Скандал SignalGate у США: чи винний месенджер Signal?
Не попускає світову спільноту з приводу обговорення SignalGate.
Нагадаю суть скандалу: у одному Signal-чаті міністр оборони США Піт Хегсет, віце-президент Джей Ді Венс, державний секретар Марко Рубіо, директорка національної розвідки Тулсі Ґаббард, директор ЦРУ Джон Реткілфф, очільник Мінфіну Скотт Бессент та радник Президента з національної безпеки Майкл Волтц обговорювали собі деталі майбутніх військових ударів по хуситах у Ємені.
Аж раптом неясно яким чином до чату добавили журналіста: головного редактора журналу "The Atlantic" Джеффрі Ґолдберґа. Який почитав шо там пишуть, подумав, зважив ризики – і вивалив усю ту переписку на паблік у своєму виданні.
Я вперто не хотів це коментувати, бо не розумів «а що тут коментувати, власне?»
До месенджера Signal немає і не може бути претензій – косяк на боці сумновідомого “людського фактору”, який здатен пересрати найдосконалішу систему безпеки.
Але скандал не вщухає, і підвозять все нові подробиці.
Стало відомо, наприклад, що добавив журналіста до чату саме Майкл Волтц – на секундочку, радник Президента США з національної безпеки. У нас немає аналогічної посади, але це типу «крутіше за Голову СБУ, майже Єрмак».
Причому Волтц добавив журналіста до чату начебто під час перебування у москві іншого радника Вітькова, поки той очікував височайшої аудієнці до його кривавої величності, московського царя. Пікантненько, аднака. Хоча неясно з мотивацією.
Банальна людська помилка?
Я не бачу тут інших варіантів.
Але вражає її рівень.
І тут вже можна говорити про категорії OpSec, Operational Security.
Якщо спрощувати, то OpSec – просто набір суто організаційних методів, процедур, протоколів. Формалізація підходів, так би мовити. Ще простіше – наявність чітких інструкцій хто що де і коли має робити «щоб було зашибісь» в плані безпеки. І контроль за виконанням цих інструкцій, щоб їх було складно було порушити або обійти.
І схоже, що саме з цим у поточної американської адміністрації є очевидні проблеми. Люди, які раніше не займалися високо-ризиковою безпекою (наприклад, Піт Хегсет був телеведучим) – раптом почали нею займатися і застосували для комунікацій методи, які для них були цілком прийнятні у «попередньому житті». У якому ціна помилки була незначною.
Тобто ситуація змінилася, а от люди – ні. При зміні посад люди мали б змінювати свої підходи примусово, під тиском обов’язкових процедур – але шось пішло не так і система не спрацювала.
Що цікаво: факт обговорення державних справ через неофіційну електронну пошту коштував у 2016 кандидату від Демократичної партії США Гіларі Клінтон програних виборів. Тому що її опоненти з Республіканської партії медійно роздули це до рівня державної зради та здачі національних інтересів. І це суттєво вплинуло на настрої виборців.
Розслідування за цим фактом завершилося у 2019 повним виправданням та запереченням факту неналежного поводження з секретною інформацією.
Але ж було сильно пізно – вже три роки як обрали іншого кандидата, Д. Ф. Трампа. Розумним , як то кажуть, треба бути вчасно.
Наразі по факту обговорення у Signal-чаті питань національної безпеки неурядова організація American Oversight подала до федерального суду позов проти 5 американських високопосадовців, які були учасниками цього чату. Заявник стверджує, що це порушує федеральний закон, який регулює збереження державних записів. І тому вимагає заборони видаляти записи з того чату.
Хоча думаю, що учасники чату (крім журналіста, який вийшов з того чату) вже давно все знищили і кінців вже не знайдеш.
Тому не думаю, що у цієї справи є судові перспективи. Хоча Конгрес США теж проводить своє розслідування цього інциденту. Але це також безперспективняк.
Єдино що можу поки що сказати по цьому всьому – людський фактор залишається критичною ланкою, попри всі можливі заходи безпеки.
Ця ланка може бути найслабшою і призвести до величезних проблем, як у даному випадку.
Але. Якщо людина належним чином навчана (наприклад, на моєму курсі «Особистий кіберзахист») – то це може стати найсильнішою ланкою.
І тоді просто нічого не станеться.
Не станеться витоку інформації, не будуть вкрадені гроші, не оприлюднять компрометуючі знімки, конкуренти не уведуть вигідний контракт.
А коли нічого не стається – то складається враження «так може ну її нах, ту безпеку?» і робиться висновок «роль кібербезпеки дещо перебільшена».
Але то окрема сумна історія.
А поки що радив би читати книжки й займатися самовдосконаленням.
Тренувати мозок, частіше включати здоровий глузд та застосовувати критичне мислення.
І тоді можна уникнути потрапляння у скандали.
А продовжать служити трампогані - репутацію буде засрано намертво
Лідер хуситів Абдул-Малік аль-Хусі наказав своїм воїнам відволіктися від жування кату і всім скачати "Сигнал". "Пророк відкрив мені, що там можна дізнатися про плани цих недороблених шайтанів. Я вже одного зафрендив. Якийсь аль-Адмін."- сказав Абдул-Малік.
Якраз у цьому випадку таки є що коментувати. Так званий людський фактор - основа усіх злочинів - хоч пограбування банку, хоч велика хакерська атака, хоч крадіжка секретів тощо. Треба завжди пам'ятати - сама найсупер-пупер-просунута система безпеки завжди абсолютно безсила перед цим "людським фактором" - завжди знайдеться якийсь молодший охоронник/оператор/програміст/клєрк який суне флешку з трояном/скопіює ключі/передасть коди доступу/чи просто необачний ідіот... тощо - і уся система захисту летить в унітаз.
Так що захистити інформацію, яку знають вже "двоє" - неможливо... Ніяк. Який би фаєр-вол до неба не збудували - за цю стіну завжди хтось заходить по службі - і завжди знайдеться за купку долярів який пацан, котрий допоможе провертіти величезну діру.
Цікаво, з яких девайсів вони писали? Айфони?
Невже АНБ з бюджетом в 40 мільярдів не може створити систему нацбезпеки, при якій посадовці не будуть вимушені користуватися комерційними месенджерами? Куди йдуть гроші платників податків, що це за держава, де немає програми державно-військової конференції з електронними персональними ключами на фізичному носії? Щоб журналіст чи секретар посольства не мав можливості туди зайти в принципі. Тобто Тор вони створити можуть, а безпечну конференцію ні? Ідентифікацію для банку можуть, навіть з скануванням сітківки, а чат ні? До речи, у нас є така конференція, чи у нас посадовці теж спілкуються в телеграм?
І друге, людський фактор можна прибрати частково просто введенням простенького протоколу у вигляді трьох запитань перед заходом в такий чат. Люди дуже замотані, увага розпорошена, і відповідно збільшується вірогідність виникнення того самого людського фактору.
"Христо Грозєв розповів, як хакери з Black Mirror підібрали пароль до поштової скриньки заступника шефа Головного розвідувального управління Росії Андрія Ільченка. Справа була така. У цього путінського джеймса бонда тричі розкривали пошту, і паролі опинялися у публічному доступі. Перший пароль на поштовій скриньці Ільченко мав «Москва». Коли пошту зламали, Ільченко поміняв його на "Москва1". Коли зламали вдруге - поміняв на "Москва2". Зламали й цей. Хакери з Black Mirror спробували (чим чорт не жартує!) «Москва3» і вгадали. Тепер у Bellingcat є такий стійкий вираз, що використовується, коли неможливо дати будь-яке раціональне пояснення того, що відбувається в Росії: «Москва4»."