راه حل مقابله با شنود دولت‌های جهان چیست؟

در آخرین روزهای سال ۲۰۱۴ هفته‌نامه اشپیگل آلمان گزارش بسیار مهمی از داستان شنود سازمان امنیت ملی آمریکا (NSA) و ستاد ارتباطات دولت انگلیس (GCHQ) منتشر کرد که دارای نکات بسیار مهمی بود. نکاتی که برای خودم بسیار جذاب و آموزنده بود و به همین دلیل تصمیم گرفتم بخش‌های مهم این گزارش نسبتا طولانی را در یک مطلب وبلاگ منتشر کنم. البته در همین جا باید به این نکته اشاره کنم که اگر به داستان امنیت در دنیای دیجیتال علاقه دارید،‌ خواندن کامل این گزارش را شدیدا پیشنهاد می‌کنم.

با این مقدمه بگذارید به سراغ عنوان این پست بروم و سپس به بخش‌هایی از شنود افراد و سازمان‌های مختلف در ایران توسط سازمان‌های اطلاعاتی غربی بپردازم.

چگونه شنود اینترنتی را غیرممکن کنیم؟
واقعیتش را بخواهید قبل از آنکه این گزارش اشپیگل را بخوانم، تا حدود بسیار زیادی از مقابله با شنود اینترنتی توسط دولت‌های دنیا (به خصوص آمریکا و بریتانیا) ناامید شده بودم اما زمانی که این گزارش مفصل را خواندم امیدواری‌ام به مقابله با شنود دولت‌های جهان و به خصوص غربی بیش از پیش شد 🙂

با توجه به آنچه که اشپیگل منتشر کرده است، به طور کلی رمزنگاری اطلاعات و ارتباطات بهترین از راه حل‌های مقابله با شنود سازمان‌های اطلاعاتی جهان است به گونه‌ای که ان‌اس‌ای مشکلات زیادی برای شنود کاربرانی داشته است که از تُر (Tor) و سرویس‌های ایمیلی مانند Zoho استفاده می‌کرده‌اند.

علاوه بر این TrueCrypt که نرم‌افزار مورد علاقه من برای رمزنگاری اطلاعات است نیز یکی از کابوس‌های ان‌اس‌ای بوده است به گونه‌ای که امکان شکستن رمزنگاری ایجاد شده توسط این نرم‌افزار وجود نداشته و ندارد. البته اگر اخبار مربوط به TrueCrypt را دنبال کنید، احتمالا این سوال برای شما پیش می‌آید که چطور وب‌سایت TrueCrypt از ناامن بودن این نرم‌افزار حرف می‌زند در حالی که من و خیلی‌های دیگر آن را پیشنهاد می‌کنیم؟

در پاسخ به این سوال باید بگویم که به دلیل آنکه TrueCrypt به صورت متن باز عرضه شده است، تمام کدهای آن توسط متخصصین امنیت دیجیتال مورد بررسی قرار گرفته است و تاکنون هیچ در پشتی (Backdoor) در آن پیدا نشده است. برای همین من همچنان TrueCrypt را بهترین ابزار برای رمزنگاری اطلاعات می‌دانم و همچنان از آن استفاده می‌کنم.

در نهایت هم ان‌اس‌ای مشکل شدیدی برای شنود ارتباطاتی دارد که بر روی ZRTP صورت می‌گیرد. اپلیکیشن‌ها و نرم‌افزارهای مختلفی از این روش رمزنگاری استفاده می‌کنند از جمله نرم‌افزار Jitsi که شما به کمک آن می‌توانید چت صوتی و تصویری با دوستان خود در فیس‌بوک و گوگل برقرار کنید. یا اپلیکیشن Signal برای آیفون که کلیه مکالمات صورت گرفته از طریق آن به صورت رمزنگاری شده خواهد بود.

با توجه به آنچه در بالا نوشته‌ام، اگر بخواهم لیستی از نرم‌افزارهایی که امکان شنود در آنها همچنان وجود ندارد را اینجا بنویسم باید این موارد را نام ببرم:

  • مرورگر تُر (Tor): مرورگری امن که کلیه ارتباطات شما را رمزنگاری می‌کند و امکان شناسایی شما از طریق آن وجود ندارد. دانلود کنید…
  •  TrueCrypt: نرم‌افزاری که به شما امکان رمزنگاری اطلاعات‌تان به راحت‌ترین روش ممکن می‌دهد. استفاده از این نرم‌افزار برای رمزنگاری عکس‌های خصوصی و پرونده‌ها مهم و حیاتی‌تان را شدیدا پیشنهاد می‌کنم. دانلود کنید…
  • Jitsi: نرم‌افزاری که شما به کمک آن می‌توانید ده‌ها حساب جیمیل و فیس‌بوک خود را در آن اضافه کنید و بدون نگرانی از شنود و رصد با دوستان خود گفتگوی صوتی و تصویری داشته باشید. دانلود کنید…
  • اپلیکیشن‌هایی مانند Signal یا Telegram: این اپلیکیشن‌ها به دلیل استفاده از سیستم رمزنگاری ZRTP امکان شنود را از بین می‌برد و شما به راحتی می‌توانید با دوستان خود گفتگو کنید. Signal را دانلود کنید… Telegram را دانلود کنید…

چه سازمان‌های و ارگان‌های ایرانی توسط ان‌اس‌ای شنود شده‌اند؟
علاوه بر نکات بالا، گزارش اشپیگل به شنود از دولت‌ها و سازمان‌های مختلف توسط ان‌اس‌ای می‌پردازد که در چندین مورد نام شرکت‌ها و سازمان‌های ایرانی به میان آمده است. به عنوان مثال سازمان ان‌اس‌ای موفق شده است دسترسی به ترافیک وی‌پی‌ان‌هایی که توسط شرکت هواپیمای ملی ایران (هما) و همچنین هکرهای سپاه پاسداران ایران مورد استفاده قرار می‌گرفته است را بدست بیاورد و کلیه فعالیت‌های آنها را زیر نظر بگیرد.

هک شدن وی‌پی‌ان‌های شرکت هواپیمای ملی ایران (هما)
هک شدن وی‌پی‌ان‌های شرکت هواپیمای ملی ایران (هما)
هک شدن وی‌پی‌ان‌های مورد استفاده هکرهای سپاه پاسداران
هک شدن وی‌پی‌ان‌های مورد استفاده هکرهای سپاه پاسداران

در پایان این مطلب بد نیست به این نکته نیز اشاره کنم که به شخصه از تُر، TrueCrypt و Jitsi به صورت روزانه استفاده می‌کنم و این دست توصیه‌هایم تنها در حد حرف نیست 🙂

راستی! اگر می‌خواهید در مورد TrueCrypt و Jitsi بیشتر بدانید، باید بگویم که در دانشنامه امنیت دیجیتال که در ۱ فروردین ۱۳۹۴ به صورت رسمی منتشر خواهد شد، آموزش کامل آن را خواهید خواند. اگر علاقه دارید که به این دانشنامه زودتر دسترسی پیدا کنید، فرم داخل این مطلب را پر کنید.

نوشتن دیدگاه

راه حل مقابله با موج جدید حملات اینترنتی بر علیه کاربران ایرانی چیست؟

حدود سه هفته پیش در مطلبی که در بی‌بی‌سی فارسی منتشر شد، از ترفند جدید هکرهای ایرانی برای نفوذ به حساب ایمیل و فیس‌بوک کاربران ایرانی خبر دادم و به این نکته اشاره کردم که این سری حملات به صورت کاملا برنامه‌ریزی شده طراحی شده است به گونه‌ای که در تمامی موارد هر حمله سایبری به صورت اختصاصی برای فرد قربانی طراحی شده است.

در طول چند روز گذشته این سری حملات سایبری مجددا آغاز شده است و در این سری حملات علاوه بر فیشینگ، ایمیل‌های حاوی بدافزار نیز به عده‌ای ارسال شده است.

برای درک بهتر این حملات بد نیست که در مورد دو نمونه از آنها صحبت کنم.

ایمیل فیشینگ
تصویر زیر نمونه‌ای از ایمیل جعلی ارسال شده به یکی از قربانیان است که در آن ادعا شده است که فعالیت‌های مشکوکی در حساب جیمیل وی صورت گرفته است و به همین دلیل باید مشخصات جیمیل خود را تایید کند.

نمونه‌ای از ایمیل فیشینگ ارسال شده به کاربران ایرانی
نمونه‌ای از ایمیل فیشینگ ارسال شده به کاربران ایرانی

زمانی که فرد قربانی بر روی Confirm Your Account کلیک می‌کند، به صفحه‌ای مانند صفحه ورود به جیمیل فرستاده می‌شود که تنها رمز عبور حساب وی درخواست می‌شود. این صفحه در حقیقت یک صفحه جعلی ورود به جیمیل است که به صورت اختصاصی برای فرد قربانی ایجاد شده است زیرا هر فردی که به لینک این صفحه جعلی مراجعه کند، تصویر فرد قربانی همراه با آدرس ایمیل وی را مشاهده خواهد کرد.

صفحه ورود جعلی به جیمیل که به صورت اختصاصی برای هر قربانی طراحی شده است
صفحه ورود جعلی به جیمیل که به صورت اختصاصی برای هر قربانی طراحی شده است

همانگونه که در تصویر مشاهده می‌کنید، هر چند که شکل و شمایل صفحه ورود به صورت عینی مانند صفحه ورود به جیمیل است، اما آدرس این صفحه اشتباه است زیرا همواره آدرس ورود به جیمیل به صورت gmail.com یا mail.google.com است و علاوه بر این صفحه ورود به جیمیل و دیگر سرویس‌های گوگل، SSL را پشتیبانی می‌کند. این بدان معناست که آدرس صفحه ورود به جیمیل باید همواره به صورت https://gmail.com یا https://mail.google.com باشد.

ایمیل حاوی بدافزار
در سری دیگر حملاتی که در چند روز گذشته افزایش چشم‌گیری پیدا کرده است، فرد مهاجم ایمیلی حاوی فایل ورد، پی‌دی‌اف، پاورپونت، زیپ و… ارسال می‌کند و از فرد قربانی درخواست می‌کند که این فایل را دانلود و باز کند. فایلی که حاوی بدافزار است.

تصویر زیر نمونه‌ای از ایمیل‌هایی است که در چند روز گذشته به عده‌ای ارسال شده است:

نمونه‌ای از یک ایمیل حاوی بدافزار
نمونه‌ای از یک ایمیل حاوی بدافزار

راه حل مقابله با این نوع حملات سایبری چیست؟
برای مقابله با این دست حملات سه راه حل ساده وجود دارد که رعایت آنها تا حد بسیار بسیار زیادی شما را در مقابل این دست حملات حفاظت می‌کند:

۱- قبل از وارد کردن اطلاعات حساس در مروگر، آدرس وب‌سایت را بررسی کنید: این کار تنها ۵ ثانیه از وقت شما را می‌گیرد اما تا حد زیادی از هک شدن حساب‌هایتان جلوگیری می‌کند. برای این کار قبل از آنکه اطلاعات حساس مانند نام کاربری و رمز عبور خود را در مرورگر وارد کنید، از درست بودن آدرس وب‌سایت مطمئن شوید. مثلا هیچ گاه آدرس Facebook.com به صورت Face-book.com نیست.

۲- ورود دو مرحله‌ای را برای حساب‌های مختلف مانند جیمیل، توییتر، فیس‌بوک و… فعال کنید: در این مورد قبلا در اینجا صحبت کرده‌ام 🙂

۳- حس کنجکاوی خود را کنترل کنید: اگر زمانی ایمیلی از فرد ناشناس دریافت می‌کنید که حاوی فایل ضمیمه و یا لینک یا هر چیز دیگری است، حس کنجکاوی خود را کنترل کنید و از دانلود کردن فایل ضمیمه و یا کلیک کردن بر روی لینک داخل ایمیل خودداری کنید.

اگر شما همین سه راه حل مقابله را سرلوحه فعالیت‌های آنلاین خود قرار دهید، تا حدود بسیار زیادی می‌توانید خود را در مقابل حملات سایبری محافظت کنید. دقت کنید که فرض من در این مطلب این بوده است که رایانه شما آلوده به هیچ بدافزاری نیست و دارای یک سیستم عامل و آنتی‌ویروس به روز است 🙂

نوشتن دیدگاه

حملات فیشینگ و داستان تکراری هک شدن ایمیل‌ها

در چند روز اخیر اخبار مختلفی در زمینه هک شدن ایمیل‌های روزنامه‌نگاران و فعالان مختلف ایرانی منتشر شده است و در آخرین مورد نیز ابراهیم نبوی از هک شدن حساب ایمیلش خبر داده است:

با خواندن متن بالا شاید از خودتان سوال کنید که چگونه حساب‌های افرادی مانند ابراهیم نبوی به این صورت هک شده است؟

در پاسخ به این سوال باید بگویم که تمام حملات صورت گرفته از طریق فیشینگ (Phishing) بوده است به گونه‌ای که فرد یا افراد خرابکار با ارسال یک ایمیل جعلی و یا ایجاد یک صفحه جعلی اینترنت که می‌تواند شبیه صفحه ورود جی‌میل باشد، فرد قربانی را گول می‌زند/می‌زنند که اطلاعات ورود به حسابش که شامل نام کاربردی و رمز عبور می‌شود را وارد کند/ کنند؛ با وارد کردن این اطلاعات، فرد قربانی در حقیقت اطلاعات ورود به حسابش را دو دستی به فرد خرابکار تقدیم می‌کند و به این صورت کار تمام است!

حمله فیشینگ: نمونه ایمیل
حمله فیشینگ: نمونه ایمیل

اما چرا به یک باره این مطلب را نوشتم؟

در پاسخ به این سوال باید بگویم آن چیزی که باعث شد این مطلب را بنویسم تاکید مجدد بر روی این نکته است که برای محافظت از خودتان در برابر حملات رایج سایبری حتما نیاز نیست که خوره تکنولوژی و از صبح تا شب در حال خواندن اخبار مربوط به امنیت دیجیتال باشید؛ بلکه تنها چیزی که شما نیاز دارید رعایت حداقل‌های امنیت در دنیای اینترنت است.

یکی از مهمترین حداقل‌هایی که برای افزایش امنیت‌تان در دنیای دیجیتال باید رعایت کنید و آن را به عنوان یک اصل در فعالیت‌های آنلاین‌تان در نظر بگیرید فعال کردن ورود دو مرحله یا همان ۲-step Verifications است.

این امکان به شما این اجازه را می‌دهد که در صورت لو رفتن رمز عبور حساب‌تان، بتوانید از نفوذ فرد خرابکار به آن جلوگیری کنید زیرا فرد خرابکار علاوه بر رمز عبور، نیاز به یک کد دارد که این کد تنها از طریق تلفن همراه‌تان در دسترس است.

شرکت‌های مختلفی امکان ورود دو مرحله‌ای را بر روی سرویس‌های خود فعال کرده‌اند که شما به راحتی می‌توانید این امکان را بر روی حساب‌های مختلف خود فعال کنید که در زیر می‌توانید راهنمای چگونگی فعال کردن ورود دو مرحله‌ای بر روی گوگل/ جیمیل و فیس‌بوک را یاد بگیرید:

علاوه بر این بد نیست دو مطلب زیر را که قبلا در مورد حملات فیشینگ نوشته‌ام را نیز بخوانید:

در نهایت هم اگر سوالی در مورد فعال کردن ورود دو مرحله‌ای داشتید، خوشحال خواهم شد که به آن پاسخ بدهم. برای این کار تنها کافی است در بخش نظرات سوال خود را مطرح کنید و یا آنکه آن را از طریق فرم تماس یا توییتر با من در میان بگذارید.

نوشتن دیدگاه

هکر ایرانی کومودو، هکری آماتور است!

یکی از ایده‌هایی که داشته‌ام و همواره بر روی آن تاکید کرده‌ام آن است که ارتش سایبری ایران یک افسانه است و بخشی بزرگی از اخبار پیرامون ارتش سایبری ایران ساخته و پرداخته‌ی رسانه‌هایی است که در حال بزرگ کردن اخبار مختلف هستند و مانند داستان هیستک، از هیچ همه چیزمی‌سازند!

در ادامه‌ی این تئوری چند روز پیش دوستی لینک سخنرانی یکی از هکرهای معروف آمریکایی با نام ماکسی مارلینسپایک (Moxie Marlinspike) که در زمینه‌ی رمزنگاری داده‌ها بر روی اینترنت تخصص دارد را برایم ارسال کرد که مربوط به کنفرانس کلاه سیاه آمریکا در سال ۲۰۱۱ (BalckHat USA 2011) بود.

در این سخنرانی این هکر به زیبایی هر چه تمام‌تر به بررسی و تحلیل ماجرای جعل شدن گواهینامه‌های امنیتی SSL می‌پردازد و به خوبی نشان می‌دهد که جعل گواهینامه‌های امنیتی SSL اتفاقی روزانه است و آنچنان اتفاق بزرگی نیست که توسط مدیر شرکت کومودو بزرگ جلوه داده می‌شود و از آن به عنوان یک فاجعه و حمله‌ی بسیار خطرناک یاد می‌کند!

اما شاید قسمت جالب ماجرا در این سخنرانی را باید قستی دانست که ماکسی در مورد هکر ایرانی کومودو صحبت می‌کند و به صورت کامل دانش و تخصص این هکر ۲۱ ساله‌ی ایرانی را زیر سوال می‌برد و سطح دانش وی را در حد آماتور می‌داند به گونه‌ای که برای استفاده از گواهینامه‌های جعلی SSL، این هکر ایرانی از نرم‌افزاری که ماکسی نوشته است و نامش SSLSNIFF استفاده کرده است! و یا اینکه هکر ایرانی به طور کلی نمی‌دانسته که چگونه باید از این گواهینامه‌ها استفاده کند و به همین دلیل در گوگل شروع به جستجو جملاتی مانند «SSL protocol mitm howto iptables prerouting» کرده است و یا به دنبال ویدیوهای آموزشی طرز استفاده از SSLstrip بوده است!

با خواندن پاراگراف بالا شاید این سوال برای شما پیش بیاید که ماکسی از کجا و چگونه فهمیده است که هکر ایرانی تا این حد آماتور بوده است؟

در پاسخ به این سوال باید گفت که تمام این ماجرا زمانی شروع شده است که شرکت کومودو به صورت عمومی آی‌پی‌هایی که از طریق آنها به این شرکت حمله‌ی سایبری شده بود را منتشر کرد:

زمانی که این آی‌پی‌ها از سوی کومودو به عنوان آی‌پی‌های مهاجم اعلام شد، ماکسی آی‌پی‌های ورودی به وب‌سایت خود را چک کرد و به صورت بسیار جالبی با آی‌پی‌ای در لاگ وب‌سایت خود مواجه شد که با آی‌پی اعلام شده از سوی کومودو یکسان بوده است:

و شاهکار هکر ایرانی آنجایی روشن می‌شود که وی در حالی از ویندوز به عنوان یک هکر حرفه‌ای استفاده می‌کرده است که به دنبال نرم‌افزار SSLSNIFF ماکسی بوده است و علاوه بر آن قبل از مراجعه به وب‌سایت ماکسی برای دانلود SSLSNIFF، در وب‌سایت Hak5 به دنبال ویدیوی آموزشی در مورد استفاده از SSL Strip بوده است!

بر همین اساس و همانگونه که در ابتدای این مطلب گفتم، باید گفت که ارتش سایبری ایران و داستان هکر کومودو داستانی خیالی و افسانه‌ای است که بیش از آنکه واقعیت داشته باشد، توسط رسانه‌های مختلف (چه داخل ایران و چه خارج از ایران) بزرگ شده است تا هر کدام از دو  طرف ماجرا (موافقین و مخالفین دولت ایران) در جهت منافع خود از آن استفاده کنند.

در صورتی هم که می‌خواهید در مورد این ماجرا اطلاعات بیشتری بدانید، می‌توانید ویدیوی سخنرانی کامل ماکسی مارلینسپایک را در اینجا تماشا کنید و یا متن کامل آن را از اینجا بخوانید.

در نهایت بار دیگر بر این نکته تاکید می‌کنم که اکثر حملات سایبری از سوی ارتش سایبری و هکرهای دیگر به این دلیل موفق بوده‌اند که قربانیان سهل‌انگاری کرده‌اند و به توصیه‌های امنیتی توجه نکرده‌اند، به همین دلیل بهتر است به جای آنکه یک افسانه را بزرگ و به آن پر و بال بدهیم، سطح اطلاعات و آموزش خود را در مورد دنیای اینترنت و حاشیه‌های آن افزایش دهیم.

فراموش نکنیم که ارتش سایبری یک افسانه است، افسانه‌ای پوشالی برای منافع عده‌ای!

نوشتن دیدگاه