یکشنبه‌ها با امنیت دیجیتال (۱۱)

به یازدهمین شماره یکشنبه‌ها با امنیت دیجیتال خود آمدید 🙂

این هفته شماره نسبتا کوتاهی خواهیم داشت هر چند که هفته‌ای پرکاری در وبلاگم بوده است چون دو مطلب بسیار مهم را منتشر کردم:

در مطلب اول در مورد محبوب‌ترین رمزهای عبور استفاده شده در میان کاربران ایرانی صحبت کرده‌ام که محبوب‌ترین آن ۱۲۳۴۵۶ است و در مطلب دوم در مورد واقعیت پروژه عنکبوت سپاه پاسداران که دو هفته پیش سروصدای زیادی به پا کرده نظرم را بیان کرده‌ام.

با این مقدمه و اینکه ۵ روز دیگر تا ارسال دعوتنامه‌های اولین دانشنامه امنیت دیجیتال به زبان فارسی مانده است، به سراغ یکشنبه‌ها با امنیت دیجیتال این هفته می‌روم.


– نگرانی سازمان امنیت ملی آمریکا از هکرهای ایرانی: براساس یکی از اسنادی که ادوارد اسنودن افشا کرده است، سازمان امنیت ملی آمریکا (NSA) از احتمال یادگیری هکرهای ایرانی از حملات سایبری غرب بر علیه ایران ابزار نگرانی کرده است و این احتمال را داده است که هکرهای ایرانی با یادگیری و مهندسی معکوس بدافزارهای مختلف مانند استاکس‌نت و فلیم، بتوانند حملات پیچیده و مخربی را بر علیه غرب و به خصوص آمریکا انجام بدهند. اطلاعات بیشتر…

سند منتشر شده از نگرانی سازمان امنیت ملی آمریکا در مورد هکرهای ایرانی
سند منتشر شده از نگرانی سازمان امنیت ملی آمریکا در مورد هکرهای ایرانی

– هک شدن حساب توییتر هفته‌نامه Newsweek: در شماره ۷ یکشنبه‌ها با امنیت دیجیتال در مورد هک شدن حساب توییتر و فیس‌بوک مرکز فرماندهی ارتش آمریکا توسط هکرهای حامی داعش نوشته بودم. حال آنکه در هفته گذشته همین هکرها موفق شدند که حساب توییتر هفته‌نامه Newsweek را هک کنند و کنترل آن را به دست بگیرند. هر چند که از چگونگی هک شدن این حساب خبری منتشر نشده است، اما براساس حوادث مشابه که در گذشته اتفاق افتاده است، حمله فیشینگ را می‌توان روش احتمالی برای هک کردن آن دانست.

حساب توییتر هفته‌نامه Newsweek پس از هک شدن توسط هکرهای حامی داعش
حساب توییتر هفته‌نامه Newsweek پس از هک شدن توسط هکرهای حامی داعش

– پیدا و حل شدن یک حفره امنیتی مخرب در فیس‌بوک: یک محقق امنیت دیجیتال به نام لکسمن موثیاه (Laxman Muthiyah) مدتی قبل یک حفره امنیتی در فیس‌بوک را کشف کرده بود که به کمک آن می‌توانست تمام عکس‌های بارگزاری شده بر روی فیس‌بوک (حتی عکس‌های شما را!) پاک کند.

این محقق به محض کشف کردن این حفره امنیتی، آن را به فیس‌بوک گزارش کرد و فیس‌بوک هم این حفره را در مدت ۲ ساعت رفع و مبلغ ۱۲۵۰۰ دلار را به عنوان جایزه به وی داد 🙂 اطلاعات بیشتر…

نوشتن دیدگاه

راه حل مقابله با شنود دولت‌های جهان چیست؟

در آخرین روزهای سال ۲۰۱۴ هفته‌نامه اشپیگل آلمان گزارش بسیار مهمی از داستان شنود سازمان امنیت ملی آمریکا (NSA) و ستاد ارتباطات دولت انگلیس (GCHQ) منتشر کرد که دارای نکات بسیار مهمی بود. نکاتی که برای خودم بسیار جذاب و آموزنده بود و به همین دلیل تصمیم گرفتم بخش‌های مهم این گزارش نسبتا طولانی را در یک مطلب وبلاگ منتشر کنم. البته در همین جا باید به این نکته اشاره کنم که اگر به داستان امنیت در دنیای دیجیتال علاقه دارید،‌ خواندن کامل این گزارش را شدیدا پیشنهاد می‌کنم.

با این مقدمه بگذارید به سراغ عنوان این پست بروم و سپس به بخش‌هایی از شنود افراد و سازمان‌های مختلف در ایران توسط سازمان‌های اطلاعاتی غربی بپردازم.

چگونه شنود اینترنتی را غیرممکن کنیم؟
واقعیتش را بخواهید قبل از آنکه این گزارش اشپیگل را بخوانم، تا حدود بسیار زیادی از مقابله با شنود اینترنتی توسط دولت‌های دنیا (به خصوص آمریکا و بریتانیا) ناامید شده بودم اما زمانی که این گزارش مفصل را خواندم امیدواری‌ام به مقابله با شنود دولت‌های جهان و به خصوص غربی بیش از پیش شد 🙂

با توجه به آنچه که اشپیگل منتشر کرده است، به طور کلی رمزنگاری اطلاعات و ارتباطات بهترین از راه حل‌های مقابله با شنود سازمان‌های اطلاعاتی جهان است به گونه‌ای که ان‌اس‌ای مشکلات زیادی برای شنود کاربرانی داشته است که از تُر (Tor) و سرویس‌های ایمیلی مانند Zoho استفاده می‌کرده‌اند.

علاوه بر این TrueCrypt که نرم‌افزار مورد علاقه من برای رمزنگاری اطلاعات است نیز یکی از کابوس‌های ان‌اس‌ای بوده است به گونه‌ای که امکان شکستن رمزنگاری ایجاد شده توسط این نرم‌افزار وجود نداشته و ندارد. البته اگر اخبار مربوط به TrueCrypt را دنبال کنید، احتمالا این سوال برای شما پیش می‌آید که چطور وب‌سایت TrueCrypt از ناامن بودن این نرم‌افزار حرف می‌زند در حالی که من و خیلی‌های دیگر آن را پیشنهاد می‌کنیم؟

در پاسخ به این سوال باید بگویم که به دلیل آنکه TrueCrypt به صورت متن باز عرضه شده است، تمام کدهای آن توسط متخصصین امنیت دیجیتال مورد بررسی قرار گرفته است و تاکنون هیچ در پشتی (Backdoor) در آن پیدا نشده است. برای همین من همچنان TrueCrypt را بهترین ابزار برای رمزنگاری اطلاعات می‌دانم و همچنان از آن استفاده می‌کنم.

در نهایت هم ان‌اس‌ای مشکل شدیدی برای شنود ارتباطاتی دارد که بر روی ZRTP صورت می‌گیرد. اپلیکیشن‌ها و نرم‌افزارهای مختلفی از این روش رمزنگاری استفاده می‌کنند از جمله نرم‌افزار Jitsi که شما به کمک آن می‌توانید چت صوتی و تصویری با دوستان خود در فیس‌بوک و گوگل برقرار کنید. یا اپلیکیشن Signal برای آیفون که کلیه مکالمات صورت گرفته از طریق آن به صورت رمزنگاری شده خواهد بود.

با توجه به آنچه در بالا نوشته‌ام، اگر بخواهم لیستی از نرم‌افزارهایی که امکان شنود در آنها همچنان وجود ندارد را اینجا بنویسم باید این موارد را نام ببرم:

  • مرورگر تُر (Tor): مرورگری امن که کلیه ارتباطات شما را رمزنگاری می‌کند و امکان شناسایی شما از طریق آن وجود ندارد. دانلود کنید…
  •  TrueCrypt: نرم‌افزاری که به شما امکان رمزنگاری اطلاعات‌تان به راحت‌ترین روش ممکن می‌دهد. استفاده از این نرم‌افزار برای رمزنگاری عکس‌های خصوصی و پرونده‌ها مهم و حیاتی‌تان را شدیدا پیشنهاد می‌کنم. دانلود کنید…
  • Jitsi: نرم‌افزاری که شما به کمک آن می‌توانید ده‌ها حساب جیمیل و فیس‌بوک خود را در آن اضافه کنید و بدون نگرانی از شنود و رصد با دوستان خود گفتگوی صوتی و تصویری داشته باشید. دانلود کنید…
  • اپلیکیشن‌هایی مانند Signal یا Telegram: این اپلیکیشن‌ها به دلیل استفاده از سیستم رمزنگاری ZRTP امکان شنود را از بین می‌برد و شما به راحتی می‌توانید با دوستان خود گفتگو کنید. Signal را دانلود کنید… Telegram را دانلود کنید…

چه سازمان‌های و ارگان‌های ایرانی توسط ان‌اس‌ای شنود شده‌اند؟
علاوه بر نکات بالا، گزارش اشپیگل به شنود از دولت‌ها و سازمان‌های مختلف توسط ان‌اس‌ای می‌پردازد که در چندین مورد نام شرکت‌ها و سازمان‌های ایرانی به میان آمده است. به عنوان مثال سازمان ان‌اس‌ای موفق شده است دسترسی به ترافیک وی‌پی‌ان‌هایی که توسط شرکت هواپیمای ملی ایران (هما) و همچنین هکرهای سپاه پاسداران ایران مورد استفاده قرار می‌گرفته است را بدست بیاورد و کلیه فعالیت‌های آنها را زیر نظر بگیرد.

هک شدن وی‌پی‌ان‌های شرکت هواپیمای ملی ایران (هما)
هک شدن وی‌پی‌ان‌های شرکت هواپیمای ملی ایران (هما)
هک شدن وی‌پی‌ان‌های مورد استفاده هکرهای سپاه پاسداران
هک شدن وی‌پی‌ان‌های مورد استفاده هکرهای سپاه پاسداران

در پایان این مطلب بد نیست به این نکته نیز اشاره کنم که به شخصه از تُر، TrueCrypt و Jitsi به صورت روزانه استفاده می‌کنم و این دست توصیه‌هایم تنها در حد حرف نیست 🙂

راستی! اگر می‌خواهید در مورد TrueCrypt و Jitsi بیشتر بدانید، باید بگویم که در دانشنامه امنیت دیجیتال که در ۱ فروردین ۱۳۹۴ به صورت رسمی منتشر خواهد شد، آموزش کامل آن را خواهید خواند. اگر علاقه دارید که به این دانشنامه زودتر دسترسی پیدا کنید، فرم داخل این مطلب را پر کنید.

نوشتن دیدگاه

آقای خرم‌آبادی، قبل از مصاحبه کمی مطالعه کنید!

بیشتر از یک سال از پایان دوران گاف‌گیری‌ام می‌گذرد و به خودم قول داده بودم که در اینجا چیزی در مورد گاف‌های پشت سر هم وب‌سایت‌ها و مسئولین ایرانی که کم هم نیستند، ننویسم؛ اما امروز صبح در حالی که یک لیوان شیر در دست داشتم و با آیفونم آخرین فیدهای وب‌سایت‌های مختلف را به کمک اپلیکیشن فیدلی می‌خواندم، به مطلبی از وب‌سایت وبلاگ‌نیوز برخوردم که با خواندن عنوانش از خنده پهن زمین شدم: «فیس‌بوک به نیابت از CIA اطلاعات مردم جهان را جمع‌آوری می‌کند»

در این خبر وبلاگ‌نیوز به نقل از عبدالصمد خرم‌آبادی، دبیر کارگروه تعیین مصادیق محتوای مجرمانه و مشاور دادستان کل کشور، سخنانی را نقل کرده است که منبع اصلی آن یک وب‌سایت فکاهی با نام The Onion است! وب‌سایتی که قبلا فارس‌نیوز نیز خبری فکاهی را جدی گرفته بود و آن را با افتخار منتشر کرد اما در نهایت بابت انتشار آن عذرخواهی کرد.

پیشنهاد من آن است که کل مصاحبه را بخوانید تا ببینید که یکی از مسئولین کمیته فیلترینگ ایران که وضعیت اینترنت ایران را به فیلترنت رسانده است، چگونه چند خبر مختلف را با هم قاطی و آنچه دوست داشته است را بیان کرده است.

من در اینجا تنها دو بخش کوتاه از مصاحبه آقای خرم‌آبادی را می‌آوردم تا سطح بیاطلاعی ایشان از اینترنت و اصول اولیه آن را مشاهده کنید:

در مراسمی که سازمان سیا برای تقدیر از زاکربرگ برگزار کرده بود، معاون سازمان سیا اظهار داشته که فیس‌بوک برای ما رویایی بود که به حقیقت پیوست.

… براساس این اسناد [اسناد منتشر شده توسط جولیان آسانژ و ادوارد اسنودن] در حال حاضر فیس‌بوک به نیابت از CIA وظیفه جمع‌آوری اطلاعات آشکار از شهروندان سراسر جهان را برعهده گرفته است و شهروندان با تصور اینکه حریم خصوصی آنها محفوظ است، به راحتی کلیه اطلاعات محرمانه و شخصی خود را در این سایت قرار می دهند. (منبع)

حالا بگذارید در مورد همین دو جمله کوتاه کمی توضیح بدهم. اولین نکته آن است که سازمان سیا هیچگاه از مارک زاکربرگ تقدیر نکرده است و این خبر را اولین بار The Onion در سال ۲۰۱۱ منتشر کرد که همان زمان هم بسیاری از وب‌سایت‌های خبری آب دوغ خیاری داخل آن را پوشش دادند و درک نکردند این خبر یک جوک و فکاهی بیشتر نیست 🙂

دومین نکته آن است که براساس اسناد منتشر شده توسط ادوارد اسنودن، سازمان سی‌ای‌ای (CIA) نقشی در جمع‌آوری اطلاعات کاربران فیس‌بوک نداشته است و این کار توسط سازمان امنیت ملی آمریکا یا همان NSA صورت می‌گرفته است. این دو سازمان کاملا از یکدیگر جدا هستند و توسط دو وزارتخانه مجزا اداره می‌شوند. تاکنون نیز در هیچ یک از مدارک منتشر شده توسط اسنودن، نامی از CIA نیامده است.

خلاصه کلام آنکه براساس مدارک افشا شده در چند ماه اخیر، آنچه مسلم است آن است که سازمان امنیت ملی آمریکا در حال رصد کاربران شبکه‌های اجتماعی و به طور کلی‌تر کاربران اینترنت بوده است و هم اکنون بحث‌های زیادی در آمریکا در این مورد و محدود کردن قدرت سازمان امنیت ملی آمریکا در جریان است که این کار باید برای کارگروه تعیین مصداق محتوای مجرمانه در ایران نیز اتفاق بیافتد تا قدرت این کارگروه که اینترنت را در ایران به گروگان گرفته است کاهش پیدا کند.

در پایان هم به اعضای کارگروه تعیین مصادق محتوای مجرمانه توصیه می‌کنم که قبل از مصاحبه و گفتن سخنان خنده‌داری مانند آنچه در بالا اشاره کردم، کمی جستجو کنند. مثلا بد نیست که واژه Prism را جستجو کنند تا درک کنند که در دنیای اینترنت چه می‌گذرد 🙂 اگر هم دوست دارند، این ویدیو که مبنای بخشی از سخنان آقای خرم‌آبادی بوده است را تماشا کنند تا متوجه شوند که کم اطلاعی/ بی‌سوادی حاصل از عدم مطالعه دقیق و کافی است!



نوشتن دیدگاه