امنیت تلگرام بایگانی

آیا ۱۵ میلیون حساب تلگرام ایرانی‌ها هک شده است؟

در طی چند روز گذشته یکی از اخباری که در میان کاربران ایرانی سر و صدای زیادی به پا کرده است، داستان دسترسی هکرهای ایرانی به ۱۵ میلیون شماره تلفن همراه کاربران ایرانی است که با انتشار اولین گزارش توسط رویترز، بسیاری از وب‌سایت‌های خبری تحلیل‌های متفاوتی را از این خبر منتشر کردند به گونه‌ای که در برخی موارد وب‌سایت‌های خبری از هک شدن تلگرام سخن گفتند.

هر چند که گزارش این تحقیق به صورت کامل منتشر نشده است و به جزییات بیشتری برای بررسی بهتر نیاز است، اما بیان چند نکته در این میان شاید در روشن شدن این داستان و درک بهتری از آنچه رخ داده در میان هیجان رسانه‌ای کمکی بکند.

۱- تلگرام هک نشده است: اولین نکته‌ای که باید به آن اشاره کرده آن است که حساب تلگرام ۱۵ میلیون کاربر ایرانی هک نشده است و اگر در جایی خواندید که حساب ۱۵ میلیون کاربر ایرانی هک شده است (مانند این خبر عصر ایران)، بدانید که این ادعا از اساس اشتباه و بی‌پایه است. چرا؟

چون آنچه هکرهای ایرانی به دست آورده‌اند، شماره تلفن همراه ۱۵ میلیون کاربر ایرانی است نه محتوای گفتگوی آنها با دیگران.

البته در همین جا باید به این نکته اشاره کنم که سازمان‌های امنیتی و اطلاعاتی ایران به محتوای گفتگوی برخی از کاربران ایرانی تلگرام دست یافته‌اند اما این تعداد در حد ۱۵ میلیون نبوده است. روش دستیابی هم به صورت کاملا هدفمند بوده است.

۲- مشکل دزدیده شدن پیامک تایید شماره تلفن مختص به تلگرام نیست: دومین نکته‌ای که بیان آن دارای اهمیت است این نکته است که امکان دزدیده شدن پیام تایید شماره تلفنی که برای عضویت در تلگرام وارد می‌کنید، تنها مختص به تلگرام نیست و این سرقت پیامک تایید برای اپلیکیشن‌های دیگر مانند واتس‌اپ، وایبر، سیگنال و… هم می‌تواند اتفاق بیافتد.

به طور کلی هر زمان که شما عضو اپلیکیشن ارتباطی‌ای مانند تلگرام و یا واتس‌اپ می‌شوید، در اولین قدم باید شماره تلفن همراه خود را وارد کنید تا به این صورت اپلیکیشن از واقعی و درست بودن شماره تلفنی که وارد کرده‌اید اطمینان حاصل کند. در نتیجه این امکان وجود دارد که هر زمان شما کد تایید شماره تلفن همراه‌تان را دریافت کنید، شرکت مخابرات، ایرانسل و یا رایتل آن کد را شنود کند و آن را در اختیار هکرهای ایرانی بگذارد – که احتمالا برای دولت یا سازمان‌های اطلاعاتی و امنیتی ایران کار می‌کنند.

در نتیجه این مشکل تنها مختص تلگرام نیست و تمام اپلیکیشن‌های ارتباطی از آن رنج می‌برند! برای حل این مشکل هم باید این اپلیکیشن‌ها به سمت استفاده از ابزارهایی مانند Google Authneticator بروند و ساختار تایید شماره از طریق پیامک یا همان SMS را کنار بگذارند.

۳- تلگرام امن هست/نیست: تلگرام مانند هر ابزار دیگری مشکلات امنیتی خاص خودش را دارد؛ به عنوان مثال تمام پیام‌هایی که در گروه‌ها و یا کانال‌های تلگرام منتشر می‌شوند قابل شنود هستند هر چند که این امکان برای امکان Secret Chat یا چت مخفی آن وجود ندارد. البته همینجا باید به این نکته اشاره کنم که حرف و حدیث‌های زیادی در مورد امن بودن Secret Chat و خود تلگرام وجود دارد. در نتیجه اگر برای کاری حساس از تلگرام استفاده می‌کنید، بهتر است به جای تلگرام به سراغ اپلیکیشن Signal بروید.

۴- داستان نقشه‌برداری از کاربران تلگرام توسط هکرهای ایرانی جدی هست اما نه آنقدرها:

جادی بلاگ خوبی نوشته وعاشق این قسمت شدم. تنها نکته‌ام این است که بحث مپینگ جدی تر ازاین است. https://t.co/5nBufASzcJ pic.twitter.com/dSCZ0y7oQB

— AmiR Rashidi (@Ammir) August 3, 2016

یکی از بحث‌های که در خبر اخیر در موردش صحبت شده است داستان نقشه‌برداری کاربران یا همان Mapping به کمک پیدا کردن شماره تماس‌ها و وصل کردن آنها به یکدیگر است، کاری که سازمان‌های اطلاعاتی در سرتاسر جهان به آن علاقه زیادی دارند تا به این صورت بتوانند شبکه‌های مختلف افراد (مثلا گروه‌های تروریستی) را شناسایی کنند.

هر چند که این ایده که نقشه‌برداری از کاربران تلگرام توسط هکرهای اینترنتی خطرناک به نظر می‌رسد اما واقعیتش را بخواهید نباید در مورد آن آنقدرها بزرگنمایی کرد چون با وجود شبکه‌های اجتماعی مانند فیس‌بوک، توییتر، اینستاگرام و… به راحتی می‌توان این دست کارها را انجام داد. به قول رضا مارمولک در فیلم مارمولک که می‌گفت «راه‌های رسیدن به خدا به عدد آدم‌هاست»، در مورد جمع‌آوری اطلاعات کاربران و نقشه‌برداری از آنها هم به تعداد آدم‌ها راه وجود دارد!

۵- تلگرام را باید کنار گذاشت اما با یک اگر بزرگ: همانگونه که در بالا گفتم، در مورد امن بودن و نبود تلگرام بحث‌های مختلفی است هر چند که از نگاه من تلگرام امن نیست به خصوص اگر قصد دارید مکالمه‌های حساسی را از طریق آن انجام دهید.

به شخصه دیگه اعتمادی به #تلگرام ندارم و به کسی دیگه پیشنهاد نمی‌دم استفاده بکنه.
از نظر من تلگرام دیگه امن نیست!

— Amin Sabeti (@AminSabeti) November 4, 2015

پای آقامون اسنودن هم به داستان امن نبودن #تلگرام باز شده و گفته که #تلگرام به دلیل ساختارش در حالت عادی امن نیست. https://t.co/3sL2nPVcN1

— Amin Sabeti (@AminSabeti) December 19, 2015

این امن نبود به معنی آن نیست که استفاده از این ابزار را کنار بگذارید و مثلا به استفاده از پیامک یا همان SMS روی بیاورید که در حقیقت یک پسرفت بزرگ است! بلکه به این معنی است که از ابزارهای بهتر و امن‌تر مانند Signal برای کارهای حساس استفاده کنید و بدانید که مشکلات تلگرام چیست.

نکته‌ای که باید در مورد استفاده از تلگرام و به طور کلی ابزارهای آنلاین و دیجیتال همواره در ذهن داشته باشید آن است که این ابزارها به صورت نسبی امن هستند و هیچ تضمین ۱۰۰ درصدی‌ای در این زمینه وجود ندارد. دقیقا مانند بستن کمربند ایمنی در خودرو که با بستن آن هیچ تضمیمی وجود ندارد شما در یک تصادف جان سالم بدر ببرید.

در نهایت هم این مطلب تقریبا بلند و بالا را با این سه نکته به پایان می‌برم:

امنیت دیجیتال به صورت نسبی است و مانند امنیت در دنیای مجازی، هیچ تضمین ۱۰۰٪ای در مورد آن وجود ندارد.
تلفن‌های هوشمند به دلیل طبیعت‌شان امن نیستند و زیاد نباید روی آنها حساب باز کرد.
به تیترهای هیجان‌زده رسانه در زمینه اخبار امنیت دیجیتال زیاد توجه نکنید چون هدف رسانه‌ها جذب بیشتر مخاطب با انتخاب تیترهای هیجان‌انگیز است 🙂

اگر سوالی در مورد اخبار اخیر در مورد تلگرام داشتید، می‌توانید آن را در بخش نظرات همین مطلب و یا از طریق ایمیل و یا توییتر با من درمیان بگذارید تا اگر در حد دانشم بود به آن پاسخ دهم.

پی‌نوشت ۱: این مطلب جادی در همین مورد را نیز بد نیست بخوانید.

نوشتن دیدگاه

چرا تلگرام را باید به وایبر ترجیح بدهم؟

در مطلب «راه حل مقابله با شنود دولت‌های جهان چیست؟»، امیر پوریا نظر زیر را نوشته و در آن سوالی در مورد امنیت تلگرام پرسیده است:

یه سوالی که همیشه برای من مطرحه اینه که تلگرام تا چه حد امنیت داره؟

من وایبر رو یه آشغال‌افزار می‌دونم ولی خب وقتی می‌خوام کسی رو قانع کنم که از تلگرام استفاده کنه، جز این‌که بهش بگم تلگرام پیام‌ها رو رمزنگاری می‌کنه چیز دیگه‌ای در چنته ندارم.

چرا هیچ‌کس یه آزمایش دقیق و با جزییات برای مقایسه‌ی این پیام‌رسان‌ها انجام نمیده که ما هم بتونیم با استناد به اون عامه‌ی مردم رو قانع کنیم از تلگرام استفاده کنند.

با خواندن این نظر و اهمیت سوالی که در آن مطرح شده است، دیدم بد نیست که به جای پاسخ دادن به آن به صورت یک نظر، آن را در یک پست وبلاگی منتشر کنم و برای درک بهتر سوال مطرح شده، تصمیم گرفتم که از آخر نظرش شروع کنم و سپس به سوال اصلی که در ابتدای نظرش نوشته است برسم 🙂

«…چرا هیچ‌کس یه آزمایش دقیق و با جزییات برای مقایسه‌ی این پیام‌رسان‌ها انجام نمیده که ما هم بتونیم با استناد به اون عامه‌ی مردم رو قانع کنیم از تلگرام استفاده کنند.»

خوشبختانه در این مورد افراد زیاد و مختلفی در سرتاسر جهان کارهای زیادی انجام داده‌اند که معروف‌ترین و بهترین آن پروژه Secure Messaging Scorecard یا کارت امتیاز امنیت پیام‌رسان‌ها است که توسط بنیاد مرزهای الکترونیکی یا Electronic Frontier Foundation ایجاد و توسط اصل ۱۹ به فارسی ترجمه شده است.

در این پروژه شما می‌توانید امنیت پیام‌رسان‌های مختلف را از ۷ جنبه مشاهده کنید و براساس آن تصمیم بگیرید که که از چه پیام‌رسانی استفاده کنید.

«…من وایبر رو یه آشغال‌افزار می‌دونم ولی خب وقتی می‌خوام کسی رو قانع کنم که از تلگرام استفاده کنه، جز این‌که بهش بگم تلگرام پیام‌ها رو رمزنگاری می‌کنه چیز دیگه‌ای در چنته ندارم…»

واقعیتش را بخواهی در مورد اینکه وایبر «آشغال‌افزار» است یا نه نمی‌توانم نظری بدهم زیرا امنیت در ابزارها یک جنبه ماجرا است و جنبه دیگر آن فراگیر بودن، استفاده راحت، در دسترس بودن، ساده بودن و… است، هر چند که من همواره استفاده از تلگرام را به وایبر ترجیح می‌دهم و استفاده از آن را به دیگران نیز توصیه می‌کنم.

«یه سوالی که همیشه برای من مطرحه اینه که تلگرام تا چه حد امنیت داره؟…»

خب، حالا بگذار که پاسخ سوالی مهم که مطرح کرده‌ای را بدهم و بگویم چرا تلگرام از وایبر امن‌تر است و امکان رمزنگاری ارتباطات تنها ویژگی آن نیست. برای توضیح بیشتر بد نیست نگاهی به جدول مربوط به کارت امتیاز امنیت پیام‌رسان‌ها بیاندازیم:

همانگونه که مشاهده می‌کنی، تلگرام به ۵ دلیل و وایبر تنها به ۲ دلیل امن است، دلایلی که وقتی هر کدام از آنها را می‌خوانی، متوجه اهمیت آنها می‌شوی.

آیا ارتباطات شما در زمان عبور رمزنگاری شده است؟ وایبر و تلگرام تمامی اطلاعات شما در زمان عبور را رمزنگاری می‌کنند و در این زمینه تفاوتی بین این دو پیام‌رسان وجود ندارد.
آیا ارتباط شما با کلیدی رمزنگاری شده است که سرویس دهنده به آن دسترسی ندارد؟ این سوال یکی از تفاوت‌های کلیدی بین تلگرام و وایبر است زیرا تلگرام دارای این ویژگی است در حالی که وایبر چنین ویژگی‌ای ندارد. این یعنی آنکه که صاحبان تلگرام اگر هم بخواهند، امکان مشاهده مکالمات شما را ندارند و تنها شما و فرد گیرنده امکان دیدن مکالمات را دارید. حال آنکه در وایبر اگر صاحبان آن بخواهند، به راحتی می‌توانند مکالمات رمزنگاری شده شما با یک فرد خاص را شنود و مشاهده کنند.
آیا شما به صورت مستقل امکان شناسایی و احراز هویت طرف مقابل‌تان را دارید؟ این مورد نیز تفاوت دیگر تلگرام و وایبر است. در تلگرام شما این امکان را دارید که به صورت مستقل (از طریق اثر انگشت دیجیتالی یا پروتکل تایید هویتی مانند Socialist Millionaire) هویت فرد مقابل را تایید کنید در حالی که چنین امکانی در وایبر وجود ندارد و یک فرد می‌تواند خودش را جای فرد دیگری جا بزند.
آیا کد برنامه برای بررسی‌های مستقل باز است؟ این مورد نیز یکی از تفاوت‌های کلیدی میان تلگرام و وایبر است به گونه‌ای که تمامی کدهای مربوط به تلگرام به صورت مستقل در دسترس عموم است تا آن را از نظر امنیت مورد بررسی قرار بدهند و از وجود هرگونه در پشتی (Backdoor) و… آگاه شوند. حال آنکه چنین امکانی به هیچ عنوان برای وایبر وجود ندارد و ممکن است ده‌ها حفره امنیتی داشته باشد که توسط افراد خرابکار مورد سو استفاده قرار بگیرد.
آیا طراحی برنامه رمزنگاری به خوبی مستند شده است؟ این مورد نیز از تفاوت‌های دیگر میان تلگرام و وایبر است. تلگرام دارای توضیحات مستند خوبی در مورد ساختار رمزنگاری‌اش است به گونه‌ای افراد متخصص در زمینه امنیت دیجیتال با مشاهده آن از چگونگی تولید و نگهداری کلیدهای رمزنگاری بین کاربران و… مطلع می‌شوند.

با توجه به همه نکات بالا،‌ نکته‌ای که نباید فراموش کنی آن است که تلگرام نسبت به پیام‌رسان‌های دیگری مانند Silent Text و Silent Phone و… امن نیست.

در کل هم پیشنهاد می‌کنم که هر زمانی که خواستی از ابزاری استفاده کنی، بد نیست به پروژه Securing Messaging Scorecard سر بزنی. دقت کن که نسخه فارسی آن که توسط اصل ۱۹ ترجمه شده است به روز نیست اما اپلیکیشن‌های پرطرفدار در ایران را پوشش داده است.

نوشتن دیدگاه