یکشنبه‌ها با امنیت دیجیتال (۱)

هر روز به طور متوسط من حدود ۲۰ خبر در مورد امنیت دیجیتال می‌خوانم و در این میان مهمترین و جذاب‌ترین آنها را توییت می‌کنم. اما مشکلی که در این میان موجود دارد آن است که عمر هر توییت بین ۱۸ دقیقه یا ۴۸ ساعت است و به همین دلیل بسیاری از کسانی که من را در توییتر دنبال می‌کنند، ممکن است این اخبار و مطالب را نبینند.

به همین دلیل از این پس تصمیم دارم که مهمترین اخبار امنیت دیجیتال در هفته گذشته (البته از نوع غیرایرانی که هفته از دوشنبه شروع می‌شود و یکشنبه تمام می‌شود) را در یک مطلب در اینجا منتشر کنم. اگر هم شما پیشنهادی در مورد این سری مطالب هفتگی داشتید، خوشحال خواهم شد که آنها را با من در میان بگذارید.

با این مقدمه به سراغ اولین یکشنبه با امنیت دیجیتال می‌روم 🙂


– توییتی که باعث کرش کردن اپلیکشین رسمی توییتر در آی‌اواس می‌شد: باگی در اپلیکیشن رسمی توییتر برای سیستم عامل آی‌اواس در هفته گذشته کشف شد که اگر فردی لینکی را که به کمک Punycode اِنکد یا رمزگذاری و ارسال می‌کرد، اپلیکشن توییتر کرش می‌کرد. تصویر زیر نمونه‌ای از این توییت است که توییتر ساعاتی بعد از کشف این باگ آن را رفع کرد. اطلاعات بیشتر…

توییتی که باعث کرش اپلیکیشن توییتر می‌شد

– سیستم ایمیل وزارت امور خارجه آمریکا به دلیل حملات سایبری به صورت کامل خاموش شد: در هفته گذشته اعلام شد که سیستم ایمیل وزارت امور خارجه آمریکا توسط هکرهایی که احتمالا از چین یا روسیه بوده‌اند هک شده است و به همین دلیل این سیستم برای بررسی میزان نفوذ و… برای ساعاتی به صورت کامل خاموش شد. هر چند که مقامات آمریکایی به صورت رسمی این اتفاق را تایید نکرده‌اند، اما آنچه منابع مختلف به رسانه‌ها گفته‌اند این نکته است که سیستم ایمیلی که از طریق آن اطلاعات محرمانه رد و بدل می‌شده است دچار مشکلی نشده و هکرها تنها توانسته‌اند به سیستم ارسال ایمیل‌های غیرمحرمانه دسترسی پیدا کنند. اطلاعات بیشتر…

– اکثر اپلیکیشن‌های برتر آی‌اواس و اندروید هک شده‌اند: براساس گزارش که Arxan منتشر کرده است، ۸۳٪ از ۱۰۰ اپلیکیشن پولی برتر آی‌اواس و ۹۷٪ از ۱۰۰ اپلیکیشن پولی برتر اندروید هک شده‌اند. اطلاعات بیشتر…

امنیت ۱۰۰ اپلیکیشن برتر در آی‌اواس و اندروید

– تابستان ۲۰۱۵ همه می‌توانند از SSL رایگان برای وب‌سایت‌ها/وبلاگ‌هایشان استفاده کنند: بنیاد مرزهای الکترونیکی یا همان EFF با همکاری بنیاد موزیلا قصد دارد تا در تابستان ۲۰۱۵ (۱۳۹۴) امکان استفاده رایگان، هوشمند و بدون محدودیت از اس‌اس‌ال را به تمام صاحبان وب‌سایت‌ها و سرویس‌های فعال بر روی اینترنت بدهد. این امکان از این نظر جذاب است که افرادی مانند وبلاگ‌نویسان ایرانی به راحتی می‌توانند بدون هیچ هزینه‌ای این امکان را بر روی وبلاگ‌های خود فعال کنند تا به این صورت امنیت و حریم خصوصی خوانندگان خود را افزایش دهند. اطلاعات بیشتر…

– ۹۵٪ اپلیکیشن‌های رایگان آی‌اواس و اندروید دستکم یک رفتار پرخطر از خود نشان می‌دهند: براساس گزارشی که Appthority منتشر کرده است، ۹۵٪ از اپلیکیشن‌های رایگان برای آی‌اواس و اندروید یک رفتار پرخطر برای نقض حریم خصوصی یا امنیت کاربران از خود نشان می‌دهند. به عنوان مثال ۷۰٪ اپلیکیشن‌های رایگان مکان کاربر را بررسی می‌کنند. اطلاعات بیشتر…

نوشتن دیدگاه

درخواست دعوتنامه برای دانشنامه امنیت دیجیتال

دانشنامه امنیت دیجیتال

بیشتر از ۶ ماه است که بر روی دانشنامه امنیت دیجیتالی کار می‌کنم که یکی از اولین دانشنامه‌ها با این موضوع به زبان فارسی خواهد بود که در آن تمام مطالب به روز و به رایگان در اختیار تمامی فارسی‌زبانان قرار خواهد گرفت.


براساس برنامه‌ریزی‌ای که کرده‌ام، این دانشنامه در تاریخ ۱ فروردین ۱۳۹۴ یعنی کمتر از ۴ ماه دیگر در دسترس عمومی خواهد بود اما با توجه به چند ایمیلی که در این زمینه دریافت کرده‌ام، دیدم بد نیست که برای عده‌ای دسترسی به این دانشنامه را زودتر مهیا کنم.

به همین دلیل تصمیم گرفتم که فرم زیر را ایجاد کنم تا با وارد کردن آدرس ایمیل‌تان، شانس دسترسی زودتر به آن را نسبت به دیگران داشته باشید.

سعی من این است که حداقل یک ماه زودتر از دسترسی عمومی به این دانشنامه، دسترسی به آن را در اختیار کسانی که درخواست دعوتنامه کرده‌اند،‌بدهم. پس اگر علاقه دارید که زودتر از دیگران از محتوا و چهارچوب این دانشنامه مطلع شوید، هم اکنون آدرس ایمیل خود را در فرم زیر وارد کنید 🙂

پی‌نوشت ۱: هم اکنون شما می‌توانید با مراجعه به وب‌سایت بی‌خوف به آدرس Bikhof.com درخواست ارسال دعوتنامه را بدهید.

نوشتن دیدگاه

واقعیات شنود در دنیای اینترنت

در ماه‌های اخیر و به خصوص پس از سخنان حیرت‌انگیز رئیس پلس فتا در مورد شنود وایبر، واتس‌اپ و…، بحث شنود در دنیای اینترنت در میان فارسی‌زبانان داغ شده است؛ از همین رو در روز جمعه هفته گذشته یعنی ۲ آبان ماه، برنامه‌ای زنده با نریمان غریب در زمینه داستان شنود در دنیای اینترنت داشتیم که آن را می‌توانید در یوتیوب مشاهده و یا از طریق ساندکلاد به آن گوش کنید.

در صورتی که با تماشای این ویدیو یا گوش کردن به فایل صوتی آن، سوالی در زمینه شنود و امنیت در دنیای اینترنت برای‌تان پیش آمد، می‌توانید آن را در بخش نظرات این پست و یا از طریق توییتر مطرح کنید تا به آن پاسخ بدهم.

امیدوارم این برنامه یک ساعته به کارتان بیاید و پاسخ بسیاری از سوالات‌تان را بدهد 🙂

نوشتن دیدگاه

آیا وایبر و واتس‌اپ قابل شنود هستند؟

واتس‌اپ و وایبر

امروز صبح که از خواب بلند شدم، با لینکی حیرت‌انگیز بر روی توییتر مواجه شدم که در آن سید کمال هادیانفر، رئیس پلیس فتا از خوانده شدن پیام‌های افراد در وایبر و واتس‌اپ خبر داده بود:

از پرونده‌هایی که پلیس فتا پیگیری کرده و به نتیجه رسیده است، باید بدانید که پیام‌های خصوصی در وایبر، واتس آپ و… توسط پلیس فتا قابل کنترل است.

و همین یک خط کافی بود که کاربران ایرانی دچار ترس شوند و بحث‌های مختلفی در مورد امن بودن واتس‌اپ و وایبر بکنند که آیا این ابزارهای امن هستند یا نه. با توجه به حجم واکنش‌ها، تصمیم گرفتم که مطلبی در این مورد بنویسم تا شاید از میزان ترسی که ایجاد شده است کمی کاسته شود و کاربران ایرانی با چشمانی باز به ابزارهایی که استفاده می‌کنند نگاه کنند.

اما قبل از آنکه به اصل مطلب بپردازم باید به این نکته اشاره کنم که امنیت در دنیای آنلاین هیچ گاه به صورت ۱۰۰٪ امکان‌پذیر نیست و فرض من در اینجا آن است که گوشی هوشمند شما از هرگونه بدافزار، اپلیکیشن مشکوک و… پاک باشد. علت این فرض هم به این نکته باز می‌گردد که اگر شما تمام نکات امنیتی را رعایت کنید اما بر روی گوشی اندروید و آی‌اواس خود بدافزاری نصب کرده باشید که کلیه فعالیت‌های شما را ضبط و به سروری دیگر بفرستد، تمام مطالبی که در ادامه گفته می‌شود بی‌معناست!

آیا واتس‌اپ (WhatsApp) امن است؟
اگر بخواهم پاسخ این سوال را به صورت بله یا خیر بدهم، با فرض اینکه دستگاه شما حاوی هیچگونه بدافزاری نیست، باید بگویم واتس‌اپ امن است و امکان شنود مکالمات در آن وجود ندارد.

علت این ادعا هم به این نکته باز می‌گردد که کلیه مکالمات بین اپلیکیشن و سرورهای واتس‌اپ رمزگذاری می‌شود. این «رمزگذاری» که ممکن است نام آن را بارها شنیده باشید به این معنی است که امکان شنود از پیام‌ها و مطالبی که از طریق واتس‌اپ ارسال می‌کنید از بین می‌رود و تنها راه حل ممکن برای شنود داشتن کلید باز کردن رمز است که این کلید تنها و تنها در اختیار واتس‌اپ (و نه هیچ کس دیگری) است. تصویر زیر به خوبی مفهوم رمزگذاری اطلاعات را نشان می‌دهد و اینکه چگونه جمله «آیا واتس‌اپ امن است؟» به مجموعه‌ای از اعداد و حروف مختلف تبدیل می‌شود. دقت کنید که اگر پلیس فتا بخواهد مکالمات شما را شنود کند، پیام‌های شما را به صورت مجموعه‌ای از اعداد و رقم‌هایی خواهد دید که در تصویر بالا نشان داده شده است 🙂

چگونگی رمزگذاری شده یک پیام
چگونگی رمزگذاری شده یک پیام

برای همین امکان شنود پیام‌های شما از طریق واتس‌اپ توسط پلیس فتا، بقال سر کوچه، امین ثابتی، شورای عالی امنیت ملی و… وجود ندارد هر چند که در گذشته واتس‌اپ مشکلات امنیتی متعددی مانند امکان دسترسی به کلیه مکالمات از طریق اپلیکیشن دیگری را داشته است که هم اکنون تمامی آنها برطرف شده است.

خلاصه کلام آنکه واتس‌اپ بر خلاف ادعای رئیس پلیس فتا قابل شنود نیست و خیال شما در این مورد باید راحت باشد. البته دقت کنید که فرض من بر این است که گوشی هوشمند شما حاوی هیچگونه بدافزار و اپلیکیشن مشکوکی نیست.

آیا وایبر (Viber) امن است؟
اگر این سوال را یک سال پیش مطرح می‌کردید، پاسخ من به شما منفی بود اما هم اکنون باید بگوییم که وایبر تاحدودی امن است. این به چه معناست؟

این بدین معناست که هم اکنون وایبر کلیه پیام‌های متنی و همچنین عکس‌ها و ویدیوها را رمزگذاری می‌کند و امکان شنود در مورد آنها وجود ندارد هر چند که امکان شنود در مورد مکالمات صوتی و تصویری وجود دارد. به بیان دیگر اگر شما از طریق وایبر با دیگران مکالمه صوتی/ تصویری داشته باشید، امکان شنود وجود دارد اما در حالت‌های دیگر مانند ادعای رئیس پلیس فتا در مورد خوانده شدن پیام‌های رد و بدل شده از طریق وایبر، این امکان وجود ندارد. البته دقت کنید که وایبر در نسخه دسکتاپ ویندوز ۷ عکس‌ها و ویدیوها را رمزگذاری نمی‌کند.

بد نیست این را هم اشاره کنم که چند ماه پیش یک سری آزمایش بر روی امنیت وایبر انجام دادم که موارد بالا را به صورت کامل تایید کردند.

چه نتایجی می‌توان گرفت؟
با توجه به توضیحات بالا، این نکات را بد نیست که مدنظر بگیرید:

۱- گوشی‌های هوشمند ابزار امنی نیستند: به طور کلی گوشی‌های هوشمند ابزار امنی نیستند و شما هر چقدر هم حواس‌تان به امنیت آنها باشد، امکان لو رفتن اطلاعات مهم و حیاتی وجود دارد. مثلا اگر گوشی خود را گم کنید، فردی که گوشی شما را پیدا کند به راحتی می‌تواند اطلاعات مختلف آن را استخراج کند.

۲- از نصب اپلیکیشن‌های مشکوک خودداری کنید: تا جایی که می‌توانید از نصب اپلیکیشن‌های بی‌خود و مشکوک خودداری کنید به خصوص اگر از اندروید استفاده می‌کنید. دلیل این پیشنهاد به این نکته باز می‌گردد که در برخی موارد این اپلیکیشن‌ها دسترسی به اطلاعات کارت SD یا لاگ‌های مختلف در گوشی اندرویدتان را می‌گیرند که شما را در خطر لو رفتن اطلاعات‌تان قرار می‌دهند.

۳- از  WiFi مکان‌های عمومی استفاده نکنید: تا جایی که امکان دارد از اتصال به WiFi در مکان‌های عمومی مانند هتل، کتابخانه و… خودداری کنید و در صورتی که هم که وصل می‌شوید، حتما از طریق وی‌پی‌ان یا دیگر ابزارهای دور زدن فیلترینگ وبگردی کنید.

در نهایت باید بگویم که اگر گوشی تلفن هوشمند شما در دست فردی دیگری بیافتد، امکان اینکه تمام مکالمات شما را مرور کند وجود دارد. در نتیجه گوشی خود را به هیچ عنوان تنها نگذارید 🙂

در صورتی هم که سوالی داشتید، لطفا در بخش نظرات آن را بنوسید و یا آنکه از طریق ایمیل یا توییتر آن را با من درمیان بگذارید.

پی‌نوشت ۱: دقت کنید که هدف از نوشتن این مطلب بحث در مورد سخنان رئیس پلیس فتا و نادرست بودن آنها نه داستان حریم خصوصی در اپلیکیشن‌ها و… . همانگونه که در بالا هم گفتم، به طور کلی تلفن‌های هوشمند ابزار امنی نیستند!

پی‌نوشت ۲: بخش مربوط به وایبر به روز شده است و این قسمت اضافه شده است: «البته دقت کنید که وایبر در نسخه دسکتاپ ویندوز ۷ عکس‌ها و ویدیوها را رمزگذاری نمی‌کند.» لطفا آن را مجددا بخوانید.

نوشتن دیدگاه