چرا باید استفاده از TrueCrypt را هم اکنون متوقف کنید؟

ViraCrypt

رمزنگاری اطلاعات یکی از راه‌های مقابله با هرگونه خطری است که می‌تواند شما را در دنیای واقعی و مجازی تهدید کند، مثلا با رمزنگاری اطلاعات امکان شنود و لو رفتن اطلاعات مهم‌تان را از بین می‌برید؛ و در این میان من همیشه یکی از طرفداران استفاده از نرم‌افزار TrueCrypt بوده‌ام و دیگران را تشویق کرده‌ام که تا جایی که امکان دارد از این نرم‌افزار استفاده کنند، هر چند تا دو روز پیش!

دو روز پیش یک خبر بد و یک خبر خوب در مورد TrueCrypt منتشر شد که به دلیل اهمیت آن تصمیم گرفتم که در یک پست وبلاگی به آنها اشاره کنم.

خبر بد اینکه در TrueCrypt دو حفره امنیتی پیدا شده است به گونه‌ای که اگر شما کل هارد دیسک رایانه‌تان را به کمک TrueCrypt رمزنگاری کنید ( در ویندوز)، امکان شکستن آن و دسترسی به اطلاعات هارد دیسک‌تان وجود دارد. کاشف این دو حفره امنیتی که هنوز جزییات کامل آن را منتشر نکرده است، یکی از اعضای تیم Project Zero گوگل است.

اما خبر خوب در این زمینه آن است که VeraCrypt که نرم‌افزار رمزنگاری اطلاعات است و براساس کدهای TrueCrypt ایجاد شده است این دو حفره امنیتی را رفع کرده است و به همین دلیل شدیدا تاکید می‌کنم که از امروز از TrueCrypt به VeraCrypt مهاجرت کنید.

نکته مهم در مورد VeraCrypt آن است که این نرم‌افزار دقیقا مانند TreuCrypt کار می‌کند و برای مهاجرت به آن کار خاصی نباید انجام دهید.

لطفا این هشدار را جدی بگیرید و حتما به VeraCrypt مهاجرت کنید.

در صورتی هم که سوالی در این زمینه داشتید، می‌توانید آن را در بخش نظرات و یا از طریق توییتر با من درمیان بگذارید.

نوشتن دیدگاه

راه حل مقابله با شنود دولت‌های جهان چیست؟

در آخرین روزهای سال ۲۰۱۴ هفته‌نامه اشپیگل آلمان گزارش بسیار مهمی از داستان شنود سازمان امنیت ملی آمریکا (NSA) و ستاد ارتباطات دولت انگلیس (GCHQ) منتشر کرد که دارای نکات بسیار مهمی بود. نکاتی که برای خودم بسیار جذاب و آموزنده بود و به همین دلیل تصمیم گرفتم بخش‌های مهم این گزارش نسبتا طولانی را در یک مطلب وبلاگ منتشر کنم. البته در همین جا باید به این نکته اشاره کنم که اگر به داستان امنیت در دنیای دیجیتال علاقه دارید،‌ خواندن کامل این گزارش را شدیدا پیشنهاد می‌کنم.

با این مقدمه بگذارید به سراغ عنوان این پست بروم و سپس به بخش‌هایی از شنود افراد و سازمان‌های مختلف در ایران توسط سازمان‌های اطلاعاتی غربی بپردازم.

چگونه شنود اینترنتی را غیرممکن کنیم؟
واقعیتش را بخواهید قبل از آنکه این گزارش اشپیگل را بخوانم، تا حدود بسیار زیادی از مقابله با شنود اینترنتی توسط دولت‌های دنیا (به خصوص آمریکا و بریتانیا) ناامید شده بودم اما زمانی که این گزارش مفصل را خواندم امیدواری‌ام به مقابله با شنود دولت‌های جهان و به خصوص غربی بیش از پیش شد 🙂

با توجه به آنچه که اشپیگل منتشر کرده است، به طور کلی رمزنگاری اطلاعات و ارتباطات بهترین از راه حل‌های مقابله با شنود سازمان‌های اطلاعاتی جهان است به گونه‌ای که ان‌اس‌ای مشکلات زیادی برای شنود کاربرانی داشته است که از تُر (Tor) و سرویس‌های ایمیلی مانند Zoho استفاده می‌کرده‌اند.

علاوه بر این TrueCrypt که نرم‌افزار مورد علاقه من برای رمزنگاری اطلاعات است نیز یکی از کابوس‌های ان‌اس‌ای بوده است به گونه‌ای که امکان شکستن رمزنگاری ایجاد شده توسط این نرم‌افزار وجود نداشته و ندارد. البته اگر اخبار مربوط به TrueCrypt را دنبال کنید، احتمالا این سوال برای شما پیش می‌آید که چطور وب‌سایت TrueCrypt از ناامن بودن این نرم‌افزار حرف می‌زند در حالی که من و خیلی‌های دیگر آن را پیشنهاد می‌کنیم؟

در پاسخ به این سوال باید بگویم که به دلیل آنکه TrueCrypt به صورت متن باز عرضه شده است، تمام کدهای آن توسط متخصصین امنیت دیجیتال مورد بررسی قرار گرفته است و تاکنون هیچ در پشتی (Backdoor) در آن پیدا نشده است. برای همین من همچنان TrueCrypt را بهترین ابزار برای رمزنگاری اطلاعات می‌دانم و همچنان از آن استفاده می‌کنم.

در نهایت هم ان‌اس‌ای مشکل شدیدی برای شنود ارتباطاتی دارد که بر روی ZRTP صورت می‌گیرد. اپلیکیشن‌ها و نرم‌افزارهای مختلفی از این روش رمزنگاری استفاده می‌کنند از جمله نرم‌افزار Jitsi که شما به کمک آن می‌توانید چت صوتی و تصویری با دوستان خود در فیس‌بوک و گوگل برقرار کنید. یا اپلیکیشن Signal برای آیفون که کلیه مکالمات صورت گرفته از طریق آن به صورت رمزنگاری شده خواهد بود.

با توجه به آنچه در بالا نوشته‌ام، اگر بخواهم لیستی از نرم‌افزارهایی که امکان شنود در آنها همچنان وجود ندارد را اینجا بنویسم باید این موارد را نام ببرم:

  • مرورگر تُر (Tor): مرورگری امن که کلیه ارتباطات شما را رمزنگاری می‌کند و امکان شناسایی شما از طریق آن وجود ندارد. دانلود کنید…
  •  TrueCrypt: نرم‌افزاری که به شما امکان رمزنگاری اطلاعات‌تان به راحت‌ترین روش ممکن می‌دهد. استفاده از این نرم‌افزار برای رمزنگاری عکس‌های خصوصی و پرونده‌ها مهم و حیاتی‌تان را شدیدا پیشنهاد می‌کنم. دانلود کنید…
  • Jitsi: نرم‌افزاری که شما به کمک آن می‌توانید ده‌ها حساب جیمیل و فیس‌بوک خود را در آن اضافه کنید و بدون نگرانی از شنود و رصد با دوستان خود گفتگوی صوتی و تصویری داشته باشید. دانلود کنید…
  • اپلیکیشن‌هایی مانند Signal یا Telegram: این اپلیکیشن‌ها به دلیل استفاده از سیستم رمزنگاری ZRTP امکان شنود را از بین می‌برد و شما به راحتی می‌توانید با دوستان خود گفتگو کنید. Signal را دانلود کنید… Telegram را دانلود کنید…

چه سازمان‌های و ارگان‌های ایرانی توسط ان‌اس‌ای شنود شده‌اند؟
علاوه بر نکات بالا، گزارش اشپیگل به شنود از دولت‌ها و سازمان‌های مختلف توسط ان‌اس‌ای می‌پردازد که در چندین مورد نام شرکت‌ها و سازمان‌های ایرانی به میان آمده است. به عنوان مثال سازمان ان‌اس‌ای موفق شده است دسترسی به ترافیک وی‌پی‌ان‌هایی که توسط شرکت هواپیمای ملی ایران (هما) و همچنین هکرهای سپاه پاسداران ایران مورد استفاده قرار می‌گرفته است را بدست بیاورد و کلیه فعالیت‌های آنها را زیر نظر بگیرد.

هک شدن وی‌پی‌ان‌های شرکت هواپیمای ملی ایران (هما)
هک شدن وی‌پی‌ان‌های شرکت هواپیمای ملی ایران (هما)
هک شدن وی‌پی‌ان‌های مورد استفاده هکرهای سپاه پاسداران
هک شدن وی‌پی‌ان‌های مورد استفاده هکرهای سپاه پاسداران

در پایان این مطلب بد نیست به این نکته نیز اشاره کنم که به شخصه از تُر، TrueCrypt و Jitsi به صورت روزانه استفاده می‌کنم و این دست توصیه‌هایم تنها در حد حرف نیست 🙂

راستی! اگر می‌خواهید در مورد TrueCrypt و Jitsi بیشتر بدانید، باید بگویم که در دانشنامه امنیت دیجیتال که در ۱ فروردین ۱۳۹۴ به صورت رسمی منتشر خواهد شد، آموزش کامل آن را خواهید خواند. اگر علاقه دارید که به این دانشنامه زودتر دسترسی پیدا کنید، فرم داخل این مطلب را پر کنید.

نوشتن دیدگاه