特朗普高官专用山寨以色列军方特供版Signal遭黑客20分钟攻破,聊天记录明文存储揭示“最安全”背后的巨大讽刺与“草台班子”现实。

5 月 08

Luke FanTrump风暴 , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 特朗普高官专用山寨以色列军方特供版Signal遭黑客20分钟攻破,聊天记录明文存储揭示“最安全”背后的巨大讽刺与“草台班子”现实。已关闭评论

川普使用的山寨版Signal被黑客破解了。世界真的就是一个巨大的草台班子吗?

大家好,欢迎收听老范讲故事的YouTube频道。这个槽到底要从哪开始涂起呢?实在是有点难。从这儿吧:5月4号,黑客向404 media发布了消息,仅用了20分钟就破解了特朗普政府高官们所使用的Signal服务器,并获取了聊天记录和登录凭证,还利用这些登录凭证向加密货币讨论群发布了一些测试消息。

更大的槽在后边呢。Signal官方回复说,特朗普政府高官们所使用的并不是官方正式版本的Signal,而是一家由以色列退役军人组建公司魔改过的山寨版的Signal。Signal本身是安全的,没有问题。Signal基金会多次强调,川普他们所使用的这个东西叫TM SGNL,或者叫telemessage Signal,非官方应用未获取技术授权,且无法保证其安全性。人家警告过好多次了。

结果是什么呢?就是特朗普政府高官们使用的是以色列军方模改的Signal,他们的聊天记录都是用明文存放在TM SGNL的服务器上的。这些服务器被20分钟破解,破解完了以后直接把明文的聊天记录和他们的登录凭证给拖回来了。这个版本不被Signal官方所承认,黑客可以轻松破解,并且把它们扒了个底儿掉。

事情就是这样的一个事情。那么这个事是怎么开始的呢?大家还记得今年3月份吗?2025年3月24日,美国大西洋月刊的主编杰夫里格德伯格被意外拉入了美国高官们讨论问题的Signal群。时任美国国家安全顾问的迈克尔沃尔兹在创建该Signal群的时候,误将杰夫里格德堡加入了群聊。

迈克尔沃尔茨呢后来被审查,离开了国家安全顾问的这个职位,被重新安排成为了美国驻联合国的大使。特朗普还算是个念旧的人,并没有为这个事就抛弃他。结果到4月30号,一名路透社摄影记者在白宫内阁会议上拍摄到了沃尔茨的手机,屏幕显示他使用的是一个名为TM SGNL,一个非官方的Signal的应用。这是一款由以色列公司telemessage开发的Signal改版客户端。

沃尔斯使用telemessage曝光之后不久,一名黑客瞄准了telemessage公司的后台系统,实施了入侵。独立科技媒体404 media于5月4日首次披露了这一黑客攻击事件,说利用已知漏洞攻击了TGSGNL服务器后台,所有聊天记录备份都是用非加密的明文存储的。

5月5日,路透社、TechCrunch等权威媒体也证实了提供修改版Signal的Telemessage公司遭到黑客入侵,其存储的敏感资料被窃取。这就是事情的始末。

从三月二十几号,《大西洋月刊》这位总编错误加群那开始的。然后,这位迈克尔·沃尔茨去了联合国当大使以后,被摄影记者直接拍下来,手机上用的居然不是官方版的。这个事情被曝光了之后,引起了黑客攻击,结果20分钟就把东西拖回来了。

Signal到底是一个什么样的软件呢?Signal这个软件现在大概有7,000多万的活跃用户。当然,在3月份《大西洋月刊》的总编加入到Signal群聊之后呢,这个数字在暴涨。一帮人说这是什么神奇的软件,我也要去试一试。

这个软件呢,是号称现在最安全的聊天软件。因为呢,它使用端到端加密,而且呢,它免费不要钱。包括我们在上面去打电话、电话会议都是免费的,里头也没有任何广告。它是一个非营利组织,靠Signal基金会来运营,完全靠大家的捐赠。它没有任何商业的东西在里头。

Signal通过了很多国家和这种安全机构的安全认证,因为它所有的系统都是开源的。你可以拿这个东西去做检测。它现在应该是通过各种安全认证最多的安全聊天软件。

它呢,最早的研发者应该是美国密码学专家莫克西·马林斯派克。这个莫克西·马林斯派克在2010年呢,推出了两个工具:用于加密短信的TextSecure和用于加密语音通话的叫Red Phone(红电话)。并且呢,把这两个协议组成了一个系统,叫Whisper System。

2011年呢,这个Whisper System呢被Twitter收购了。当时并没有公布价格,应该钱不多,我估计可能也就是200万美金以内的价格把它收购了。Twitter呢,将TextSecure和Reddit这两个协议就给开源了。

莫克西在Twitter工作了14个月之后,放弃了100万美金的股票,离开了Twitter。这个数字呢,我们可以猜测当时交易的价格。我以前也做类似这种收购,这个收购的过程呢,一定是股票占大头,现金占小头,经常是80%的股票,20%的现金进行收购。

所以呢,他放弃了100万美金的股票,他整个的收购呢有可能也就是一百几十万到两百万美金。因为他已经在Twitter工作了14个月了,所以有可能是成熟了25%的股票。像我们以前收购的时候,比如说100万的股票分4年,每年成熟25%。

所以他有可能成熟了25%,再加上可能配的一部分现金,所以应该他的收购价格是在200万美金以内。具体的数字呢,因为人家也没公开,咱们只能坐在这猜。但是有一点是确认的,就是莫克西呢应该通过这一笔收购,并没有挣到什么钱。

莫克西·马林斯派克离开Twitter之后,继续维护开源的TextSecure和Redphone这两个协议,并且利用这些协议开发了Signal这样的一个软件。2018年,Signal转型为非营利组织Signal Technology Foundation(就是Signal技术基金),获得了WhatsApp的联合创始人布莱恩·阿克顿1.05亿美金的捐款。

这个布莱恩·阿克顿呢,他的经历跟前面这个莫克西很像,都是自己开发了个即时通讯的应用,然后被大厂收购。只是有一点不一样,是什么呢?就是布莱恩·阿克顿他是挣到钱了,因为他在WhatsApp里边占20%的股份。而Facebook当年是用多少钱收购的WhatsApp呢?190亿美金。这190亿美金算到布莱恩·阿克顿手里头,应该是38亿美金。就算这38亿美金并不都是现金,里头可能有大量的是Facebook的股票,那你想到现在Facebook股票又涨了这么多了,所以这哥们手里边的现金或者现金等价物的价值,可能已经超过四五十亿美金。这样的一个人直接捐款,说来我们一起来继续把这事做下去。

那么Signal的安全性到底是怎么来的呢?它使用的呢叫非对称加密。所谓的非对称加密,就是一个公钥一个私钥。私钥留在本地,公钥呢是用来加密的。在我们进行信息沟通之前,我们相互之间把公钥发送给对方,而且公钥是一个明文的。对方会把自己要发的信息用公钥加密,加密完了以后把密文发给我,我呢用私钥把这个密文重新解开,是这样的一个方式。

而Signal的话也是如此。我们两边要去发信息了,我给对方发一个公钥,对方给我发一个公钥。相互之间把各自要发的信息通过对方的公钥加密了以后发给对方,然后对方用私钥可以把它解开。这个呢就可以保证你在服务器端无法备份,而且服务器端也不知道大家在说什么,因为服务器端没有私钥。你就算是你截获了对方的公钥,你加密了以后,你想把它解开,你解不开,必须要拿私钥才能解开。而且呢因为Signal呢使用的是短时间的私钥,每发几条以后他要换,就算是你截获了一个私钥了,虽然这个私钥不在网上传播,甭管他是怎么获得的吧。

比如说,我通过拿到你的手机,然后把你的手机破解了,我拿到私钥了。哎,也没事。后边再去发消息的时候会产生新的私钥,它通过这种方式来保证它的安全性。所以呢,它的服务器上肯定什么都不能存。

完全免费,依靠捐赠生存。他现在每年的费用都是公开的,因为是捐赠嘛。2024年的话是4,000万美金的成本,把它烧完就完了。2025年的话,他们预计是要花掉5,000万美金的成本。在这个过程中,大家还是要不断的去给他捐赠。

除了前面我们讲布莱恩·阿克顿之外,还有很多什么自由新闻联盟,或者是各种的这种软件基金会,都会给他们捐钱。包括前面这个Twitter,莫克西离开Twitter的时候放弃了100万美金的股票。Twitter的创始人杰克·多西每年会向Signal基金会捐赠100万美金,每年往里捐,每年往里捐。他是这样的一个运作方式。

还有很多人呢,是用非具名的方式往里捐钱,所以他们完全是非商业运作的。这个软件开源,甭管是它的后边协议也好,还是前面的软件也好,都是开源的,接受第三方的安全检测。你说这东西到底安不安全?你自己测去吧,反正我所有都开源,你拿源代码去测就可以了。

WhatsApp也是使用的Signal的安全协议,但是因为WhatsApp是不开源的,而且呢WhatsApp后台是Meta的,所以Meta还是可以得到你一些信息。而对于Signal来说就是我就没有后台,我也不存你的什么通讯录、对话记录,什么通通都不存,所以它是最安全的。

那么Signal的安全性到底是怎么来保证呢?第一个就是它的技术原理,这个东西是安全的,保证没问题。第二个呢就是它的分布式架构,我服务器上啥也不存,你们都是各自手机上存就完事了。所有关键信息都存在各自的手机上,而且开源,我们接受所有人的检测,你们自己去试,去非商业化运作。因为你一旦商业化运作,那他有时候就说,我是不是在里边应该推点广告,怎么能提高广告命中率,就没有那么安全了。所以Signal本身的安全性就是这样来去保障的。

那么讲回来了,Signal这么安全,那你特朗普政府这帮人,你就直接使Signal不就完事了吗?你为什么还要去使用telemessage Signal这样的一个产品呢?原因也很简单,这个Signal刚才我们讲了,它是不提供聊天记录备份这功能的,因为它为了保证最大的安全性,我就不存。我在服务器端,我也不知道你在说什么,你也不要来问我。

它是这样的一个工作方式。咱们举另外一个案例,你比如说像Telegram。Telegram号称也很安全,但是它在服务器端,它是存这些聊天记录的。那么就会发生什么问题?就是Telegram的创始人到法国,直接被人抓住了,说你必须要把里边的信息给我交出来,你不交出来我就怎么怎么样。最后他就没有办法,只能把他交出,因为他存了吧。那你就可以去抓交这个东西。

那Signal这个你就算把他抓住也没用,我没存。你抓住我,你打死我也没用。但是呢,对于美国政府来说,它有一些合规性的要求。你比如像美国总统,它所有发出的信息都是要存档的,你不能说我发完了以后这事没了,这个是不允许的。那么Signal它就不符合美国政府所要求的这个合规性。那他说我们找一个吧,找一个能够提供聊天记录备份功能的Signal。美国政府他就想办法去找去了,找到了一个折中方法。有一个叫Telemessage Signal的一个产品,它是提供备份的,而且呢他们收钱。这个Signal刚才我们讲了,它非商业运作,它不收钱。美国政府说我给你交钱,你给我做一个提供聊天备份的行不行?人家不理你,人家是一个非营利机构。

美国多个联邦部门,比如说国土安全部、卫生部、财政部、国际开发金融公司等等,就跟Telemessage的母公司SMARSH签订了正式的采购服务合同。我花钱,我向你买。这个TM SGNL呢号称是跟Signal拥有完全相同的安全属性,但是我还给你加了聊天记录备份的功能,还可以进行事后的监督。而且这里头还有一个问题是什么呢?就是TM SGNL跟Signal是完全互通的。你用TM SGNL可以加Signal的好友进来,Signal呢也可以跟TM SGNL里边的这些人去聊天。这是一个很神奇的事。

原来是比如说我政府内部,我去采购一个什么东西,你应该有一套独立的用户系统。你这个用户认证系统应该是跟外边相隔离的,这就不会出现前面我们讲3月24号美国大西洋月刊主编直接被拉进群这种事。因为它就直接在Signal这个基础上改的嘛,所以两边通的。只要名字相同,就直接把人拉进来了。那这事就没法整了。

所以这个故事呢,就这么顺理成章的下来。Signal是世界上最安全的,到目前为止依然是。为了讲今天这故事,我还去下载了一个Signal,虽然没有任何Signal好友,也没有在里边聊天,但还是要起来试一试的。但是它这个东西怎么说呢?

确实没那么好使。你跟Telegram呀,跟Discord呀,跟WhatsApp和微信比起来,确实没有那么好用。从安全性上来说,它等于是最安全,但是为了安全性,它把其他所有的易用性、什么功能全都牺牲了,就是这样的一个东西。

美国政府为什么他一定要使用这玩意呢?因为这一届的美国政府是一帮B圈大佬。甭管是特朗普还是其他的一些人,都是一帮玩B圈的。B圈的人呢就喜欢玩Signal,因为他们觉得这东西最安全。我们在里头去交流一些哪个涨了哪个跌了的这种事,很安全。说我一定要用这玩意,下边人说那我们就去找一个折中方案吧。结果以色列军方一帮退役军人就给他们做了这玩意。那你说这东西后边有没有以色列军方的影子?这事没法说,这属于一个阴谋论。他们至少真退役了吗?因为像我以前在安全公司的时候,我们也跑到以色列去,去投资他们的很多安全项目。以色列这帮公司在安全项目上做的是非常好的。

而且我们投资他们也很简单,就是你在以色列安全部队里头混没混过。你确实拿出履历来说,我原来是以色列内部专门做安全这个部队里边的一个军官。你是个中尉,是个少校,还是一个什么样的,你拿出来就投。我们也不管你到底是做过什么,你只要拿出正确的履历来就会去投。所以这个TM SGNL估计也是这样去组成的。那你说这些人以后是不是会把美国政府聊天的记录直接给以色列军方去看,给丽塔尼亚福去看?那咱不知道,这个事只能当阴谋论去看了。

这个TM SGNL整个做的过程呢,又没有那么安全。你想TM SGNL它要给人做聊天记录备份,你就必须要备一个回头能够解密的版本。你不能说我备份了,拿下来以后我无法解密了,不知道你原来备份了些什么东西,这事肯定不成。他就要在服务端去存这个东西。那你存的时候呢,最简单的就是存明文嘛。我传的时候可以去加密,但是我存的时候要存明文,就是这样的一个方式来去工作的。

但是他在服务器端呢,又稍微有点草台班子。很多互联网上的这种已知漏洞并没有修补。所谓服务器也就是说,我在Linux的云主机上整了点什么事情,这上面漏洞多去了。这帮安全军官们也是说我挣钱就完事了,很多安全上的事情并没有那么特别在意,事情就出来了。

那么结论,这个世界真的就是一个巨大的草台班子。最新的技术呢其实并不在政府手里面。但是政府原来不怎么出事的,原因是什么呢?他通过一些制度来管理这个事,就是大家是封闭的。我这个政府里边的这个系统……

你必须使用比如政府邮箱认证,或者是使用政府内部的一个独立的认证系统,来认证他原来是这么来工作的。

外界的很多黑客呢,有时候也未必说我就愿意去破解这个玩意。因为第一个用的人少,第二个我破解了以后,未必能够获得多大的利益,还要承担巨大的风险和刑事责任。这样的这种成本,所以一般人也懒得去理他。那么政府的系统就这么一直摇摇晃晃的就晃下来了。

结果特朗普政府来上来了,一帮b圈大佬说我们要用Signal。他们自己有一些固有的技术偏见,Signal到底是怎么回事,我估计他们大部分人也不懂,但我就要用。这些人就去影响政府采购去了,说我要用,你们去给我买去吧,别的东西我不使。这帮政府采购人员说那我去找吧。Signal自己不收钱,我拿人家没办法。Signal还不支持备份,这个不合规,我们要找一合规的,就找到了TM SGNL这样的一个公司。

那TM SGNL这帮人呢,就是投其所好。美国政府要买嘛,那我就挣这份钱。而且TM SGNL一直没有得到Signal基金会官方承认,说他使用我的技术,压根就没有得到我的授权。他也没有向我捐钱,你按道理说你使用人技术,你好歹你捐点呗,人家也没捐钱。就这样的一个状态,两边就互相看不对眼,就干上了。

这帮TM SGNL魔改了一把,人家真正安全的Signal就中标了。这帮黑客一看说哦,你居然拿Signal的东西去做服务器了,那我总要上去看一下吧。我们好奇嘛,上去看一看,结果发现20分钟就进去了。进去完了以后直接把库就拖出来了,大概就是这样的一个情况。

这个世界呢,真的就是一个草台班子,还会给我们带来更多的欢乐。这就是今天这个故事。好,感谢大家收听,请帮忙点赞,点小铃铛,参加DISCORD讨论群,也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

Comments are closed.