トランプ関係者が使ったSignalクローン、技術分析の中身は?
引用元:https://news.ycombinator.com/item?id=43875476
あとこれも見てみて:”The Signal Clone the Trump Admin Uses Was Hacked”っていう記事だって。https://www.404media.co/the-signal-clone-the-trump-admin-use…
この記事も参考にどうぞ。
https://archive.is/6J8mf
あとこっちの議論も参考になるよ https://news.ycombinator.com/item?id=43890179
この記事が元の話の続きなのか、それともまったく別の話なのかって議論で、すごく微妙なケースだから整理するのに1時間以上かかったんだよね。だからもしかしたら面白いかも。
ちなみに、このスレッドは micahflee が2日前に立てたものだよ。ページ上部のタイムスタンプは、僕たちがスレッドを”再浮上”させたせいなんだ(詳細はこちら: https://hn.algolia.com/?dateRange=all&page=0&prefix=true&que…)。
個人的には、最初このタイトルの記事を見たときは”技術分析”ってところにあまり興味なかったからクリックしなかったんだけど、”アプリがハッキングされた”っていう別のタイトルの記事を見て興味が出てきたんだよね。僕にとっては”ハッキングされた”ってことの方が議論する価値があるんだけど、この記事だとその一番のポイントがちょっと隠れてる気がする。
友達がリンクを送ってくれなかったら、今も知らなかっただろうな。
”面白そうなテックニュースを見たのに、あれ?これ HN で議論されてなくなくない?”って思って検索したら、政治にちょっとでも絡んでる(最近何でも政治と絡むけどね)せいで、埋もれてたりフラグ立てられてる HN スレッドを見つけるパターンが多い気がするよ。
最近、”active threads”っていうフラグ付きコンテンツも見れるフィードに切り替えたんだ。
https://news.ycombinator.com/active
英語がネイティブじゃない身としては、政治関係の議論が”flagged”(旗を持ってる、的な)って言われるのがなんか面白く感じるんだよね。
旗を持ってる人は flagging。
旗を立てられた人は flagged。
名詞から動詞への活用は非公式な英語だけど、僕らは言葉を動詞化するのが大好きなんだ。Google は Googling になったし、誰かが Google 検索されることを getting Googled って言う。
繰り返すけど、これは非公式で、特に決まりがあるわけでもなく、研究されてるわけでもない American English なんだ。だから気にしすぎなくて大丈夫だよ。僕らのスラングがこうやって進化していくんだね。English の統一性がなくてごめんね!
>これは非公式で、特に決まりがあるわけでもなく、研究されてるわけでもない American English なんだ。
あれ?どこでそんな印象受けたの?
非公式なのは確かだけどね - English には公式の統治機関なんてないから、基本的に全ての English は非公式だよ。でも、ゼロ派生の名詞由来動詞は、公式な書面での English でもかなり一般的だし [0],ちゃんと研究もされてるし [1],American English に限定される話でも全然ないんだよ [2]。
----
[0] このスレッド内でも見られる通りね。
[1] ちょっと探しただけですぐに学術論文 [1a] と Wikipedia の記事が2つ [1b][1c] 見つかったくらいだよ。
[1a] https://dingo.sbs.arizona.edu/~hharley/PDFs/HarleyDenominalV…
[1b] https://en.wikipedia.org/wiki/Denominal_verb
[1c] https://en.wikipedia.org/wiki/Conversion_(word_formation)
[2] https://www.thetimes.com/uk/politics/article/the-pedant-noun…
これも誰かが旗を立てて(誰かがやった)、レビューか非表示が必要だよって合図として読めたかな。
俺の意見だけど、これ全く新しいものだから技術分析は当然。追記も、重要さと政治・セキュリティ的な性質(政府のアプリが攻撃されたってこと)からして、別の投稿にするべきだと思うんだ。例えば、GoogleがGmailを発表して技術分析が出て、その日にハックされたら、それも投稿されると期待するよね。
なんでそうしなかったかは https://news.ycombinator.com/item?id=43896978 を見てくれ。要するに、君が言うみたいに議論を分けるのは無理なんだ。ごっちゃになっちゃうだけ。君のGmailの例えは良いけど、ここには当てはまらないと思うな。”technical analysis”の記事も、”hacked”っていう追記と同じ政治・セキュリティの懸念から書かれてるんだよ。
ちょっとしたメタ解説(サイト運営に関するコメント)を加えてくれてありがとう。サイトがどう機能するかが少し分かって助かるよ。特にこの件では、議論を追うのにすごく役に立つタイムラインになってるね。
この記事にはハックの情報は含まれてないよ。この記事でリンクされてる404 mediaの記事はもっと前のやつ。ハックについて書いてある404 mediaの記事は昨日の夜6時に投稿されたんだ。だからそれは別の投稿にするべきで、重複ってマークされるべきじゃないね。
これらの点は全部 https://news.ycombinator.com/item?id=43896978 と https://news.ycombinator.com/item?id=43901823 で答えたつもりだよ。もしそれらを読んでもまだ疑問が残るなら、改めて答えるよ。
dangへ:この二つの投稿はトピックが違うよ。あと、これは”show hn”じゃないの?セルフポストのルール適用がすごく分からなくて混乱してるんだ。
HNのスレッドとしては、結局同じ議論になっちゃうって意味では同じトピックだよ。https://news.ycombinator.com/item?id=43896978 と https://news.ycombinator.com/item?id=43901823 を読めば分かるはずだけど、もしダメなら言ってくれればもっと詳しく説明するよ。”Show HN”は全く別のもの。この記事の投稿者が著者ってのは本当(それは素晴らしいこと)だけど、それだけじゃShow HNにはならないんだ(https://news.ycombinator.com/showhn.html 参照)。
SignalみたいなE2EE通信システムのメッセージを、その目的を完全にぶっ壊すようなストレージにアーカイブするっていう考えがまだよくわかんないんだけど
Signalプロトコルとかアプリの信頼を利用しつつ、そのセキュリティモデルを破って誰かが全部のメッセージを検索できるようにする、みたいな感じ?
何を見落としてるんだろう?
>何を見落としてるんだろう?
OK、じゃあ君が銀行だとするじゃん。SECは、トレーダーが誰かと交わした全ての会話を常にアーカイブするよう規定してる(簡略化してるけど、ポイントはわかるでしょ)。トレーダーがディールについてwhatsappingしてたせいで、君はいつも巨額の罰金くらってる
そこでいくつか選択肢があるわけだ
一つはMS Teamsを使う方法。もちろんアーカイブとかコンプライアンス監視の機能はある。でも、MSFTを信頼しなきゃいけないし、トレーダーがTeams以外は絶対使わないように徹底しないといけない
もう一つは、金融業界向けのSymphonyとかICE ChatとかBloombergみたいな専用アプリを使う方法。でもこれらはB2Cアプリより使いにくい
そこにSmarsh(Telemessageのオーナー)のセールスマンが電話してきて「ユーザーはお気に入りのアプリ—WhatsAppとかSignal—を使い続けられますよ、でも私たちがコンプライアンス対応させます」って言うわけ。そしてみんな喜ぶ(セキュリティチームや法務チームの誰も、MDM経由でWhatsAppの改造版を配布することの影響をあんまり深く見てない限りは…)
追記:彼らの改造WhatsAppバイナリのインストール資料はこれね https://smarsh.my.salesforce.com/sfc/p/#30000001FgxH/a/Pb000…
最もポピュラーな”E2EE”通信システムの一つ、iMessageがまさにこれをやってるよ
毎晩iMessageユーザーの電話は、エンドポイントキーとかiMessage履歴を非E2EEなやり方でAppleにバックアップしてるんだ
これによってApple(と米国の諜報機関、FBI/DHS含む)は、中国を除くほぼ100%のiMessageをリアルタイムに近い形で監視できる(クロスデバイス同期キーをバックアップする設定にしてる通常の場合ね)
(中国は賢くて、Appleに中国国内の全てのiCloudデータを中国国内に保存させるだけでなく、中国政府管理下の合弁会社が所有・運営するマシンで行うよう要求してるから、FBIがデータを継続的にアクセスするために交渉しなきゃいけない、みたいな状況にならない)
https://www.reuters.com/article/us-apple-fbi-icloud-exclusiv…
それなのにAppleは、plaintextが自分たちに読める形でバックアップされてるのに、iMessageがE2EEだって正当に主張できるんだ
これは別の名前のバックドアだね
みんなハッピーさ:AppleはE2EEだって言えるし、国はFISAのおかげで令状なしに国内中の全員のテキストを監視できる
クライアント側の制限はセキュリティモデルの一部じゃないよ、だって他の人のデバイスはコントロールできないもん
改造してないアプリでも、root化/jailbreakされたデバイスを使えば簡単にバイパスされちゃうしね
おっと! WhatsAppメッセージをアーカイブする方法って、改造されたWhatsApp APKを使わないやり方も他にあるんだ
Metaの弁護士は改造WhatsApp APKには手厳しいからね
俺のデバイスで受け取ったメッセージをどうするか、なんて絶対にコントロールできないよ
スクリーンショット撮れるし、アプリがそれを防いでも画面を写真に撮ることはできる
Signalのゴールは信頼できるエンドツーエンド暗号化通信だ
デバイスやメッセージのセキュリティは、Signalの脅威モデルのスコープ外なんだ
>改造されたWhatsApp APKを使わないやり方も他にあるんだ
WhatsAppのGoogle Driveバックアップ機能とかWebインターフェースをスクレイピングする以外の方法で、他にどんなのがあるの?
それ古い記事だよ
Appleのドキュメントによると、Advanced Data Protectionはデバイスとメッセージのバックアップもカバーしてて、それらはE2EEになってるはずだよ
TM SGNLはさ、セキュリティモデルを”チャットしてる相手は信頼できる”から”チャット相手も信頼できるし、そのチャットを保存してる会社も信頼できる”に変えちゃってるんだよ。チャットしてる相手を信頼できないなら、そもそも一緒にチャットすべきじゃない。
それはSignalのセキュリティモデルの一部じゃないけど、チャット相手を信頼できるかってのはユーザー側のセキュリティモデルとしてめっちゃ大事だし、そうであるべきなんだよ。もし相手を信頼できないなら、そもそもなんでチャットしてるの?
もっとスマートなやり方(Telemessageの競合がやってるみたいにね)は、WhatsApp business APIを使って専用の電話番号を使うことだよ。
> もしチャット相手を信頼できないなら、そもそも一緒にチャットすべきじゃない。正直言って、トランプ関係者は誰もがお互いを信頼してないよ。裏切りなんて日常茶飯事。それにたぶん海外の相手とも話してるだろうし、彼らのほとんども全然信頼してないだろうね。暗号化って”相手を信頼できるか”だけじゃないんだよ。
信頼のレベルを混同してるね。Signalでは”チャット相手が他人に内容を漏らさないか”の信頼が必要だけど、TM SGNLは”運営会社が内容を漏らさないか”の信頼も必要になる。このセキュリティモデルの差は明確なのに、なぜ理解されないのか分からないな。
俺が相手したトレーダーのほとんどはさ、個人スマホでやりたがるんだよ。転職しても連絡先を持っておけるようにね。彼らのほとんどはセールスマンみたいなもんで、自分がどれだけ稼いでるか正確に分かってるし、成功してるやつは自分のやり方を邪魔するようなことは絶対しない。SECの罰金とか規制?あんなのは成功してないやつ向けだよ。追記:彼らをディーバって呼んでる投稿もあったけど、確かにそんな感じのやつが多いんだよ。
もっとコメントを表示(1)
俺の勝手な想像だけど、誰かがAIを使って全員の通信を監視したがってるんじゃないかな。
それに、あの名前って全然尖ってないし、むしろミッションをかなり正確に表してるよね。元ネタからまさにそのままって感じ。シーイングストーン、つまり皆の携帯データを見て、集めて、分析して、王様のために予測に変えるってさ。
規制守るためにやり取りは暗号化したいけど,保管するときは読める状態にしなきゃいけないんだって.連邦法の記録保管ルールだとSignalみたいなのは使えないらしい.正直,他のこと全然まともじゃなかったのに,ちゃんと規制守ろうとしたのはちょっと感心したわ…
新しいアプリ作るんじゃなくて,チャットに「記録用」のbotを毎回招待するようにすればよかったのにね.
>もし信用してないなら,そもそもなんでその人たちをチャットに入れたの? ジャーナリスト? Taliban negotiator? 元奥さん?
Appleのe2eeは設定しないと機能せず,相手も設定してないとAppleに読める形で保管される.FBIは国内のテキストを全部読める.Appleがプライバシー本気なら信頼サークルとかで全ユーザーをe2eeバックアップに移行させるはずだけどやらないし,やれない.監視の裏口を塞ぐことになり政府から規制されるかもだから.現政権はiPhoneに関税もかける姿勢.Tim Appleは情報機関に逆らえない.コードが表現の自由なのに報復されるかもってのは面白い.
は?規制対応が目的なら,規制対応に悪いものなんて使わないっしょ.だから法務部とかセキュリティ担当が嫌がるんだよ.もし規制対応に役立つなら,むしろ大歓迎されるはずじゃん!だから理由が規制対応ってことはありえないね.
TM SGNLは「第三者がセキュリティの甘さで情報を共有しないと信じられるか」という信頼が必要.これはSignalと同じ.Signalは運用者は内容を見れない保証はあるがユーザーがどうするかは別.相手のデバイスが会社にルート化されてないか記録提出義務がないかなんて当てにできない.相手が米政府役人なら記録義務があるのは公知.記録が残らないと思ってたなら際どいことしてるんだろう.これは「何も隠すことないなら」論じゃない.
なのに,政府がみんなのメッセージを読めなくするくらい効果的だから,イギリスでは違法になっちゃうくらいなんだよね.
そしたら,新しい攻撃の入口ができちゃうじゃん.それでもSignalの本来の意味から外れてるよ.
>例えば銀行だとして.SECはトレーダーが誰とどんなやり取りしたか全部記録しとけって言うんだ.そういう記録は,保管する時に暗号化されてるよ.
正直言って、あの”good guys”たちもかなりヤバかったよな。みんなが自分たちと同じ考えだって勘違いしてたんだ。人間性とか育成環境(文化は全部平等で能力も同じってやつ)について議論しない時の矛盾が明らかになってる。あれだけ失敗して信頼失わないなんてないってば!耳栓して誤魔化す時代はもう終わり。問題は右派に解決策がないこと。
”全部信頼できる”ってのと”自分が参加してる特定のチャットで通信が受け取れると信頼できる”ってのをゴッチャにしてない?前のほうは関係ない話だね。
この話で誰も触れてない大事な部分って、そのアプリがマジで”元”Israeliの情報部員たちに管理されてるってことだよな。彼らは今、たぶん誰よりも世界で超価値のあるアクセス権を持ってるんだぜ。
そんなに大したことないと思うな。USGはIsraelから常に技術買ってるし、Israelが関係を危険に晒してまで、すでに共有されてる情報欲しがるとは思えない。それに、”元Israeli情報部員”って怪しむ声には毎回言いたいんだけど、Israelの徴兵制度だと技術系はだいたい情報関連の役職につくんだよ。小さい国だしね。
そうだね—彼らは情報を関係を脅かすんじゃなく、維持するために使うんだよ。政治家とか政府関係者の傾向を知ること(その関係がコストだって思ってる人を見つけるとか)、そのために超価値があるんだ。
そこの損得勘定は変だよ。USはこれまでIsraelに敵対的な政策をとったことないから、USGの機密通信を盗聴するなんて、安全な同盟国相手にありえないくらいリスクだよ。(それに今の状況じゃ全く信じられないな—今の政権でIsrael支持を叫ばなかった奴なんていないくらいだし。)
USとか多くの国は何年も前からIsraelの監視ツール買ってるんだぜ。まあ、メッセージの保存は組織のサーバーでやってることを願うけどね。
Israëlはusaと利害が違うんだよ。今は一致してても明日どうなるか分からないだろ。例えばIranが核持ってIsrael脅したら?USA政府が使う暗号化システムは、俺はHuaweiの5Gデータ収集よりタチ悪いと思うね。Huaweiは政府トップの秘密の話にはアクセスできなかっただろうから、少なくとも暗号化されてない形では。
Signalクローンは組織のサーバーでアーカイブすべきって意見に対して、TM servers を経由してるって compelling evidence があるらしいよ。これに関するリンク貼っとくね。
TM servers を経由して archived されてるって compelling evidence があるんだって。The question is where the E2E encryption goes between.
US の National Security Advisor の電話盗聴は Israel と US の関係にとって大きな risk だと思う。これは normative じゃなく事実の話ね。US と Israel の関係で大事なのは、Israel が昔は self-sufficient を目指してたのに、今は US にめっちゃ dependent だってこと。これが Israel が US との関係を損なうようなこと(盗聴とか?)をするかどうかの analysis に影響するよ。
Some minor spying would not even register って言うけど、I mean, they stole weapons grade Uranium from United States along with nuclear secrets and we just shrugged our shoulders。これ見てよ。
Israel’s grip on DC’s balls is far too strong に I more or less agree。 We’re literally an occupied nation っていう language of the US under occupation は a neonazi talking point, ZOG (Zionist Occupation Government) being a phrase neonazi morons like。 Maybe a coincidence.
例えば Iran が nuclear bomb 持って Israel を threaten したら? I don’t know if this was your intention, but it’s exceedingly likely that the US would side with Israel in all circumstances if Iran threatened Israel with a nuclear weapon, no matter who is president. In fact, the threat of Iran attacking Israel was one of the key reasons Biden refused to unilaterally stop all arms shipments to Israel. Source: War by Bob Woodward.
Really? Jonathan Pollard のこと?
俺は intelligence と US / Israeli 関係に詳しい者として言うけど、君の言うことは inaccurate な overall picture だ。For example: Israel は US にとって China, Russia と同レベルの highest level の counterintelligence threat に classified されてる。これは big fucking deal で、minor な話じゃないんだぜ。
The most ”hostile to Israel” policy was under JFK, which is interesting.
Pollard事件はまさに俺が話してる結果を引き起こしたってことに注目してほしい。あれは特異なケースでUSとIsrael間の情報関係に長年ダメージを与えた。この教訓は厳しく学ばれてるはずだよ。https://www.thedailybeast.com/israeli-spies-arent-exactly-re…
Trump’sの外交政策は過去の大統領とかなり違うから,こういうことについて過去を参考にしてもどれだけ価値があるか分からないな。どんな政治的傾向の新しい大統領でも,この例に倣って過去とのさらなる断絶を作るかもしれないね。
もっとコメントを表示(2)
なんで過去にもうやってない,だから新しいことだと思うの?同盟国同士はいつもスパイし合ってるんだよ。US政府は公にしたくないだろうけど,少なくとも試みられてるし,USもIsraelにやってるだろうって理解してるはずだよ。https://www.timesofisrael.com/new-nsa-document-highlights-is…
E2E暗号化は多分関係ないんじゃないの?何か見落としてる?配布されるビルドは暗号化されてない平文のメッセージを別にアーカイブに送る可能性が高いから,それはTMサーバーに直接行ってから他の場所に送られるってことだと思うけど。
俺も君と同じようにその関連付けは好きじゃないけど,United Statesにとってより大きな脅威は何?外国勢力による議会,政権,情報機関の掌握?それとも政治的にも文化的にも無関係な寄せ集めのLARPers?
それが大きな問題じゃないなんて言ってないよ。明らかにそうさ。
俺が言いたいのは,それがIsraeliの技術だっていう事実自体が,この話の最大の部分じゃないってことなんだ。
ほとんど同意だけど,IranとIsrael支援に関してはTrumpは共和党大統領としてタカ派で予測可能だよ。最初の任期でIran核合意離脱,厳しい制裁,Israelとの関係強化,Jerusalem首都承認をしたね。タカ派なのはアドバイザーやBibiみたいな”強い指導者”への憧れもあるからさ。
>USや他の多くの国が長年または何十年もIsraeliの監視ツールを買ってきたって?そうだね,Cellebriteとかゼロデイエクスプロイトみたいなツールだね。あれは政府の外の人々をスパイするのに使われるツールだよ。これは政府によって作られたデータを持つツールなんだ。
彼らはIsraelに敵対的な政策をこれまでもこれからも持ってないし,持つこともないだろうね。IsraelがUSの政治家に対して持ってる影響力があるからさ。USがこのアプリをIsraeliから買った理由があるんだよ,セキュリティが向上したとかアーカイブ遵守のためじゃない。どれだけ”buy American”を謳い文句にしても,これはそれに矛盾してるだろ。
みんなできるだけお互いのこと盗聴しまくってるよ、特に同盟国はね。USAに出入りする通信をNSAが全部見てないわけないじゃん?たまにバレて騒ぎになって、外交官が何人かクビになっても、みんな結局続けてるんだよ。
もちろんやってるだろうね。でも”スパイウェアはうちから買いました”ってのよりは、もうちょい、うーん、派手なの想像してたな。俺の言いたいことは狭いんだけどね。イスラエルがUSをスパイしてて、USも彼らをスパイしてるのは間違いない。ただ、TM SGNL自体がその一部なのか、それとも技術とコンプライアンスの穴埋めにUSGに売られたただのクソソフトなのかが疑問なんだ。
あーはいはい、あれはエンドツーエンドだよ、エンドツーエンドの平文(クリアテキスト)でね。
もっとヤバいのは、その後の続報でtelemessageがすでにハッキングされたって話だよ。どうやらアプリにいくつかの脆弱性があって(しかもデータは丸見えの平文で送ってるらしい)からね。記事へのリンクはこれだよ。
記事全部は読めないんだけど、チャットがe2eでSignalに入って、アーカイブに送るときにe2eじゃなくなるってマジ?素人でもそんな作りしないと思うけど。なんでアーカイブ用のボットみたいなの作って、Signalのチャットに置いてe2eで見ればいいじゃん?
TM SGNLって、本物のSignalアプリ使ってる相手とメッセージする時も使えるらしいよ。相手は君のアーカイブボットと一緒にグループ作ってメッセージとか絶対しないし、そういうグループに勝手に入れられたら普通に嫌がるだろうね。
そうかもだけど、もし相手がそう思うなら、君がどんなやり方でチャットをアーカイブしてるか知ったら、どっちにしても喜ばないんじゃないかな。まあ、どんな人が使ってるかによるだろうけどね。
White Houseの通信担当の人が前(“Signalgate”の後)に、Signalは政府職員が仕事スマホで使うこと、最高機密の話までしてOKって承認されてるアプリだって言ってたんだよ。でもTeleMessageが承認されたって話は聞いたことないし、(外国の諜報機関が絡んでるかもって考えたら、もし承認されてたらマジでヤバいけど)承認されたかどうか誰か知ってる人いない?
>>Signalは…最高機密の話までしてOKって承認された。そんなわけないじゃん。TS(トップシークレット)扱ったことある奴なら、それがどれだけヤバいか分かるはずだよ。どんなソフト使っても、TSの情報なんて、デカいドアがあって外に警備員が立ってるような特別な部屋でしか見ちゃいけないんだよ。普段使ってるスマホでTS情報持つとか、ありえないから。
