Mike Waltz, hükümetin Signal mesajlarını arşivlemek için kullandığı uygulamayı yanlışlıkla ortaya çıkardı
(404media.co)- Trump yönetiminden Mike Waltz’ın telefon fotoğrafında, mesaj arşivleme için kullanılan gayriresmî Signal gibi görünen bir uygulamayı kullandığı ortaya çıktı
- Waltz, perşembe gününe kadar ABD Ulusal Güvenlik Danışmanıydı; kamu görevlilerinin Signal’da hangi gizlilik derecesindeki bilgileri tartıştığına dair sorular artıyor
- Reuters fotoğrafı, Donald Trump’ın başkanlık ettiği Beyaz Saray kabine toplantısı sırasında Waltz’ın telefonunu kontrol ettiği anı gösteriyor
- Ekranda JD Vance, Tulsi Gabbard, Marco Rubio gibi üst düzey hükümet yetkililerinden gelen mesajların göründüğü belirtiliyor
- Ekranın alt kısmında standart Signal’ın PIN doğrulama mesajına benzeyen bir ifade yer alıyor; bu da hesap ele geçirmeyi önleme ve mesaj arşivleme yöntemiyle birlikte dikkat çekiyor
Fotoğrafla ortaya çıkan gayriresmî Signal kullanımı
- Mike Waltz’ın telefon fotoğrafında, Signal’ın gayriresmî bir sürümü gibi görünen bir uygulamanın kullanıldığı yakalandı
- Bu sürümün mesaj arşivleme amacıyla tasarlanmış bir uygulama olduğu biliniyor
- Waltz, perşembe gününe kadar ABD National Security Advisor görevindeydi
Reuters fotoğrafının bağlamı
- Reuters’ın yayımladığı fotoğraf, Donald Trump’ın Beyaz Saray’da düzenlediği kabine toplantısı sırasında Waltz’ın telefonunu kontrol ettiği anı gösteriyor
- Ekranda birçok üst düzey hükümet yetkilisinin mesajları görünüyor
- JD Vance
- Tulsi Gabbard
- Marco Rubio
Signal PIN mesajı ve güvenlik bağlamı
- Waltz’ın telefon ekranının alt kısmında standart Signal’ın PIN doğrulama mesajına benzeyen bir ifade var
- Signal’ın PIN doğrulama mesajı, kullanıcıyı PIN’ini hatırlamaya teşvik ederken gösterilebiliyor
- PIN, başka birinin hesabı ele geçirmesini önlemek için kullanılabiliyor
Yanıt bekleyen pratik sorular
- Gayriresmî Signal sürümü mesaj arşivleme için kullanılıyorsa, kamu görevlilerinin bu uygulamada hangi gizlilik derecesindeki bilgileri tartıştığı temel mesele hâline geliyor
- Arşivlenen verilerin nasıl güvenlikten geçirildiği de doğrulanması gereken bir konu olarak duruyor
1 yorum
Hacker News yorumları
https://archive.ph/oXYXe
Devlet kurumları daha önce de arşivleme özelliği eklenmiş şifreli mesajlaşma uygulaması sürümleri için ödeme yapmıştı. 2021'de CBP, Wickr'a 700 bin dolar ödemişti.
Bu, Signal'i desteklemek için tam uygun bir kullanım alanı gibi görünüyor. Büyük şirketler veya devlet kurumları, uygulama geliştiricisine doğrudan özel fork için ödeme yapabilir; TeleMessage'ın neden para aldığını anlamıyorum. Signal Foundation ücretli fork uygulamalarını kolaylaştırmıyor mu?
“TM SGNL”, TeleMessage adlı şirketin yazılımını ifade ediyor gibi görünüyor. Bu şirket popüler mesajlaşma uygulamalarının kopyalarını yapıyor ve her uygulamaya arşivleme özelliği ekliyor.
Signal kullanıp da yabancı bir şirketin iletişimi ele geçirmesine izin vereceksen bunun ne anlamı var, bilmiyorum. Muhtemelen devlet onaylı uygulamaların hantal kullanıcı deneyimi yerine ticari bir ürünün UX'ini istediler; alternatifin ne olduğunu bilen var mı?
Signal, devlet kullanımı için onaylı, ancak gizli Savunma Bakanlığı bilgileri için değil. Signal'i “SCIF'e gel, ayrıntıları orada konuşalım” gibi şeyler için kullanmalı, ayrıntılar ise güvenli ortamda tartışılmalı.
CISA bunun yerine uçtan uca şifreli hizmetler kullanılmasını önerdi ve özellikle Signal'in adını verdi.
https://investigations.cooley.com/2025/01/15/federal-law-enf...
Signal de nihayetinde telefondaki bir uygulamadan ibaret. Gizli iletişim için kullanılacaksa, o telefonda yazılımı en aza indirmek ya da hiç bırakmamak; parolalar, şifreleme ve mümkün olan tüm yöntemlerle korumak gerekir.
Arşivleme uğruna güvenlik açığı riskini almaya gerek var mı, emin değilim. Nasıl olsa İsrail ve Pegasus'tan isteseler arşiv kopyalarını alabilirlerdi.
Bazı ayrıntılara bakınca, TeleMessage bir İsrail şirketiydi ya da hâlâ öyle bir şirketti [1], ancak geçen yıl ABD şirketi Smarsh [2] tarafından satın alındı; Smarsh’ın kendisi de ABD şirketi K1 Investment Management’ın bir iştiraki. Şirketin taşınıp taşınmadığını bilmiyorum.
Doğrudan ilgili olmayabilir ama hizmet şartlarında Çin’de mesajlaşmaya ilişkin ayrı hükümler de görünüyor ve Çin hükümetine açıklama yapılmasını içeriyor gibi. Uygulamanın nasıl çalıştığı belirsiz. Signal istemcisinin bir fork’u gibi pazarlanıyor ve her şeyi uzak sunuculara yüklüyor gibi görünüyor; bu durumda arşivi bir alıcı uç olarak görüp o bağlantının güvenli olduğunu varsaymadığınız sürece doğal olarak uçtan uca şifreleme bozulur. Arayüzünün de Signal ile aynı olduğu tanıtılıyor gibi.
Öte yandan iOS ve Android Signal istemcilerinin ikisi de AGPLv3. TeleMessage istemcisinin tescilli yazılım olmadığına dair bir iz bulamadım. O hâlde AGPLv3 uyarınca yazılımı ve kaynak kodunu yalnızca ücretli müşterilere verip, müşterilerin yeniden dağıtmasına izin veren bir model mi? İstemciyi tamamen yeniden mi uyguladılar? Yoksa yasa dışı tescilli bir fork mu? İlki düşük ihtimal gibi görünüyor; son ikisi ise uygulama güvenliği açısından oldukça uğursuz.
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
En azından GPLv2’nin “özel” değişikliklerin özel kaldığı ve çalışanlara verilmesinin dış dağıtım sayılmadığı şeklinde şirket dostu olduğu anlatılırdı. AGPL’yi pek bilmiyorum.
Daha önce GPL yazılımı kullanan özel yazılım çözümlerini askeri müşterilere, muhtemelen DOD tarafına satan bir şirkette çalışmıştım. 10 yıldan fazla kimse kodu istemedi; ancak birkaç yıl önce biri talep etti. Muhtemelen değerlendirme yapmak istiyordu ama birçok işin merkezinde kullanılan bir şey olduğu için fork’lamak epey zahmetli olurdu. Gerçekten çok fazla hareketli parça vardı.
Birisi TM SGNL sunucusuna temas edip ardından kaynak kodu istemiş ve reddedilmiş olmadıkça yasa dışı değil.
Asıl biraz korkutucu olan, Global Relay’in her şeyi SMTP ile yutması. DNSSEC veya MTA-STS kurup kurmadıklarını kontrol etmedim, ama Global Relay’in çalışma biçimine bakınca yapmış olmaları pek olası görünmüyor. İyi konumlandırılmış bir proxy ya da DNS zehirlenmesiyle Global Relay’e gönderilen hassas e-postaların hatırı sayılır bir kısmı çekilebilir gibi.
Uygulama buna benziyor gibi görünüyor.
https://www.telemessage.com/how-to-install-and-register-sign...
JD’nin gönderdiği “karşı taraftan kapatıldığına dair onay aldım” mesajının ne anlama geldiğini gerçekten merak ediyorum.
Bir dakika, kullandıkları şey İsrailli istihbarat subayları tarafından işletilen bir Signal klon uygulaması mı?
Bu kısım henüz düzgün şekilde bilinmiyor gibi. Şirketin adresini Google Maps’te ararsanız aslında “Cyberint” adlı bir şirket çıkıyor; bu hiç iyi görünmüyor.
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
Daha da kötüsü, şirketin web sitesindeki ekip tanıtımına bakınca CEO dahil “eski” İsrailli istihbarat subayı gibi görünen kişilerle dolu olması.
https://www.telemessage.com/team/
Bu, şu anda bilinen hikâyeden çok daha büyük bir mesele gibi görünüyor. Orijinal Signalgate’ten birkaç mertebe daha büyük. Buradaki çıkarım şu: İsrailli istihbarat subayları şu anda dünyadaki en iyi erişimlerden birine, yani ABD Ulusal Güvenlik Danışmanı’nın katıldığı tüm konuşmaların gerçek zamanlı akışına sahip olmuş olabilir.