Cara Menteri Pertahanan AS Mengakali Peralatan Komunikasi Resmi DoD
(electrospaces.net)- Menteri Pertahanan AS Pete Hegseth tampaknya menempatkan komputer pribadi di ruang kerjanya di Pentagon yang terhubung langsung ke internet publik, dan ada indikasi ia mencoba menggunakan Signal, yang disukai pejabat pemerintahan Trump, di perangkat tersebut
- Di ruang kerjanya sudah tersedia sarana komunikasi resmi yang aman seperti CMS, DRSN, NIPRNet, SIPRNet, JWICS, dan Webex, dan sebagian perangkat bahkan mendukung percakapan hingga level TS/SCI
- Karena penggunaan Signal di komputer pemerintah atau ponsel pintar yang disetujui untuk percakapan rahasia sulit atau tidak diizinkan, Hegseth awalnya menggunakan area Wi-Fi di bagian belakang ruang kerjanya, lalu kemudian meminta jalur internet langsung untuk meja kerjanya
- Jalur tersebut melewati protokol keamanan Pentagon dan terhubung langsung ke internet publik; karena konfigurasinya lebih lemah pengawasannya dibanding NIPRNet, risiko keamanan meningkat
- Menteri Pertahanan memiliki pusat komunikasi SecDef Cables yang dioperasikan oleh 26 personel militer dan 4 pegawai sipil, tetapi inti kontroversinya adalah adanya dorongan untuk memakai perangkat pribadi terpisah dan Signal
Peralatan komunikasi resmi di ruang kerja Hegseth
- Menteri Pertahanan Pete Hegseth, seperti para pendahulunya, memiliki akses ke berbagai telepon aman dan tidak aman serta jaringan komputer
- Peralatan tersebut dipasang di meja di belakang meja kerja besar di ruang kerja Pentagon, dan konfigurasinya pada dasarnya tidak banyak berubah sejak era Chuck Hagel, Menteri Pertahanan periode 2013–2015
-
Peralatan telepon
- Di atas dudukan kayu terdapat Cisco IP Phone 8841 dengan modul ekspansi 14 tombol, yang merupakan bagian dari Crisis Management System(CMS)
- CMS menghubungkan pejabat tinggi pemerintah seperti presiden, National Security Council, anggota kabinet, dan Joint Chiefs of Staff
- Bezel berwarna kuning terang berarti perangkat itu dapat digunakan untuk percakapan tingkat Top Secret/Sensitive Compartmented Information, yaitu TS/SCI
- Di bawah dudukan kayu terdapat Integrated Services Telephone-2, atau IST-2, yang nyaris tidak terlihat
- IST-2 dapat digunakan untuk panggilan telepon aman maupun tidak aman, dan termasuk dalam Defense Red Switch Network(DRSN) atau layanan Multilevel Secure Voice
- DRSN adalah sistem utama untuk percakapan militer rahasia, yang menghubungkan White House, pusat komando militer, badan intelijen, dan sekutu NATO
- Di depan IST-2 terdapat Cisco IP Phone 8841 lain dengan modul ekspansi 14 tombol, dan bezel hijau menunjukkan bahwa perangkat ini untuk telepon tidak rahasia
- Telepon ini merupakan bagian dari jaringan telepon internal Pentagon, dan menggantikan telepon eksekutif Avaya Lucent 6424 yang terlihat dalam foto tahun 2021
-
Komputer dan peralatan konferensi video
- Di samping telepon terdapat dua layar komputer dengan wallpaper hijau terang, yang menunjukkan koneksi jaringan tidak rahasia
- Jaringan tersebut kemungkinan besar adalah NIPRNet
- Foto ruang kerja mantan Menteri Pertahanan Lloyd Austin juga memperlihatkan KVM switch yang secara aman beralih ke SIPRNet dan JWICS dengan keyboard, layar, dan mouse yang sama
- Di sisi kanan meja terdapat dua layar konferensi video Cisco Webex DX80
- Label kuning pada perangkat di kanan menunjukkan bahwa perangkat tersebut disetujui untuk TS/SCI
- Perangkat ini kemungkinan termasuk dalam CMS, dan dapat dianggap sebagai penerus Secure Video Teleconferencing System(SVTS)
- Layar lainnya mungkin untuk konferensi video dengan tingkat klasifikasi lebih rendah
Komputer pribadi untuk menggunakan Signal
- Meski Hegseth memiliki banyak pilihan komunikasi melalui kanal pemerintah yang layak dan aman, ia tetap bersikeras menggunakan Signal
- Signal tampaknya tidak dapat dipasang atau tidak diizinkan pada komputer pemerintah atau ponsel pintar yang disetujui untuk percakapan rahasia
- Menurut AP News, Hegseth awalnya berpindah ke area belakang ruang kerjanya yang bisa mengakses Wi-Fi untuk menggunakan Signal
- Tidak jelas apakah saat itu ia memakai laptop pribadi atau ponsel pintar pribadi
- Kemungkinan besar penggunaan kedua perangkat tersebut di area aman seperti ini dilarang keras
- Setelah itu, Hegseth meminta koneksi internet agar komputernya sendiri dapat digunakan di meja kerjanya
- Jalur ini terhubung langsung ke internet publik
- Jalur ini melewati protokol keamanan Pentagon
- Komputer desktop baru yang terlihat pada foto 20 Maret 2025 tampaknya adalah perangkat tersebut
- Perangkat itu belum ada dalam foto 21 Februari 2025
- Tidak ada label yang menunjukkan tingkat klasifikasi
Sifat jalur langsung ke internet publik
- Sebagian staf lain di Pentagon juga menggunakan jalur yang terhubung langsung ke internet publik
- Misalnya, jalur seperti ini dipakai ketika mereka tidak ingin dikenali sebagai alamat IP yang dialokasikan untuk Pentagon
- Jalur langsung semacam ini berbahaya karena pengawasannya lebih sedikit dibanding NIPRNet
- NIPRNet adalah jaringan tidak rahasia yang mengizinkan akses terbatas ke internet eksternal
- Hegseth memasang Signal di komputer desktop baru tersebut
- Ini pada dasarnya mereplikasi aplikasi Signal yang ada di ponsel pintar pribadinya
- Menurut sejumlah sumber media, Hegseth juga menunjukkan minat untuk memasang program pengirim pesan teks biasa di komputer pribadi ini
- Langkah ini bertujuan mengakali masalah lemahnya layanan telepon seluler di banyak area Pentagon, dan memudahkan komunikasi dengan White House serta pejabat pemerintahan Trump lainnya yang menggunakan Signal
- Dalam video yang dipublikasikan di X pada 5 Mei 2025, komputer baru tanpa otorisasi tersebut tampaknya setidaknya sudah dipindahkan dari meja kerja Hegseth
Pusat komunikasi SecDef Cables
- Upaya besar Hegseth untuk menggunakan Signal menjadi lebih mencolok karena Menteri Pertahanan memiliki pusat komunikasi khusus tersendiri
- Pusat komunikasi ini umumnya disebut SecDef Cables, dan merupakan bagian dari unit Secretary of Defense Communications(SDC)
- SecDef Cables menyediakan manajemen informasi operasi dan berfungsi sebagai pusat dukungan komando dan kendali
- Di sana bertugas 26 personel militer dan 4 pegawai sipil
- Pusat ini menyediakan kemampuan suara, video, dan data lintas berbagai platform dan tingkat klasifikasi bagi Menteri Pertahanan dan staf langsungnya, di mana pun mereka berada
- SecDef Cables juga digunakan sebagai titik kontak dengan sejumlah pusat komunikasi utama
- National Military Command Center(NMCC)
- White House Situation Room
- State Department Operations Center
- Pusat komunikasi serupa lainnya
- Cables juga mengelola koneksi Defense Telephone Link(DTL)
- DTL adalah hotline tingkat rendah yang terhubung dengan pihak militer di sekitar 25 negara, termasuk Rusia dan Tiongkok
2 komentar
Opini Hacker News
Anggota Five Eyes lainnya harus berhati-hati soal apa yang mereka bagikan dengan AS selama hal ini berlangsung
Kriptografi kunci publik yang digunakan Signal cukup baik untuk sebagian besar penggunaan, dan sangat bagus untuk hal-hal seperti transaksi kartu kredit. Namun, untuk pengiriman rahasia negara, ada masalah bahwa sulit mengharapkan kerahasiaan jangka panjang
Pesan yang dikirim lewat Signal hari ini bisa disimpan sebagai ciphertext lalu diserang 10 tahun kemudian dengan perangkat keras dan algoritma pada saat itu. Saat itu sandi Signal mungkin masih kuat, tetapi bisa juga mudah dipecahkan. Jika rahasia dalam pesan itu masih sensitif 10 tahun kemudian, itu menjadi masalah
Apa pun yang dikirim lewat Signal harus diperlakukan seperti publikasi dengan jeda waktu yang tidak diketahui, dan jika berbagi informasi dengan AS, itu adalah syarat yang sulit diterima
Satu zero-day atau satu klik ceroboh saja bisa membuat pihak lawan mengakses pesan atau bahkan mengirim pesan. Fitur pesan menghilang di Signal mengurangi risiko yang pertama, tetapi bertentangan dengan regulasi penyimpanan arsip pemerintah
Alasan akses ke sistem pemerintah dibatasi bukan karena sistem itu secara ajaib kebal terhadap bug keamanan, melainkan karena ada tim profesional yang benar-benar memenuhi syarat yang memantau dan mengambil langkah keamanan secara proaktif. Ponselnya bisa terekspos SMS/MMS mencurigakan yang dapat dikirim siapa pun di seluruh dunia asalkan tahu nomornya, dan bahkan lisensi spyware komersial saja bisa membahayakannya. Sebaliknya, komputer rahasia di jaringan aman tidak bisa menerima trafik semacam itu sama sekali, konfigurasinya juga dikunci, dan kompromi akan terdeteksi jauh lebih cepat
Konteks yang lebih besar adalah intinya. Ini mirip pemilik bank yang menyerahkan pengelolaan kepada teman golfnya yang sedang mabuk, lalu teman itu mulai menyimpan buku besar di mobil karena merasa lebih praktis. Bahkan jika orang itu sepenuhnya berniat baik dan ingin bekerja dengan baik, tindakan seperti itu tidak memberi manfaat bagi siapa pun dan hanya memperbesar risiko yang tidak siap ditanggung
Signal bukan pendekatan naif seperti RSA yang sekadar mengenkripsi/mendekripsi pesan dengan kunci publik. Ia terlebih dahulu melakukan pertukaran kunci Diffie-Hellman dengan pasangan kunci asimetris untuk membuat kunci simetris sekali pakai, lalu mengenkripsi/mendekripsi dengan kunci itu. Dengan begitu, forward secrecy juga terjamin: https://signal.org/blog/asynchronous-security/
Saat ini mereka juga menambahkan skema kriptografi tahan-kuantum, dan pasti masih banyak detail lain yang belum disebutkan
Yang penting adalah perbedaan asumsi waktu sampai terbuka itu apakah beberapa minggu atau beberapa tahun, dan tingkat kekuatan keamanan diterapkan berbeda sesuai level yang masuk akal untuk penggunaan tersebut
Jika informasinya sama sekali tidak boleh pernah terbuka, enkripsi bukan solusinya, dan pada umumnya komputer juga bukan solusinya
Rahasia itu akan berada di akun cloud yang salah konfigurasi atau berpindah-pindah di antara akun semacam itu. Suatu lembaga suatu saat akan mendapat persetujuan analisis untuk tujuan intelijen keuangan, dan kemungkinan kebocoran atau kebocoran yang sudah terkonfirmasi atas rahasia itu akan memberi AS plausible deniability ketika mereka menyalahgunakannya
Kemunafikannya luar biasa
https://www.theguardian.com/us-news/2016/sep/02/hillary-clin...
https://www.theguardian.com/us-news/2016/jul/05/fbi-no-charg...
Juga:
https://www.fbi.gov/news/press-releases/statement-by-fbi-dir...
“Agar jelas, ini bukan berarti bahwa seseorang yang melakukan tindakan seperti ini dalam situasi serupa tidak akan menanggung konsekuensi apa pun. Sebaliknya, orang-orang seperti itu sering kali dikenai sanksi keamanan atau administratif. Namun itu bukan hal yang sedang kami nilai saat ini”
Namun jangan membuat tindakan Menteri Luar Negeri yang lalai menangani dokumen rahasia terlihat sama atau terkait dengan tindakan Menteri Pertahanan yang membagikan rencana serangan terjadwal dan secara aktif mengakali keamanan informasi. Apalagi setelah kritik dan investigasi keras terhadap kasus Menteri Luar Negeri itu
Berharap agar pejabat pemerintah membaik, bukan mandek atau malah memburuk, bukanlah kemunafikan
https://www.youtube.com/watch?v=cw1tNTIEs-o
Kedua situasi itu sebenarnya tidak setara secara hukum. Salah satu perbedaan besar adalah rombongan Hesgeth mengatur komunikasi agar terhapus otomatis, dan itu bertentangan dengan aturan penyimpanan arsip. Tidak ada bukti bahwa Clinton menghapus email
Semua pengirim dan penerima (kecuali bcc) tahu atau bisa tahu bahwa dia tidak memakai alamat email .gov, dan dengan demikian sampai taraf tertentu ikut bersekongkol atau secara diam-diam menyetujui penggunaan server itu
Kadang-kadang materi yang saat itu tidak rahasia kemudian ditetapkan sebagai rahasia, atau terjadi kebocoran materi ketika pengirim mengirimkan informasi rahasia, sehingga para penerima harus ikut menghapus, menjalani investigasi, dan sebagainya
Menggunakan server eksternal itu buruk, tetapi pada saat yang sama hal itu terlihat terbuka sejak awal
Benar-benar munafik
Terlepas dari masalah keamanan operasi dan tanggung jawab pribadi, menurut saya ini contoh lain bahwa “keamanan yang mengorbankan kegunaan berarti mengorbankan keamanan”
Karena perangkat komunikasi resmi DoD sangat buruk, kalau orang merasa bisa lolos tanpa ketahuan, mereka akan memakai platform komunikasi terenkripsi yang kurang aman tetapi lebih mudah digunakan
Mungkin DoD perlu mengembangkan Android internal dan fork Signal dengan kontrol keamanan inti tambahan tanpa merusak kegunaan. Di sini terlihat jelas adanya jalur keinginan
Manusia itu bodoh, jadi cerita lama berulang: memakai ulang kata sandi, memasang software yang lebih bagus tetapi tidak aman, tidak melakukan update, dan seterusnya
Kalau pada 2025 Anda tidak bisa berkomunikasi dengan siapa pun di bumi semudah membuka aplikasi lalu mengetik, orang akan mencari cara lain. Karena ada sekitar seribu cara yang lebih baik
Jadi alih-alih karena ingin melakukan sesuatu secara diam-diam, kemungkinan besar mereka lebih memilih opsi yang sedikit lebih mudah daripada fitur keamanan komunikasi pemerintah yang merepotkan, seperti token fisik, autentikasi biometrik lambat, atau logout setelah 15 detik. Siapa pun bisa begitu
Kejadian ini mungkin membuat para penanggung jawab keamanan komunikasi pemerintah mengevaluasi ulang praktik mereka. Ini bukan membela tindakan tersebut, melainkan menawarkan penjelasan yang mungkin; dan saat menilai kegagalan keamanan, menyalahkan pengguna tidak selalu menjadi cara terbaik
Jika mau, mereka juga bisa saja mendukung langsung lapisan pemisahan yang dapat dipakai vendor mana pun. Menurut saya pengaruh keputusan pembelian perusahaan besar—yakni korupsi—mendorong banyak masalah seperti ini
Jika seseorang yang sama sekali tidak memenuhi syarat dan bahkan punya riwayat penyalahgunaan alkohol akan didudukkan sebagai penanggung jawab, setidaknya seharusnya dipastikan dulu apakah ia kompeten
Sangat menjengkelkan melihat orang dengan kewenangan tingkat tertinggi bersikap seolah pekerjaan itu berada di bawah martabatnya. Rasanya seperti menyaksikan sejarah ditulis oleh orang-orang yang paling berprivilese dan tidak kompeten di antara kita
Terlalu jauh dari realitas politisi masa kini, sehingga hampir mustahil menangguhkan ketidakpercayaan untuk bisa menikmatinya. Saya jadi teringat serial De Niro baru-baru ini yang memalukan
Orang seperti itu mudah dimanipulasi: bisa diberi alkohol untuk mengorek rahasia, atau dalam percakapan empat mata dibuat berada dalam “keadaan mabuk” agar rahasia keluar. Ditambah lagi kesalahan besar memakai Signal, yakni #signalgate
Anggap saja kita bekerja untuk badan intelijen negara selain AS. Bagaimana cara menemukan komputer pribadi di kantor Hesgeth di internet publik? Ini eksperimen pikiran yang serius
https://news.sky.com/story/trumps-fixer-was-made-to-wait-eig...
Kalau PC pribadinya, cukup kirim Big Ballz untuk melakukan sedikit upgrade
https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
Atau bisa juga piringan Starlink gratis
https://www.nytimes.com/2025/03/17/us/politics/elon-musk-sta...
Protokol Signal melindungi pesan saat transit. Namun aplikasi desktopnya bisa saja punya kerentanan sisi klien, atau bisa juga tidak. Dan kalau ia mengeklik tautan, ia keluar dari Signal dan masuk ke browser. Jika tautannya membuat file terunduh, berarti masuk ke sistem operasi
https://news.ycombinator.com/item?id=42780816
Judulnya “0-click deanonymization attack targeting Signal, Discord, other platforms”
Sekarang mungkin bukan lagi 0-click, tetapi jika pengguna menjelajah internet, teknik itu masih berlaku
Nilai tambah kalau tautannya berisi dropper malware zero-day
Sepertinya akan cukup bagus kalau dibuat drama seperti West Wing, di mana semua orang menganggap diri mereka sangat serius, tetapi di bawahnya ada ketidakmampuan yang terang-terangan dan merajalela
Drama tentang orang-orang bodoh yang sama sekali tidak lucu, tidak tampak seperti satire, dan tidak mengedipkan mata kepada penonton. Saya ingin masuk ke kepala orang-orang aneh ini
a) Lingkungan komunikasi nyata para birokrat adalah tiga telepon dan empat monitor yang bukan dipasang di lengan monitor atau di dinding, melainkan diletakkan di atas meja, penuh barang berserakan, di atas meja kayu yang anakronistis
b) Sebaliknya, dalam film “mata-mata”, grafik layar gelap dengan chart bergaya hacker yang mencolok muncul di monitor quad yang dipasang di lengan, di bawah pencahayaan redup; sang birokrat sendiri tidak melihat monitor kecil itu, bawahannya yang melihat, sementara ia hanya menatap layar 136 inci di dinding untuk konferensi video dengan para penjahat
Kontras ini benar-benar lucu
Saya hanya bisa memikirkan dua penjelasan yang mungkin
Ada yang lain?
Atau sama seperti alasan saya memakai Whatsapp. Percakapan kelompok sosial saya terjadi di sana, dan tanpa itu saya akan tersisih
Penjelasan-penjelasan itu mengasumsikan makna yang lebih dalam, seolah mereka menimbang kompromi tiap platform komunikasi lalu sampai pada kesimpulan rasional, padahal buktinya tidak banyak
Bisa saja orang-orang di sekitar Trump kebetulan sudah terbiasa berkomunikasi lewat Signal, dan kalau Pete tidak ikut di sana, ia akan tertinggal
Para pengembang Signal jadi kasihan. Sebelumnya, jika mereka bukan target pribadi aktor setingkat negara, sekarang mereka sudah menjadi target
Apa pun komentar orang tentang kegunaan solusi yang dikembangkan sendiri oleh DoD, itu adalah sistem militer yang didukung anggaran militer dan senjata, sehingga kemungkinan warga sipil menjadi kerusakan kolateral dalam serangan terhadap sistem seperti ini lebih rendah
Sekarang setiap warga sipil yang menggunakan Signal bisa menjadi korban serpihan dari konflik militer
Saya juga tidak berpikir Signal punya anggaran, tenaga, atau kemauan untuk berperan sebagai prajurit garis depan dalam perang siber. Namun, mau tidak mau, mereka kini terpapar risiko setingkat militer
Ada juga lembaga penegak hukum dan perusahaan forensik seperti Cellebrite, dan sebagai akibatnya Signal pernah membalas dengan tulisan blog yang cukup menarik: https://signal.org/blog/cellebrite-vulnerabilities/
Memang, manusia tetap menjadi kerentanan terbesar.