अमेरिकी रक्षा मंत्री ने आधिकारिक DoD संचार उपकरणों को कैसे बायपास किया
(electrospaces.net)- अमेरिकी रक्षा मंत्री Pete Hegseth ने Pentagon स्थित अपने ऑफिस में public internet से सीधे जुड़ा एक निजी कंप्यूटर रखा हुआ लगता है, और संकेत हैं कि वे इस डिवाइस पर Trump प्रशासन के अधिकारियों द्वारा पसंद किए जाने वाले Signal का उपयोग करना चाहते थे
- ऑफिस में CMS, DRSN, NIPRNet, SIPRNet, JWICS, Webex जैसे आधिकारिक सुरक्षित संचार माध्यम पहले से मौजूद हैं, और कुछ उपकरण TS/SCI स्तर की बातचीत तक सपोर्ट करते हैं
- सरकारी कंप्यूटर या गोपनीय बातचीत के लिए अनुमोदित स्मार्टफोन पर Signal का उपयोग मुश्किल या अनुमति-रहित होने पर, Hegseth ने पहले ऑफिस के पीछे वाले Wi‑Fi क्षेत्र का इस्तेमाल किया और बाद में डेस्क के लिए सीधी internet line का अनुरोध किया
- वह लाइन Pentagon के security protocols को बायपास कर सीधे public internet से जुड़ी थी, और NIPRNet की तुलना में कम निगरानी वाली व्यवस्था होने से security risk बढ़ गया
- रक्षा मंत्री के लिए 26 सैन्य कर्मियों और 4 नागरिक कर्मचारियों द्वारा संचालित SecDef Cables communication center मौजूद है, लेकिन अलग निजी उपकरण और Signal उपयोग को आगे बढ़ाया गया—यही विवाद का मुख्य बिंदु है
Hegseth के ऑफिस के आधिकारिक संचार उपकरण
- रक्षा मंत्री Pete Hegseth, अपने पूर्ववर्तियों की तरह, कई secure और non-secure phones तथा computer networks तक पहुंच रखते हैं
- उपकरण Pentagon ऑफिस में बड़ी डेस्क के पीछे वाली टेबल पर लगाए गए हैं, और 2013–2015 में रक्षा मंत्री रहे Chuck Hagel के समय के बाद से इसकी मूल संरचना में बड़ा बदलाव नहीं हुआ है
-
फोन उपकरण
- लकड़ी के स्टैंड पर Cisco IP Phone 8841 और 14-key expansion module है, जो Crisis Management System(CMS) का हिस्सा है
- CMS राष्ट्रपति, National Security Council, कैबिनेट सदस्यों, Joint Chiefs of Staff आदि वरिष्ठ सरकारी अधिकारियों को जोड़ता है
- चमकीला पीला bezel बताता है कि इसका उपयोग Top Secret/Sensitive Compartmented Information, यानी TS/SCI स्तर की बातचीत के लिए किया जा सकता है
- लकड़ी के स्टैंड के नीचे Integrated Services Telephone-2, यानी IST-2, लगभग दिखाई न देने की स्थिति में रखा है
- IST-2 का उपयोग secure और non-secure दोनों तरह की फोन कॉल के लिए किया जा सकता है, और यह Defense Red Switch Network(DRSN) या Multilevel Secure Voice सेवा का हिस्सा है
- DRSN गोपनीय सैन्य बातचीत के लिए मुख्य सिस्टम है, जो White House, सैन्य command centers, intelligence agencies और NATO सहयोगियों को जोड़ता है
- IST-2 के सामने एक और Cisco IP Phone 8841 तथा 14-key expansion module है, जिसका हरा bezel दिखाता है कि यह unclassified calls के लिए है
- यह फोन Pentagon के internal phone network का हिस्सा है और 2021 की तस्वीर में दिखे Avaya Lucent 6424 executive phone की जगह ले चुका है
-
कंप्यूटर और video conferencing उपकरण
- फोन के बगल में चमकीले हरे wallpaper वाली 2 computer screens हैं, जो unclassified network connection को दर्शाती हैं
- यह network संभवतः NIPRNet है
- पूर्व रक्षा मंत्री Lloyd Austin के ऑफिस की तस्वीर में उसी keyboard, screen और mouse से SIPRNet और JWICS पर सुरक्षित रूप से switch करने वाला KVM switch भी दिखता है
- टेबल के दाईं ओर Cisco Webex DX80 video conferencing screens की 2 units हैं
- दाईं ओर वाले उपकरण का पीला label बताता है कि यह TS/SCI-approved device है
- यह उपकरण CMS का हिस्सा हो सकता है और इसे Secure Video Teleconferencing System(SVTS) का successor माना जा सकता है
- दूसरी screen संभवतः कम classification level की video conferencing के लिए हो सकती है
Signal इस्तेमाल के लिए निजी कंप्यूटर
- Hegseth के पास उपयुक्त और सुरक्षित सरकारी channels के जरिए communication के कई विकल्प होने के बावजूद उन्होंने Signal इस्तेमाल करने पर जोर दिया
- ऐसा लगता है कि Signal को सरकारी computers या गोपनीय बातचीत के लिए approved smartphones पर install करना संभव नहीं था या इसकी अनुमति नहीं थी
- AP News के अनुसार, Hegseth शुरुआत में Signal इस्तेमाल करने के लिए Wi‑Fi access वाले ऑफिस के पीछे के क्षेत्र में जाते थे
- उस समय उन्होंने निजी laptop इस्तेमाल किया या निजी smartphone, यह स्पष्ट नहीं है
- दोनों ही devices का ऐसे secure area में इस्तेमाल संभवतः सख्त रूप से प्रतिबंधित था
- बाद में Hegseth ने अपने computer को डेस्क पर इस्तेमाल करने के लिए internet connection का अनुरोध किया
- यह line सीधे public internet से जुड़ी थी
- इसने Pentagon security protocols को बायपास किया
- 20 मार्च 2025 की तस्वीर में दिख रहा नया desktop computer वही उपकरण लगता है
- 21 फरवरी 2025 की तस्वीर में यह अभी मौजूद नहीं था
- classification level दर्शाने वाला label भी नहीं था
सीधे public internet line की प्रकृति
- Pentagon के कुछ अन्य कर्मचारी भी public internet से सीधे जुड़ने वाली lines का उपयोग करते हैं
- उदाहरण के लिए, जब वे Pentagon को allotted IP address के रूप में पहचाने जाना नहीं चाहते, तब ऐसी lines इस्तेमाल की जाती हैं
- ऐसी direct lines जोखिमपूर्ण हैं क्योंकि इनकी निगरानी NIPRNet की तुलना में कम होती है
- NIPRNet एक unclassified network है जो external internet access को सीमित रूप से अनुमति देता है
- Hegseth ने नए desktop computer पर Signal install किया
- यह मूलतः निजी smartphone पर मौजूद Signal app की copy थी
- कुछ media sources के अनुसार, Hegseth ने इस निजी computer पर सामान्य text messages भेजने वाला program install करने में भी रुचि दिखाई
- इस कदम का उद्देश्य Pentagon के बड़े हिस्सों में mobile phone service की कमी को बायपास करना और Signal इस्तेमाल करने वाले White House तथा Trump प्रशासन के अन्य अधिकारियों से अधिक आसानी से communication करना था
- 5 मई 2025 को X पर जारी video में नया unauthorized computer कम से कम Hegseth की डेस्क से हटाया गया दिखता है
SecDef Cables communication center
- Hegseth ने Signal इस्तेमाल करने के लिए जो बड़ा प्रयास किया, वह इस तथ्य के कारण और अधिक उल्लेखनीय है कि रक्षा मंत्री के पास अलग dedicated communication center है
- इस communication center को आम तौर पर SecDef Cables कहा जाता है और यह Secretary of Defense Communications(SDC) unit का हिस्सा है
- SecDef Cables operational information management प्रदान करता है और command-and-control support center के रूप में काम करता है
- इसमें 26 सैन्य कर्मी और 4 नागरिक कर्मचारी काम करते हैं
- यह रक्षा मंत्री और उनके direct staff को स्थान की परवाह किए बिना कई platforms और classification levels पर voice, video और data capabilities प्रदान करता है
- SecDef Cables कई प्रमुख communication centers के साथ संपर्क बिंदु के रूप में भी काम करता है
- National Military Command Center(NMCC)
- White House Situation Room
- State Department Operations Center
- इसी तरह के communication centers
- Cables Defense Telephone Link(DTL) connections भी manage करता है
- DTL एक lower-level hotline है जो रूस और चीन सहित लगभग 25 देशों के सैन्य counterparts से जुड़ती है
2 टिप्पणियां
Hacker News की राय
Five Eyes के दूसरे सदस्य देशों को इस दौरान अमेरिका के साथ क्या साझा करना है, इस पर सावधान रहना चाहिए
Signal जिस public-key encryption का इस्तेमाल करता है, वह ज्यादातर उपयोगों के लिए काफी अच्छा है, और credit card transaction जैसी चीज़ों के लिए बेहतरीन है। लेकिन national secrets भेजने के लिए उससे long-term secrecy की उम्मीद करना मुश्किल है
आज Signal से भेजा गया message ciphertext के रूप में store होकर 10 साल बाद के hardware और algorithms से attack किया जा सकता है। उस समय भी Signal का encryption मजबूत हो सकता है, लेकिन आसानी से टूट भी सकता है। अगर उस message का secret 10 साल बाद भी sensitive रहेगा, तो यह समस्या है
Signal से भेजी गई चीज़ों को अज्ञात देरी के साथ public होने वाली सामग्री की तरह मानना चाहिए, और अगर अमेरिका के साथ जानकारी साझा की जा रही है तो यह अस्वीकार्य शर्त है
एक zero-day या एक लापरवाह click ही काफी है, जिससे adversary messages तक पहुंच सकता है या messages भेज भी सकता है। Signal का disappearing messages feature पहले जोखिम को घटाता है, लेकिन government records retention laws से टकराता है
government systems तक access सीमित करने की वजह यह नहीं है कि वे systems security bugs से जादुई रूप से immune हैं, बल्कि यह है कि वास्तविक रूप से योग्य professional teams उन्हें monitor करती हैं और proactive security measures लेती हैं। उसका phone सिर्फ नंबर जानने वाले दुनिया के किसी भी व्यक्ति से आने वाले संदिग्ध SMS/MMS के संपर्क में आ सकता है और commercial spyware license भर से भी जोखिम में पड़ सकता है, लेकिन secure network पर मौजूद classified computer को ऐसा traffic मिल ही नहीं सकता, उसकी settings locked होती हैं, और compromise भी कहीं जल्दी detect हो जाता है
बड़ा context ही मुख्य बात है। यह वैसा है जैसे किसी bank के मालिक ने अपने नशे में धुत golf दोस्त को management सौंप दिया, और उस दोस्त ने सुविधा के लिए ledgers कार में रखना शुरू कर दिया। भले ही कोई पूरी नेक नीयत से अच्छा करना चाहता हो, यह ऐसा काम है जिससे किसी को फायदा नहीं होता और केवल ऐसा जोखिम बहुत बढ़ जाता है जिसके लिए वह तैयार भी नहीं है
Signal, RSA की तरह messages को सीधे public key से encrypt/decrypt करने वाला naive तरीका नहीं है। asymmetric key pair से पहले Diffie-Hellman key exchange करके one-time symmetric key बनाई जाती है, और उसी key से encrypt/decrypt किया जाता है। इससे forward secrecy भी सुनिश्चित होती है: https://signal.org/blog/asynchronous-security/
आजकल इसमें अतिरिक्त रूप से quantum-resistant cryptography भी जोड़ी जा रही है, और इसके अलावा भी कई details छूटी होंगी
अहम बात यह है कि public होने तक माना गया समय कुछ हफ्तों का है या कई सालों का—यह अलग होता है, और संबंधित use case के लिए उचित स्तर के हिसाब से security strength अलग-अलग लागू की जाती है
अगर कोई जानकारी बिल्कुल public नहीं होनी चाहिए, तो encryption उसका समाधान नहीं है, और आम तौर पर computer भी समाधान नहीं है
वे secrets किसी misconfigured cloud account में होंगे या ऐसे accounts के बीच आते-जाते होंगे। कोई agency कभी न कभी financial espionage के उद्देश्य से analysis approval पा लेगी, और उस secret के leak होने की संभावना या confirmed leak अमेरिका को उसके दुरुपयोग पर plausible deniability दे देगा
पाखंड बहुत ज़्यादा है
https://www.theguardian.com/us-news/2016/sep/02/hillary-clin...
https://www.theguardian.com/us-news/2016/jul/05/fbi-no-charg...
और:
https://www.fbi.gov/news/press-releases/statement-by-fbi-dir...
“स्पष्ट कर दूं, इसका मतलब यह नहीं है कि समान परिस्थितियों में ऐसा आचरण करने वाले व्यक्ति को कोई परिणाम नहीं भुगतना पड़ेगा। इसके उलट, ऐसे लोगों पर अक्सर सुरक्षा या प्रशासनिक प्रतिबंध लगाए जाते हैं। लेकिन अभी हम जिस पर फैसला कर रहे हैं, वह यह नहीं है”
लेकिन विदेश मंत्री द्वारा classified दस्तावेज़ों को लापरवाही से संभालने को, रक्षा मंत्री द्वारा नियोजित हमले की योजनाएं साझा करने और सूचना सुरक्षा को सक्रिय रूप से bypass करने के बराबर या उससे संबंधित दिखाने की कोशिश नहीं करनी चाहिए। खासकर विदेश मंत्री वाले मामले पर तीखी आलोचना और जांच के बाद तो बिल्कुल नहीं
यह उम्मीद करना कि सरकारी अधिकारी ठहरे रहें या और खराब होने के बजाय बेहतर हों, पाखंड नहीं है
https://www.youtube.com/watch?v=cw1tNTIEs-o
दोनों स्थितियां वास्तव में कानूनी तौर पर समान नहीं हैं। एक बड़ा अंतर यह है कि Hesgeth और उसके लोगों ने communications को auto-delete होने के लिए सेट किया था, जो records preservation laws के खिलाफ है। Clinton ने emails delete किए, इसका कोई सबूत नहीं है
सभी senders और recipients (bcc को छोड़कर) जानते थे या जान सकते थे कि वह .gov email address इस्तेमाल नहीं कर रही है, और इस तरह वे उस server के इस्तेमाल में किसी हद तक शामिल थे या मौन सहमति दे रहे थे
कभी-कभी जो material उस समय unclassified होता है उसे बाद में classified घोषित कर दिया जाता है, या sender classified information भेजकर data leak कर देता है, जिससे recipients को deletion, investigation वगैरह में हिस्सा लेना पड़ता है
बाहरी server का इस्तेमाल बुरा था, लेकिन साथ ही वह शुरुआत से ही खुले तौर पर दिखाई देने वाली स्थिति थी
सच में पाखंड है
operational security और व्यक्तिगत accountability के मुद्दों से अलग, मुझे यह “usability की बलि देकर बनाई गई security, security की ही बलि लेती है” का एक और उदाहरण लगता है
आधिकारिक DoD communication devices इतने खराब हैं कि अगर लोगों को लगता है कि वे पकड़े नहीं जाएंगे, तो वे कम सुरक्षित लेकिन इस्तेमाल में आसान encrypted communication platforms इस्तेमाल करते हैं
शायद DoD को internal Android और Signal fork विकसित करना चाहिए, जिसमें usability को नुकसान पहुंचाए बिना अतिरिक्त core security controls हों। यहां इच्छा का साफ रास्ता दिखता है
इंसान मूर्ख होते हैं, इसलिए passwords reuse करते हैं, बेहतर मगर असुरक्षित software install करते हैं, updates नहीं करते—वही पुरानी कहानी दोहराई जाती है
अगर 2025 में आप धरती पर किसी से भी सिर्फ app खोलकर typing करने जितनी आसानी से communicate नहीं कर सकते, तो लोग दूसरा तरीका ढूंढ लेंगे। क्योंकि बेहतर तरीकों की कमी नहीं, लगभग हजारों हैं
इसलिए यह जरूरी नहीं कि वे कुछ छिपाकर करने की कोशिश कर रहे थे; ज्यादा संभावना है कि उन्होंने government communications की परेशान करने वाली security features—जैसे physical tokens, धीमी biometric authentication, 15-second logout—के बजाय थोड़ा आसान विकल्प पसंद किया। कोई भी ऐसा कर सकता है
यह घटना शायद government communications security staff को practices का फिर से आकलन करने पर मजबूर करे। मैं इस व्यवहार का बचाव नहीं कर रहा, बल्कि संभावित explanation दे रहा हूं, और security failure का मूल्यांकन करते समय users को दोष देना हमेशा सबसे अच्छा तरीका नहीं होता
अगर चाहें तो वे किसी भी vendor द्वारा इस्तेमाल की जा सकने वाली separation layer को सीधे support कर सकते थे। मुझे लगता है बड़ी कंपनियों के purchasing decisions पर प्रभाव, यानी corruption, ऐसी समस्याओं के बड़े हिस्से को drive करता है
अगर किसी ऐसे व्यक्ति को प्रभारी बनाना ही था जो पूरी तरह अयोग्य है और जिसका शराब के दुरुपयोग का इतिहास भी है, तो कम से कम यह तो पक्का कर लेना चाहिए था कि वह सक्षम है
सबसे ऊंचे स्तर की access रखने वाला कोई व्यक्ति जब ऐसा बर्ताव करता है जैसे यह काम उसके स्तर से नीचे हो, तो सच में चिढ़ होती है। ऐसा लगता है जैसे इतिहास हमारे बीच के सबसे विशेषाधिकार प्राप्त और अक्षम लोगों द्वारा लिखा जा रहा है
आज के politicians की वास्तविकता से यह इतना कटा हुआ है कि उसे enjoy करने के लिए disbelief suspend करना लगभग नामुमकिन है। हाल की शर्मनाक De Niro series याद आती है
शराब पिलाकर secrets निकलवाए जा सकते हैं, या 1:1 बातचीत में “नशे वाली मानसिक अवस्था” पैदा करके secrets निकलवाए जा सकते हैं, इसलिए ऐसे व्यक्ति को आसानी से manipulate किया जा सकता है। ऊपर से Signal इस्तेमाल करने की बड़ी गलती, यानी #signalgate भी है
मान लें कि आप किसी गैर-अमेरिकी national intelligence agency में काम करते हैं। खुले internet पर Hesgeth के office personal computer को आप कैसे ढूंढेंगे? यह एक serious thought experiment है
https://news.sky.com/story/trumps-fixer-was-made-to-wait-eig...
अगर उसका personal PC हो, तो Big Ballz को भेजकर कुछ upgrades करवा दें
https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
या फिर free Starlink dish भी चलेगी
https://www.nytimes.com/2025/03/17/us/politics/elon-musk-sta...
Signal protocol messages को transit में protect करता है। लेकिन desktop app में client-side vulnerability हो भी सकती है और नहीं भी। और अगर वह link पर click करता है, तो वह Signal से बाहर निकलकर browser में चला जाता है। अगर link कोई file download कराता है, तो बात operating system तक पहुंच जाती है
https://news.ycombinator.com/item?id=42780816
title है “0-click deanonymization attack targeting Signal, Discord, other platforms”
अब शायद यह 0-click न हो, लेकिन अगर user internet browse करता है तो यह अभी भी लागू होता है
अगर link में zero-day malware dropper हो तो bonus points
West Wing जैसा drama बनाया जाए, जहां हर कोई खुद को बहुत serious मानता हो, लेकिन नीचे साफ-साफ और व्यापक incompetence बिछी हो, तो काफी अच्छा हो सकता है
बेवकूफों का drama जो बिल्कुल funny न हो, satire जैसा भी न लगे, और audience को कोई wink भी न करे। इन अजीब लोगों के दिमाग के अंदर झांकना चाहता हूं
a) bureaucrats का असली communications setup: 3 phones, 4 monitors, arm या wall mount पर नहीं बल्कि desk पर रखे हुए, clutter से भरे और पुराने जमाने की wooden desk पर
b) जबकि “spy” movies में dark screen graphics पर flashy hacker-style charts arm-mounted 4-way monitors पर दिखते हैं, dim lighting में खुद bureaucrat छोटे monitor को नहीं देखता, subordinate देखते हैं, और वह खुद सिर्फ दीवार पर लगे 136-inch screen को देखता है जिस पर villains से video conference चल रही होती है
यह contrast सच में मजेदार है
मुझे सिर्फ दो possible explanations सूझती हैं
कुछ और हो सकता है?
या वही वजह जिसके कारण मैं Whatsapp इस्तेमाल करता हूं। मेरे social group की बातचीत वहीं होती है, और अगर मैं वहां न रहूं तो बाहर छूट जाता हूं
explanations यह गहरा अर्थ मान लेती हैं कि उन्होंने हर communications platform के trade-offs पर विचार किया और rational conclusion पर पहुंचे, लेकिन इसका evidence ज्यादा नहीं है
हो सकता है Trump के आसपास के लोग संयोग से Signal पर बात करने के आदी थे, और Pete अगर उसमें शामिल न होता तो बाहर रह जाता
Signal डेवलपर्स के लिए बुरा हुआ। पहले अगर वे किसी nation-state actor के व्यक्तिगत target नहीं थे, तो अब target बन गए हैं
DoD के अपने बनाए solution की usability को लेकर जो भी कहा जाए, वह military budget और बंदूकों से समर्थित एक military system था, और ऐसे systems पर हमलों में नागरिकों के collateral damage बनने की संभावना कम थी
अब Signal इस्तेमाल करने वाला हर नागरिक military conflict के छर्रों का शिकार हो सकता है
मुझे नहीं लगता कि Signal के पास cyberwarfare की frontline soldier की भूमिका निभाने के लिए budget, manpower या इच्छा है। लेकिन चाहे वे चाहें या न चाहें, वे military-grade risks के exposure में आ गए हैं
law enforcement agencies और Cellebrite जैसी forensic companies भी थीं, और इसके जवाब में Signal ने एक काफी दिलचस्प blog post से पलटवार भी किया था: https://signal.org/blog/cellebrite-vulnerabilities/
आख़िरकार इंसान ही सबसे बड़ी कमजोरी है।