امنیت بایگانی – ندای امروز

آیا باید رمز عبور را به صورت مرتب عوض کرد؟

اگر حال و حوصله خواندن این مطلب تقریبا بلند و باید را ندارید و به دنبال پاسخ بله یا خیر هستید، باید بگویم که پاسخ عنوان این مطلب نه است؛ یعنی آنکه شما دیگر نیازی نیست که رمز عبور حساب‌هایتان را به صورت مستمر (مثلا ۹۰ روز یکبار) تغییر دهید و به جای این کار بهتر است که خودتان را عادت به استفاده از نرم‌افزارهای مدیریت رمز عبور مانند LastPass و KeePass بدهید.

حالا که متوجه شدید که دیگر مانند گذشته نیازی نیست که رمز عبور حساب‌های مختلف خود را تغییر دهید، بگذارید به دلایل این ادعا که شاید در نگاه اول دیوانه‌وار باشد، بپردازم؛ هر چند که قبل از آن بد نیست به این نکته اشاره کنم که در سال‌های اخیر سازمان‌های مختلفی تغییر دوره‌ای رمز عبور را دیگر پیشنهاد نمی‌کنند – مانند گروه CESG که یکی از بخش‌های ستاد ارتباطات دولت بریتانیا است – و همچنین تحقیق‌های مختلفی در این زمینه انجام شده است که در ادامه به آنها اشاره می‌کنم.

۱- افراد رمزهای قدیمی خود را در ساختار جدیدی مجددا استفاده می‌کنند: زمانی که افراد مجبور به تغییر رمز عبور به صورت دوره‌ای می‌شوند، به دلایلی مختلف مانند تنبلی و یا آنکه حفظ کردن رمز عبور کاملا جدید برای‌شان سخت است، رمز عبور قبلی را با کمی تغییرات، مجددا استفاده می‌کنند!

به عنوان مثال در تحقیقی که در سال ۲۰۱۰ توسط دانشگاه کارلتون انجام شده است، بیشتر افراد رمز عبور قدیمی خود را با کمی تغییر مجددا استفاده می‌کرده‌اند: رمز عبور قدیمی tarheels#1 و رمز عبور جدید tArheels#1! همانگونه که می‌بینید رمز عبور همان رمز عبور قدیمی است با تنها یک تغییر که حرف a به A تغییر کرده است.

۲- احتمال استفاده رمز عبور جدید در وب‌سایت‌های دیگر نیز وجود دارد: در بسیاری از موارد مانند آنچه گروه CESG اشاره کرده است، بسیاری از افراد زمانی که مجبور به تغییر رمز عبور خود به صورت مستمر می‌شوند، از آن رمز عبور در وب‌سایت‌های دیگر هم استفاده می‌کنند تا به این صورت آن را بهتر به حافظه بسپارند؛ برای همین تغییر دوره‌ای رمز عبور آنقدرها به مخفی بودن و امن نگه داشتن رمز عبور کمک نمی‌کند.

۳- تغییر دوره‌ای رمز عبور آنقدر جلوی حملات سایبری را نمی‌گیرد: برخلاف تصور، تغییر مستمر رمز عبور آنقدرها به مقابله با حملات سایبری کمک نمی‌کند. برای درک بهتر بد نیست به تحقیق دیگری از دانشگاه کارلتون اشاره کنم که در آن به بررسی تاثیر سیاست تغییر دوره‌ای رمز عبور پرداخته‌اند.

براساس این تحقیق هر چند که تغییر دوره‌ای رمز عبور می‌تواند از دسترسی افراد قدیمی که به سیستم دسترسی داشته‌اند اما نباید دیگر دسترسی داشته باشند – مثلا به دلیل خارج شدن از شرکت/سازمان – جلوگیری می‌کند، اما این سیاست در مقابل حملات سایبری آنقدرها کاربردی نیست مخصوصا آنکه فرد نفوذ کننده به راحتی می‌تواند با نصب یک درب پشتی و یا یک کی‌لاگر بر روی سیستم‌های مختلف، به صورت کامل کاربرد سیاست تغییر دوره‌ای رمز عبور را زیر سوال ببرد.

خب! حالا که با دلایل مهم نبود تغییر دوره‌ای رمز عبور آشنا شدید، شاید این سوال پیش بیاید که راه حل چیست؟ حالا که تغییر مستمر رمز عبور مهم نیست، باید چه کار کنم؟

در پاسخ به این دو سوال باید گفت که شما همواره باید این سه قانون طلایی را برای انتخاب رمز عبور دنبال کنید و تا زمانی که این سه قانون را رعایت کنید، نیاز به تغییر دوره‌ای رمز عبور که کاری بی‌فایده است نخواهید داشت 🙂

۱- رمز عبور یکتا برای هر حساب: به هیچ عنوان و تحت هیچ شرایطی شما نباید از یک رمز عبور برای بیشتر از یک حساب استفاده کنید؛ به عبارتی دیگر هیچ وقت تمام تخم مرغ‌های خود را در یک سبد قرار ندهید.

۲- استفاده از نرم‌افزارهای مدیریت رمز عبور: به جای اینکه ذهن خودتان را درگیر و خسته تولید رمزهای عبور پیچیده کنید، این کار را به نرم‌افزارهای مدیریت رمز عبور مانند KeePass و یا LastPass بسپارید تا به این صورت هم رمز عبور پیچیده و قوی‌ای داشته باشید و هم نگران حفظ کردن آنها نباشید.

۳- فعال کردن ورود دو مرحله‌ای: ورود دو مرحله‌ای را برای هر سرویسی که به شما این امکان را می‌دهد، فعال کنید. مثلا هم اکنون گوگل، توییتر، فیس‌بوک، اینستاگرام، تلگرام، دراپ‌باکس و… این امکان را در اختیار شما قرار می‌دهند. علاوه بر این همواره این امکان را بر روی اپلیکیشن‌هایی مانند Google Authenticator قرار بدهید و دریافت کد تایید ورود از طریق پیامک یا SMS را به هیچ عنوان استفاده نکنید.

در نهایت هم باید به ۸۵٪ که در نظرسنجی توییتری من در مورد همین موضوع شرکت و از عدم تغییر دوره‌ای رمز عبور صحبت کرده‌اند، بگویم که جای هیچ نگرانی‌ای در این زمینه نیست تا زمانی که شما سه قانون طلایی بالا را رعایت کنید 🙂

آیا شما رمز عبور حساب‌های خودتان را به صورت دوره‌ای (مثلا هر ۹۰ روز) عوض می‌کنید؟ #ریتوییت

— Amin Sabeti (@AminSabeti) August 5, 2016

نوشتن دیدگاه

آیا ۱۵ میلیون حساب تلگرام ایرانی‌ها هک شده است؟

در طی چند روز گذشته یکی از اخباری که در میان کاربران ایرانی سر و صدای زیادی به پا کرده است، داستان دسترسی هکرهای ایرانی به ۱۵ میلیون شماره تلفن همراه کاربران ایرانی است که با انتشار اولین گزارش توسط رویترز، بسیاری از وب‌سایت‌های خبری تحلیل‌های متفاوتی را از این خبر منتشر کردند به گونه‌ای که در برخی موارد وب‌سایت‌های خبری از هک شدن تلگرام سخن گفتند.

هر چند که گزارش این تحقیق به صورت کامل منتشر نشده است و به جزییات بیشتری برای بررسی بهتر نیاز است، اما بیان چند نکته در این میان شاید در روشن شدن این داستان و درک بهتری از آنچه رخ داده در میان هیجان رسانه‌ای کمکی بکند.

۱- تلگرام هک نشده است: اولین نکته‌ای که باید به آن اشاره کرده آن است که حساب تلگرام ۱۵ میلیون کاربر ایرانی هک نشده است و اگر در جایی خواندید که حساب ۱۵ میلیون کاربر ایرانی هک شده است (مانند این خبر عصر ایران)، بدانید که این ادعا از اساس اشتباه و بی‌پایه است. چرا؟

چون آنچه هکرهای ایرانی به دست آورده‌اند، شماره تلفن همراه ۱۵ میلیون کاربر ایرانی است نه محتوای گفتگوی آنها با دیگران.

البته در همین جا باید به این نکته اشاره کنم که سازمان‌های امنیتی و اطلاعاتی ایران به محتوای گفتگوی برخی از کاربران ایرانی تلگرام دست یافته‌اند اما این تعداد در حد ۱۵ میلیون نبوده است. روش دستیابی هم به صورت کاملا هدفمند بوده است.

۲- مشکل دزدیده شدن پیامک تایید شماره تلفن مختص به تلگرام نیست: دومین نکته‌ای که بیان آن دارای اهمیت است این نکته است که امکان دزدیده شدن پیام تایید شماره تلفنی که برای عضویت در تلگرام وارد می‌کنید، تنها مختص به تلگرام نیست و این سرقت پیامک تایید برای اپلیکیشن‌های دیگر مانند واتس‌اپ، وایبر، سیگنال و… هم می‌تواند اتفاق بیافتد.

به طور کلی هر زمان که شما عضو اپلیکیشن ارتباطی‌ای مانند تلگرام و یا واتس‌اپ می‌شوید، در اولین قدم باید شماره تلفن همراه خود را وارد کنید تا به این صورت اپلیکیشن از واقعی و درست بودن شماره تلفنی که وارد کرده‌اید اطمینان حاصل کند. در نتیجه این امکان وجود دارد که هر زمان شما کد تایید شماره تلفن همراه‌تان را دریافت کنید، شرکت مخابرات، ایرانسل و یا رایتل آن کد را شنود کند و آن را در اختیار هکرهای ایرانی بگذارد – که احتمالا برای دولت یا سازمان‌های اطلاعاتی و امنیتی ایران کار می‌کنند.

در نتیجه این مشکل تنها مختص تلگرام نیست و تمام اپلیکیشن‌های ارتباطی از آن رنج می‌برند! برای حل این مشکل هم باید این اپلیکیشن‌ها به سمت استفاده از ابزارهایی مانند Google Authneticator بروند و ساختار تایید شماره از طریق پیامک یا همان SMS را کنار بگذارند.

۳- تلگرام امن هست/نیست: تلگرام مانند هر ابزار دیگری مشکلات امنیتی خاص خودش را دارد؛ به عنوان مثال تمام پیام‌هایی که در گروه‌ها و یا کانال‌های تلگرام منتشر می‌شوند قابل شنود هستند هر چند که این امکان برای امکان Secret Chat یا چت مخفی آن وجود ندارد. البته همینجا باید به این نکته اشاره کنم که حرف و حدیث‌های زیادی در مورد امن بودن Secret Chat و خود تلگرام وجود دارد. در نتیجه اگر برای کاری حساس از تلگرام استفاده می‌کنید، بهتر است به جای تلگرام به سراغ اپلیکیشن Signal بروید.

۴- داستان نقشه‌برداری از کاربران تلگرام توسط هکرهای ایرانی جدی هست اما نه آنقدرها:

جادی بلاگ خوبی نوشته وعاشق این قسمت شدم. تنها نکته‌ام این است که بحث مپینگ جدی تر ازاین است. https://t.co/5nBufASzcJ pic.twitter.com/dSCZ0y7oQB

— AmiR Rashidi (@Ammir) August 3, 2016

یکی از بحث‌های که در خبر اخیر در موردش صحبت شده است داستان نقشه‌برداری کاربران یا همان Mapping به کمک پیدا کردن شماره تماس‌ها و وصل کردن آنها به یکدیگر است، کاری که سازمان‌های اطلاعاتی در سرتاسر جهان به آن علاقه زیادی دارند تا به این صورت بتوانند شبکه‌های مختلف افراد (مثلا گروه‌های تروریستی) را شناسایی کنند.

هر چند که این ایده که نقشه‌برداری از کاربران تلگرام توسط هکرهای اینترنتی خطرناک به نظر می‌رسد اما واقعیتش را بخواهید نباید در مورد آن آنقدرها بزرگنمایی کرد چون با وجود شبکه‌های اجتماعی مانند فیس‌بوک، توییتر، اینستاگرام و… به راحتی می‌توان این دست کارها را انجام داد. به قول رضا مارمولک در فیلم مارمولک که می‌گفت «راه‌های رسیدن به خدا به عدد آدم‌هاست»، در مورد جمع‌آوری اطلاعات کاربران و نقشه‌برداری از آنها هم به تعداد آدم‌ها راه وجود دارد!

۵- تلگرام را باید کنار گذاشت اما با یک اگر بزرگ: همانگونه که در بالا گفتم، در مورد امن بودن و نبود تلگرام بحث‌های مختلفی است هر چند که از نگاه من تلگرام امن نیست به خصوص اگر قصد دارید مکالمه‌های حساسی را از طریق آن انجام دهید.

به شخصه دیگه اعتمادی به #تلگرام ندارم و به کسی دیگه پیشنهاد نمی‌دم استفاده بکنه.
از نظر من تلگرام دیگه امن نیست!

— Amin Sabeti (@AminSabeti) November 4, 2015

پای آقامون اسنودن هم به داستان امن نبودن #تلگرام باز شده و گفته که #تلگرام به دلیل ساختارش در حالت عادی امن نیست. https://t.co/3sL2nPVcN1

— Amin Sabeti (@AminSabeti) December 19, 2015

این امن نبود به معنی آن نیست که استفاده از این ابزار را کنار بگذارید و مثلا به استفاده از پیامک یا همان SMS روی بیاورید که در حقیقت یک پسرفت بزرگ است! بلکه به این معنی است که از ابزارهای بهتر و امن‌تر مانند Signal برای کارهای حساس استفاده کنید و بدانید که مشکلات تلگرام چیست.

نکته‌ای که باید در مورد استفاده از تلگرام و به طور کلی ابزارهای آنلاین و دیجیتال همواره در ذهن داشته باشید آن است که این ابزارها به صورت نسبی امن هستند و هیچ تضمین ۱۰۰ درصدی‌ای در این زمینه وجود ندارد. دقیقا مانند بستن کمربند ایمنی در خودرو که با بستن آن هیچ تضمیمی وجود ندارد شما در یک تصادف جان سالم بدر ببرید.

در نهایت هم این مطلب تقریبا بلند و بالا را با این سه نکته به پایان می‌برم:

امنیت دیجیتال به صورت نسبی است و مانند امنیت در دنیای مجازی، هیچ تضمین ۱۰۰٪ای در مورد آن وجود ندارد.
تلفن‌های هوشمند به دلیل طبیعت‌شان امن نیستند و زیاد نباید روی آنها حساب باز کرد.
به تیترهای هیجان‌زده رسانه در زمینه اخبار امنیت دیجیتال زیاد توجه نکنید چون هدف رسانه‌ها جذب بیشتر مخاطب با انتخاب تیترهای هیجان‌انگیز است 🙂

اگر سوالی در مورد اخبار اخیر در مورد تلگرام داشتید، می‌توانید آن را در بخش نظرات همین مطلب و یا از طریق ایمیل و یا توییتر با من درمیان بگذارید تا اگر در حد دانشم بود به آن پاسخ دهم.

پی‌نوشت ۱: این مطلب جادی در همین مورد را نیز بد نیست بخوانید.

نوشتن دیدگاه

چرا باید QuickTime در ویندوز را پاک کنید؟

زمان آن رسیده که QuickTime را از ویندوز حذف کنید. — منبع عکس: Patently Apple

از آخرین مطلبی که در اینجا نوشته‌ام بیشتر از یک ماه می‌گذرد که دلیل اصلی عدم انتشار مطلب جدید تنبلی خودم بوده است تا کمبود وقت و از این دست بهانه‌ها!

الان هم که این مطلب را می‌نویسم به دلیل اهمیت بیش از پیش موضوع است که مربوط به نرم‌افزار QuickTime اپل برای سیستم عامل ویندوز می‌شود.

در روز ۲۶ فروردین ماه سال جاری شرکت Trend Micro که در زمینه امنیت دیجیتال فعالیت می‌کند از کشف دو حفره امنیتی حاد در QuickTime خبر داد که از طریق آن به راحتی می‌توان کنترل ویندوز و رایانه فرد قربانی را بدست گرفت؛ و با توجه به اینکه اپل دیگر نسخه جدید و به روز برای QuickTime در سیستم عامل ویندوز نمی‌دهد، از همین رو این حفره‌های امنیتی برای همیشه باقی خواهند ماند!

این یعنی آنکه از روز گذشته خلافکارهای سایبری به راحتی می‌توانند از این دو حفره امنیتی موجود در نسخه ویندوز QuickTime استفاده کنند و به رایانه شما نفوذ کنند؛ دقت کنید که این نفوذ با داشتن یا نداشتن آنتی‌ویروس قابل حل نیست!

با توجه به این توضیح‌ها، احتمالا این سوال برای شما پیش آمده است که راه حل برای مقابله با این مشکل چیست؟

پاسخ بسیار ساده است: حذف QuickTime از سیستم عامل ویندوز.

برای این کار هم تنها کافی است به Control Panel در ویندوز بروید و سپس از بخش Programs and Features نرم‌افزار QuickTime را انتخاب و آن را حذف یا همان Uninstall کنید.

حذف QuickTime در ویندوز

علاوه بر این می‌توانید از نرم‌افزار Revo Uninstaller نیز استفاده کنید که یک نرم‌افزار را به صورت کامل از ویندوز پاک می‌کند. نسخه رایگان این نرم‌افزار را می‌توانید از اینجا دانلود کنید.

خلاصه کلام اینکه اگر QuickTime در سیستم عامل ویندوز خود نصب کرده‌اید، همین حالا آن را حذف کنید.

نوشتن دیدگاه

چرا نباید انگشت جوهری خود را در اینترنت منتشر کنید؟

انتخابات مجلس شورای اسلامی و مجلس خبرگان ۱۳۹۴

در روز جمعه، ۷ اسفند ماه دهمین انتخابات مجلس شورای اسلامی و پنجمین انتخابات مجلس خبرگان برگزار شد و در این میان ده‌ها کاربر ایرانی عکس‌هایی از انگشت جوهری خود در شبکه‌های اجتماعی مانند توییتر و اینستاگرام منتشر کردند؛ به عنوان مثال می‌توانم به مجموعه زیر اشاره کرد:

IranElection2016

حال آنکه نکته‌ای که بسیاری از کاربران ایرانی (و به خصوص کسانی که با اسم مستعار در شبکه‌های اجتماعی فعالیت می‌کنند) در نظر نگرفته‌اند آن است که با انتشار انگشت خود در حقیقت اثر انگشت‌شان که برای هر فرد یکتاست را منتشر کرده‌اند و این امکان را به افراد و سازمان‌های جاسوسی/اطلاعاتی می‌دهند که به راحتی آنها را شناسایی کنند.

در اینجا شاید شما هم مانند این کاربر توییتر فکر کنید که من پارانوئید شده‌ام 🙂

=)))))))از من پارانوییدتر پیدا شد https://t.co/pI7MDpQHOA

— Siman (@toopecheltikkeh) February 27, 2016

اما متاسفانه واقعیت این است که این داستان کاملا جدی و قابل اجراست به گونه‌ای که در سال ۲۰۱۴ هکرهای کلوب کامپیوتری هرج و مرج (Chaos Computer Club) توانستند از طریق عکس وزیر دفاع آلمان اثر انگشت وی را شبیه‌سازی کنند و از آن به عنوان روش تایید شناسایی وی استفاده کنند.

حالا داستان زیر را فرض کنید:

شما یک کاربر توییتر هستید که به صورت ناشناس در توییتر فعالیت می‌کنید و در مورد امنیت شخصی خود بسیار محتاط هستید. حالا در انتخابات شرکت می‌کنید و انگشت جوهری خود را در توییتر منتشر می‌کنید. من به عنوان کارمند یک سازمان امنیتی مدت‌ها به دنبال شناسایی هویت شما هستم و با دیدن تصویر اثر انگشت شما و داشتن تکنولوژی VeriFinger اثر انگشت شما را از تصویر استخراج و سپس با پایگاه داده‌هایی که از مکان‌های مختلف (مثلا اداره گذرنامه) در اختیار دارم مقایسه می‌کنم و به این صورت هویت واقعی شما را شناسایی می‌کنم!

علاوه بر این فراموش نکنید که به عنوان یک سازمان جاسوسی به راحتی امکان این وجود دارد که تمامی این عکس‌ها جمع‌آوری و سپس یک پایگاه داده از آنها ایجاد شود. به همین راحتی!

خلاصه کلام آنکه امنیت دیجیتال را جدی بگیرید و از انتشار اطلاعات زیاد در اینترنت خودداری کنید.

نوشتن دیدگاه

از چه رمزهای عبوری نباید استفاده کنید؟

رمزهای عبور مانند شورت‌ها هستند. (منبع عکس: Flickr)

با پایان سال ۲۰۱۵، لیستی از محبوب‌ترین رمزهای عبور براساس ۲ میلیون رمز عبور افشا شده بر روی اینترنت در سال گذشته میلادی، منتشر شده است که متاسفانه نتایج امسال نیز مانند سال‌های گذشته فاجعه است به گونه‌ای که به راحتی می‌توان فهمید چقدر کار خلافکاران سایبری برای نفوذ به حساب‌های مختلف ساده و راحت است.

براساس اعلام SplashData که امسال نیز مانند سال‌های گذشته لیستی از رمزهای عبور محبوب در میان کاربران اینترنت منتشر کرده است، ۱۲۳۴۵۶، password و ۱۲۳۴۵۶۷۸ رتبه‌های اول تا سوم را در اختیار دارند.

لیست کامل رمزهای عبور محبوب در بین کاربران در سال گذشته میلادی به صورت زیر است:

۱۲۳۴۵۶
password
۱۲۳۴۵۶۷۸
qwerty
۱۲۳۴۵
۱۲۳۴۵۶۷۸۹
football
۱۲۳۴
۱۲۳۴۵۶۷
baseball
welcome
۱۲۳۴۵۶۷۸۹۰
abc123
۱۱۱۱۱۱
۱qaz2wsx
dragon
master
monkey
letmein
login
princess
qwertyuiop
solo
passw0rd
starwars

حالا شاید برای شما این سوال پیش آمده باشد که چه اهمیتی دارد که از محبوب‌ترین رمزهای عبور سال گذشته مطلع شوید؟

در پاسخ به این سوال احتمالی شما باید بگویم که کمترین اهمیت آن است که تحت هیچ شرایطی و به هیچ عنوان از این رمزهای عبور در حساب‌های آنلاین خود استفاده نکنید. دلیل این پیشنهاد هم به این نکته باز می‌گردد که امکان نفوذ به حساب شما بسیار راحت خواهد بود اگر از یکی از این رمزهای عبور استفاده کنید.

در ضمن بد نیست بدانید که وضعیت کاربران ایرانی نسبت به کاربران سرتاسر جهان در این زمینه بهتر نیست و همانگونه که قبلا در مطلبی با عنوان «محبوب‌ترین رمزهای عبور در میان کاربران ایرانی چیست؟» گفته‌ام، ۱۲۳۴۵۶، ۱۲۳۴۵۶۷۸۹ و ۱۲۳۴۵ محبوب‌ترین رمزهای عبور در میان ایرانی‌هاست.

در این میان اگر در انتخاب رمز عبور و حفظ کردن آنها مشکل دارید، به شما پیشنهاد می‌کنم که از یکی از ابزارهای مدیریت رمز عبور مانند KeePass یا LastPass استفاده کنید.

به عنوان نکته آخر هم بد نیست که به رمزهای عبور حساب‌های خود مانند شورت‌تان نگاه کنید و آن را با کسی به اشتراک نگذارید 🙂

نوشتن دیدگاه