1 पॉइंट द्वारा GN⁺ 2025-05-04 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Trump प्रशासन के अधिकारी Mike Waltz के फोन की तस्वीर में संदेश archive करने के लिए इस्तेमाल होने वाले अनौपचारिक Signal जैसा ऐप इस्तेमाल होता दिखा
  • Waltz गुरुवार तक अमेरिकी National Security Advisor थे, और इस पर सवाल बढ़ रहे हैं कि सरकारी अधिकारी Signal पर किस स्तर की जानकारी पर चर्चा करते हैं
  • Reuters की तस्वीर में Donald Trump की अध्यक्षता में हुई White House cabinet meeting के दौरान Waltz को अपना फोन देखते हुए दिखाया गया है
  • स्क्रीन पर JD Vance, Tulsi Gabbard, Marco Rubio जैसे वरिष्ठ सरकारी अधिकारियों के संदेश दिखते प्रतीत होते हैं
  • स्क्रीन के निचले हिस्से में सामान्य Signal के PIN verification message जैसा टेक्स्ट दिखता है, जिससे account takeover रोकथाम और message archiving के तरीके दोनों पर ध्यान गया है

तस्वीर से सामने आया अनौपचारिक Signal इस्तेमाल

  • Mike Waltz के फोन की तस्वीर में Signal के अनौपचारिक version जैसा ऐप इस्तेमाल होता हुआ पकड़ा गया
  • यह version message archiving के उद्देश्य से बनाया गया ऐप बताया जाता है
  • Waltz गुरुवार तक अमेरिका के National Security Advisor थे

Reuters तस्वीर का संदर्भ

  • Reuters द्वारा जारी तस्वीर में Donald Trump द्वारा White House में आयोजित cabinet meeting के दौरान Waltz को अपना फोन देखते हुए दिखाया गया है
  • स्क्रीन पर कई वरिष्ठ सरकारी अधिकारियों के संदेश दिखते हैं
    • JD Vance
    • Tulsi Gabbard
    • Marco Rubio

Signal PIN message और security संदर्भ

  • Waltz के फोन की स्क्रीन के निचले हिस्से में सामान्य Signal के PIN verification message जैसा टेक्स्ट है
  • Signal का PIN verification message तब दिख सकता है जब यूज़र को अपना PIN याद रखने के लिए प्रेरित किया जाता है
  • PIN का इस्तेमाल किसी दूसरे व्यक्ति द्वारा account takeover रोकने में किया जा सकता है

बाकी बचे व्यावहारिक सवाल

  • अगर Signal का अनौपचारिक version message archiving के लिए इस्तेमाल हो रहा है, तो मुख्य मुद्दा यह बनता है कि सरकारी अधिकारी इस ऐप में किस स्तर की जानकारी पर चर्चा करते हैं
  • archive किए गए डेटा को कैसे securely handle किया जाता है, यह भी एक ऐसा पहलू है जिसकी पुष्टि जरूरी बनी हुई है

1 टिप्पणियां

 
GN⁺ 2025-05-04
Hacker News की रायें
  • https://archive.ph/oXYXe

  • सरकारी एजेंसियां पहले भी आर्काइविंग फीचर वाले encrypted messenger के वर्जन के लिए पैसे दे चुकी हैं। 2021 में CBP ने Wickr को 7 लाख डॉलर चुकाए थे
    यह Signal को सपोर्ट करने के लिए बिल्कुल सही use case जैसा लगता है। बड़ी कंपनियां या सरकारी एजेंसियां सीधे ऐप डेवलपर को custom fork के लिए भुगतान कर सकती हैं, फिर TeleMessage को पैसे क्यों मिलते हैं, समझ नहीं आता। क्या Signal Foundation paid fork लागू करना आसान नहीं बनाता?

    • अगर Signal आर्थिक रूप से सरकारी contracts पर निर्भर हो जाए, तो सरकार ऐप पर बड़ा प्रभाव डालने लगेगी। इस platform का ऐसी स्थिति में होना अच्छा नहीं लगता
    • Wickr AWS के स्वामित्व में है, और अब सिर्फ सरकारी/enterprise product ही है। personal version बंद कर दिया गया है
    • शायद काम का 90% हिस्सा code नहीं, बल्कि compliance और सरकारी contract प्रक्रिया पार करना है
    • Signal को अपने मूल mission, यानी आम जनता के लिए secure communication, के लिए main app development पर अपने सारे resources लगाने पड़ सकते हैं
    • NPR CEO Katherine Maher Signal Foundation board की chair हैं
  • “TM SGNL” शायद TeleMessage नाम की कंपनी के software की ओर इशारा करता है। यह कंपनी popular messenger apps की clones बनाती है और हर ऐप में archiving feature जोड़ती है

    • डरावना है। ऊपर से यह अमेरिकी कंपनी भी नहीं है
  • Signal इस्तेमाल करते हुए अगर किसी विदेशी कंपनी को communications intercept करने देना है, तो इसका मतलब ही क्या रह जाता है, समझ नहीं आता। शायद वे government-approved app के भद्दे user experience के बजाय commercial product का UX चाहते थे, लेकिन किसी को पता है विकल्प क्या था?

    • अगर शुरू से यह मानकर न चलें कि इन लोगों में थोड़ी भी बुद्धि है, तो बात ज्यादा समझ आती है
      Signal सरकारी उपयोग के लिए approved है, लेकिन non-public Department of Defense information के लिए नहीं। “SCIF में आओ, वहां details पर बात करते हैं” जैसे संदेशों के लिए Signal इस्तेमाल करना चाहिए, और details secure environment में discuss होनी चाहिए
    • पारंपरिक रूप से non-classified जानकारी का आदान-प्रदान करने के लिए बस regular phone network इस्तेमाल होता था। लेकिन CISA के मुताबिक major carriers की voice और text services अब सुरक्षित नहीं मानी जातीं
      CISA ने इसके बजाय end-to-end encrypted services इस्तेमाल करने की सलाह दी, और खास तौर पर Signal का नाम लिया
      https://investigations.cooley.com/2025/01/15/federal-law-enf...
    • विकल्प यह है कि spyware लगे phone पर Signal install न किया जाए। यह man-in-the-middle style “interception” नहीं, बल्कि Signal install किए हुए personal phone की निगरानी कर data निकालने का तरीका है
      Signal भी आखिर phone पर बस एक app ही है। अगर उसे secret communications के लिए इस्तेमाल करना है, तो उस phone पर software न्यूनतम रखना चाहिए या बिल्कुल नहीं रखना चाहिए, और password, encryption आदि हर संभव तरीके से उसे protect करना चाहिए
    • शायद उन्हें अपने foreign handlers को बताना था कि वे क्या कर रहे हैं। contract में कहीं लिखा भी हो सकता है
  • archive करने के लिए security vulnerability झेलने की जरूरत है भी क्या? वैसे भी Israel और Pegasus से कहेंगे तो archive copy मिल ही जाएगी

    • रुको, यह तो Israeli company निकली
  • कुछ details देखें तो TeleMessage एक Israeli कंपनी थी, या अब भी वैसी ही कंपनी थी [1], लेकिन पिछले साल इसे अमेरिकी कंपनी Smarsh [2] ने acquire कर लिया, और Smarsh खुद भी अमेरिकी कंपनी K1 Investment Management की subsidiary है। पता नहीं कंपनी कहीं shift हुई है या नहीं।
    शायद सीधे संबंधित न हो, लेकिन terms of service में China के भीतर messaging को लेकर अलग clause भी दिखता है और लगता है इसमें Chinese government को disclosure शामिल है। ऐप कैसे काम करता है, यह unclear है। इसे Signal client के fork की तरह advertise किया जाता है और लगता है कि यह सारी चीजें remote server पर upload करता है; ऐसा है तो जब तक archive को एक receiving endpoint मानकर उस connection को सुरक्षित न मान लिया जाए, स्वाभाविक रूप से end-to-end encryption टूट जाती है। लगता है interface भी Signal जैसा ही बताया जा रहा है।
    लेकिन iOS और Android Signal clients दोनों AGPLv3 हैं। मुझे ऐसा कोई संकेत नहीं मिला कि TeleMessage client proprietary software नहीं है। तो क्या AGPLv3 के तहत वे सिर्फ paid customers को software और source code देते हैं, और customers उसे फिर redistribute कर सकते हैं? क्या उन्होंने client को पूरी तरह reimplement किया है? या यह गैरकानूनी proprietary fork है? पहला विकल्प कम संभावित लगता है, और बाद वाले दोनों ऐप security के लिहाज से काफी अशुभ संकेत हैं।
    [1]: https://en.wikipedia.org/wiki/TeleMessage
    [2]: https://en.wikipedia.org/wiki/Smarsh

    • Smarsh compliance क्षेत्र में काफी बड़ी कंपनी लगती है। कोई मामूली कंपनी नहीं है। फिर भी Signal के मकसद को ही बेअसर करने वाला Signal clone app इस्तेमाल करने की हास्यास्पदता वैसी ही बनी रहती है।
    • end-to-end encryption का मतलब वैसा नहीं है जैसा आप सोच रहे हैं। खास तौर पर, intended recipient या उसका software message के साथ क्या करता है, इससे इसका संबंध नहीं है।
    • जब किसी company में काम करते समय employer modified GPL software देता है, तो मेरी समझ थी कि उसे GPL लागू होने वाली distribution नहीं माना जाता। इसलिए आगे distribute करने की आजादी भी नहीं होती।
      कम से कम GPLv2 के बारे में अक्सर corporate-friendly तरह से समझाया जाता था कि “private” modifications private ही रहते हैं और employees को external distribution नहीं माना जाता। AGPL के बारे में मुझे ठीक से नहीं पता।
    • अगर customers redistribute कर सकते हैं, तो यह illegal नहीं है। खासकर अगर customers का source code leak करने का कोई इरादा ही न हो; असली मुद्दा यह है कि क्या उस client का इस्तेमाल न करने वाला कोई व्यक्ति कभी AGPL relay server से connect हुआ है।
      पहले मैं एक ऐसी company में काम करता था जो GPL software इस्तेमाल करने वाले customized software solutions military-related customers, शायद DOD की ओर, को बेचती थी। 10 साल से ज्यादा तक किसी ने code नहीं मांगा, फिर कुछ साल पहले किसी ने request की। शायद वे evaluate करना चाहते थे, लेकिन वह कई कामों के core में इस्तेमाल होने वाली चीज थी, इसलिए fork करना काफी मुश्किल होता। moving parts सचमुच बहुत ज्यादा थे।
      जब तक कोई TM SGNL server से contact करने के बाद source मांगता नहीं और उसे मना नहीं किया जाता, तब तक यह illegal नहीं है।
    • “archive को एक endpoint मानकर connection सुरक्षित हो तो” — बिल्कुल नहीं। TeleMessage इस्तेमाल करने वाले काफी customers हैं, और ज्यादातर backend के रूप में Global Relay का इस्तेमाल करते हैं।
      असल में थोड़ी डरावनी बात यह है कि Global Relay सब कुछ SMTP से खा जाता है। मैंने check नहीं किया कि उन्होंने DNSSEC या MTA-STS set up किया है या नहीं, लेकिन Global Relay के operation के तरीके को देखते हुए नहीं लगता कि किया होगा। सही जगह लगाए गए proxy या DNS poisoning से Global Relay को भेजे जाने वाले sensitive emails का बड़ा हिस्सा खींचा जा सकता है।
  • ऐप यह वाला लगता है
    https://www.telemessage.com/how-to-install-and-register-sign...

    • हे भगवान, यह तो App Center distribution से install होता है।
  • JD ने जो message भेजा कि “दूसरे व्यक्ति से confirm हुआ कि वह बंद हो गया है”, उसका मतलब क्या है, यह सच में जानना चाहूंगा।

  • रुकिए, क्या ये लोग Israeli intelligence officers द्वारा चलाया जाने वाला Signal clone app इस्तेमाल कर रहे हैं?
    लगता है यह हिस्सा अभी ठीक से सामने नहीं आया है। उस company का address Google Maps पर खोजें तो वास्तव में “Cyberint” नाम की company निकलती है, जो बहुत खराब संकेत लगता है।
    https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
    इससे भी खराब बात यह है कि company website के team intro को देखें तो CEO समेत ऐसे लोगों से भरा है जो “former” Israeli intelligence officers लगते हैं।
    https://www.telemessage.com/team/
    यह अब तक ज्ञात कहानी से कहीं बड़ा मामला लगता है। मूल Signalgate से कई orders of magnitude बड़ा। यहां implication यह है कि Israeli intelligence officers के पास शायद इस समय दुनिया की सबसे अच्छी access रही हो: यानी उन सभी conversations की real-time feed जिनमें US National Security Advisor शामिल हैं।