3 poin oleh GN⁺ 2025-03-25 | 1 komentar | Bagikan ke WhatsApp
  • Pemimpin redaksi The Atlantic menerima rencana serangan di sebuah grup Signal sekitar 2 jam sebelum serangan udara terhadap target Houthi di Yaman pada 15 Maret 2025, dan pesan itu berisi informasi tentang senjata, target, dan waktu
  • Di “Houthi PC small group”, akun-akun yang teridentifikasi sebagai Michael Waltz, Pete Hegseth, JD Vance, Marco Rubio, John Ratcliffe, dan lainnya melanjutkan diskusi keamanan nasional tingkat tinggi
  • Percakapan itu memuat pertimbangan kebijakan seperti porsi perdagangan melalui Suez, beban Eropa, kemungkinan kenaikan harga minyak, keamanan operasi, dan waktu respons Houthi, bersama informasi operasi militer yang dijadwalkan
  • Juru bicara National Security Council menjawab bahwa percakapan Signal tersebut tampaknya asli, dan menyatakan sedang meninjau bagaimana sebuah nomor yang tidak semestinya bisa ditambahkan
  • Signal bukan saluran yang disetujui untuk berbagi informasi rahasia, dan pengaturan pesan yang menghilang juga dapat menimbulkan masalah Federal Records Act, sehingga memicu kontroversi soal keamanan sekaligus pelestarian catatan

Pemimpin redaksi The Atlantic yang keliru masuk ke grup Signal

  • Pada 11 Maret 2025, pemimpin redaksi The Atlantic menerima permintaan koneksi di Signal dari pengguna yang ditampilkan sebagai “Michael Waltz”
  • Signal diperkenalkan sebagai layanan pesan terenkripsi open-source yang digunakan orang-orang yang membutuhkan perlindungan privasi lebih tinggi, termasuk jurnalis
  • Ia mempertimbangkan dua kemungkinan: bahwa itu benar-benar penasihat keamanan nasional Michael Waltz, atau akun samaran yang berusaha menjebak seorang jurnalis
  • Pada 13 Maret pukul 4:28 sore, ia menerima notifikasi bahwa dirinya dimasukkan ke grup Signal bernama “Houthi PC small group”
  • Akun “Michael Waltz” mengatakan sedang membentuk “principles group” untuk koordinasi terkait Houthi, dan meminta kontak penghubung dari tiap tim untuk 72 jam berikutnya dan sepanjang akhir pekan

Susunan grup dan indikasi keterlibatan pejabat tingkat tinggi

  • “principals committee” umumnya berarti kelompok pejabat keamanan nasional tertinggi, seperti menteri pertahanan, menteri luar negeri, menteri keuangan, dan direktur CIA
  • Dalam percakapan itu, beberapa akun menunjuk penanggung jawab dari masing-masing kementerian atau organisasi
    • “MAR” menunjuk Mike Needham untuk State
    • “JD Vance” menunjuk Andy Baker untuk VP
    • “TG” menunjuk Joe Kent untuk DNI
    • “Scott B” menunjuk Dan Katz untuk Treasury
    • “Pete Hegseth” menunjuk Dan Caldwell untuk DoD
    • “John Ratcliffe” menuliskan nama pejabat CIA, tetapi nama itu tidak dipublikasikan karena merupakan petugas intelijen aktif
  • Total ada 18 orang yang terlihat di grup, termasuk pejabat National Security Council, Steve Witkoff, Susie Wiles, dan “S M”
  • Di layarnya, pemimpin redaksi itu terlihat sebagai “JG”, dan tidak ada tanda bahwa peserta lain menyadari keberadaannya

Diskusi kebijakan dan informasi operasi sebelum serangan udara

  • Pada pagi 14 Maret, akun “Michael Waltz” memberi tahu bahwa kesimpulan dan tugas berdasarkan arahan presiden akan ada di kotak masuk high side
    • “high side” adalah istilah pemerintah untuk sistem komputer dan komunikasi rahasia
    • Disebutkan bahwa State dan DOD akan membuat daftar pemberitahuan untuk sekutu dan mitra regional, dan Joint Staff akan mengirim urutan jadwal yang lebih rinci
  • Akun “JD Vance” menyatakan kekhawatiran terhadap pelaksanaan serangan udara
    • Ia menulis bahwa 3% perdagangan AS melewati Suez, sedangkan 40% perdagangan Eropa melewati Suez
    • Ia menyinggung risiko publik tidak memahami urgensinya dan risiko harga minyak naik dari tingkat sedang hingga serius
    • Ia juga menyebut ada argumen untuk menunda sebulan, mengerjakan pesan publik, dan melihat kondisi ekonomi
  • Akun yang ditampilkan sebagai “Joe Kent” menulis bahwa tidak ada urgensi waktu dalam jadwal saat ini dan opsi yang sama masih ada sebulan lagi
  • Akun “Pete Hegseth” menyebut bahwa jika menunggu, ada risiko kebocoran yang membuat pihak mereka tampak ragu-ragu, risiko Israel bertindak lebih dulu, atau gencatan senjata Gaza runtuh
    • Ia merangkum tujuan operasi sebagai memulihkan kebebasan navigasi dan membangun kembali daya tangkal
    • Ia menulis bahwa operasi juga bisa dibatalkan, dan dalam hal itu mereka akan melakukan segala hal untuk menjaga keamanan operasi (OPSEC) 100%
  • Akun “Michael Waltz” menyebut keterbatasan kemampuan angkatan laut Eropa dan angka perdagangan, serta mengatakan bahwa AS harus membuka kembali jalur pelayaran terlepas dari waktunya
  • Akun “JD Vance” menulis bahwa ia tidak suka “menyelamatkan Eropa lagi”, dan akun “Pete Hegseth” menyebut free-riding Eropa sebagai “PATHETIC”
  • Akun “S M” menulis bahwa presiden telah memberikan persetujuan dengan jelas, dan bahwa ekspektasi AS terhadap Egypt dan Europe harus diperjelas

Rencana serangan 15 Maret dan ledakan yang benar-benar terjadi

  • Pada 15 Maret pukul 11:44 siang, akun “Pete Hegseth” mengunggah “TEAM UPDATE”
  • Pesan itu berisi rincian operasional dari serangan udara yang direncanakan terhadap Yaman
    • Informasi target
    • Senjata yang akan digunakan AS
    • Urutan serangan
  • Pemimpin redaksi itu menilai bahwa jika informasi ini dibaca oleh pihak yang memusuhi AS, hal itu bisa membahayakan personel militer dan intelijen AS di Timur Tengah dan wilayah tanggung jawab Central Command, sehingga ia tidak mengutip rincian spesifiknya
  • Pengguna yang ditampilkan sebagai “JD Vance” menjawab bahwa ia akan berdoa demi kemenangan, dan dua pengguna lain menambahkan emoji doa
  • Menurut pesan Hegseth, ledakan pertama dijadwalkan pada pukul 1:45 siang waktu Timur, dan sekitar pukul 1:55 siang pemimpin redaksi itu mencari Yaman di X lalu mengonfirmasi laporan suara ledakan di seluruh Sanaa
  • Setelah itu, di grup Signal, “Michael Waltz” menyebut operasi itu sebagai “amazing job”, dan “John Ratcliffe” menulis “A good start”
  • Sejumlah peserta mengirim pesan selamat dan emoji, dan diskusi lanjutan mencakup penilaian kerusakan serta kemungkinan tewasnya orang tertentu
  • Kementerian kesehatan Yaman yang dijalankan Houthi mengumumkan sedikitnya 53 orang tewas akibat serangan udara, tetapi angka itu belum diverifikasi secara independen

Verifikasi percakapan dan jawaban pemerintahan

  • Setelah serangan udara benar-benar terjadi, pemimpin redaksi itu menyimpulkan bahwa grup Signal tersebut hampir pasti asli lalu keluar dari grup
  • Ketika keluar dari grup Signal, notifikasi otomatis dikirim ke pembuat grup, yaitu “Michael Waltz”, tetapi setelah itu tidak ada seorang pun yang menanyakan mengapa ia keluar atau siapa dirinya
  • Pemimpin redaksi itu mengirim pertanyaan melalui email dan pesan Signal kepada Waltz, Hegseth, Ratcliffe, Gabbard, dan lainnya
    • Apakah “Houthi PC small group” adalah thread Signal yang asli
    • Apakah mereka tahu bahwa ia ikut dimasukkan
    • Apakah ia dimasukkan dengan sengaja
    • Jika tidak, mereka mengira ia siapa
    • Apakah pejabat tinggi pemerintahan Trump rutin menggunakan Signal untuk diskusi sensitif
    • Apakah mereka menilai penggunaan saluran seperti itu dapat membahayakan personel AS
  • Sekitar 2 jam kemudian, juru bicara National Security Council Brian Hughes menjawab bahwa rantai pesan tersebut tampaknya asli
    • Ia mengatakan sedang meninjau bagaimana sebuah nomor yang tidak semestinya bisa ditambahkan
    • Ia mengatakan thread itu menunjukkan koordinasi kebijakan yang mendalam dan matang di antara pejabat tinggi
    • Ia mengatakan keberhasilan berkelanjutan operasi Houthi menunjukkan bahwa tidak ada ancaman terhadap pasukan maupun keamanan nasional
  • Juru bicara Vance, William Martin, menjawab bahwa wakil presiden sepenuhnya sejalan dengan presiden
    • Ia mengatakan prioritas utama wakil presiden adalah memastikan staf presiden memperoleh gambaran penuh atas substansi diskusi internal
    • Ia mengatakan Vance dengan jelas mendukung kebijakan luar negeri pemerintahan

Masalah keamanan dan hukum akibat penggunaan Signal

  • Penggunaan Signal oleh pejabat keamanan nasional sendiri bukan hal yang jarang, tetapi diringkas bahwa aplikasi itu biasanya dipakai untuk urusan rutin seperti penjadwalan rapat dan logistik
  • Melakukan diskusi rinci dan sensitif tentang aksi militer yang akan datang di aplikasi pesan komersial berada di luar cakupan penggunaan yang lazim
  • Sejumlah pengacara keamanan nasional yang diwawancarai Shane Harris menilai bahwa anggapan dasar bahwa seorang pejabat tinggi AS membuat thread Signal untuk membagikan informasi operasi militer aktif kepada pejabat kabinet sudah bermasalah
    • Informasi operasi aktif kemungkinan masuk dalam definisi informasi “national defense”
    • Signal bukan aplikasi yang disetujui pemerintah untuk berbagi informasi rahasia
    • Diskusi aktivitas militer seharusnya dilakukan di fasilitas khusus seperti SCIF atau pada perangkat pemerintah yang disetujui
  • Beberapa pejabat tinggi mungkin memiliki wewenang untuk mendeklasifikasi informasi, tetapi para pengacara menilai logika itu lemah karena Signal bukan tempat yang disetujui untuk berbagi informasi sensitif semacam itu
  • Fakta bahwa Waltz mengatur sebagian pesan Signal agar hilang setelah 1 minggu atau 4 minggu menimbulkan masalah pelestarian catatan
  • Jason R. Baron, profesor di University of Maryland dan mantan kepala litigasi National Archives and Records Administration, mengatakan bahwa jika pegawai pemerintah menggunakan aplikasi pesan elektronik seperti Signal untuk urusan resmi, mereka harus segera meneruskan atau menyalin pesan itu ke akun pemerintah resmi
  • Mantan pejabat AS mengatakan bahwa ketika bepergian ke luar negeri dan sulit mengakses sistem pemerintah, mereka pernah memakai Signal untuk membahas informasi nonrahasia dan urusan rutin, tetapi tidak membagikan informasi rahasia atau sensitif
  • Karena seorang jurnalis secara tidak sengaja ditambahkan ke percakapan principals committee, timbul masalah kebocoran karena informasi terkirim kepada penerima yang tidak berwenang
  • Hegseth menulis “We are currently clean on OPSEC” saat menjelaskan rencana serangan terhadap target Houthi, tetapi pada saat itu pemimpin redaksi tersebut sudah berada di dalam ruang percakapan

1 komentar

 
GN⁺ 2025-03-25
Komentar Hacker News
  • Saya berada di luar AS, tetapi suasana soal ketiadaan akuntabilitas yang terlihat di sini dan di tempat lain sangat mengkhawatirkan
    Ini mengingatkan saya pada hal-hal yang saya lihat saat tumbuh besar di Asia Selatan dan yang masih saya lihat sekarang. Jendela Overton juga sedang bergeser di AS, dan terutama norma serta ekspektasi terhadap tindakan korup tampak berubah secara halus
    Setiap negara punya korupsi kecil semacam saling memberi bantuan antar teman, dan hal seperti itu kadang memberi keluwesan agar pekerjaan tetap berjalan, jadi saya rasa sulit untuk menghapuskannya sepenuhnya. Tetapi jika norma bergeser ke arah bahwa orang berkuasa boleh bertindak sesuka hati dan wajar jika mereka mengutamakan kepentingan sendiri, itu akan mematikan semangat kewirausahaan
    Jika orang mulai percaya bahwa mereka yang berkuasa boleh mengincar dan merampas sesuatu yang dibangun orang lain dengan darah dan keringat, maka siapa pun yang ingin membangun sesuatu akan mulai bertanya apakah karya seumur hidupnya harus dikerjakan di tempat lain. Jika cara berpikir ini menjadi norma, akan sangat sulit mencabutnya sampai ke akar

    • Kondisinya sudah jauh lebih buruk dari itu. Kalau korupsi adalah satu-satunya masalah yang dihadapi AS, masih akan ada harapan untuk berbalik arah
    • Para wirausahawan, seperti halnya ilmuwan, sebaiknya mempertimbangkan Europe sebagai tempat aman. Di UE, supremasi hukum masih berarti
    • Kini sikap tujuan membenarkan cara diterima secara terbuka, bahkan dipuji
    • Sayangnya, kita sudah sampai di titik itu. Partai Republik dan basis pendukungnya sudah berkonsolidasi terlalu efektif hingga menjadi tempat aman bagi segala bentuk korupsi dan kejahatan berat, para pemilih tidak menghukum mereka lewat pemilu, dan mereka juga telah menguasai hampir semua mekanisme checks and balances
    • Saya sudah merasa semangat kewirausahaan itu hilang
      AI dimiliki korporasi-korporasi raksasa, dan ketika itu ditambah korupsi di level tertinggi, tujuan membangun startup di lingkungan yang otoriter jadi makin kabur
      Trump secara ilegal mempromosikan perusahaan Elon seperti obral halaman, menjilat kaki karena sumbangan jutaan dolar ke kampanye pemilu berkat Citizens United, membiarkan orang yang tidak dipilih dan bahkan bukan pejabat publik mengobrak-abrik pemerintah federal, menjadikan perusakan properti oleh orang-orang marah sebagai terorisme domestik, dan sekarang bahkan menyerahkan penyelidikan Signalgate kepada Elon. Orang-orang harus bangkit sekarang, nanti mungkin sudah tidak bisa
  • Saya memulai karier dengan mengerjakan program satelit pemerintah dalam lingkungan rahasia
    Pada minggu pertama bekerja, saya diberi tahu dengan sangat jelas bahwa membagikan informasi rahasia atau informasi sensitif tak terklasifikasi yang dikendalikan melalui saluran yang tidak disetujui bisa berujung pada tindakan disipliner, kemungkinan pemecatan, dan dalam kasus langka penuntutan
    Saya diajari bahwa melindungi rahasia negara dari kelalaian orang lain juga merupakan tanggung jawab saya. Tetapi ada 18 orang di utas itu dan tidak satu pun yang mengatakan bahwa diskusi ini harus dilakukan di SCIF, sungguh sulit dipercaya. Belum lagi bahwa SecDef sejak awal memulai utas itu di Signal
    Ada berapa banyak utas seperti ini lagi yang sedang beredar di level tertinggi pemerintahan saat ini? Apakah intelijen Tiongkok mengetahuinya? Saya tidak sampai menyerukan hukuman atau penuntutan bagi mereka yang terlibat, tetapi saya tidak bisa menerima jika kebocoran seperti ini berlalu tanpa akuntabilitas, konsekuensi, atau perubahan operasional

    • Saya tidak mengerti mengapa kita tidak boleh menyerukan hukuman atau penuntutan. Saya juga pernah menangani informasi rahasia, dan saya pasti akan dimintai pertanggungjawaban atas tindakan saya, jadi mengapa mereka harus jadi pengecualian. Saya muak dengan gagasan orang yang terlalu penting untuk menerima konsekuensi. Itu meruntuhkan tujuan dari adanya kualifikasi, izin keamanan, dan aturan
    • Masalahnya adalah sebagian besar dari 18 orang itu pada dasarnya dipilih secara acak berdasarkan satu kualifikasi saja, yaitu menjadi yes-man/yes-woman. Mereka bukan profesional karier. Karena itu saya rasa muncullah kekacauan dan pelaksanaan tugas yang tidak kompeten seperti ini
      Belum terlambat, seluruh rombongan badut itu masih harus dimakzulkan
    • Seorang rekan yang bekerja di FAANG pernah panik setelah sadar ia memotret papan tulis ruang rapat dengan ponsel pribadi, bukan ponsel kantor. Ia menghabiskan sepanjang sore itu mencari cara menghapus foto tersebut sepenuhnya
    • Soal pertanyaan, “Apakah intelijen Tiongkok mengetahuinya?”, tampaknya cukup kecil kemungkinan bahwa ke-18 orang itu semuanya mengaksesnya dari sistem operasi seluler yang tidak memiliki rantai eksploit yang nyata dan sudah diketahui
    • Selain itu, Steve Witkoff sedang berada di Moscow saat rangkaian pesan Signal itu berlangsung
  • Mengesampingkan dulu keterkejutan dari topik utamanya, kalau mencoba mengembalikannya ke bahasan khas HN, sepertinya ada kemungkinan ada seseorang bernama Jeffrey Goldberg di dalam tim NatSec dan merekalah yang sebenarnya ingin ditambahkan
    Kombinasi nama itu juga tampak cukup umum, jadi kecil kemungkinan mereka memang berniat memasukkan pemimpin redaksi The Atlantic. Mungkinkah ini masalah UI/UX Signal? Misalnya tidak bisa membedakan dua Jeffrey Goldberg di daftar kontak

    • Ini tampaknya lebih dekat ke masalah pengelolaan informasi daripada masalah Signal. Signal hanya bisa menampilkan apa yang ada di penyimpanan datanya sendiri, yaitu daftar kontak
      Saya cek di Android, saat mencoba menambahkan seseorang ke obrolan grup, yang ditampilkan adalah nama dan foto profil
      Namun ada satu hal yang agak subtil di Signal: meski seseorang tidak ada di kontak saya, saya tetap bisa menambahkannya ke grup jika dia ada di ruang obrolan lain yang sama dengan saya. Orang asing yang pernah ada bersama saya di sebuah acara makan malam beberapa tahun lalu juga muncul sebagai bisa ditambahkan ke obrolan grup. Jika Jeffrey Goldberg mengatur nama profil Signal-nya sebagai JG, dan di ponsel Mike Waltz dia tidak disimpan dengan nama yang lebih spesifik, kesalahan seperti ini bisa saja terjadi
    • Sepertinya mereka hendak menghubungi Jamieson Greer, yaitu JG, dan mungkin Waltz menyimpan keduanya hanya dengan inisial. Itu hipotesis yang saat ini paling kuat
    • Mungkin memang begitu yang terjadi. Namun kemungkinan salah tekan atau menambahkan seseorang ke grup karena sedang mabuk juga sama masuk akalnya. Saya sendiri pernah salah ditambahkan ke obrolan grup lewat kedua “cara” itu
    • Sangat mungkin. Karena itu layanan obrolan untuk pemerintah sejak awal secara eksplisit memblokir agar kontak yang bukan orang internal pemerintah tidak muncul. Anda mungkin juga pernah melihat di kotak masuk email pemerintah ada banner merah besar seperti “berasal dari luar, jangan dipercaya”, dan semua tautan dinonaktifkan
      Ada dua hal yang benar-benar jadi masalah di sini. Pertama, seperti ditunjukkan Josh Marshall dari TPM, tidak ada seorang pun di obrolan itu yang bertanya, “kenapa kita melakukan ini di Signal?” Ini mengisyaratkan bahwa Signal bukan pertama kalinya dipakai untuk urusan resmi tak formal, dan mungkin ada banyak percakapan serupa
      Kedua, saat percakapan itu dibuat, salah satu peserta sedang menunggu di Kremlin untuk bertemu Putin. Artinya, dia terhubung lewat “Kremlin Free WiFi” atau melalui BTS setempat
      Banyak komentator menilai pemerintahan ini ingin tetap berada di luar jangkauan FOIA dan proses pembukaan bukti, dan itu sendiri sudah merupakan masalah besar. Jika memakai alat komunikasi pemerintah, masalah seperti ini tidak akan ada, dan bahkan cloud Microsoft Teams di AS pun lebih terlindungi daripada ini
    • Saya cenderung bertaruh ini karena salah menekan kontak. Mungkin cuma saya, tapi semua UI ponsel yang pernah saya pakai sangat tidak stabil. Sering ada ghost touch, lalu tombol bergerak tepat saat saya hendak menekannya
      Rasanya seperti tahun 1996 memuat fanpage Sonic the Hedgehog di GeoCities lewat sambungan telepon, satu GIF demi satu GIF. Hal seperti ini hanya terjadi di ponsel dan tidak di PC
      Tentu saja itu tetap tidak membenarkan kegagalan memverifikasi identitas peserta obrolan, pilihan memakai aplikasi yang kemungkinan belum diverifikasi di perangkat pribadi yang kemungkinan juga belum diverifikasi, serta pelanggaran aturan dasar keamanan operasional yang seharusnya diketahui siapa pun yang punya wewenang memerintahkan serangan udara di belahan bumi lain
  • Justru agak mengejutkan bahwa Jeff Goldberg membakar sumber ini
    Saya kira dia akan membiarkan kanal itu tetap terbuka selama mungkin. Atau mungkin ada kanal lain yang bekerja lebih baik
    Bagaimanapun juga ini benar-benar konyol. Orang-orang ini memang bodoh, dan tidak ada cara lain untuk mengatakannya. Saya berusaha mencari tafsir yang murah hati, tapi tidak ada. Terlalu jelas bahwa karena kebodohan mereka, anggota militer akan mati

    • Begitu dia sadar, atau pada titik ketika orang yang masuk akal seharusnya sadar, bahwa obrolan grup itu bukan lelucon dan bahwa dia sedang menerima informasi militer rahasia melalui kanal itu, tetap bertahan di kanal tersebut bisa dilihat sebagai tindakan yang menunjukkan niat untuk menerima informasi itu. Maka memakai isi tersebut setelahnya bisa menimbulkan masalah hukum
      Ini perkara yang rumit, dan bukan berarti menerima informasi rahasia dari sumber pada dasarnya adalah tindak pidana, tetapi keseluruhan rangkaian fakta yang akan diajukan jaksa bisa disusun ke arah itu
    • Nama ruang obrolan Signal itu adalah “Houthi PC small group”. Itu tampak seperti grup jangka pendek yang dibuat khusus untuk suatu misi, bukan grup yang dibiarkan terbuka dalam jangka panjang
      Jadi kecil kemungkinan dia akan mendapat lebih banyak informasi ke depannya. Poin utama beritanya adalah fakta bahwa Goldberg dimasukkan ke obrolan itu, bukan detail spesifik yang terungkap kepadanya. Dia juga tidak mempublikasikan sebagian besar detail tersebut
    • Mungkin dia khawatir soal dampak hukumnya. Belakangan ini, tampaknya kemungkinan dikirim ke suatu penjara di El Salvador karena menulis artikel dan membongkar ketidakmampuan mereka yang mengejutkan malah lebih besar daripada tetap diam-diam menyimak obrolan itu
    • Dia melakukan hal yang benar. Kecenderungan politiknya memang tampak jelas, tetapi dia menyadari bahwa kebocoran seperti ini bisa membuat tentara AS kehilangan nyawa. Dia juga tidak membagikan seluruh isi obrolan. Saya menghormati apa yang dia lakukan
      Dan saya setuju dengan penilaian bahwa mereka itu bodoh
    • Mungkin selama proses itu dia berkonsultasi dengan para pengacara. Saya bukan pengacara, tetapi rasanya begitu dia yakin itu nyata, jika dia tidak keluar dari grup, itu bisa saja menjadi tindak pidana
      Dia terus mengatakan bahwa sampai serangan pertama terjadi, dia belum yakin ini benar-benar nyata. Setelah serangan pertama, dia tidak bisa lagi mempertahankan klaim itu
  • Steve Witkoff berada di chat itu saat berada di Rusia
    Signal memiliki celah yang memungkinkan pengaturan perangkat tertaut yang dapat menggandakan pesan hanya dengan memindai kode QR. Ini dikenal sebagai cara yang digunakan peretas Rusia
    Seberapa besar kemungkinan Rusia menipu Witkoff yang sedang berada di Moskow agar memindai kode QR?

    • Dibanding kemungkinan Rusia menipunya, seberapa besar kemungkinan pemerintahan ini sengaja membuatnya melakukan itu?
    • Mengapa serangan terhadap Signal harus terjadi hanya di dalam Rusia? Jika operasi intelijen Rusia bisa bergerak bebas di dalam AS, mereka juga bisa menyerang pejabat AS yang berada di Amerika
    • Pernyataan “Signal memiliki celah untuk menyiapkan perangkat tertaut agar dapat menggandakan pesan” itu maksudnya fitur penautan desktop?
      Jika itu disebut celah, maka cara pakai dasarnya—mengambil kunci publik yang belum terverifikasi dari server luar negeri lalu mengobrol dengan seseorang—juga merupakan celah. Semua orang memakainya seperti itu, dan orang-orang di chat ini juga jelas melakukannya karena mereka tidak menukar kunci lewat saluran terpisah
      Selain itu, ada juga “celah” berupa menyalin penyimpanan ponsel lalu memindahkan material kunci ke perangkat lain untuk dipakai sesuka hati. Tergantung perangkat kerasnya, itu bisa sulit atau mudah, tetapi bagi lembaga keamanan dengan dana cukup, saya kira itu bisa dilakukan pada perangkat-perangkat umum
    • Sangat mungkin. Mungkin dia memindai sesuatu untuk melihat menu restoran atau semacamnya. Dan tampaknya juga mungkin mereka melihat pemimpin redaksi The Atlantic Jeffrey Goldberg sebagai medianya sendiri lalu menambahkannya ke chat, sehingga semua ini menjadi terungkap
    • Seberapa besar kemungkinan ada mikrofon pasif di dalam potret Trump?
      [1] “Putin gave Trump portrait to envoy, Kremlin confirms” - https://thehill.com/policy/international/5212691-putin-trump...
      [2] https://en.wikipedia.org/wiki/The_Thing_(listening_device)
  • Kemunafikan ini mengingatkan saya pada seorang lead developer yang pernah bekerja dengan saya dulu
    Dia menuntut semua anggota tim menjalani beberapa code review sebelum merge ke mainline dan lolos CI yang ekstensif
    Tetapi dia sendiri menyetujui langsung sekitar setengah dari perubahannya tanpa review, dan untuk setengah sisanya dia melewati seluruh sistem CI dengan force push. Sepertinya dia cukup paham sistem dan melakukan pengujian lokal yang memadai sehingga terhindar dari gangguan besar, tetapi saya tidak mengerti mengapa seseorang membuat begitu banyak aturan dan kebijakan yang tidak akan dia patuhi sendiri

    • Aturan dan kebijakan seperti itu diterapkan pada orang-orang yang menurut pengambil keputusan yang memiliki wewenang dan tanggung jawab memang memerlukannya
      Kebijakan seperti ini selalu punya biaya dan manfaat. Lead developer itu mungkin menilai bahwa bagi dirinya sendiri, biaya dan manfaatnya tidak sepadan, sementara bagi orang lain sepadan. Dan bisa jadi penilaian itu memang benar
    • Kalau bisa diatur begitu, kenapa tidak? Aturan untuk kalian, pengecualian untuk saya
      Tindakan kekuasaan seperti ini tidak boleh dilihat lewat lensa etika atau moral. Intinya adalah mengikat dan menghukum musuh dengan aturan, sambil membiarkan teman-teman melanggar aturan dan tetap lolos. Tinggal gunakan penguasaan media dan narasi yang dipelintir, lalu manfaatkan runtuhnya konsep supremasi hukum sebagai sesuatu yang dihormati di mata publik
    • Bukankah itu membandingkan apel dengan jeruk? Jika dia yang bertanggung jawab saat sistem rusak, itu sepenuhnya pilihannya. Dalam kasus itu, dia mencegah Anda merusak sistem miliknya, dan jika dia sendiri yang merusaknya, itu tanggung jawabnya
      Selama dia tidak bisa mengalihkan tanggung jawab itu ke tempat lain, saya tidak melihatnya sebagai masalah
    • Contoh itu tentang kontrol. Dia ingin mengontrol masukan dari orang lain, tetapi mempercayai dirinya sendiri. Itu tidak terlihat bagus untuk seorang pemimpin
    • Itulah sebabnya saya selalu khawatir ketika staf senior berkata mereka “masih menulis kode”. Ada terlalu banyak kesempatan untuk membuat keputusan buruk, dan banyak kontributor individu takut bicara untuk mencegahnya
      Beberapa developer 10x juga begitu. Mereka cepat karena aturan tidak berlaku bagi mereka. Sementara itu, aturan membuat semua orang lain lebih lambat, jadi tentu saja dia terlihat lebih cepat. Lalu ketika mereka mengerjakannya asal-asalan, orang-orang lain yang harus membereskannya
  • Menurut saya, setidaknya ada dua kemungkinan penafsiran
    a) Ini adalah kegagalan keamanan operasional yang tidak disengaja. Mungkin ada benturan entri buku alamat dengan pengguna lain yang sebenarnya dituju, atau ada tombol yang salah ditekan. Ini yang tampaknya lebih masuk akal
    b) Ini adalah kebocoran yang disengaja. Satu atau lebih anggota kanal mungkin membocorkannya, baik secara terang-terangan maupun diam-diam, untuk tujuan yang tidak diketahui. Namun, karena ada cara yang lebih baik untuk membocorkan dengan dampak balik yang lebih kecil, kemungkinan ini tampak rendah
    Penggunaan Signal itu sendiri memang terlihat seperti keamanan operasional yang buruk, tetapi ada kemungkinan kelompok kerja pemerintahan saat ini tidak mempercayai saluran keamanan resmi dan menganggap diri mereka diawasi oleh lembaga dalam negeri atau asing. Mengingat situasinya, ini sangat masuk akal
    Kalau begitu, ini tetap bisa menjadi kegagalan keamanan operasional, tetapi mungkin merupakan risiko yang tidak seburuk menyerahkan keamanan kepada lembaga yang dikenal bermusuhan. Di sini ada asumsi kuat bahwa koordinasi seperti ini harus dilakukan lewat saluran resmi pemerintah, tetapi “pemerintah” tidak selalu merupakan satu kelompok terpadu yang mengejar tujuan yang sama. Jika mereka sangat curiga ada aparat dalam tim mereka sendiri yang menghambat tujuan tersebut, wajar saja mempertimbangkan saluran alternatif
    Entah itu untuk menghindari pembatasan hukum atau transparansi seperti server email Clinton, atau untuk menghindari sabotase, intinya bukan menilai etikanya melainkan memikirkan kebutuhan akan komunikasi yang benar-benar aman. Apakah kepercayaan pada Signal itu dibenarkan? Ini berarti orang-orang dengan otorisasi keamanan tertinggi percaya bahwa Signal tidak dibobol. Apakah mereka benar? Bagaimanapun, ada banyak cara kegagalan keamanan operasional bisa terjadi selain lewat backdoor

    • Dalam kasus ini, penggunaan Signal itu salah dan bodoh. Alasan yang sangat masuk akal adalah karena mereka ingin menghindari kepatuhan penyimpanan catatan standar pemerintah, yaitu NARA
      Pertama, informasi rahasia hanya boleh dilihat di SCIF. Kedua, informasi itu sama sekali tidak boleh ada di perangkat pribadi. Ponsel pribadi para pemimpin keamanan nasional adalah target prioritas tertinggi bagi badan intelijen musuh di seluruh dunia. Jika perangkat host telah dibobol, enkripsi saat transmisi tidak banyak berarti
      Mengaku tidak bisa mempercayai semua alat dan perlindungan rahasia milik pemerintah AS, lalu bertukar data rahasia lewat aplikasi komersial di ponsel komersial, di lokasi terbuka di dalam dan luar negeri, adalah hal yang hanya dilakukan orang bodoh. Fakta bahwa orang yang tidak berwenang bisa keliru ditambahkan ke obrolan saja sudah menunjukkan bahwa pilihan ini benar-benar gila
    • Untuk ukuran forum teknologi, argumen ini cukup dekat dengan memberi niat baik kembali kepada pelaku yang buruk/bodoh dengan logika teknis 0.0%, lalu menafsirkannya seolah mereka sebenarnya sedang bermain catur keamanan operasional 4D
      Katanya mereka mengganti “SCIF yang tercemar secara ideologis” dengan 18 perangkat iOS terpisah, padahal ke-18 perangkat itu kemungkinan semuanya punya versi sistem operasi/aplikasi dan kondisi perangkat yang berbeda-beda
      Jika ingin menembus enkripsi end-to-end dan Signal, caranya ya persis seperti yang mereka lakukan. Jadi itu bukan berarti mereka benar
    • Anda bisa mengarang pembelaan ala Tom Clancy sebanyak apa pun. Tetap saja mereka melanggar hukum dan tidak kompeten. Bahkan jika salah satunya diabaikan, mereka tetap harus mundur. Di tempat lain mana pun, kesalahan seperti ini membuat orang kehilangan pekerjaan
    • Mungkin masih bisa diperdebatkan apakah ini buruk dari sisi keamanan, tetapi persyaratan penyimpanan catatan jelas dilanggar
      Pertimbangan pejabat publik mungkin perlu bersifat rahasia, tetapi tetap harus dicatat. Jika rekam percakapan dihapus otomatis lewat pesan yang menghilang, itu adalah semacam penipuan terhadap publik
    • Penggunaan Signal ini sangat, sangat, sangat disengaja. Mungkin saja salah menekan undangan, tetapi fakta bahwa seluruh protokol keamanan nasional dilewati tidak bisa dimaafkan
  • Mengingatkan pada https://en.wikipedia.org/wiki/German_Taurus_leak
    “Dalam percakapan yang dilakukan melalui perangkat lunak konferensi video komersial standar Cisco Webex, para pejabat membahas keberadaan personel militer Inggris dan AS di Ukraine serta kemungkinan menghancurkan Jembatan Krimea dengan misil Taurus”

    • Kasus penyadapan oleh negara lain saat menggunakan saluran yang disetujui pada dasarnya tidak punya banyak kesamaan dengan kasus ini
      Tentu saja mungkin saluran itu seharusnya tidak disetujui, tetapi bagaimanapun itu tetap saluran yang disetujui