Bakanı vakasına yönelik sert eleştiriler ve soruşturmalardan sonra hiç
Kamu görevlilerinin yerinde saymak ya da daha kötüye gitmek yerine iyileşmesini ummak ikiyüzlülük değildir
https://www.youtube.com/watch?v=cw1tNTIEs-o
İki durum hukuken gerçekten eşdeğer değil. Büyük farklardan biri, Hesgeth ve beraberindekilerin iletişimi otomatik silinecek şekilde ayarlamış olması; bu da kayıt saklama mevzuatına aykırı. Clinton’ın e-postaları sildiğine dair kanıt yok
Tüm gönderenler ve alıcılar (bcc hariç), onun .gov e-posta adresi kullanmadığını biliyordu ya da bilebilirdi; dolayısıyla o sunucunun kullanımına bir ölçüde ortak olmuş ya da zımnen rıza göstermiş sayılırlar
Bazen o sırada gizli olmayan materyaller sonradan gizli olarak sınıflandırılır ya da gönderenin gizli bilgi göndermesiyle veri sızıntısı oluşur ve alıcıların silme, soruşturma vb. süreçlere katılması gerekir
Harici sunucu kullanmak kötüydü, ama aynı zamanda en başından beri açıkça görülebilir durumdaydı
Gerçekten ikiyüzlülük
Operasyon güvenliği ve bireysel sorumluluk meselesi bir yana, bence bu, “kullanılabilirlik pahasına güvenlik, güvenliği feda eder” sözünün bir başka örneği
Resmî DoD iletişim cihazları berbat olduğu için, insanlar yakalanmayacaklarını düşündüklerinde daha az güvenli ama kullanımı kolay şifreli iletişim platformları kullanıyor
DoD’un, kullanılabilirliği bozmadan ek temel güvenlik kontrolleri eklenmiş kurum içi bir Android ve Signal fork’u geliştirmesi gerekebilir. Burada belirgin bir istek yolu görülüyor
İnsanlar aptaldır; parolaları yeniden kullanır, daha iyi ama güvenli olmayan yazılımlar kurar, güncelleme yapmaz; eski hikâye kendini tekrar eder
2025’te dünyadaki herhangi biriyle iletişim kurmak bir uygulamayı açıp yazmak kadar basit değilse, insanlar başka yollar bulur. Çünkü yaklaşık bin tane daha iyi yol var
Bu yüzden bir şeyi gizlice yapmaya çalışmaktan ziyade, fiziksel token’lar, yavaş biyometrik doğrulama, 15 saniyelik oturum kapatma gibi devlet iletişiminin zahmetli güvenlik özellikleri yerine önemsiz ölçüde daha kolay bir seçeneği tercih etmiş olmaları daha olası. Herkes böyle yapabilir
Bu olay, devletin iletişim güvenliği sorumlularının uygulamaları yeniden değerlendirmesine yol açabilir. Bu davranışı savunmuyorum; olası bir açıklama sunuyorum ve güvenlik başarısızlıklarını değerlendirirken kullanıcıyı suçlamak her zaman en iyi yaklaşım değildir
İstenirse herhangi bir tedarikçinin kullanabileceği ayırma katmanını doğrudan desteklemek de mümkün olabilirdi. Büyük şirketlerin satın alma kararları üzerindeki etkisinin, yani yolsuzluğun, bu sorunların önemli bir kısmını yönlendirdiğini düşünüyorum
Tamamen vasıfsız ve alkol kötüye kullanımı geçmişi bile olan birini sorumluluğa getirecekseniz, en azından yetkin olup olmadığını kontrol etmeliydiniz.
En üst düzey yetkilere sahip birinin bu işi kendi seviyesinin altında görüyormuş gibi davranmasını izlemek gerçekten rahatsız edici. Tarihin aramızdaki en ayrıcalıklı ve beceriksiz insanlar tarafından yazıldığı bir sahneyi izliyormuş gibi geliyor.
Günümüz siyasetçilerinin gerçekliğinden o kadar uzak ki, keyif almak için gereken inanç askıya alma neredeyse imkânsız. Yakın zamandaki utanç verici De Niro dizisi aklıma geliyor.
İçki verilerek sırlar öğrenilebilir ya da bire bir konuşmada “sarhoş zihin hâli” yaratılıp sırlar alınabilir; bu yüzden kolayca manipüle edilebilir. Üstelik Signal kullanımıyla yapılan büyük hata, yani #signalgate de var.
ABD dışındaki bir ülkenin istihbarat servisinde çalıştığınızı varsayalım. Açık internette Hesgeth’in ofisindeki kişisel bilgisayarını nasıl bulurdunuz? Ciddi bir düşünce deneyi.
https://news.sky.com/story/trumps-fixer-was-made-to-wait-eig...
Kişisel PC’si söz konusuysa Big Ballz’u gönderip biraz yükseltme yaptırmak yeter.
https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
Ya da ücretsiz bir Starlink çanağı da olur.
https://www.nytimes.com/2025/03/17/us/politics/elon-musk-sta...
Signal protokolü iletim sırasında mesajları korur. Ama masaüstü uygulamasında istemci tarafı bir açık olabilir de olmayabilir de. Ayrıca bağlantıya tıklarsa Signal’ın dışına çıkıp tarayıcıya girer. Bağlantı bir dosya indirtirse bu kez işletim sistemine girilmiş olur.
https://news.ycombinator.com/item?id=42780816
Başlık: “Signal, Discord ve diğer platformları hedef alan 0 tıklamalı anonimlikten çıkarma saldırısı”
Artık 0 tıklamalı olmayabilir, ama kullanıcı internette geziniyorsa hâlâ geçerli.
Bağlantıda sıfır gün kötü amaçlı yazılım dropper’ı varsa ekstra puan.
West Wing gibi, herkesin kendini çok ciddiye aldığı ama altında apaçık ve yaygın bir beceriksizliğin yattığı bir dizi yapılsa epey iyi olabilir.
Hiç komik olmayan, hiciv yaptığını belli etmeyen, seyirciye göz kırpmayan bir ahmaklar draması. Bu tuhaf insanların kafasının içine girmek isterdim.
a) Bürokratların gerçek iletişim ortamında 3 telefon, 4 monitör var; bunlar kollara ya da duvara monte değil, masanın üstünde duruyor, etraf karmakarışık ve anakronik bir ahşap masanın üzerinde.
b) Buna karşılık “casus” filmlerinde karanlık ekran grafiklerinde, kola monte edilmiş dörtlü monitörlerde gösterişli hacker tarzı grafikler olur; loş ışıkta bürokratın kendisi küçük monitöre bakmaz, astları bakar; kendisi yalnızca kötü adamlarla video konferans yaptığı duvardaki 136 inçlik ekrana bakar.
Bu tezat gerçekten komik.
Aklıma yalnızca iki olası açıklama geliyor.
Başka bir şey var mı?
Ya da benim Whatsapp kullanma nedenimle aynı. Sosyal çevremdeki konuşmalar orada yapılıyor; orada olmazsam dışarıda kalıyorum.
Açıklamalar, her iletişim platformunun ödünleşimlerini değerlendirip rasyonel bir sonuca vardıkları gibi daha derin bir anlam varsayıyor; buna dair pek kanıt yok.
Trump’ın çevresindekiler tesadüfen Signal üzerinden iletişim kurmaya alışmış olabilir ve Pete de buna katılmazsa dışarıda kalacağı bir yapıya girmiş olabilir.
Signal geliştiricileri için kötü oldu. Önceden ulus-devlet düzeyindeki aktörlerin bireysel hedefi değillerse, artık hedef hâline geldiler
DoD'nin kendi geliştirdiği çözümün kullanılabilirliği hakkında ne denirse densin, bu askeri bütçe ve silahlarla desteklenen bir askeri sistemdi; böyle sistemlere yönelik saldırılarda sivillerin ikincil zarar görme olasılığı daha düşüktü
Artık Signal kullanan her sivil, askeri bir çatışmanın şarapnel etkisinin kurbanı olabilir
Signal'in siber savaşın ön cephe askeri rolünü üstlenecek bütçeye, insan gücüne veya iradeye sahip olduğunu da sanmıyorum. Ama istese de istemese de askeri düzeyde risklere maruz kaldı
Kolluk kuvvetleri ve Cellebrite gibi adli bilişim şirketleri de vardı; bunun sonucunda Signal oldukça ilginç bir blog yazısıyla karşılık vermişti: https://signal.org/blog/cellebrite-vulnerabilities/
Yine en büyük zafiyetin insan olduğu ortaya çıkıyor.