2 คะแนน โดย GN⁺ 2025-05-02 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • Pete Hegseth รัฐมนตรีกลาโหมสหรัฐฯ ดูเหมือนจะมีคอมพิวเตอร์ส่วนตัวในห้องทำงานที่เชื่อมต่อโดยตรงกับ อินเทอร์เน็ตสาธารณะ และมีเบาะแสว่าเขาพยายามใช้ Signal ซึ่งเป็นที่นิยมในหมู่เจ้าหน้าที่รัฐบาล Trump บนอุปกรณ์นี้
  • ในห้องทำงานมี ช่องทางสื่อสารทางการที่ปลอดภัย อยู่แล้ว เช่น CMS, DRSN, NIPRNet, SIPRNet, JWICS และ Webex โดยอุปกรณ์บางส่วนรองรับการสนทนาระดับ TS/SCI ได้ด้วย
  • เมื่อการใช้ Signal บนคอมพิวเตอร์ของรัฐบาลหรือสมาร์ตโฟนที่ได้รับอนุมัติสำหรับการสนทนาลับทำได้ยากหรือไม่ได้รับอนุญาต Hegseth จึงเริ่มจากการใช้พื้นที่ Wi-Fi ด้านหลังห้องทำงาน และต่อมาขอ สายอินเทอร์เน็ตตรง สำหรับโต๊ะทำงาน
  • สายดังกล่าวเชื่อมต่อโดยตรงกับอินเทอร์เน็ตสาธารณะ โดยเลี่ยงโปรโตคอลความปลอดภัยของ Pentagon และเป็นการตั้งค่าที่มีการเฝ้าระวังน้อยกว่า NIPRNet ทำให้ ความเสี่ยงด้านความปลอดภัย เพิ่มขึ้น
  • รัฐมนตรีกลาโหมมีศูนย์สื่อสาร SecDef Cables ที่ดำเนินงานโดยทหาร 26 นายและพลเรือน 4 คนอยู่แล้ว แต่ประเด็นหลักของข้อถกเถียงคือการผลักดันให้ใช้อุปกรณ์ส่วนตัวและ Signal แยกต่างหาก

อุปกรณ์สื่อสารทางการในห้องทำงานของ Hegseth

  • Pete Hegseth รัฐมนตรีกลาโหมสามารถเข้าถึง โทรศัพท์แบบปลอดภัยและไม่ปลอดภัย หลายเครื่อง รวมถึงเครือข่ายคอมพิวเตอร์ได้เช่นเดียวกับผู้ดำรงตำแหน่งก่อนหน้า
  • อุปกรณ์ถูกติดตั้งบนโต๊ะด้านหลังโต๊ะทำงานขนาดใหญ่ในห้องทำงานที่ Pentagon และโดยพื้นฐานแล้วองค์ประกอบไม่ได้เปลี่ยนแปลงมากนักนับตั้งแต่ยุคของ Chuck Hagel ซึ่งเป็นรัฐมนตรีกลาโหมช่วงปี 2013–2015
  • อุปกรณ์โทรศัพท์

    • บนแท่นไม้มี Cisco IP Phone 8841 พร้อมโมดูลขยาย 14 ปุ่ม ซึ่งเป็นส่วนหนึ่งของ Crisis Management System(CMS)
    • CMS เชื่อมต่อเจ้าหน้าที่รัฐบาลระดับสูง เช่น ประธานาธิบดี, National Security Council, คณะรัฐมนตรี และ Joint Chiefs of Staff
    • ขอบเครื่องสีเหลืองสดหมายความว่าสามารถใช้สำหรับการสนทนาระดับ Top Secret/Sensitive Compartmented Information หรือ TS/SCI ได้
    • ใต้แท่นไม้มี Integrated Services Telephone-2 หรือ IST-2 วางอยู่ในตำแหน่งที่แทบมองไม่เห็น
    • IST-2 ใช้ได้ทั้งการโทรแบบปลอดภัยและไม่ปลอดภัย และเป็นส่วนหนึ่งของ Defense Red Switch Network(DRSN) หรือบริการ Multilevel Secure Voice
    • DRSN เป็นระบบหลักสำหรับการสนทนาทางทหารที่เป็นความลับ โดยเชื่อมต่อ White House, ศูนย์บัญชาการทหาร, หน่วยข่าวกรอง และพันธมิตร NATO
    • ด้านหน้า IST-2 มี Cisco IP Phone 8841 อีกเครื่องพร้อมโมดูลขยาย 14 ปุ่ม และขอบสีเขียวบ่งชี้ว่าเป็นสำหรับ โทรศัพท์ไม่ลับ
    • โทรศัพท์เครื่องนี้เป็นส่วนหนึ่งของเครือข่ายโทรศัพท์ภายใน Pentagon และมาแทนที่โทรศัพท์ผู้บริหาร Avaya Lucent 6424 ที่เห็นในภาพถ่ายปี 2021
  • คอมพิวเตอร์และอุปกรณ์ประชุมทางวิดีโอ

    • ถัดจากโทรศัพท์มีหน้าจอคอมพิวเตอร์ 2 จอที่แสดงพื้นหลังสีเขียวสด ซึ่งบ่งชี้ถึงการเชื่อมต่อเครือข่ายไม่ลับ
    • เครือข่ายดังกล่าวมีความเป็นไปได้สูงว่าเป็น NIPRNet
    • ภาพถ่ายห้องทำงานของ Lloyd Austin อดีตรัฐมนตรีกลาโหม ยังแสดง KVM switch สำหรับสลับอย่างปลอดภัยไปยัง SIPRNet และ JWICS โดยใช้คีย์บอร์ด หน้าจอ และเมาส์ชุดเดียวกัน
    • ทางด้านขวาของโต๊ะมีหน้าจอประชุมทางวิดีโอ Cisco Webex DX80 2 เครื่อง
    • ป้ายสีเหลืองบนอุปกรณ์ด้านขวาบ่งชี้ว่าเป็นอุปกรณ์ที่ได้รับอนุมัติระดับ TS/SCI
    • อุปกรณ์นี้น่าจะเป็นส่วนหนึ่งของ CMS และอาจถือได้ว่าเป็นอุปกรณ์รุ่นถัดจาก Secure Video Teleconferencing System(SVTS)
    • อีกหน้าจอหนึ่งอาจเป็นสำหรับการประชุมทางวิดีโอในระดับชั้นความลับที่ต่ำกว่า

คอมพิวเตอร์ส่วนตัวสำหรับใช้ Signal

  • แม้ Hegseth จะมีตัวเลือกการสื่อสารผ่านช่องทางรัฐบาลที่เหมาะสมและปลอดภัยมากมาย แต่เขายังคงยืนกรานจะใช้ Signal
  • ดูเหมือนว่า Signal ไม่สามารถติดตั้งหรือไม่ได้รับอนุญาตให้ติดตั้งบนคอมพิวเตอร์ของรัฐบาลหรือสมาร์ตโฟนที่ได้รับอนุมัติสำหรับการสนทนาลับ
  • ตามรายงานของ AP News ตอนแรก Hegseth ย้ายไปยังพื้นที่ด้านหลังห้องทำงานที่เข้าถึง Wi-Fi ได้เพื่อใช้ Signal
    • ยังไม่ชัดเจนว่าเขาใช้แล็ปท็อปส่วนตัวหรือสมาร์ตโฟนส่วนตัวในตอนนั้น
    • มีความเป็นไปได้สูงว่าการใช้อุปกรณ์ทั้งสองประเภทในพื้นที่ปลอดภัยเช่นนี้ถูกห้ามอย่างเข้มงวด
  • ต่อมา Hegseth ขอ การเชื่อมต่ออินเทอร์เน็ต เพื่อให้ใช้คอมพิวเตอร์ของเขาที่โต๊ะทำงานได้
    • สายนี้เชื่อมต่อโดยตรงกับอินเทอร์เน็ตสาธารณะ
    • และเลี่ยงโปรโตคอลความปลอดภัยของ Pentagon
  • คอมพิวเตอร์เดสก์ท็อปเครื่องใหม่ที่เห็นในภาพถ่ายวันที่ 20 มีนาคม 2025 ดูเหมือนจะเป็นอุปกรณ์ดังกล่าว
    • ในภาพถ่ายวันที่ 21 กุมภาพันธ์ 2025 ยังไม่มีเครื่องนี้
    • และไม่มีป้ายระบุระดับชั้นความลับด้วย

ลักษณะของสายอินเทอร์เน็ตสาธารณะโดยตรง

  • พนักงานคนอื่นบางส่วนใน Pentagon ก็ใช้สายที่เชื่อมต่อโดยตรงกับอินเทอร์เน็ตสาธารณะเช่นกัน
    • ตัวอย่างเช่น ใช้สายแบบนี้เมื่อต้องการไม่ให้ถูกระบุว่าเป็นที่อยู่ IP ที่จัดสรรให้ Pentagon
  • สายตรงเช่นนี้ อันตราย เพราะถูกเฝ้าระวังน้อยกว่า NIPRNet
    • NIPRNet เป็นเครือข่ายไม่ลับที่อนุญาตให้เข้าถึงอินเทอร์เน็ตภายนอกได้อย่างจำกัด
  • Hegseth ติดตั้ง Signal บนคอมพิวเตอร์เดสก์ท็อปเครื่องใหม่
    • ซึ่งเท่ากับเป็นการ จำลอง แอป Signal ที่อยู่บนสมาร์ตโฟนส่วนตัว
  • แหล่งข่าวสื่อบางแห่งระบุว่า Hegseth ยังแสดงความสนใจในการติดตั้งโปรแกรมสำหรับส่งข้อความ SMS ทั่วไปบนคอมพิวเตอร์ส่วนตัวเครื่องนี้ด้วย
  • มาตรการนี้มีเป้าหมายเพื่อเลี่ยงปัญหาสัญญาณโทรศัพท์มือถือไม่เพียงพอในพื้นที่จำนวนมากของ Pentagon และเพื่อให้สื่อสารกับ White House รวมถึงเจ้าหน้าที่รัฐบาล Trump คนอื่นๆ ที่ใช้ Signal ได้ง่ายขึ้น
  • ในวิดีโอที่เผยแพร่บน X เมื่อวันที่ 5 พฤษภาคม 2025 ดูเหมือนว่าคอมพิวเตอร์ใหม่ที่ไม่ได้รับอนุญาตเครื่องนี้ถูกนำออกไปแล้ว อย่างน้อยก็จากโต๊ะทำงานของ Hegseth

ศูนย์สื่อสาร SecDef Cables

  • การที่ Hegseth ทุ่มเทอย่างมากเพื่อใช้ Signal ยิ่งโดดเด่นขึ้นเมื่อพิจารณาว่ารัฐมนตรีกลาโหมมี ศูนย์สื่อสารเฉพาะทาง แยกต่างหากอยู่แล้ว
  • ศูนย์สื่อสารนี้โดยทั่วไปเรียกว่า SecDef Cables และเป็นส่วนหนึ่งของหน่วย Secretary of Defense Communications(SDC)
  • SecDef Cables ให้บริการจัดการข้อมูลปฏิบัติการและทำหน้าที่เป็นศูนย์สนับสนุนการบัญชาการและควบคุม
    • มีทหาร 26 นายและพลเรือน 4 คนปฏิบัติงาน
    • ให้ความสามารถด้านเสียง วิดีโอ และข้อมูลแก่รัฐมนตรีกลาโหมและเจ้าหน้าที่ใกล้ชิด ผ่านหลายแพลตฟอร์มและหลายระดับชั้นความลับ โดยไม่ขึ้นกับสถานที่
  • SecDef Cables ยังทำหน้าที่เป็นช่องทางติดต่อกับศูนย์สื่อสารสำคัญหลายแห่ง
    • National Military Command Center(NMCC)
    • White House Situation Room
    • State Department Operations Center
    • ศูนย์สื่อสารลักษณะคล้ายกันอื่นๆ
  • Cables ยังจัดการการเชื่อมต่อ Defense Telephone Link(DTL) ด้วย
    • DTL เป็นสายด่วนระดับต่ำที่เชื่อมต่อกับคู่สายในกองทัพของประมาณ 25 ประเทศ รวมถึงรัสเซียและจีน

2 ความคิดเห็น

 
GN⁺ 2025-05-02
ความคิดเห็นจาก Hacker News
  • สมาชิกอื่น ๆ ของ Five Eyes ควรระมัดระวังว่าจะแลกเปลี่ยนอะไรกับสหรัฐฯ ระหว่างที่เรื่องนี้กำลังเกิดขึ้น
    การเข้ารหัสกุญแจสาธารณะ ที่ Signal ใช้นั้นดีพอสำหรับการใช้งานส่วนใหญ่ และยอดเยี่ยมสำหรับสิ่งอย่างธุรกรรมบัตรเครดิต แต่ปัญหาคือยากที่จะคาดหวังความลับระยะยาวสำหรับการส่งข้อมูลลับของรัฐ
    ข้อความที่ส่งผ่าน Signal วันนี้อาจถูกเก็บไว้ในรูปแบบข้อความเข้ารหัส แล้วอีก 10 ปีให้หลังถูกโจมตีด้วยฮาร์ดแวร์และอัลกอริทึมในตอนนั้น ถึงตอนนั้นรหัสของ Signal อาจยังแข็งแกร่งอยู่ก็ได้ แต่ก็อาจถูกถอดได้ง่ายเช่นกัน หากความลับของข้อความนั้นยังอ่อนไหวอยู่ในอีก 10 ปี ก็จะเป็นปัญหา
    สิ่งที่ส่งผ่าน Signal ควรถูกปฏิบัติเหมือน สิ่งพิมพ์เผยแพร่ที่มีความล่าช้าไม่ทราบแน่ชัด และหากจะแลกเปลี่ยนข้อมูลกับสหรัฐฯ นั่นเป็นเงื่อนไขที่ยอมรับได้ยาก

    • ตัวอัลกอริทึมการเข้ารหัสของ Signal เองนั้นใช้ได้ ปัญหาคือสภาพแวดล้อมที่มันทำงานคือ อุปกรณ์ผู้บริโภคที่เชื่อมต่อกับอินเทอร์เน็ตทั่วไป และยังเชื่อได้ยากว่าคนที่ทำเรื่องแบบนี้จะติดตั้งแพตช์ได้ทันเวลา
      แค่ zero-day หนึ่งตัวหรือการคลิกอย่างประมาทเพียงครั้งเดียว ก็อาจทำให้ฝ่ายตรงข้ามเข้าถึงข้อความหรือแม้แต่ส่งข้อความได้ ฟีเจอร์ข้อความที่หายไปของ Signal ช่วยลดความเสี่ยงแบบแรก แต่ก็ขัดกับกฎหมายการเก็บรักษาบันทึกของรัฐบาล
      เหตุผลที่จำกัดการเข้าถึงระบบของรัฐบาลไม่ใช่เพราะระบบเหล่านั้นมีภูมิคุ้มกันต่อบั๊กความปลอดภัยได้อย่างวิเศษ แต่เพราะมีทีมผู้เชี่ยวชาญที่มีคุณสมบัติจริง ๆ คอยเฝ้าระวังและดำเนินมาตรการความปลอดภัยเชิงรุก โทรศัพท์ของเขาอาจเปิดรับ SMS/MMS น่าสงสัยที่ใครก็ได้ทั่วโลกส่งมาได้หากรู้แค่เบอร์ และแม้แต่ไลเซนส์สปายแวร์เชิงพาณิชย์ก็ทำให้เสี่ยงได้ แต่คอมพิวเตอร์ลับในเครือข่ายความมั่นคงไม่สามารถรับทราฟฟิกแบบนั้นได้เลย การตั้งค่าก็ถูกล็อกไว้ และการถูกเจาะก็จะถูกตรวจพบได้เร็วกว่ามาก
      บริบทที่ใหญ่กว่านี่แหละคือประเด็นสำคัญ คล้ายกับเจ้าของธนาคารให้เพื่อนตีกอล์ฟขี้เมามาบริหาร แล้วเพื่อนคนนั้นก็เริ่มเก็บสมุดบัญชีไว้ในรถเพราะสะดวก ต่อให้เป็นคนที่มีเจตนาดีเต็มที่และอยากทำให้ดี ก็เป็นพฤติกรรมที่ไม่ได้เป็นประโยชน์กับใคร และมีแต่เพิ่มความเสี่ยงอย่างมากในแบบที่ไม่มีใครพร้อมรับมือ
    • สงสัยเหมือนกันว่าจะใช้การเข้ารหัสแบบไหนสำหรับความลับของรัฐ ฟังดูเหมือนมีนัยว่ารัฐบาลหรือหน่วยข่าวกรองใช้ระบบเข้ารหัสที่เหนือกว่ามาก แต่เท่าที่รู้ Signal อยู่ใกล้ระดับล้ำสมัยมาก
      Signal ไม่ใช่วิธีไร้เดียงสาแบบ RSA ที่แค่เข้ารหัส/ถอดรหัสข้อความด้วยกุญแจสาธารณะโดยตรง แต่ใช้คู่กุญแจแบบอสมมาตรเพื่อทำการแลกเปลี่ยนกุญแจ Diffie-Hellman ก่อน สร้างกุญแจสมมาตรแบบใช้ครั้งเดียว แล้วใช้กุญแจนั้นเข้ารหัส/ถอดรหัส ซึ่งทำให้รับประกัน forward secrecy ได้ด้วย: https://signal.org/blog/asynchronous-security/
      ทุกวันนี้ยังเพิ่มวิธีเข้ารหัสที่ทนทานต่อควอนตัมเข้าไปอีก และน่าจะยังมีรายละเอียดอื่น ๆ อีกมากที่ไม่ได้กล่าวถึง
    • แม้ว่าการนำการเข้ารหัสของ Signal ไปใช้จะปลอดภัย แต่อุปกรณ์ที่รันมันมีโอกาสสูงที่จะไม่เป็นไปตาม ข้อกำหนด TEMPEST การเข้ารหัสสำหรับผู้บริโภคส่วนใหญ่ล้วนเปราะบางต่อการโจมตีผ่านช่องทางข้างเคียงไม่ทางใดก็ทางหนึ่ง
    • ประเด็นที่ว่า “สิ่งที่ส่งผ่าน Signal ควรถูกปฏิบัติเหมือนสิ่งพิมพ์เผยแพร่ที่มีความล่าช้าไม่ทราบแน่ชัด” นั้นเป็นสิ่งที่พิจารณากันอยู่แล้ว และระบบเข้ารหัสทุกระบบที่รัฐบาลใช้ก็ถูกมองในมุมนี้เช่นกัน
      สิ่งสำคัญคือเวลาที่สมมติว่าต้องใช้ก่อนจะถูกเปิดเผยนั้นต่างกัน ว่าเป็นไม่กี่สัปดาห์หรือหลายปี และจึงต้องใช้ระดับความแข็งแกร่งด้านความปลอดภัยให้เหมาะสมกับการใช้งานนั้น
      หากเป็นข้อมูลที่ห้ามถูกเปิดเผยโดยเด็ดขาด การเข้ารหัสก็ไม่ใช่คำตอบ และโดยทั่วไปคอมพิวเตอร์ก็ไม่ใช่คำตอบเช่นกัน
    • ผมจะให้คำแนะนำต่างออกไป: ไม่ควรแบ่งปันความลับของรัฐกับสหรัฐฯ
      ความลับนั้นคงอยู่ในบัญชีคลาวด์ที่ตั้งค่าผิด หรือเดินทางไปมาระหว่างบัญชีแบบนั้น สักวันหนึ่งหน่วยงานบางแห่งจะได้รับอนุมัติให้วิเคราะห์เพื่อวัตถุประสงค์ด้านข่าวกรองทางการเงิน และความเป็นไปได้ที่ความลับนั้นรั่วไหลหรือการรั่วไหลที่ยืนยันแล้ว จะมอบ plausible deniability ให้สหรัฐฯ เมื่อพวกเขานำมันไปใช้ในทางที่ผิด
  • ความย้อนแย้งนี่สุด ๆ
    https://www.theguardian.com/us-news/2016/sep/02/hillary-clin...
    https://www.theguardian.com/us-news/2016/jul/05/fbi-no-charg...
    อีกอัน:
    https://www.fbi.gov/news/press-releases/statement-by-fbi-dir...
    “ขอพูดให้ชัดเจน นี่ไม่ได้หมายความว่าคนที่กระทำแบบนี้ในสถานการณ์คล้ายกันจะไม่ต้องรับผลใด ๆ ตรงกันข้าม คนเหล่านั้นมักถูกลงโทษด้านความมั่นคงหรือทางปกครอง แต่สิ่งนั้นไม่ใช่สิ่งที่เรากำลังตัดสินในตอนนี้”

    • สิ่งที่เธอทำผิดจริง ไม่มีข้อสงสัยเลย ควรมีการสอบสวนและจัดการอย่างเหมาะสม
      แต่ไม่ควรทำให้การที่รัฐมนตรีต่างประเทศจัดการเอกสารลับอย่างประมาท ดูเหมือนเป็นเรื่องเดียวกันหรือเกี่ยวข้องกันกับการที่รัฐมนตรีกลาโหมแชร์ แผนโจมตีที่กำหนดไว้แล้ว และเลี่ยงมาตรการความมั่นคงสารสนเทศอย่างจงใจ โดยเฉพาะหลังจากมีการวิพากษ์วิจารณ์และสอบสวนกรณีของรัฐมนตรีต่างประเทศอย่างดุเดือดมาแล้ว
      การหวังให้เจ้าหน้าที่รัฐปรับปรุงตัว แทนที่จะหยุดนิ่งหรือแย่ลง ไม่ใช่ความย้อนแย้ง
    • ช่อง Legal Eagle วิเคราะห์สองกรณีนี้ในชื่อ “Signal War Plans v.s. Hillary's Emails”:
      https://www.youtube.com/watch?v=cw1tNTIEs-o
      สองกรณีนี้จริง ๆ แล้วไม่เทียบเท่ากันในทางกฎหมาย ความแตกต่างสำคัญอย่างหนึ่งคือกลุ่มของ Hesgeth ตั้งค่าให้การสื่อสารถูกลบโดยอัตโนมัติ ซึ่งขัดต่อ กฎหมายการเก็บรักษาบันทึก ไม่มีหลักฐานว่า Clinton ลบอีเมล
    • อีเมลของเธอไม่ได้ถูกตั้งใจให้ใช้กับข้อมูลลับในช่วงเวลาใดเลย และมาตรการป้องกันทั้งหมดที่กำลังถูกเลี่ยงอยู่ตอนนี้ โดยปกติก็คงถูกนำมาใช้กับข้อมูลลับอยู่แล้ว
      ผู้ส่งและผู้รับทุกคน (ยกเว้น bcc) รู้หรือสามารถรู้ได้ว่าเธอไม่ได้ใช้ที่อยู่อีเมล .gov และจึงเท่ากับร่วมมือในระดับหนึ่งหรือยอมรับโดยปริยายต่อการใช้เซิร์ฟเวอร์นั้น
      บางครั้งข้อมูลที่ ณ เวลานั้นยังไม่เป็นความลับถูกจัดชั้นเป็นความลับในภายหลัง หรือเกิดการรั่วไหลของข้อมูลจากการที่ผู้ส่งส่งข้อมูลลับมา ทำให้ผู้รับต้องเข้าร่วมการลบ การสอบสวน ฯลฯ
      การใช้เซิร์ฟเวอร์ภายนอกเป็นเรื่องไม่ดี แต่ในขณะเดียวกันมันก็ มองเห็นได้อย่างเปิดเผยตั้งแต่แรก
    • “เมื่อย้อนดูการสอบสวนเกี่ยวกับการจัดการหรือการนำข้อมูลลับออกไปอย่างไม่เหมาะสม เราไม่พบกรณีใดที่ข้อเท็จจริงลักษณะนี้เพียงพอจะสนับสนุนการฟ้องคดีอาญาได้ ทุกกรณีที่มีการฟ้องร้องล้วนมีองค์ประกอบบางอย่างร่วมกัน ได้แก่ ความประมาทในการจัดการข้อมูลลับที่ชัดเจนว่าเป็นไปโดยตั้งใจและจงใจ การเปิดเผยข้อมูลจำนวนมากพอให้อนุมานได้ว่ามีการกระทำผิดโดยเจตนา สัญญาณของความไม่ภักดีต่อสหรัฐฯ หรือความพยายามขัดขวางกระบวนการยุติธรรม”
      ย้อนแย้งจริง ๆ
    • เป็นการ เบี่ยงประเด็น แบบคลาสสิก
  • แยกจากประเด็นความมั่นคงในการปฏิบัติการและความรับผิดชอบส่วนบุคคล ผมมองว่านี่เป็นอีกตัวอย่างหนึ่งของคำว่า “ความปลอดภัยที่แลกมาด้วยการเสียความใช้งานง่าย ย่อมทำให้ความปลอดภัยเสียไปด้วย
    อุปกรณ์สื่อสารทางการของ DoD ห่วยแตก พอคนรู้สึกว่าอาจไม่ถูกจับได้ ก็เลยไปใช้แพลตฟอร์มสื่อสารเข้ารหัสที่ปลอดภัยน้อยกว่าแต่ใช้ง่ายกว่า
    DoD อาจต้องพัฒนา Android สำหรับใช้ภายในและ fork ของ Signal ที่ใส่การควบคุมความปลอดภัยหลักเพิ่มเติมโดยไม่ทำลายความใช้งานง่าย ตรงนี้เห็นเส้นทางความต้องการชัดเจน

    • พวกเขาใช้ การสื่อสารไม่เป็นทางการ เพื่อหลีกเลี่ยงบันทึกทางการและการติดตามความรับผิดชอบ ไม่เกี่ยวกับความสะดวกในการใช้งาน
    • ไม่ใช่แค่เรื่อง “รู้สึกว่าอาจไม่ถูกจับได้” เท่านั้น ความปลอดภัยย่อมมีการประนีประนอมและการแลกเปลี่ยน
      มนุษย์โง่เขลา จึงใช้รหัสผ่านซ้ำ ติดตั้งซอฟต์แวร์ที่ดีกว่าแต่ไม่ปลอดภัย ไม่อัปเดต และเรื่องเก่า ๆ ก็เกิดซ้ำ
      ถ้าในปี 2025 ยังสื่อสารกับใครก็ได้บนโลกนี้ได้ไม่ง่ายเท่ากับเปิดแอปแล้วพิมพ์ ผู้คนก็จะหาวิธีอื่น เพราะมีวิธีที่ดีกว่าอยู่สักพันวิธี
      ดังนั้นแทนที่จะเป็นการพยายามทำอะไรลับ ๆ อาจเป็นไปได้มากกว่าว่าพวกเขาแค่ชอบทางเลือกที่ง่ายกว่าเล็กน้อย เมื่อเทียบกับฟีเจอร์ความปลอดภัยอันยุ่งยากของการสื่อสารภาครัฐ เช่น โทเค็นกายภาพ การยืนยันตัวตนชีวมิติที่ช้า หรือการล็อกเอาต์ทุก 15 วินาที ใคร ๆ ก็อาจเป็นแบบนั้นได้
      เหตุการณ์นี้อาจทำให้ ผู้รับผิดชอบด้านความมั่นคงการสื่อสาร ของรัฐบาลประเมินแนวปฏิบัติใหม่ก็ได้ นี่ไม่ใช่การปกป้องการกระทำนี้ แต่เป็นการเสนอคำอธิบายที่เป็นไปได้ และในการประเมินความล้มเหลวด้านความปลอดภัย การโทษผู้ใช้เสมอไปก็ไม่ใช่ทางที่ดีที่สุด
    • บางส่วนก็ถูก เคยมี Android ที่รันบน General Dynamics OKL4 และ INTEGRITY RTOS ของ Green Hills และ Signal ก็สามารถพอร์ตไปที่นั่นได้
      ถ้าต้องการ ก็อาจรองรับ เลเยอร์แยกส่วน ที่ผู้ขายรายใดก็ใช้ได้โดยตรง ผมคิดว่าอิทธิพลของการตัดสินใจจัดซื้อจากบริษัทใหญ่ ๆ หรือก็คือคอร์รัปชัน เป็นตัวขับเคลื่อนปัญหานี้ในสัดส่วนไม่น้อย
    • เขามี ทีมผู้ช่วย 30 คน ที่งานของพวกเขาคือเชื่อมต่อเขากับใครก็ได้ที่เขาต้องการ จะบอกว่าความใช้งานง่ายของบริการคอนเซียร์จเฉพาะทางมากกว่า 20 คน แย่กว่าการใช้ Signal ในอาคารที่แม้แต่สัญญาณมือถือก็ยังไม่ดีอย่างนั้นหรือ?
  • ถ้าจะเอาคนที่ไม่มีคุณสมบัติเลย แถมยังมีประวัติใช้แอลกอฮอล์ในทางที่ผิด มานั่งเป็นผู้รับผิดชอบ อย่างน้อยก็ควรตรวจให้แน่ใจว่าเขามีความสามารถจริง
    เห็นคนที่มีอำนาจระดับสูงสุดทำตัวเหมือนมองงานนั้นเป็นเรื่องใต้ตัวเองแล้วน่าหงุดหงิดจริง ๆ รู้สึกเหมือนกำลังดูประวัติศาสตร์ถูกเขียนโดยคนที่มี อภิสิทธิ์ที่สุดและไร้ความสามารถที่สุด ในหมู่พวกเรา

    • ต่อไปคงแทบดูซีรีส์หรือหนังการเมืองระทึกขวัญเรื่องใหม่ ๆ ที่ตั้งอยู่บนสมมติฐานว่างานบริหารประเทศของสหรัฐฯ ดำเนินโดยคนจริงจังและมีความรู้ไม่ได้แล้ว
      มันห่างไกลจากความเป็นจริงของนักการเมืองทุกวันนี้เกินไป จนแทบเป็นไปไม่ได้ที่จะพักความไม่เชื่อเพื่อสนุกกับมัน นึกถึงซีรีส์ De Niro ล่าสุดที่ชวนอับอาย
    • รัฐบาลชุดนี้ทั้งชุดถูกคัดเลือกตามเกณฑ์เรื่อง ความจงรักภักดี ในสภาพแวดล้อมแบบนี้ ความสามารถกลายเป็นภัยคุกคาม
    • การที่ประวัติศาสตร์ถูกเขียนโดยคนมีอภิสิทธิ์และไร้ความสามารถอาจเป็นเรื่องค่อนข้างพบได้บ่อย ไม่ได้พูดเพื่อแก้ตัว แต่เพราะคนเหล่านั้นเป็นฝ่ายเขียนเรื่องเล่าเองในท้ายที่สุด เราจึงสังเกตเห็นได้ยาก
    • ความสามารถเป็นส่วนหนึ่งของคุณสมบัติอยู่แล้ว ดังนั้นสิ่งที่เรียกร้องจึงเป็นไปไม่ได้แม้แต่ในเชิงทฤษฎี
    • ประวัติการใช้แอลกอฮอล์ในทางที่ผิด ควรเป็นเหตุให้ขาดคุณสมบัติในการได้รับการรับรองความมั่นคงของสหรัฐฯ
      เพราะถูกชักใยได้ง่าย เช่น เอาเหล้าให้ดื่มเพื่อเค้นความลับ หรือชวนคุยตัวต่อตัวแล้วทำให้เข้าสู่ “สภาพจิตใจแบบเมา” เพื่อดึงความลับออกมา แถมยังมีความผิดพลาดครั้งใหญ่เรื่องการใช้ Signal หรือก็คือ #signalgate อีกด้วย
  • ลองสมมติว่าคุณทำงานให้หน่วยข่าวกรองของประเทศที่ไม่ใช่สหรัฐฯ คุณจะหาเครื่องคอมพิวเตอร์ส่วนตัวในออฟฟิศของ Hegseth บนอินเทอร์เน็ตสาธารณะได้อย่างไร? นี่เป็นการทดลองทางความคิดอย่างจริงจัง

    • ก็เขียนบทความที่เขาน่าจะอยากอ่าน แล้วกระจายลิงก์ จากนั้นก็เก็บเกี่ยว ข้อมูลเบราว์เซอร์ เหมือนเว็บไซต์อื่น ๆ ทำกัน
    • ผมจะปล่อยให้ Witkoff นั่งรอในโรงแรม 8 ชั่วโมง แล้วให้ทีมอยู่อีกห้องหนึ่ง แฮ็กเข้าโทรศัพท์เขาผ่านไร้สายเพื่อเข้าไปในบทสนทนา Signal
      https://news.sky.com/story/trumps-fixer-was-made-to-wait-eig...
      ถ้าเป็นพีซีส่วนตัวของเขา ก็ส่ง Big Ballz ไปช่วยอัปเกรดให้สักหน่อยก็พอ
      https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      หรือจะเป็นจาน Starlink ฟรีก็ได้
      https://www.nytimes.com/2025/03/17/us/politics/elon-musk-sta...
    • แค่ส่งลิงก์ไปทางข้อความ Signal ก็พอ เบอร์โทรศัพท์ของเขาเป็นที่รู้กันทั่วไป และเขาติดตั้ง Signal ไว้บนคอมพิวเตอร์เดสก์ท็อป
      โปรโตคอลของ Signal ปกป้องข้อความระหว่างส่ง แต่แอปเดสก์ท็อปอาจมีหรือไม่มีช่องโหว่ฝั่งไคลเอนต์ก็ได้ และถ้าเขาคลิกลิงก์ ก็จะออกจาก Signal เข้าไปในเบราว์เซอร์ ถ้าลิงก์ทำให้ดาวน์โหลดไฟล์ ก็เท่ากับเข้าไปถึงระบบปฏิบัติการ
    • สามารถใช้ เทคนิคไตรแองกูเลชัน นี้หาทราฟฟิกที่มุ่งหน้าไปยัง White House ได้:
      https://news.ycombinator.com/item?id=42780816
      ชื่อเรื่องคือ “0-click deanonymization attack targeting Signal, Discord, other platforms”
      ตอนนี้อาจไม่ใช่ 0-click แล้ว แต่ถ้าผู้ใช้ท่องอินเทอร์เน็ต ก็ยังใช้ได้อยู่
    • เจาะอุปกรณ์ของคนหนึ่งในรายชื่อผู้ติดต่อของเขา จากนั้นส่งลิงก์ล่อใจไปทาง Telegram แล้วถ้าเปิดบนมือถือก็ให้แสดง “Error: Not viewable on mobile”
      ได้คะแนนพิเศษถ้าลิงก์มี ดรอปเปอร์มัลแวร์ซีโรเดย์
  • ถ้าทำซีรีส์แบบ West Wing ที่ทุกคนจริงจังกับตัวเองมาก แต่มีความไร้ความสามารถอย่างโจ่งแจ้งและแพร่หลายเป็นฉากหลัง ก็น่าจะดีทีเดียว
    เป็น ดราม่าของพวกโง่ ที่ไม่ตลกเลย ไม่ทำท่าว่าเป็นเสียดสี และไม่ขยิบตาให้ผู้ชม อยากลองเข้าไปอยู่ในหัวของคนประหลาดพวกนี้ดู

    • นั่นแทบจะเป็น “Veep” อยู่แล้ว “In The Loop”, “The Thick Of It” หรือผลงานส่วนใหญ่ของ Armando Iannucci ก็น่าจะใช่
    • ดูเหมือนกำลังพูดถึง Veep อยู่ มากกว่า “พวกโง่” น่าจะใกล้ “พวกนิสัยแย่” แต่ทั้งสองอย่างก็มีเยอะพอ
    • “Burn After Reading” อยู่ห่างจากศูนย์กลางอำนาจไปนิด แต่แสดงให้เห็นได้ยอดเยี่ยมว่าคนโง่ส่วนใหญ่พยายามสอดแทรกเข้าไปในโลกของผู้เชี่ยวชาญที่ตกตะลึงอยู่นอกจออย่างไร ดูเหมือนลางบอกเหตุ
    • The Office เวอร์ชัน White House
    • Veep คือสารคดี
  • a) สภาพแวดล้อมการสื่อสารจริงของข้าราชการคือมีโทรศัพท์ 3 เครื่อง จอ 4 จอ ไม่ได้ติดบนแขนหรือแขวนผนัง แต่วางอยู่บนโต๊ะทำงานไม้เชย ๆ ที่เต็มไปด้วยของจุกจิก
    b) ในขณะที่หนัง “สายลับ” จะมีกราฟิกหน้าจอมืด ๆ พร้อมชาร์ตสไตล์แฮ็กเกอร์ฉูดฉาดขึ้นบนจอสี่ช่องที่ติดแขน ท่ามกลางแสงสลัว ๆ ข้าราชการเองไม่ดูจอเล็ก แต่ให้ลูกน้องดู ส่วนตัวเองดูแค่จอ 136 นิ้วบนผนังที่ใช้วิดีโอคอลกับเหล่าร้าย
    คอนทราสต์นี้ตลกจริง ๆ

    • แล้วก็ c) ที่รัสเซีย คงนั่งอยู่บนชักโครกแล้วดูการสื่อสารสายลับผ่าน โทรศัพท์มือถือพลเรือน
  • ผมนึกคำอธิบายที่เป็นไปได้ออกแค่สองอย่าง

    1. เพื่อหลีกเลี่ยงไม่ให้เจ้าหน้าที่ข่าวกรองสัญญาณที่ทุจริตรู้ว่าเขากำลังทำอะไร
    2. เพื่อหลีกเลี่ยงกฎหมายบันทึกทางการ ไม่ให้รัฐบาลจับได้เรื่องการทุจริตของเขา
      มีอย่างอื่นอีกไหม?
      1. เขาเป็น คนโง่ ที่ไม่คิดอะไรเลย และถูกจ้างเพราะความจงรักภักดี ไม่ใช่เพราะสมอง
    • อาจเป็นเหตุผลเดียวกับที่วัยรุ่นคุยเรื่องโปรเจกต์โรงเรียนกันทาง Instagram DM ก็ได้ แค่เป็นแพลตฟอร์มที่คุ้นเคย
      หรือเหมือนเหตุผลที่ผมใช้ Whatsapp: กลุ่มสังคมของผมคุยกันที่นั่น ถ้าไม่มีก็จะถูกกันออกไป
      คำอธิบายต่าง ๆ ดูจะสมมติความหมายลึกซึ้งกว่านั้นว่าได้ชั่งน้ำหนักข้อแลกเปลี่ยนของแต่ละแพลตฟอร์มสื่อสารแล้วจึงได้ข้อสรุปอย่างมีเหตุผล แต่มีหลักฐานแบบนั้นไม่มากนัก
      อาจเป็นเพียงว่าคนรอบตัว Trump บังเอิญคุ้นเคยกับการสื่อสารผ่าน Signal และถ้า Pete ไม่เข้าร่วมตรงนั้นก็จะตกขบวนเท่านั้น
  • นักพัฒนา Signal น่าสงสาร เมื่อก่อนถ้าไม่ได้เป็นเป้าหมายส่วนตัวของผู้กระทำการระดับรัฐ ก็ไม่ใช่เป้าหมาย แต่ตอนนี้กลายเป็นเป้าหมายแล้ว
    ไม่ว่าจะวิจารณ์เรื่องความใช้งานง่ายของโซลูชันที่ DoD พัฒนาขึ้นเองอย่างไร มันก็เป็นระบบทางทหารที่มีงบประมาณกองทัพและปืนหนุนหลัง และในการโจมตีระบบแบบนี้ โอกาสที่พลเรือนจะได้รับ ความเสียหายข้างเคียง ย่อมน้อยกว่า
    ตอนนี้พลเรือนทุกคนที่ใช้ Signal อาจกลายเป็นเหยื่อของสะเก็ดจากความขัดแย้งทางทหารได้
    ผมก็ไม่คิดว่า Signal จะมีงบประมาณ บุคลากร หรือความตั้งใจที่จะทำหน้าที่เป็นทหารแนวหน้าของสงครามไซเบอร์ แต่ไม่ว่าจะต้องการหรือไม่ ก็ถูกเปิดโปงต่อความเสี่ยงระดับทหารแล้ว

    • ดูจากรูปแบบการใช้งานในอดีต Signal และนักพัฒนาน่าจะเป็นเป้าหมายมาตั้งแต่ก่อนหน้านี้แล้ว
      ทั้งหน่วยงานบังคับใช้กฎหมายและบริษัทนิติวิทยาศาสตร์อย่าง Cellebrite ก็อยู่ในนั้นด้วย และผลก็คือ Signal เคยโต้กลับด้วยบล็อกโพสต์ที่ค่อนข้างสนุก: https://signal.org/blog/cellebrite-vulnerabilities/
 
unsure4000 2025-05-02

อย่างที่คิดเลย มนุษย์นี่แหละคือช่องโหว่ที่ใหญ่ที่สุด