2 Punkte von GN⁺ 2025-05-02 | 2 Kommentare | Auf WhatsApp teilen
  • US-Verteidigungsminister Pete Hegseth hatte offenbar in seinem Büro im Pentagon einen privaten Computer, der direkt mit dem öffentlichen Internet verbunden war; es gibt Hinweise darauf, dass er auf diesem Gerät Signal nutzen wollte, das bei Mitgliedern der Trump-Regierung beliebt ist
  • In seinem Büro sind bereits offizielle sichere Kommunikationsmittel wie CMS, DRSN, NIPRNet, SIPRNet, JWICS und Webex vorhanden; einige Geräte unterstützen sogar Gespräche auf TS/SCI-Niveau
  • Als die Nutzung von Signal auf Regierungscomputern oder für geheime Gespräche zugelassenen Smartphones schwierig oder nicht erlaubt war, nutzte Hegseth zunächst einen WLAN-Bereich hinter seinem Büro und beantragte später eine direkte Internetleitung für seinen Schreibtisch
  • Diese Leitung umging die Sicherheitsprotokolle des Pentagon und war direkt mit dem öffentlichen Internet verbunden; da sie weniger überwacht wurde als NIPRNet, erhöhte sich das Sicherheitsrisiko
  • Dem Verteidigungsminister steht zwar das von 26 Soldaten und 4 zivilen Mitarbeitern betriebene Kommunikationszentrum SecDef Cables zur Verfügung, doch der Kern der Kontroverse ist, dass separate private Geräte und die Nutzung von Signal vorangetrieben wurden

Offizielle Kommunikationsgeräte in Hegseths Büro

  • Verteidigungsminister Pete Hegseth hat wie seine Vorgänger Zugriff auf mehrere sichere und nicht sichere Telefone sowie Computernetzwerke
  • Die Geräte sind auf einem Tisch hinter dem großen Schreibtisch im Pentagon-Büro installiert; die Konfiguration hat sich seit der Amtszeit von Chuck Hagel, der von 2013 bis 2015 Verteidigungsminister war, im Wesentlichen kaum verändert
  • Telefongeräte

    • Auf einem Holzsockel steht ein Cisco IP Phone 8841 mit 14-Tasten-Erweiterungsmodul; es ist Teil des Crisis Management System (CMS)
    • CMS verbindet den Präsidenten, den National Security Council, Kabinettsmitglieder, die Joint Chiefs of Staff und andere hochrangige Regierungsvertreter
    • Die leuchtend gelbe Blende bedeutet, dass es für Gespräche auf Top-Secret/Sensitive-Compartmented-Information-Niveau, also TS/SCI, genutzt werden kann
    • Unter dem Holzsockel liegt nahezu unsichtbar das Integrated Services Telephone-2, kurz IST-2
    • Das IST-2 kann sowohl für sichere als auch für nicht sichere Telefonate genutzt werden und gehört zum Defense Red Switch Network (DRSN) beziehungsweise zum Multilevel Secure Voice Service
    • DRSN ist ein zentrales System für geheime militärische Gespräche und verbindet das White House, militärische Kommandozentralen, Nachrichtendienste und NATO-Verbündete
    • Vor dem IST-2 steht ein weiteres Cisco IP Phone 8841 mit 14-Tasten-Erweiterungsmodul; die grüne Blende kennzeichnet es als Telefon für nicht geheime Gespräche
    • Dieses Telefon ist Teil des internen Telefonnetzes des Pentagon und ersetzt das Avaya Lucent 6424 für Führungskräfte, das auf einem Foto von 2021 zu sehen war
  • Computer und Videokonferenzgeräte

    • Neben den Telefonen stehen zwei Computerbildschirme mit hellgrünem Hintergrundbild; dies weist auf eine Verbindung zu einem nicht geheimen Netzwerk hin
    • Bei diesem Netzwerk handelt es sich wahrscheinlich um NIPRNet
    • Auf Fotos des Büros des früheren Verteidigungsministers Lloyd Austin ist außerdem ein KVM-Switch zu sehen, mit dem sich SIPRNet und JWICS sicher über dieselbe Tastatur, denselben Bildschirm und dieselbe Maus umschalten lassen
    • Rechts auf dem Tisch stehen zwei Cisco Webex DX80-Videokonferenzbildschirme
    • Das gelbe Etikett am rechten Gerät weist darauf hin, dass es für TS/SCI zugelassen ist
    • Dieses Gerät gehört möglicherweise zu CMS und kann als Nachfolger des Secure Video Teleconferencing System (SVTS) betrachtet werden
    • Der andere Bildschirm könnte für Videokonferenzen auf einer niedrigeren Geheimhaltungsstufe vorgesehen sein

Privater Computer für die Nutzung von Signal

  • Obwohl Hegseth viele Kommunikationsmöglichkeiten über geeignete und sichere Regierungskanäle hatte, bestand er auf der Nutzung von Signal
  • Signal konnte offenbar nicht auf Regierungscomputern oder für geheime Gespräche zugelassenen Smartphones installiert werden oder war dort nicht erlaubt
  • Laut AP News ging Hegseth zunächst in einen Bereich hinter seinem Büro mit WLAN-Zugang, um Signal zu nutzen
    • Unklar ist, ob er dabei einen privaten Laptop oder ein privates Smartphone verwendete
    • Die Nutzung beider Geräte in einem solchen Sicherheitsbereich war höchstwahrscheinlich streng verboten
  • Später beantragte Hegseth eine Internetverbindung, damit er seinen eigenen Computer am Schreibtisch nutzen konnte
    • Diese Leitung war direkt mit dem öffentlichen Internet verbunden
    • Sie umging die Sicherheitsprotokolle des Pentagon
  • Bei dem neuen Desktop-Computer, der auf einem Foto vom 20. März 2025 zu sehen ist, scheint es sich um dieses Gerät zu handeln
    • Auf einem Foto vom 21. Februar 2025 war es noch nicht vorhanden
    • Auch ein Etikett zur Kennzeichnung der Geheimhaltungsstufe fehlt

Charakter der direkten öffentlichen Internetleitung

  • Auch einige andere Beschäftigte des Pentagon nutzen Leitungen, die direkt mit dem öffentlichen Internet verbunden sind
    • Solche Leitungen werden zum Beispiel verwendet, wenn man nicht als über eine dem Pentagon zugewiesene IP-Adresse erkannt werden möchte
  • Solche Direktleitungen sind riskant, weil sie weniger überwacht werden als NIPRNet
    • NIPRNet ist ein nicht geheimes Netzwerk, das eingeschränkten Zugriff auf das externe Internet erlaubt
  • Hegseth installierte Signal auf dem neuen Desktop-Computer
    • Damit wurde die Signal-App auf seinem privaten Smartphone faktisch gespiegelt
  • Laut einigen Medienquellen zeigte Hegseth auch Interesse daran, auf diesem privaten Computer ein Programm zum Versenden normaler Textnachrichten zu installieren
  • Ziel dieser Maßnahme war es, das Problem mangelnder Mobilfunkversorgung in weiten Teilen des Pentagon zu umgehen und einfacher mit dem White House sowie anderen Mitgliedern der Trump-Regierung zu kommunizieren, die Signal nutzen
  • In einem am 5. Mai 2025 auf X veröffentlichten Video scheint der neue nicht autorisierte Computer zumindest von Hegseths Schreibtisch entfernt worden zu sein

Kommunikationszentrum SecDef Cables

  • Dass Hegseth so große Anstrengungen für die Nutzung von Signal unternahm, fällt umso stärker auf, als dem Verteidigungsminister ein separates dediziertes Kommunikationszentrum zur Verfügung steht
  • Dieses Kommunikationszentrum wird allgemein SecDef Cables genannt und ist Teil der Secretary of Defense Communications (SDC)-Einheit
  • SecDef Cables stellt operatives Informationsmanagement bereit und dient als Unterstützungszentrum für Command and Control
    • Dort arbeiten 26 Soldaten und 4 zivile Mitarbeiter
    • Es stellt dem Verteidigungsminister und seinem unmittelbaren Stab unabhängig vom Standort Sprach-, Video- und Datenfunktionen über mehrere Plattformen und Geheimhaltungsstufen hinweg bereit
  • SecDef Cables dient außerdem als Kontaktstelle zu mehreren wichtigen Kommunikationszentren
    • National Military Command Center (NMCC)
    • White House Situation Room
    • State Department Operations Center
    • ähnliche Kommunikationszentren
  • Cables verwaltet auch Verbindungen über den Defense Telephone Link (DTL)
    • DTL ist eine niedrigschwellige Hotline zu militärischen Ansprechpartnern in rund 25 Ländern, darunter Russland und China

2 Kommentare

 
GN⁺ 2025-05-02
Meinungen auf Hacker News
  • Die anderen Mitglieder der Five Eyes sollten vorsichtig sein, was sie während dieser Vorgänge mit den USA teilen.
    Die von Signal verwendete Public-Key-Kryptografie ist für die meisten Zwecke gut genug und für Dinge wie Kreditkartentransaktionen hervorragend. Bei der Übermittlung von Staatsgeheimnissen gibt es jedoch das Problem, dass man schwerlich langfristige Vertraulichkeit erwarten kann.
    Eine heute über Signal gesendete Nachricht könnte als Chiffretext gespeichert und in 10 Jahren mit dann verfügbarer Hardware und Algorithmen angegriffen werden. Vielleicht ist die Verschlüsselung von Signal dann immer noch stark, vielleicht lässt sie sich aber auch leicht brechen. Wenn das Geheimnis dieser Nachricht auch in 10 Jahren noch sensibel ist, wird das zum Problem.
    Was über Signal gesendet wird, sollte man wie eine Veröffentlichung mit unbekannter Verzögerung behandeln; wenn man Informationen mit den USA teilt, ist das eine schwer akzeptable Bedingung.

    • Die Verschlüsselungsalgorithmen von Signal selbst sind in Ordnung. Das Problem ist die Ausführungsumgebung: Consumer-Geräte, die mit dem normalen Internet verbunden sind. Außerdem ist schwer zu glauben, dass jemand, der so etwas tut, Patches rechtzeitig installiert.
      Ein einzelner Zero-Day oder ein unbedachter Klick kann einem Gegner Zugriff auf Nachrichten verschaffen oder ihn sogar Nachrichten senden lassen. Signals Funktion für verschwindende Nachrichten verringert das erstgenannte Risiko, kollidiert aber mit gesetzlichen Vorgaben zur Aufbewahrung von Regierungsunterlagen.
      Der Grund, den Zugriff auf Regierungssysteme zu beschränken, ist nicht, dass diese Systeme auf magische Weise immun gegen Sicherheitslücken wären, sondern dass tatsächlich qualifizierte Fachteams sie überwachen und proaktiv Sicherheitsmaßnahmen ergreifen. Sein Handy kann verdächtigen SMS/MMS ausgesetzt sein, die jeder weltweit schicken kann, sobald er nur die Nummer kennt, und schon eine kommerzielle Spyware-Lizenz kann gefährlich werden. Ein geheimer Rechner in einem Sicherheitsnetz kann solchen Traffic dagegen gar nicht empfangen, seine Konfiguration ist gesperrt, und Kompromittierungen werden viel schneller erkannt.
      Entscheidend ist der größere Kontext. Es ist etwa so, als würde der Besitzer einer Bank einem betrunkenen Golfkumpel die Geschäftsführung überlassen, woraufhin dieser anfängt, die Bücher im Auto aufzubewahren, weil es bequemer ist. Selbst wenn jemand mit vollkommen guten Absichten sein Bestes geben will, erhöht so ein Verhalten nur massiv Risiken, die niemandem nützen und auf die man nicht vorbereitet ist.
    • Ich frage mich, welche andere Verschlüsselung man für Staatsgeheimnisse verwenden will. Das klingt, als wolle man andeuten, Regierungen oder Nachrichtendienste nutzten ein weit überlegenes Kryptosystem, aber soweit ich weiß, ist Signal sehr nah am Stand der Technik.
      Signal ist kein naiver Ansatz wie bei RSA, bei dem eine Nachricht einfach mit einem öffentlichen Schlüssel ver- und entschlüsselt wird. Zunächst wird mit asymmetrischen Schlüsselpaaren per Diffie-Hellman ein Schlüsselaustausch durchgeführt, um einen einmaligen symmetrischen Schlüssel zu erzeugen; mit diesem wird dann ver- und entschlüsselt. Dadurch ist auch Forward Secrecy gewährleistet: https://signal.org/blog/asynchronous-security/
      Heutzutage werden zusätzlich quantenresistente Kryptoverfahren eingebaut, und es gibt sicher noch viele weitere Details, die hier ausgelassen sind.
    • Selbst wenn Signals Kryptografie-Implementierung sicher ist, ist es sehr wahrscheinlich, dass das Gerät, auf dem sie läuft, die TEMPEST-Anforderungen nicht erfüllt. Die meiste Consumer-Verschlüsselung ist auf die eine oder andere Weise anfällig für Seitenkanalangriffe.
    • Der Punkt, dass „was über Signal gesendet wird, wie eine Veröffentlichung mit unbekannter Verzögerung behandelt werden sollte“, ist bereits berücksichtigt, und alle von der Regierung genutzten Kryptosysteme werden aus dieser Perspektive betrachtet.
      Entscheidend ist, ob man davon ausgeht, dass es bis zur Veröffentlichung Wochen oder Jahre dauert; die Sicherheitsstärke wird entsprechend unterschiedlich an ein für den jeweiligen Zweck vernünftiges Niveau angepasst.
      Wenn Informationen absolut niemals öffentlich werden dürfen, ist Verschlüsselung nicht die Lösung, und in der Regel sind Computer es auch nicht.
    • Ich würde einen anderen Rat geben: Man sollte keine Staatsgeheimnisse mit den USA teilen.
      Diese Geheimnisse werden sich in falsch konfigurierten Cloud-Konten befinden oder zwischen solchen Konten hin- und herwandern. Irgendeine Behörde wird irgendwann eine Genehmigung für Analysen zu Zwecken der Finanzspionage erhalten, und die Möglichkeit oder bestätigte Tatsache, dass diese Geheimnisse durchgesickert sind, wird den USA plausible Abstreitbarkeit verschaffen, wenn sie sie missbrauchen.
  • Die Heuchelei ist enorm
    https://www.theguardian.com/us-news/2016/sep/02/hillary-clin...
    https://www.theguardian.com/us-news/2016/jul/05/fbi-no-charg...
    Außerdem:
    https://www.fbi.gov/news/press-releases/statement-by-fbi-dir...
    „Um es klar zu sagen: Das bedeutet nicht, dass jemand, der sich in einer ähnlichen Situation so verhalten hat, keinerlei Konsequenzen zu tragen hätte. Im Gegenteil, solche Personen müssen häufig mit sicherheitsbezogenen oder administrativen Sanktionen rechnen. Aber das ist nicht das, was wir hier beurteilen.“

    • Was sie getan hat, war eindeutig falsch, daran besteht kein Zweifel. Es musste untersucht und angemessen behandelt werden.
      Aber man sollte den fahrlässigen Umgang einer Außenministerin mit vertraulichen Dokumenten nicht so darstellen, als sei er dasselbe oder damit vergleichbar wie ein Verteidigungsminister, der geplante Angriffspläne teilt und die Informationssicherheit aktiv umgeht. Insbesondere nicht nach der heftigen Kritik und den Ermittlungen im Fall der Außenministerin.
      Zu hoffen, dass Regierungsbeamte sich verbessern, statt zu stagnieren oder noch schlechter zu werden, ist keine Heuchelei.
    • Der Kanal Legal Eagle hat die beiden Situationen unter „Signal War Plans v.s. Hillary's Emails“ analysiert:
      https://www.youtube.com/watch?v=cw1tNTIEs-o
      Rechtlich sind die beiden Situationen tatsächlich nicht gleichwertig. Einer der großen Unterschiede ist, dass Hesgeth und seine Leute die Kommunikation so eingestellt hatten, dass sie automatisch gelöscht wurde, was gegen Vorschriften zur Aufbewahrung von Aufzeichnungen verstößt. Es gibt keine Belege dafür, dass Clinton E-Mails gelöscht hat.
    • Ihre E-Mails waren zu keinem Zeitpunkt für geheimes Material gedacht, und alle Schutzmaßnahmen, die jetzt umgangen werden, wären ursprünglich angewendet worden.
      Alle Absender und Empfänger (bcc ausgenommen) wussten oder konnten wissen, dass sie keine .gov-E-Mail-Adresse verwendete, und waren damit gewissermaßen an der Nutzung dieses Servers beteiligt oder hatten ihr stillschweigend zugestimmt.
      Gelegentlich kommt es vor, dass Material, das damals nicht geheim war, später als geheim eingestuft wird, oder dass durch Absender, die geheime Informationen verschicken, Datenabflüsse entstehen, sodass Empfänger an Löschungen, Untersuchungen usw. mitwirken müssen.
      Einen externen Server zu verwenden war schlecht, aber zugleich war es von Anfang an öffentlich sichtbar.
    • „Wenn man auf Ermittlungen zum unsachgemäßen Umgang mit oder zur Entnahme von geheimen Informationen zurückblickt, findet sich kein Fall, der auf Grundlage dieser Fakten eine strafrechtliche Anklage stützen würde. Alle angeklagten Fälle enthielten eine Kombination aus eindeutig vorsätzlichem und absichtlichem nachlässigem Umgang mit geheimen Informationen, einer so umfangreichen Offenlegung von Material, dass vorsätzliches Fehlverhalten daraus abgeleitet werden konnte, Anzeichen von Illoyalität gegenüber den USA oder Versuchen, die Justiz zu behindern.“
      Wirklich Heuchelei.
    • Klassisches Whataboutism.
  • Abgesehen von Fragen der Operationssicherheit und persönlicher Verantwortung sehe ich das als weiteres Beispiel dafür, dass „Sicherheit, die auf Kosten der Benutzbarkeit geht, am Ende die Sicherheit opfert“.
    Weil die offiziellen Kommunikationsgeräte des DoD miserabel sind, nutzen Leute, wenn sie glauben, nicht erwischt zu werden, weniger sichere, aber einfacher zu bedienende verschlüsselte Kommunikationsplattformen.
    Vielleicht sollte das DoD ein internes Android und einen Signal-Fork entwickeln, die zusätzliche zentrale Sicherheitskontrollen enthalten, ohne die Benutzbarkeit zu ruinieren. Hier ist ein klarer Desire Path zu erkennen.

    • Man nutzt inoffizielle Kommunikation, um offiziellen Aufzeichnungen und Nachverfolgbarkeit der Verantwortung zu entgehen; mit Bedienkomfort hat das nichts zu tun.
    • Es geht nicht nur um „wenn sie glauben, nicht erwischt zu werden“. Sicherheit bringt Kompromisse und Abwägungen mit sich.
      Menschen sind nun einmal töricht: Sie verwenden Passwörter wieder, installieren bessere, aber unsichere Software, führen keine Updates durch und so weiter — die alte Geschichte wiederholt sich.
      Wenn man im Jahr 2025 nicht so einfach mit jeder Person auf der Erde kommunizieren kann wie durch das Öffnen einer App und Tippen, werden die Leute andere Wege finden. Es gibt schließlich ungefähr tausend bessere Möglichkeiten.
      Deshalb ist es wahrscheinlicher, dass es weniger darum ging, etwas heimlich zu tun, sondern eher darum, eine geringfügig bequemere Option den mühseligen Sicherheitsfunktionen staatlicher Kommunikation vorzuziehen, etwa physischen Tokens, langsamer biometrischer Authentifizierung oder automatischem Logout nach 15 Sekunden. Das könnte jedem passieren.
      Vielleicht bringt dieser Vorfall die staatlichen Verantwortlichen für Kommunikationssicherheit dazu, ihre Praktiken neu zu bewerten. Das ist keine Verteidigung dieses Verhaltens, sondern eine mögliche Erklärung; bei der Bewertung von Sicherheitsversagen ist es nicht immer die beste Antwort, den Nutzern die Schuld zu geben.
    • Teilweise stimmt das. Es gab auch Android, das auf General Dynamics OKL4 und Green Hills' INTEGRITY RTOS lief, und Signal ließe sich dorthin portieren.
      Wenn man gewollt hätte, hätte man auch direkt eine Separation Layer unterstützen können, die jeder Anbieter nutzen kann. Ich denke, der Einfluss großer Unternehmen auf Beschaffungsentscheidungen, also Korruption, treibt einen erheblichen Teil solcher Probleme an.
    • Er hat einen 30-köpfigen Stab von Assistenten, dessen Aufgabe es ist, ihn mit jeder gewünschten Person zu verbinden. Soll die Benutzbarkeit eines dedizierten Concierge-Services mit mehr als 20 Leuten schlechter sein als Signal in einem Gebäude mit schlechtem Mobilfunksignal?
  • Wenn man jemanden ohne jede Qualifikation und sogar mit einer Vorgeschichte von Alkoholmissbrauch in eine verantwortliche Position setzt, hätte man wenigstens prüfen müssen, ob er kompetent ist.
    Es ist wirklich ärgerlich zu sehen, wie jemand mit Befugnissen auf höchster Ebene so tut, als stünde diese Aufgabe unter ihm. Es fühlt sich an, als würde man dabei zusehen, wie Geschichte von den privilegiertesten und inkompetentesten Menschen unter uns geschrieben wird.

    • Ich kann mir kaum noch neue Politthriller-Serien oder -Filme ansehen, die auf der Prämisse beruhen, dass die US-Regierung von ernsthaften und sachkundigen Menschen geführt wird.
      Das ist so weit von der heutigen Realität der Politiker entfernt, dass die dafür nötige Suspension of Disbelief fast unmöglich ist. Mir fällt da diese jüngste peinliche De-Niro-Serie ein.
    • Diese ganze Regierung wurde nach dem Kriterium Loyalität ausgewählt. In so einem Umfeld wird Kompetenz zur Bedrohung.
    • Dass Geschichte von privilegierten und inkompetenten Menschen geschrieben wird, war vielleicht ziemlich häufig. Das ist keine Entschuldigung, sondern: Weil solche Leute am Ende selbst die Erzählung geschrieben haben, fällt es uns schwer, es zu bemerken.
    • Kompetenz ist Teil der Qualifikation, daher ist die Forderung schon theoretisch unmöglich.
    • Eine Vorgeschichte von Alkoholmissbrauch sollte bei US-Sicherheitsfreigaben ein Ausschlussgrund sein.
      Man kann solchen Leuten Alkohol geben, um Geheimnisse herauszubekommen, oder in einem Gespräch unter vier Augen einen „betrunkenen Geisteszustand“ herbeiführen, um ihnen Geheimnisse zu entlocken; sie lassen sich also leicht manipulieren. Dazu kommt noch der große Fehler mit Signal, also #signalgate.
  • Nehmen wir an, man arbeitet für einen Nachrichtendienst eines nicht-US-amerikanischen Staates. Wie würde man Hegseths privaten Bürocomputer im öffentlichen Internet finden? Das ist ein ernst gemeintes Gedankenexperiment.

    • Man schreibt einen Artikel, den er vermutlich lesen möchte, verbreitet den Link und sammelt dann wie andere Websites Browserdaten ein.
    • Ich würde Witkoff acht Stunden in einem Hotel warten lassen, während ein Team ein Zimmer weiter drahtlos in sein Handy eindringt und in die Signal-Unterhaltungen gelangt.
      https://news.sky.com/story/trumps-fixer-was-made-to-wait-eig...
      Wenn es um seinen privaten PC geht, schickt man Big Ballz vorbei, damit er ein kleines Upgrade macht.
      https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      Oder auch eine kostenlose Starlink-Schüssel.
      https://www.nytimes.com/2025/03/17/us/politics/elon-musk-sta...
    • Man schickt einfach per Signal-Nachricht einen Link. Seine Telefonnummer ist weithin bekannt, und er hat Signal auf seinem Desktop-Computer installiert.
      Das Signal-Protokoll schützt Nachrichten während der Übertragung. Aber die Desktop-App könnte eine clientseitige Schwachstelle haben oder auch nicht. Und wenn er auf den Link klickt, verlässt er Signal und landet im Browser. Wenn der Link eine Datei herunterlädt, ist man im Betriebssystem.
    • Mit dieser Triangulationsmethode lässt sich Traffic zum White House finden:
      https://news.ycombinator.com/item?id=42780816
      Der Titel lautet „0-click deanonymization attack targeting Signal, Discord, other platforms“.
      Vielleicht ist es inzwischen kein 0-Click mehr, aber wenn der Nutzer im Internet surft, gilt es weiterhin.
    • Man kompromittiert das Gerät eines seiner Kontakte, schickt über Telegram einen verlockenden Link und lässt beim Öffnen auf dem Handy „Error: Not viewable on mobile“ anzeigen.
      Bonuspunkte, wenn der Link einen Zero-Day-Malware-Dropper enthält.
  • Ich glaube, es wäre ziemlich gut, ein Drama im Stil von West Wing zu machen, in dem alle sich selbst sehr ernst nehmen, aber darunter offensichtliche und allgegenwärtige Inkompetenz liegt.
    Ein Drama über Idioten, das überhaupt nicht lustig ist, nicht erkennbar satirisch wirkt und dem Publikum nicht zuzwinkert. Ich würde gern in die Köpfe dieser bizarren Leute hineinschauen.

    • Das ist im Grunde „Veep“. „In The Loop“, „The Thick Of It“ oder eigentlich die meisten Werke von Armando Iannucci dürften auch passen.
    • Du meinst wohl Veep. Eher „Arschlöcher“ als „Idioten“, aber von beidem gibt es genug.
    • „Burn After Reading“ spielt zwar etwas abseits des Machtzentrums, zeigt aber großartig, wie ein Haufen Idioten versucht, in die entsetzte Welt der Profis außerhalb des Bildes hineinzupfuschen. Wirkt wie ein Vorzeichen.
    • The Office, White-House-Version.
    • Veep ist eine Dokumentation.
  • a) Die tatsächliche Kommunikationsumgebung von Beamten besteht aus drei Telefonen und vier Monitoren, die nicht an Armen oder Wandhalterungen befestigt sind, sondern auf einem mit Kram vollgestellten, anachronistischen Holzschreibtisch stehen.
    b) In „Spionage“-Filmen dagegen sieht man auf vier an Armen montierten Monitoren dunkle Screen-Grafiken mit grellen Hacker-Charts; der Beamte selbst schaut im Halbdunkel nicht auf die kleinen Monitore, das tun seine Untergebenen, während er nur auf den 136-Zoll-Bildschirm an der Wand blickt, auf dem er mit Bösewichten videokonferiert.
    Dieser Kontrast ist wirklich komisch.

    • Und c) in Russland sitzt wahrscheinlich jemand auf der Toilette und liest die Spionagekommunikation auf einem privaten Handy mit.
  • Mir fallen nur zwei mögliche Erklärungen ein:

    1. Er will vermeiden, dass korrupte SIGINT-Leute wissen, was er tut.
    2. Er will die offiziellen Aktenführungsvorschriften umgehen, damit die Regierung ihm seine Korruption nicht nachweisen kann.
      Gibt es noch etwas anderes?
      1. Er ist ein Idiot, der überhaupt nicht nachdenkt und wegen seiner Loyalität eingestellt wurde, nicht wegen seines Verstands.
    • Es könnte derselbe Grund sein, aus dem Teenager über Instagram-DMs über Schulprojekte reden. Es ist einfach die Plattform, mit der sie vertraut sind.
      Oder derselbe Grund, aus dem ich Whatsapp benutze: Die Gespräche meiner sozialen Gruppe finden dort statt, und ohne sie ist man außen vor.
      Die Erklärungen unterstellen eine tiefere Bedeutung, nämlich dass jemand die Trade-offs der jeweiligen Kommunikationsplattformen abgewogen und eine rationale Schlussfolgerung gezogen hätte; dafür gibt es aber kaum Hinweise.
      Es kann einfach sein, dass die Leute um Trump herum zufällig daran gewöhnt waren, über Signal zu kommunizieren, und dass Pete außen vor gewesen wäre, wenn er nicht mitgemacht hätte.
  • Die Signal-Entwickler tun mir leid. Früher waren sie, sofern sie nicht persönlich von einem staatlichen Akteur ins Visier genommen wurden, kein Ziel; jetzt sind sie es.
    Was auch immer man über die Bedienbarkeit der selbst entwickelten DoD-Lösung sagen mag: Es war ein militärisches System, gestützt durch Militärbudget und Waffen, und bei Angriffen auf solche Systeme war die Wahrscheinlichkeit geringer, dass Zivilisten Kollateralschäden erleiden.
    Jetzt kann jeder Zivilist, der Signal nutzt, zum Opfer von Splitterschäden eines militärischen Konflikts werden.
    Ich glaube auch nicht, dass Signal das Budget, das Personal oder den Willen hat, als Frontsoldat der Cyberkriegsführung zu dienen. Aber ob sie wollen oder nicht: Sie sind Risiken auf militärischem Niveau ausgesetzt.

    • Nach dem bisherigen Nutzungsmuster dürften Signal und seine Entwickler schon seit Langem Ziel gewesen sein.
      Es gab auch Strafverfolgungsbehörden und Forensikfirmen wie Cellebrite, woraufhin Signal mit einem ziemlich unterhaltsamen Blogbeitrag zurückschlug: https://signal.org/blog/cellebrite-vulnerabilities/
 
unsure4000 2025-05-02

Am Ende ist der Mensch doch die größte Schwachstelle.