راه حل مقابله با شنود دولت‌های جهان چیست؟

در آخرین روزهای سال ۲۰۱۴ هفته‌نامه اشپیگل آلمان گزارش بسیار مهمی از داستان شنود سازمان امنیت ملی آمریکا (NSA) و ستاد ارتباطات دولت انگلیس (GCHQ) منتشر کرد که دارای نکات بسیار مهمی بود. نکاتی که برای خودم بسیار جذاب و آموزنده بود و به همین دلیل تصمیم گرفتم بخش‌های مهم این گزارش نسبتا طولانی را در یک مطلب وبلاگ منتشر کنم. البته در همین جا باید به این نکته اشاره کنم که اگر به داستان امنیت در دنیای دیجیتال علاقه دارید،‌ خواندن کامل این گزارش را شدیدا پیشنهاد می‌کنم.

با این مقدمه بگذارید به سراغ عنوان این پست بروم و سپس به بخش‌هایی از شنود افراد و سازمان‌های مختلف در ایران توسط سازمان‌های اطلاعاتی غربی بپردازم.

چگونه شنود اینترنتی را غیرممکن کنیم؟
واقعیتش را بخواهید قبل از آنکه این گزارش اشپیگل را بخوانم، تا حدود بسیار زیادی از مقابله با شنود اینترنتی توسط دولت‌های دنیا (به خصوص آمریکا و بریتانیا) ناامید شده بودم اما زمانی که این گزارش مفصل را خواندم امیدواری‌ام به مقابله با شنود دولت‌های جهان و به خصوص غربی بیش از پیش شد 🙂

با توجه به آنچه که اشپیگل منتشر کرده است، به طور کلی رمزنگاری اطلاعات و ارتباطات بهترین از راه حل‌های مقابله با شنود سازمان‌های اطلاعاتی جهان است به گونه‌ای که ان‌اس‌ای مشکلات زیادی برای شنود کاربرانی داشته است که از تُر (Tor) و سرویس‌های ایمیلی مانند Zoho استفاده می‌کرده‌اند.

علاوه بر این TrueCrypt که نرم‌افزار مورد علاقه من برای رمزنگاری اطلاعات است نیز یکی از کابوس‌های ان‌اس‌ای بوده است به گونه‌ای که امکان شکستن رمزنگاری ایجاد شده توسط این نرم‌افزار وجود نداشته و ندارد. البته اگر اخبار مربوط به TrueCrypt را دنبال کنید، احتمالا این سوال برای شما پیش می‌آید که چطور وب‌سایت TrueCrypt از ناامن بودن این نرم‌افزار حرف می‌زند در حالی که من و خیلی‌های دیگر آن را پیشنهاد می‌کنیم؟

در پاسخ به این سوال باید بگویم که به دلیل آنکه TrueCrypt به صورت متن باز عرضه شده است، تمام کدهای آن توسط متخصصین امنیت دیجیتال مورد بررسی قرار گرفته است و تاکنون هیچ در پشتی (Backdoor) در آن پیدا نشده است. برای همین من همچنان TrueCrypt را بهترین ابزار برای رمزنگاری اطلاعات می‌دانم و همچنان از آن استفاده می‌کنم.

در نهایت هم ان‌اس‌ای مشکل شدیدی برای شنود ارتباطاتی دارد که بر روی ZRTP صورت می‌گیرد. اپلیکیشن‌ها و نرم‌افزارهای مختلفی از این روش رمزنگاری استفاده می‌کنند از جمله نرم‌افزار Jitsi که شما به کمک آن می‌توانید چت صوتی و تصویری با دوستان خود در فیس‌بوک و گوگل برقرار کنید. یا اپلیکیشن Signal برای آیفون که کلیه مکالمات صورت گرفته از طریق آن به صورت رمزنگاری شده خواهد بود.

با توجه به آنچه در بالا نوشته‌ام، اگر بخواهم لیستی از نرم‌افزارهایی که امکان شنود در آنها همچنان وجود ندارد را اینجا بنویسم باید این موارد را نام ببرم:

  • مرورگر تُر (Tor): مرورگری امن که کلیه ارتباطات شما را رمزنگاری می‌کند و امکان شناسایی شما از طریق آن وجود ندارد. دانلود کنید…
  •  TrueCrypt: نرم‌افزاری که به شما امکان رمزنگاری اطلاعات‌تان به راحت‌ترین روش ممکن می‌دهد. استفاده از این نرم‌افزار برای رمزنگاری عکس‌های خصوصی و پرونده‌ها مهم و حیاتی‌تان را شدیدا پیشنهاد می‌کنم. دانلود کنید…
  • Jitsi: نرم‌افزاری که شما به کمک آن می‌توانید ده‌ها حساب جیمیل و فیس‌بوک خود را در آن اضافه کنید و بدون نگرانی از شنود و رصد با دوستان خود گفتگوی صوتی و تصویری داشته باشید. دانلود کنید…
  • اپلیکیشن‌هایی مانند Signal یا Telegram: این اپلیکیشن‌ها به دلیل استفاده از سیستم رمزنگاری ZRTP امکان شنود را از بین می‌برد و شما به راحتی می‌توانید با دوستان خود گفتگو کنید. Signal را دانلود کنید… Telegram را دانلود کنید…

چه سازمان‌های و ارگان‌های ایرانی توسط ان‌اس‌ای شنود شده‌اند؟
علاوه بر نکات بالا، گزارش اشپیگل به شنود از دولت‌ها و سازمان‌های مختلف توسط ان‌اس‌ای می‌پردازد که در چندین مورد نام شرکت‌ها و سازمان‌های ایرانی به میان آمده است. به عنوان مثال سازمان ان‌اس‌ای موفق شده است دسترسی به ترافیک وی‌پی‌ان‌هایی که توسط شرکت هواپیمای ملی ایران (هما) و همچنین هکرهای سپاه پاسداران ایران مورد استفاده قرار می‌گرفته است را بدست بیاورد و کلیه فعالیت‌های آنها را زیر نظر بگیرد.

هک شدن وی‌پی‌ان‌های شرکت هواپیمای ملی ایران (هما)
هک شدن وی‌پی‌ان‌های شرکت هواپیمای ملی ایران (هما)
هک شدن وی‌پی‌ان‌های مورد استفاده هکرهای سپاه پاسداران
هک شدن وی‌پی‌ان‌های مورد استفاده هکرهای سپاه پاسداران

در پایان این مطلب بد نیست به این نکته نیز اشاره کنم که به شخصه از تُر، TrueCrypt و Jitsi به صورت روزانه استفاده می‌کنم و این دست توصیه‌هایم تنها در حد حرف نیست 🙂

راستی! اگر می‌خواهید در مورد TrueCrypt و Jitsi بیشتر بدانید، باید بگویم که در دانشنامه امنیت دیجیتال که در ۱ فروردین ۱۳۹۴ به صورت رسمی منتشر خواهد شد، آموزش کامل آن را خواهید خواند. اگر علاقه دارید که به این دانشنامه زودتر دسترسی پیدا کنید، فرم داخل این مطلب را پر کنید.

نوشتن دیدگاه

روش‌های میانبر، راه حل افزایش امنیت در دنیای تکنولوژی نیست

قبلا در مطلبی با عنوان «هکر ایرانی کومودو، هکری آماتور است!» در مورد افسانه بودن ارتش سایبری ایران و حواشی آن صحبت کرده‌ام و در قسمتی از این مطلب به علت موفقیت ارتش سایبری ایران پرداختم:

در نهایت بار دیگر بر این نکته تاکید می‌کنم که اکثر حملات سایبری از سوی ارتش سایبری و هکرهای دیگر به این دلیل موفق بوده‌اند که قربانیان سهل‌انگاری کرده‌اند و به توصیه‌های امنیتی توجه نکرده‌اند، به همین دلیل بهتر است به جای آنکه یک افسانه را بزرگ و به آن پر و بال بدهیم، سطح اطلاعات و آموزش خود را در مورد دنیای اینترنت و حاشیه‌های آن افزایش دهیم.

امروز به مقاله‌ای جالب و جذاب در Wired برخوردم که به ماجرای اخیر وب‌سایت Copycat و مشکل امنیتی آن اشاره کرده که با خواندن کامل این مقاله به طور کامل در جریان این داستان قرار خواهید گرفت. اما آنچه باعث شد این مطلب را بنویسم، به بخشی از این مقاله برمی‌گردد که در آن در مورد روش‌های میانبری که افراد مختلف برای افزایش امنیت خود استفاده می‌کنند و توسط دیگران پیشنهاد می‌شود اشاره شده است:

… We’ve learned that, unfortunately, security is hard, and people who tell you that it’s easy or that there are shortcuts are probably fooling you — and maybe themselves.

We know how important good data security is for dissidents, citizen journalists, democracy advocates, and human rights activists. Journalists should stop looking for shortcuts that weaken everyone. (Source)

… متاسفانه، ما می‌دانیم که امنیت {در دنیای کامپیوتر و اینترنت} سخت است و افرادی که به شما می‌گویند آسان است و یا راه‌های میانبری وجود دارد به احتمال {زیاد} شما را گول می‌زنند- و ممکن است خودشان {را هم گول بزنند}.

ما اهمیت امنیت مناسب داده‌ها برای مخالفان سیاسی، شهروند خبرنگاران، حامیان دموکراسی، و فعالان حقوق بشر را می‌دانیم. روزنامه‌نگاران باید جستجو برای {راه‌های} میانبر را متوقف کنند که به ضرر همه است. (منبع)

و این نکته‌ای مهم است که در وب فارسی و در میان افراد مختلف مانند روزنامه‌نگاران، برنامه‌نویسان، مدیران وب و فعالان شبکه‌های اجتماعی بسیار شایع است: جستجوی راه‌های میانبر برای افزایش امنیت در دنیای کامپیوتر و اینترنت.

برای همین مجددا تاکید می‌کنم، برای آنکه قربانی حملات سایبری نشوید تا بعدا افسانه‌هایی مانند ارتش سایبری ایران را باور کنید، بهتر است به جای آنکه دنبال راه‌های آسان برای افزایش امنیت خود باشید، روش‌های استاندارد و مشخص را دنبال و اجرا کنید.

نوشتن دیدگاه

آقای وزیر، منبع آمار شما کجاست؟

بارها مسئولین ایران برای آنکه جایگاه ممتاز ایران را در جهان نشان دهند، از آمار و ارقام مختلف استفاده کرده‌اند. اما نکته‌ای که همواره برای من سوال بوده، منبع این آمار و ارقام است و اینکه این مقام‌ها و رده‌بندی‌ها چگونه است و بر چه اساسی انجام گرفته است.

به عنوان مثال رضا تقی‌پور، وزیر ارتباطات و فناوری اطلاعات در مصاحبه‌ای که با خبرگزاری مهر در تاریخ ۴ تیر سال جاری انجام داده است، از رتبه‌ی پنجم ایران در زمینه‌ی امنیت شبکه‌ی مجازی سخن می‌گوید و یا در سخنانی در مورد اینترنت ملی، از عدم نیاز ۹۵٪ کاربردها به اینترنت خبر می‌دهد.

حال آنکه با خواندن این دو مصاحبه سوالی که برای من به عنوان یک شهروند عادی پیش می‌آید آن است که:

۱- رتبه‌ی اول تا چهارم در زمینه‌ی امنیت شبکه‌ی مجازی را چه کشورهایی تشکیل داده‌اند که ایران مقام پنجم را بدست آورده است؟ و منبع این رتبه‌بندی کجاست؟

۲- براساس کدام تحقیق و بررسی آقای وزیر به این نتیجه رسیده است که ۹۵٪ کاربردها به اینترنت نیاز ندارند؟ و مفهوم کاربرد چیست؟

هر چند که در مورد سوال دوم می‌توان به همان ایده‌ای اشاره کرد که برای کاربران خانگی اینترنت سرعت ۲۵۶ کیلوبیت  ۱۲۸ کیلوبیت در ثانیه کافی است، ایده‌ای که بیشتر به دوران اینترنت در دهه‌ی ۹۰ میلادی نزدیک است تا دوران وب ۲.۰.

به همین دلیل آقای وزیر، لطفا منبع آمار خود را بگویید تا دستکم شهروند منحرفی مانند من به راه راست هدایت شود!

نوشتن دیدگاه