• SignalGate Signal ile İlgili Değildir (wired.com)
    by durum_leyla     5 ay önce        0 Yorum     yaşam    


    • SignalGate Signal ile İlgili Değildir
    Trump kabinesi'nin, The Atlantic dergisinin baş editörü Jeffrey Goldberg'ın, Yemen'de bombalama planlarını gizlice görüşen bir mesajlaşma grubuna yanlışlıkla davet edilmesi skandalı üçüncü gününe girdi ve bu tartışmaya "SignalGate" adı verildi. Bu isim, görüşmenin uçtan uca şifrelenmiş ücretsiz mesajlaşma uygulaması Signal üzerinden gerçekleşmesi nedeniyle verilmişti.

    SignalGate, ikinci Trump yönetiminin bugüne kadarki en büyük kamuoyu hatası olmasına rağmen, Signal'ı en iyi şifreli mesajlaşma aracı olarak savunan güvenlik ve gizlilik uzmanları bir noktayı açıklığa kavuşturmak istiyor: SignalGate, Signal hakkında değil.

    The Atlantic'in baş editörü Jeffrey Goldberg, geçen ay Huthi isyancılarına karşı ABD hava saldırılarını planlamak üzere oluşturulan bir Signal grup sohbetine yanlışlıkla dahil edildiğini Pazartesi günü açıkladıktan sonra, Trump kabinesi eleştirmenlerinin ve hatta yönetimin kendisinin tepkisi bazı durumlarda güvenlik ihlalinden Signal'ı sorumlu tutmuş gibi göründü. Bazı yorumcular, geçen ay Rus casuslarının Signal'a yönelik gerçekleştirdiği sahtekarlık raporlarına işaret etti. Söylentilere göre Goldberg'ı Signal grup sohbetine davet eden Ulusal Güvenlik Danışmanı Michael Waltz, Goldberg'ın gruba hackle girmiş olabileceğini bile öne sürdü.

    Çarşamba öğleden sonra, hatta Başkan Donald Trump, Signal'ın bir şekilde grup sohbetinin felaketinden sorumlu olduğunu öne sürdü. Trump, Beyaz Saray'da gazetecilere, "Signal'ın nasıl çalıştığını bilmiyorum" dedi. "Dürüst olmak gerekirse, Signal'ın kusurlu olabileceğini düşünüyorum."

    Geçmişte yaygın olarak kullanılan şifreleme araçlarını denetleyen, Açık Şifreleme Denetimi Projesi direktörü olan güvenlik ve kriptografi araştırmacısı Kenn White, gerçek dersin çok daha basit olduğunu söylüyor: Güvenmediğiniz kişileri Signal grup sohbetinize davet etmeyin. Eğer bir devlet görevlisiyseniz ve son derece hassas veya gizli bilgilerle çalışıyorsanız, Signal gibi halka açık uygulamaları çalıştırabilecek yetkisiz cihazlardan ziyade, üst düzey gizlilik için tasarlanmış kısıtlı, genellikle hava boşluğunda çalışan şifreli iletişim araçlarını kullanın.

    White, "Kesinlikle, buradaki hiçbir suç Signal'da değil" diyor. "Signal, gizli konuşmalar için tasarlanmış bir iletişim aracıdır. Konuşmaya ait olmayan biri dahil edildiğinde, bu bir teknoloji sorunu değil, bir operasyon sorunu."

    Hopkins Üniversitesi Bilgisayar Bilimi Profesörü ve kriptograf Matt Green, bunu daha basit bir şekilde ifade ediyor. "Signal bir araçtır. Aracı yanlış kullanırsanız kötü şeyler olur" diyor Green. "Eğer kendinizi bir çekiçle vurursanız, çekiçin hatası değildir. Kiminle konuştuğunuzu bildiğinizden emin olmak sizin sorumluluğunuzdadır."

    SignalGate'in Signal ile ilgili bir skandal olması bakımından tek anlam, White'a göre, Huthi bombalama planlarına dahil olan kabine seviyesindeki yetkililerin (Savunma Bakanı Pete Hegseth ve Ulusal İstihbarat Direktörü Tulsi Gabbard dahil) Signal'ı, bu tür konuşmalar için tasarlanmış yüksek güvenlikli özel makinalarda değil, internet bağlantılı cihazlarda – hatta kişisel cihazlarında – kullandıklarını göstermesidir. White, "Geçmiş yönetimlerde, en azından, özellikle gizli iletişim için bu kesinlikle yasaktı" diyor.

    Signal'ı internet bağlantılı ticari cihazlarda kullanmak sadece Signal'daki hacklenebilir bir güvenlik açıkından yararlanabilen herhangi birinin iletişimleri açığa çıkarmakla kalmaz, aynı zamanda Signal mobil veya masaüstü uygulamalarını çalıştıran iOS, Android, Windows veya Mac cihazlarını hackleyebilen herkes için de açığa çıkarır.

    Bu nedenle, ABD kurumları genel olarak ve Savunma Bakanlığı özellikle, hangi yazılımın yüklendiğini ve hangi özelliklerin kullanılabildiğini kontrol etmek üzere özel olarak yönetilen federal cihazlar üzerinde iş yaparlar. Kabine üyeleri tartışmayı Signal veya başka bir tüketici platformunda yapmış olsalardı bile, son derece yüksek riskli, gizli askeri operasyonlar hakkında uygunsuz cihazlar veya yazılımlar kullanarak iletişim kurmak temel sorundu.

    Signal ve WhatsApp gibi iletişim uygulamaları, önceden ayarlanmış bir süre sonra mesajları otomatik olarak silme mekanizmaları olan "kaybolan mesaj" özelliği sunması nedeniyle gizli devlet işleri için uygun değildir. Bu konu, Yemen saldırısıyla ilgili sohbetin başlangıçta bir haftalık otomatik silme özelliği ile ayarlandığı, ancak daha sonra Michael Waltz'ın zamanlayıcıyı dört haftalık otomatik silmeye değiştirdiği The Atlantic tarafından yayınlanan sohbet ekran görüntüleriyle tam olarak gözler önüne serildi. The Atlantic'in editörü Goldberg yanlışlıkla sohbete dahil edilmemiş olsaydı, içerikleri uzun süredir geçerli olan hükümet gereklilikleri doğrultusunda korunmamış olabilirdi.

    Çarşamba günü Kongre'deki tanıklıklarında, ABD Ulusal İstihbarat Direktörü Tulsi Gabbard, Signal'ın devlet cihazlarına önceden yüklenmiş olarak gelebileceğini belirtti. Ancak, WIRED'e göre birden fazla kaynak, bu durumun yaygın bir uygulama olmadığını ve Savunma Bakanlığı cihazlarına Signal gibi tüketici uygulamalarının indirilmesinin son derece kısıtlı ve genellikle yasaklandığını belirtti. Savunma Bakanı Hegseth'in sohbete katılımı, Signal'ı bir bakanlık cihazına yüklemek için son derece sıra dışı bir izin almış, bu izin için standart süreci atlamış veya sohbet için bir DOD cihazı kullanmış olabileceğini gösteriyor. Siyaset danışmanı ve podcast sunucusu FP Wellman'a göre, DOD "siyasi atamaları" geçen ay Signal'ın devlet cihazlarına yüklenmesini talep etmişti.

    Trump yönetiminin davranışını savunmasının merkezinde, Signal sohbetinde gizli bilgi tartışılmadığı iddiası yatmaktadır. Gabbard ve diğerleri özellikle Hegseth'in kendi bilgi sınıflandırması yetkilisini vurguladılar. Ancak WIRED'e göre birden fazla kaynak, bu yetkinin böyle bir tartışma için tüketici uygulamalarını uygun bir forum yapmadığını belirtti.

    ABD Ordusu gazisi ve iç güvenlik risk yönetimi firması Gate 15'in kurucusu Andy Jabbour, "Bu iletişim şekli, 'sadece resmi kullanım için' veya benzeri bir resmi tanımlamaya sahip değildi. Ancak sınıflandırılması gerektiği veya gerekmediği ne olursa olsun, açıkça hassas operasyonel bilgilerdi ki, hiçbir asker veya subay bunları kamuoyu ile paylaşması beklenmezdi; ancak medyadan bir üyeyi de sohbete dahil ettiler" diyor.

    Jabbour, askeri personelin tüm düzeylerdeki gizli bilgileri ele almak için operasyon prosedürlerini güçlendirmek üzere yıllık bilgi farkındalığı ve güvenlik eğitimlerine tabi tutulduğunu ekliyor. Birden fazla kaynak WIRED'e, Yemen saldırısı sohbetindeki bilgilerin sınıflandırma standardına uyduğunu belirtmekle birlikte, hatta sınıflandırılmamış materyallerin de son derece hassas olabileceğini ve genellikle dikkatlice korunduğunu vurgulamaktadır.

    "Bir an için sınıflandırılmış bilgilerin asla sınıflandırılmamış bir sistem üzerinden tartışılmaması gerektiğini bir kenara bırakırsak, bu hat üzerinde bulunan tüm bu üst düzey insanların hiç kimsenin güvenlik hijyeni 101'ini kontrol etmemesine inanılmaz derecede şaşırdım. Bu kişilerin isimleri kimler?" diye sordu Virginia Demokratı Senatör Mark Warner, Salı günü Senato İstihbarat Komitesi'ndeki dinleme sırasında.

    The Atlantic'e göre, Signal grup sohbetinde Başkan Yardımcısı JD Vance, Dışişleri Bakanı Marco Rubio ve Trump danışmanı Susie Wiles de dahil olmak üzere 12 Trump yönetimi yetkilisi vardı. Jabbour, karar alma yetkililerinin mevcut ve iletişime katılmasına rağmen, bilgi belirleme veya bilgileri sınıflandırma işleminin kurulmuş ve proaktif bir işlemden geçtiğini ekliyor. "Eğer yere süt döküldüyse, 'Aslında bu dökülmüş süt değil, çünkü bunu dökmeyi kastetmiştim' diyemezsiniz."

    Bütün bunlar, SignalGate'in güvenlik, gizlilik ve hukuki sorunlar açısından birçok soruyu gündeme getirdiği anlamına geliyor. Ancak Signal'ın güvenliği bunlardan biri değil. Buna rağmen, Pazartesi günü The Atlantic'in haberinin ardından bazıları, Trump kabinesinin güvenlik ihlali ile Signal güvenlik açıkları arasında zayıf bağlantılara yöneldi. Örneğin, Salı günü bir Pentagon danışmanı, Google güvenlik araştırmacılarının bu yılın başlarında Signal'a Rus askeri istihbaratının Ukrayna'daki kullanıcıları hedef almak için kullandığı bir sahtekarlık tekniğini bildirmesine karşılık gelen bir raporu tekrarladı. Ancak Signal, kullanıcıların hesabına bir hacker'ı ikincil cihaz olarak eklemeye yönlendiren bu taktiğin gerçekleştirilmesini daha zor hale getirmek için bir güncelleme yayınladı ve aynı taktik aynı zamanda WhatsApp ve Telegram gibi mesajlaşma hizmetlerinde de bazı hesapları hedef aldı.

    Signal sözcüsü Jun Harada, WIRED'e, "Popüler uygulamaları ve web sitelerini kullanan kişilere yönelik sahtekarlık saldırıları internette gerçek bir durumdur. Signal kullanıcılarının hedef alındığını ve nasıl hedef alındıklarını öğrendikten sonra, insanlar sahtekarlığa kurban gitmelerini önlemeye yardımcı olmak için ek güvenlik önlemleri ve uygulama içi uyarılar ekledik. Bu çalışma aylarca önce tamamlanmıştı" dedi.

    Aslında, kriptografi araştırmacısı White, Trump yönetimi gizli iletişimleri, onaylanmamış ticari cihazlar ve ücretsiz mesajlaşma uygulamaları üzerinden savaş planlarını tartışarak risk altına koymuş olsaydı, güvenlik uzmanları arasında itibarı ve geçmişi göz önüne alındığında Signal'ı bu konuşmalar için seçmekten daha kötüsünü yapabilirdi.

    White, "Signal, yüksek risk altındaki topluluklar – insan hakları aktivisti, avukatlar ve gazeteciler için güvenilir kaynaklar – için genel öneridir" diyor. Sadece bu hafta ortaya çıktığı gibi, hava saldırıları planlayan yürütme kolunun yetkilileri için değil.

    Kaydol ya da oturum aç

    Yorumlar