Mike Waltz is op de een of andere manier nog slechter geworden in het gebruik van Signal

Donderdag publiceerde Reuters een foto waarop de toenmalige nationale veiligheidsadviseur van de Verenigde Staten, Mike Waltz, op zijn telefoon kijkt tijdens een kabinetsvergadering van president Trump in het Witte Huis. Als je het deel van de afbeelding vergroot dat Waltz' scherm vastlegt, lijkt het erop dat hij de end-to-end versleutelde berichtenapp Signal gebruikt. Maar als je beter kijkt, zie je een melding op het scherm die naar de app verwijst als "TM SGNL". Tijdens een kabinetsvergadering van het Witte Huis op woensdag gebruikte Waltz blijkbaar een Israëlische app genaamd TeleMessage Signal om berichten te sturen naar mensen die hoge Amerikaanse functionarissen lijken te zijn, waaronder J.D. Vance, Marco Rubio en Tulsi Gabbard.

Nadat hoge kabinetsleden van de Trump-regering verdwenen Signal-berichten gebruikten om militaire aanvallen in maart in Jemen te coördineren – en per ongeluk de hoofdredacteur van The Atlantic in de groepsapp opnamen – bracht het "SignalGate"-schandaal aan het licht . Het ging om schendingen van het traditionele overheidsprotocol voor "operationele veiligheid" en problemen met de naleving van federale wetgeving inzake gegevensbewaring. Waltz, die donderdag door Trump werd afgezet als nationaal veiligheidsadviseur van de VS, stond centraal in het debacle. Waltz creëerde de chatfunctie "Houthi PC Small Group" en was het lid dat topredacteur Jeffrey Goldberg van The Atlantic toevoegde. "Ik neem de volledige verantwoordelijkheid. Ik heb de groep opgericht", vertelde Waltz eind maart aan Fox News. "We hebben de beste technische geesten die onderzoeken hoe dit is gebeurd", voegde hij er destijds aan toe.

SignalGate had niets met Signal te maken. De app functioneerde normaal en werd simpelweg gebruikt op een ongepast moment voor een ongelooflijk gevoelige discussie die eigenlijk op speciale, beveiligde federale apparaten en softwareplatforms had moeten plaatsvinden. Als je de protocollen echter wilt negeren, is Signal (relatief gezien) een goede plek om dat te doen, omdat de app zo is ontworpen dat alleen de verzenders en ontvangers van berichten in een groepsgesprek deze kunnen lezen. Bovendien is de app zo gebouwd dat hij zo min mogelijk informatie verzamelt over de gebruikers en hun vrienden. Dit betekent dat als Amerikaanse overheidsfunctionarissen via de app chatten, spionnen of kwaadwillende hackers alleen toegang tot hun communicatie konden krijgen door de apparaten van de deelnemers rechtstreeks te hacken – een uitdaging die mogelijk overkomelijk is, maar in ieder geval de mogelijke toegangspunten beperkt. Het gebruik van een app zoals TeleMessage Signal opent echter, vermoedelijk in een poging om te voldoen aan de vereisten voor gegevensbewaring, talloze andere manieren voor tegenstanders om toegang te krijgen tot berichten.

"Ik weet niet eens waar ik moet beginnen," zegt Jake Williams, voormalig NSA-hacker en vicepresident onderzoek en ontwikkeling bij Hunter Strategy. "Het is verbijsterend dat de federale overheid Israëlische technologie gebruikt om extreem gevoelige gegevens te archiveren. Je weet gewoon dat iemand een kopie van die gegevens in handen krijgt. Zelfs als TeleMessage die niet vrijwillig afstaat, zijn ze zojuist een van de grootste doelwitten voor natiestaten geworden."

TeleMessage werd in 1999 in Israël opgericht door voormalige technici van de Israëlische Defensiemacht en was het land uit totdat het vorig jaar werd overgenomen door het Amerikaanse bedrijf Smarsh, gespecialiseerd in digitale communicatiearchivering. De dienst maakt kopieën van communicatie-apps die zijn uitgerust met een 'mobiele archiveringstool' om berichten die via de app worden verzonden, op te slaan en te registreren.

"Leg mobiele communicatie vast, archiveer en monitor: sms, mms, telefoongesprekken, WhatsApp, WeChat, Telegram en Signal", aldus TeleMessage op de website. Voor Signal voegt het toe: "Neem Signal-gesprekken, sms'jes, multimedia en bestanden op met door het bedrijf en werknemers uitgegeven BYOD-telefoons." (BYOD staat voor 'bring your own device'.) Met andere woorden, er zijn TeleMessage-versies van Signal voor vrijwel elk gangbaar consumentenapparaat. Het bedrijf zegt dat gebruikers met TeleMessage Signal "alle functies en functionaliteiten van de Signal-app, evenals de Signal-encryptie, kunnen behouden", en voegt eraan toe dat de app "end-to-end encryptie biedt van de mobiele telefoon tot aan het bedrijfsarchief". Het bestaan ​​van "het bedrijfsarchief" ondermijnt echter de privacy en veiligheid van de end-to-end encryptiemethode.

TeleMessage-apps zijnniet goedgekeurd voor gebruik onder het Federal Risk and Authorization Management Program (FedRAMP) van de Amerikaanse overheid. TeleMessage en Smarsh hebben niet onmiddellijk gereageerd op verzoeken om commentaar over de vraag of hun producten door de Amerikaanse federale overheid worden gebruikt en in welke hoedanigheid.

"Zoals we al vaak hebben gezegd, is Signal een goedgekeurde app voor overheidsgebruik en staat hij op overheidstelefoons", vertelt Anna Kelly, woordvoerder van het Witte Huis, aan WIRED. Ze beantwoordde geen vragen over de vraag of het Witte Huis het gebruik van TeleMessage Signal door federale ambtenaren goedkeurt – een andere app dan Signal – en of andere ambtenaren, naast Waltz, de app al hebben gebruikt of momenteel gebruiken.

Het Cybersecurity and Infrastructure Security Agency (CISA) stelt geen beleid op voor het gebruik van federale technologie, maar publiceert wel openbare richtlijnen . Gevraagd naar Waltz' vermeende gebruik van TeleMessage Signal verwees CISA WIRED simpelweg naar zijn best practices-gids voor mobiele communicatie. Het document adviseert specifiek: "Evalueer bij het selecteren van een end-to-end versleutelde berichtenapp de mate waarin de app en de bijbehorende services metadata verzamelen en opslaan."

Het is niet duidelijk wanneer Waltz TeleMessage Signal begon te gebruiken en of hij het al gebruikte tijdens SignalGate of dat hij het pas later ging gebruiken als reactie op kritiek dat het inschakelen van de functie voor het laten verdwijnen van berichten van Signal in strijd zou zijn met federale wetten op het gebied van gegevensbewaring.

"Ik twijfel er niet aan dat de leiding van het Amerikaanse nationale veiligheidsapparaat deze software een volledig informatiebeveiligingsproces heeft laten doorlopen om te garanderen dat er geen informatie naar het buitenland lekte", zegt Matt Green, cryptograaf bij Johns Hopkins. "Want als ze dat niet hebben gedaan, zitten we in de problemen."