از چپ به راست: ژنرال تیموتی هاو، مدیر آژانس امنیت ملی (NSA)؛ کاش پاتل، مدیر اف‌بی‌آی؛ تولسی گبرد، مدیر اطلاعات ملی؛ جان راتکلیف، مدیر سیا؛ و سپهبد جفری کروس، مدیر آژانس اطلاعات دفاعی در حال شهادت در جلسه کمیته اطلاعات سنا در واشنگتن در تاریخ ۲۵ مارس.
از چپ به راست: ژنرال تیموتی هاو، مدیر آژانس امنیت ملی (NSA)؛ کاش پاتل، مدیر اف‌بی‌آی؛ تولسی گبرد، مدیر اطلاعات ملی؛ جان راتکلیف، مدیر سیا؛ و سپهبد جفری کروس، مدیر آژانس اطلاعات دفاعی در حال شهادت در جلسه کمیته اطلاعات سنا در واشنگتن در تاریخ ۲۵ مارس.

چگونه افشای چت سیگنال کار NSA را سخت‌تر می‌کند

اکنون که همه از فناوری‌های ارتباطی یکسانی استفاده می‌کنند، آسیب‌پذیری‌های امنیتی تشدید می‌شوند.

نویسنده: بروس اشنایر تاریخ انتشار: 2025-03-28 15:14:00 GMT منتشر شده در: Foreign Policy

مایک والتز، مشاور امنیت ملی ایالات متحده، که در تاریخ ۱۵ مارس گروه چت بدنام هماهنگی حمله آمریکا علیه حوثی‌های مستقر در یمن را آغاز کرد، ظاهراً اکنون اشاره می‌کند که سرویس پیام‌رسان امن سیگنال (Signal) دارای آسیب‌پذیری‌های امنیتی است.

والتز در مورد جفری گلدبرگ، سردبیر ارشد آتلانتیک که والتز او را به چت دعوت کرده بود، به فاکس نیوز گفت: «من این بازنده را در گروه ندیدم». وی افزود: «اینکه آیا او این کار را عمداً انجام داده یا از طریق فنی دیگری اتفاق افتاده، چیزی است که سعی داریم بفهمیم.»

اشاره ضمنی والتز مبنی بر اینکه گلدبرگ ممکن است با هک کردن وارد شده باشد، با گزارشی از سی‌بی‌اس نیوز دنبال شد که آژانس امنیت ملی ایالات متحده (NSA) ماه گذشته بولتنی را برای کارمندان خود ارسال کرده و به آنها در مورد یک «آسیب‌پذیری» امنیتی شناسایی شده در سیگنال هشدار داده بود.

اما حقیقت بسیار جالب‌تر است. اگر سیگنال آسیب‌پذیری‌هایی داشته باشد، آنگاه چین، روسیه و دیگر دشمنان ایالات متحده ناگهان انگیزه جدیدی برای کشف آنها پیدا می‌کنند. همزمان، NSA فوراً نیاز دارد تا هرگونه آسیب‌پذیری را به سرعت پیدا و رفع کند - و به همین ترتیب، اطمینان حاصل کند که گوشی‌های هوشمند تجاری فاقد «درب‌های پشتی» (backdoors) هستند - نقاط دسترسی که به افرادی غیر از کاربر گوشی هوشمند اجازه می‌دهد تا روش‌های معمول احراز هویت امنیتی را دور زده و به محتویات دستگاه دسترسی پیدا کنند.

این برای هر کسی که می‌خواهد ارتباطات خود را خصوصی نگه دارد، ضروری است، که باید شامل همه ما باشد.

دانش عمومی است که مأموریت NSA نفوذ و شنود شبکه‌های کشورهای دیگر است. (در دوران دولت پرزیدنت جورج دبلیو بوش، NSA شنودهای بدون مجوز ارتباطات داخلی را نیز انجام داد - نظارتی که چندین دادگاه منطقه‌ای آن را غیرقانونی تشخیص دادند قبل از اینکه این تصمیمات بعداً توسط دادگاه‌های استیناف لغو شوند. تا به امروز، بسیاری از کارشناسان حقوقی معتقدند که این برنامه ناقض حفاظت‌های حریم خصوصی فدرال بوده است.) اما این سازمان مسئولیت ثانویه و مکملی نیز دارد: حفاظت از ارتباطات ایالات متحده در برابر دیگرانی که می‌خواهند از آنها جاسوسی کنند. به عبارت دیگر: در حالی که یک بخش از NSA در حال شنود ارتباطات خارجی است، بخش دیگری خارجی‌ها را از انجام همین کار علیه آمریکایی‌ها باز می‌دارد.

این مأموریت‌ها هرگز در طول جنگ سرد، زمانی که ارتباطات متحدان و دشمنان کاملاً جدا بودند، با هم تضاد نداشتند. اما امروز، همه از کامپیوترهای یکسان، نرم‌افزارهای یکسان و شبکه‌های یکسان استفاده می‌کنند. این امر تنشی ایجاد می‌کند.

وقتی NSA یک آسیب‌پذیری فناورانه در سرویسی مانند سیگنال کشف می‌کند (یا یکی را از بازار پررونق و مخفی آسیب‌پذیری‌ها خریداری می‌کند)، آیا به طور مخفیانه از آن بهره‌برداری می‌کند یا آن را افشا می‌کند تا بتوان آن را رفع کرد؟ حداقل از سال ۲۰۱۴، یک فرایند بین‌سازمانی دولتی ایالات متحده به نام فرایند «توازن منافع» (equities process) برای تصمیم‌گیری در مورد اینکه آیا بهره‌برداری از یک نقص امنیتی خاص به نفع منافع ملی است یا رفع آن، مورد استفاده قرار گرفته است. این بده‌بستان‌ها اغلب پیچیده و دشوار هستند.

والتز - به همراه معاون رئیس جمهور جی.دی. ونس، وزیر دفاع پیت هگست، و سایر مقامات حاضر در گروه سیگنال - این بده‌بستان‌ها را برای حل و فصل بسیار سخت‌تر کرده‌اند. سیگنال هم به طور گسترده در دسترس است و هم به طور گسترده استفاده می‌شود. دولت‌های کوچکتر که توانایی تهیه رمزنگاری درجه نظامی خود را ندارند، از آن استفاده می‌کنند. روزنامه‌نگاران، فعالان حقوق بشر، اقلیت‌های تحت آزار، مخالفان، مدیران شرکت‌ها و مجرمان در سراسر جهان از آن استفاده می‌کنند. بسیاری از این جمعیت‌ها مورد توجه زیاد NSA هستند.

همزمان، همانطور که اکنون کشف کرده‌ایم، این برنامه برای ترافیک عملیاتی نظامی ایالات متحده استفاده می‌شود. بنابراین، اگر NSA یک نقص امنیتی در سیگنال پیدا کند، چه کاری انجام می‌دهد؟

پیش از این، ممکن بود ترجیح دهد نقص را مخفی نگه دارد و از آن برای شنود دشمنان استفاده کند. اکنون، اگر آژانس این کار را انجام دهد، این خطر وجود دارد که شخص دیگری همان آسیب‌پذیری را پیدا کند و از آن علیه دولت ایالات متحده استفاده کند. و اگر بعداً فاش شود که NSA می‌توانست مشکل را برطرف کند و نکرد، نتایج ممکن است برای آژانس فاجعه‌بار باشد.

گوشی‌های هوشمند نیز بده‌بستان مشابهی را ارائه می‌دهند. بزرگترین خطر شنود مکالمه سیگنال از طریق خود گوشی‌هایی است که برنامه روی آنها اجرا می‌شود. در حالی که تا حد زیادی مشخص نیست که آیا مقامات آمریکایی درگیر، برنامه را روی گوشی‌های شخصی یا دولتی خود دانلود کرده بودند - اگرچه ویتکوف در ایکس (X) اشاره کرد که برنامه روی «دستگاه‌های شخصی» او بوده است - گوشی‌های هوشمند دستگاه‌های مصرفی هستند و اصلاً برای مکالمات طبقه‌بندی شده دولت ایالات متحده مناسب نیستند. یک صنعت کامل از شرکت‌های جاسوس‌افزار، قابلیت‌هایی را برای هک از راه دور گوشی‌های هوشمند به هر کشوری که مایل به پرداخت باشد، می‌فروشند. کشورهای توانمندتر عملیات پیچیده‌تری دارند. همین سال گذشته، حملاتی که بعداً به چین نسبت داده شد، تلاش کردند به گوشی‌های هوشمند پرزیدنت دونالد ترامپ و ونس دسترسی پیدا کنند. پیش از این، اف‌بی‌آی - و همچنین سازمان‌های اجرای قانون در کشورهای دیگر - هم اپل و هم گوگل را تحت فشار قرار داده‌اند تا «درب‌های پشتی» را در گوشی‌های خود اضافه کنند تا شنودهای مجاز دادگاه را آسان‌تر کنند.

این درب‌های پشتی، البته، آسیب‌پذیری دیگری برای بهره‌برداری ایجاد می‌کنند. یک حمله جداگانه از چین در سال گذشته به قابلیت مشابهی که در شبکه‌های مخابراتی ایالات متحده تعبیه شده بود، دسترسی پیدا کرد.

توازن منافع آسیب‌پذیری‌ها علیه امنیت ضعیف گوشی‌های هوشمند و به سمت محافظت از دستگاه‌هایی که مقامات ارشد دولتی اکنون برای بحث در مورد اسرار نظامی استفاده می‌کنند، تغییر کرده است. این همچنین به این معنی است که آنها علیه احتکار آسیب‌پذیری‌های سیگنال توسط دولت ایالات متحده - و به سمت افشای کامل - تغییر جهت داده‌اند.

این به طور قابل قبولی خبر خوبی برای آمریکایی‌هایی است که می‌خواهند بدون اینکه کسی، چه دولتی و چه غیر دولتی، به صحبت‌هایشان گوش دهد، با هم صحبت کنند. ما نمی‌دانیم دولت ترامپ از چه فشاری برای وادار کردن سرویس‌های اطلاعاتی به تبعیت استفاده می‌کند، اما نگران بودن از اینکه NSA ممکن است دوباره شروع به نظارت بر ارتباطات داخلی کند، دیوانگی نیست.

به دلیل افشای چت سیگنال، کمتر احتمال دارد که آنها از آسیب‌پذیری‌های سیگنال برای انجام این کار استفاده کنند. به همین ترتیب، بازیگران بد مانند کارتل‌های مواد مخدر نیز ممکن است احساس امنیت بیشتری در استفاده از سیگنال داشته باشند. امنیت آنها در برابر دولت ایالات متحده در این واقعیت نهفته است که دولت ایالات متحده آسیب‌پذیری‌های آنها را به اشتراک می‌گذارد. هیچ کس نمی‌خواهد اسرارش فاش شود.

من مدت‌هاست که از استراتژی امنیت سایبری «دفاع محور» دفاع کرده‌ام. تا زمانی که گوشی‌های هوشمند در جیب هر مقام دولتی، افسر پلیس، قاضی، مدیرعامل و اپراتور نیروگاه هسته‌ای قرار دارد - و اکنون که برای آنچه کاخ سفید اکنون مکالمات «حساس» می‌نامد، اگر نه کاملاً طبقه‌بندی شده در میان اعضای کابینه، استفاده می‌شوند - ما نیاز داریم که آنها تا حد امکان امن باشند. و این به معنای عدم وجود درب‌های پشتی اجباری دولتی است.

ممکن است بیشتر در مورد چگونگی استفاده مقامات - از جمله معاون رئیس جمهور ایالات متحده - از سیگنال بر روی آنچه به نظر می‌رسد گوشی‌های هوشمند درجه مصرفی هستند، در نقض آشکار قوانین مربوط به سوابق دولتی، اطلاعات بیشتری کسب کنیم. بعید است که آنها واقعاً به عواقب اقدامات خود فکر کرده باشند.

با این وجود، این عواقب واقعی هستند. دولت‌های دیگر، احتمالاً از جمله متحدان ایالات متحده، اکنون انگیزه بسیار بیشتری برای شکستن امنیت سیگنال نسبت به گذشته خواهند داشت و انگیزه بیشتری برای هک کردن گوشی‌های هوشمند دولتی ایالات متحده نسبت به قبل از ۲۴ مارس خواهند داشت.

دقیقاً به همین دلیل، دولت ایالات متحده انگیزه‌های فوری برای محافظت از آنها دارد.

بروس اشنایر متخصص فناوری امنیت و مدرس دانشکده کندی هاروارد است. آخرین کتاب او «ذهن یک هکر: چگونه قدرتمندان قوانین جامعه را خم می‌کنند و چگونه آنها را دوباره خم کنیم» نام دارد.

https://foreignpolicy.com/2025/03/28/signal-chat-leak-trump-technology-security-houthis-group-defense-nsa/