1 poin oleh GN⁺ 2025-05-04 | 1 komentar | Bagikan ke WhatsApp
  • Foto ponsel Mike Waltz, pejabat pemerintahan Trump, memperlihatkan penggunaan aplikasi yang tampak seperti Signal tidak resmi untuk pengarsipan pesan
  • Waltz menjabat sebagai Penasihat Keamanan Nasional AS hingga Kamis, sehingga pertanyaan tentang jenis informasi yang dibahas pejabat publik di Signal makin menguat
  • Foto Reuters menangkap momen Waltz memeriksa ponselnya saat rapat kabinet Gedung Putih yang dipimpin Donald Trump
  • Di layar tampak pesan dari pejabat tinggi pemerintah seperti JD Vance, Tulsi Gabbard, dan Marco Rubio
  • Di bagian bawah layar terlihat teks yang menyerupai pesan verifikasi PIN Signal biasa, sehingga perhatian tertuju pada pencegahan pembajakan akun sekaligus cara pesan diarsipkan

Penggunaan Signal tidak resmi yang terungkap lewat foto

  • Foto ponsel Mike Waltz menangkap penggunaan aplikasi yang tampak seperti versi tidak resmi Signal
  • Versi ini diketahui dirancang untuk tujuan pengarsipan pesan
  • Waltz menjabat sebagai National Security Advisor AS hingga Kamis

Konteks foto Reuters

  • Foto yang dipublikasikan Reuters menangkap momen Waltz memeriksa ponselnya saat rapat kabinet yang digelar Donald Trump di Gedung Putih
  • Di layar terlihat pesan dari beberapa pejabat tinggi pemerintah
    • JD Vance
    • Tulsi Gabbard
    • Marco Rubio

Pesan PIN Signal dan konteks keamanan

  • Di bagian bawah layar ponsel Waltz ada teks yang tampak seperti pesan verifikasi PIN Signal biasa
  • Pesan verifikasi PIN Signal dapat muncul untuk mendorong pengguna mengingat PIN mereka
  • PIN dapat digunakan untuk membantu mencegah orang lain membajak akun

Pertanyaan praktis yang tersisa

  • Jika versi tidak resmi Signal dipakai untuk pengarsipan pesan, maka isu utamanya adalah jenis informasi dengan klasifikasi apa yang dibahas pejabat publik di aplikasi ini
  • Bagaimana data yang disimpan tersebut diamankan juga tetap menjadi hal yang perlu diklarifikasi

1 komentar

 
GN⁺ 2025-05-04
Komentar Hacker News
  • https://archive.ph/oXYXe

  • Instansi pemerintah sebelumnya juga pernah membayar untuk versi messenger terenkripsi dengan fitur pengarsipan. Pada 2021, CBP membayar Wickr sebesar 700 ribu dolar
    Ini tampak seperti penggunaan yang sangat cocok untuk mendukung Signal. Perusahaan besar atau instansi pemerintah bisa membayar langsung pengembang aplikasi untuk fork khusus, jadi saya tidak mengerti mengapa TeleMessage yang menerima uangnya. Apakah Signal Foundation tidak memudahkan implementasi fork berbayar?

    • Jika Signal menjadi bergantung secara finansial pada kontrak pemerintah, pemerintah akan punya pengaruh besar terhadap aplikasi itu. Rasanya tidak bagus jika platform ini berada di posisi seperti itu
    • Wickr dimiliki AWS, dan sekarang hanya punya produk untuk pemerintah/perusahaan. Versi personalnya sudah dihentikan
    • Mungkin 90% pekerjaannya bukan kode, melainkan kepatuhan regulasi dan melewati prosedur kontrak pemerintah
    • Signal mungkin harus mencurahkan semua sumber dayanya untuk pengembangan aplikasi utama demi misi aslinya, yaitu komunikasi aman untuk masyarakat umum
    • Katherine Maher, CEO NPR, adalah ketua dewan Signal Foundation
  • “TM SGNL” tampaknya merujuk pada perangkat lunak dari perusahaan bernama TeleMessage. Perusahaan ini membuat tiruan aplikasi messenger populer dan menambahkan fitur pengarsipan ke masing-masing aplikasi

    • Mengerikan. Bahkan itu bukan perusahaan Amerika Serikat
  • Kalau memakai Signal tetapi membiarkan perusahaan luar negeri menyadap komunikasi, apa gunanya? Mungkin mereka menginginkan UX produk komersial alih-alih pengalaman pengguna aplikasi yang disetujui pemerintah yang kaku, tetapi ada yang tahu alternatifnya apa?

    • Semuanya jauh lebih mudah dipahami jika sejak awal kita tidak berasumsi bahwa orang-orang ini punya sedikit pun kemampuan intelektual
      Signal disetujui untuk penggunaan pemerintah, tetapi tidak untuk informasi Departemen Pertahanan yang bersifat nonpublik. Signal bisa dipakai sebatas mengatakan “datang ke SCIF, kita bahas detailnya di sana”, sementara detailnya harus dibahas di lingkungan yang aman
    • Secara tradisional, untuk bertukar informasi tidak rahasia, orang cukup memakai jaringan telepon biasa. Namun menurut CISA, layanan suara dan SMS dari operator besar tidak lagi dianggap aman
      CISA menyarankan penggunaan layanan terenkripsi end-to-end sebagai gantinya, dan secara khusus menyebut Signal
      https://investigations.cooley.com/2025/01/15/federal-law-enf...
    • Alternatifnya adalah tidak memasang Signal di ponsel yang sudah dipasangi spyware. Ini bukan “penyadapan” ala serangan man-in-the-middle, melainkan cara memantau dan mengekstrak data dari ponsel pribadi yang terpasang Signal
      Pada akhirnya Signal hanyalah salah satu aplikasi di ponsel. Jika akan dipakai untuk komunikasi rahasia, ponsel itu harus memiliki perangkat lunak seminimal mungkin atau bahkan tidak ada sama sekali, serta dilindungi dengan kata sandi, enkripsi, dan segala cara lain yang memungkinkan
    • Mungkin mereka memang harus memberi tahu handler asing mereka tentang apa yang mereka lakukan. Bisa jadi itu tercantum di suatu bagian kontrak
  • Saya bertanya-tanya apakah perlu menanggung kerentanan keamanan demi pengarsipan. Lagi pula, kalau meminta kepada Israel dan Pegasus, mungkin arsipnya bisa didapat

    • Tunggu, ternyata ini perusahaan Israel
  • Melihat beberapa detail, TeleMessage dulu atau mungkin masih merupakan perusahaan Israel [1], tetapi tahun lalu diakuisisi oleh perusahaan AS, Smarsh [2], dan Smarsh sendiri juga merupakan anak perusahaan K1 Investment Management, perusahaan AS. Saya tidak tahu apakah perusahaannya sudah pindah
    Mungkin tidak terkait langsung, tetapi di ketentuan layanannya juga terlihat ada klausul terpisah tentang messaging di Tiongkok, dan tampaknya mencakup pengungkapan kepada pemerintah Tiongkok. Tidak jelas bagaimana aplikasi ini bekerja. Ia dipromosikan seperti fork dari klien Signal dan tampaknya mengunggah semuanya ke server jarak jauh; kalau begitu, tentu saja enkripsi end-to-end rusak kecuali arsip dipandang sebagai salah satu endpoint penerima dan koneksi itu dianggap aman. Antarmukanya juga tampaknya dipromosikan sama seperti Signal.
    Namun klien Signal untuk iOS dan Android sama-sama AGPLv3. Saya tidak menemukan tanda bahwa klien TeleMessage bukan perangkat lunak proprietari. Kalau begitu, apakah menurut AGPLv3 mereka hanya memberikan perangkat lunak dan source code kepada pelanggan berbayar, lalu pelanggan boleh mendistribusikannya ulang? Apakah mereka mengimplementasikan ulang kliennya sepenuhnya? Atau ini fork proprietari ilegal? Yang pertama tampaknya kecil kemungkinannya, dan dua yang terakhir cukup mengkhawatirkan dari sisi keamanan aplikasi
    [1]: https://en.wikipedia.org/wiki/TeleMessage
    [2]: https://en.wikipedia.org/wiki/Smarsh

    • Smarsh tampaknya perusahaan yang cukup besar di bidang kepatuhan regulasi. Bukan perusahaan sembarangan. Meski begitu, kekonyolan memakai aplikasi kloning Signal yang justru meniadakan tujuan Signal itu sendiri tetap sama
    • Enkripsi end-to-end tidak berarti seperti yang Anda pikirkan. Secara spesifik, itu tidak ada hubungannya dengan apa yang dilakukan penerima yang dituju atau perangkat lunaknya terhadap pesan tersebut
    • Sepemahaman saya, ketika bekerja di perusahaan, meskipun pemberi kerja menyediakan perangkat lunak GPL yang telah dimodifikasi, itu tidak dianggap sebagai distribusi dalam pengertian GPL. Jadi tidak bebas juga untuk didistribusikan lebih lanjut
      Setidaknya GPLv2 sering dijelaskan cukup ramah perusahaan, dalam arti modifikasi “privat” tetap privat dan karyawan tidak dianggap sebagai distribusi eksternal. Saya kurang tahu soal AGPL
    • Selama pelanggan bisa mendistribusikannya ulang, itu tidak ilegal. Apalagi jika para pelanggan sama sekali tidak berniat membocorkan source code; inti sebenarnya adalah apakah orang yang tidak memakai klien itu pernah terhubung ke server relay AGPL
      Dulu saya pernah bekerja di perusahaan yang menjual solusi perangkat lunak kustom berbasis perangkat lunak GPL kepada pelanggan terkait militer, mungkin pihak DOD. Selama lebih dari 10 tahun tidak ada yang meminta kodenya, sampai akhirnya beberapa tahun lalu ada seseorang yang memintanya. Mungkin ingin mengevaluasinya, tetapi karena barang itu dipakai sebagai inti dari banyak pekerjaan, mem-fork-nya pasti akan cukup merepotkan. Komponen bergeraknya benar-benar banyak.
      Kecuali ada seseorang yang menghubungi server TM SGNL lalu meminta source dan ditolak, itu tidak ilegal
    • “Jika arsip dipandang sebagai salah satu endpoint dan koneksinya aman” — sama sekali tidak. Ada cukup banyak pelanggan yang memakai TeleMessage, dan kebanyakan memakai Global Relay sebagai backend
      Yang benar-benar agak menakutkan, Global Relay menerima semuanya lewat SMTP. Saya belum memastikan apakah mereka mengatur DNSSEC atau MTA-STS, tetapi melihat cara operasi Global Relay, rasanya kecil kemungkinan mereka melakukannya. Dengan proxy yang ditempatkan dengan baik atau pencemaran DNS saja, sepertinya cukup banyak email sensitif yang dikirim ke Global Relay bisa disedot
  • Aplikasinya tampak seperti ini
    https://www.telemessage.com/how-to-install-and-register-sign...

    • Astaga, dipasang lewat distribusi App Center
  • Saya benar-benar penasaran apa maksud pesan JD yang berbunyi “mendapat konfirmasi dari pihak lain bahwa itu sudah dimatikan”

  • Tunggu, jadi yang mereka pakai adalah aplikasi kloning Signal yang dioperasikan oleh perwira intelijen Israel?
    Bagian ini tampaknya belum benar-benar diketahui secara luas. Kalau mencari alamat perusahaan itu di Google Maps, yang muncul sebenarnya perusahaan bernama “Cyberint”, dan itu terlihat sangat tidak bagus
    https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
    Yang lebih buruk, halaman tim di situs perusahaan itu penuh dengan orang yang tampaknya adalah “mantan” perwira intelijen Israel, termasuk CEO-nya
    https://www.telemessage.com/team/
    Ini tampaknya jauh lebih besar daripada cerita yang diketahui saat ini. Beberapa orde besaran lebih besar daripada Signalgate yang asli. Implikasinya di sini adalah bahwa perwira intelijen Israel mungkin memiliki akses terbaik di dunia saat ini: feed real-time dari semua percakapan yang diikuti oleh Penasihat Keamanan Nasional AS