آیا متن‌های دریافتی در وایبر حاوی کدهای خطرناک هستند؟

وایبر

چند روز پیش ایمان ایمیل زیر را برای من ارسال کرد و در مورد خطر پیام‌های داخل وایبر پرسید:

سلام

یه مدتی هست که توی مسنجرهای اینترنتی مثل لاین و واتساپ و غیره و ذالک متن‌هایی با این مضون که چند بار کپی کنید فیلان بهمان خواهد شد (به اینش کاری نداریم) ولی بعضی‌ها می‌گن این متن‌ها حاوی کدهای خطرناک هستند که امنیت را به خطر می‌اندازند، سوالی که من دارم همینه!

ممکنه؟

هر چند که جواب ایمان را از طریق ایمیل دادم اما به دلیل اهمیت موضوع دیدم بد نیست که سوالش را در اینجا منتشر کنم و به صورت مفصل بهش پاسخ بدم تا اگر برای افراد دیگه‌ای هم این سوال پیش آمده باشد، بتوانند پاسخش را بگیرند.

اولین نکته در مورد سوال ایمان این است که اسیر پیام‌های الکی‌ای که برای شما می‌شوند نشوید! این بدین معناست که هر زمان پیامی از هر طریقی (وایبر، پیامک، جی‌تاک و…) دریافت کردید که در آن عنوان شده بود که اگر این پیام را برای فلان تعداد آدم ارسال نکنید برای شما اتفاق بدی می‌افتد و یا اینکه بدبخت می‌شوید و این دست مزخرفات، باور نکنید و با خیال راحت آن را پاک کنید. به شما قول می‌دهم که اگر اتفاق بدی با عدم ارسال این پیام‌ها برایتان افتاد، بیایید و هر چی از دهنت‌تان درآمد به من بگوید!

دومین نکته که در حقیقت پاسخ سوال اصلی ایمان است این نکته است که چنین ادعایی درست نیست اگر آن متن حاوی هیچ عکس، ویدیو و لینکی نباشد. این یعنی آنکه اگر شما یک متن ساده دریافت کنید که هیچ چیزی چیز یک سری جملات الکی و بی‌اساس نداشته باشد، در نتیجه هیچ خطری شما را تهدید نمی‌کند.

اما اگر این متن حاوی عکس، ویدیو، فایل زیپ شده یا یک لینک باشد که شما را تشویق به دانلود یا کلیک بر روی آن کنید، باید دقت زیادی بکنید زیرا ممکن است آنها حاوی بدافزار باشد و دستگاه شما را آلوده کند.

خلاصه کلام آنکه با متن خالی که به فرمت HTML نباشد هیچ خطری شما را تهدید نمی‌کند 🙂

نوشتن دیدگاه

چرا کد تایید سرویس‌های خارجی را از شماره‌ای ایرانی دریافت می‌کنید؟

نمونه‌ای از کد تایید ارسال شده توسط گوگل با شماره ایران
نمونه‌ای از کد تایید ارسال شده توسط گوگل با شماره ایران

عنوان این مطلب برگرفته شده از سوال یکی از خوانندگان این وبلاگ است که مدتی قبل آن را از من پرسیده بود و مدت‌ها هست که این بحث درگرفته است که چرا من کاربر سرویس خارجی مانند گوگل، وایبر یا هر چیز دیگری، کد فعال‌سازی این سرویس‌ها را که از طریق پیامک ارسال می‌شوند را از شماره‌ای داخل ایران دریافت می‌کنم؟

در پاسخ به این سوال باید بگویم که داستان دریافت پیامک سرویس‌های خارجی از طریق شماره‌های داخل ایران به یک داستان کاملا ساده باز می‌گردد: برون‌سپاری یا Outsourcing

داستان از این قرار است که شرکت‌های مختلف برای ارسال پیامک به کاربران آن را به شرکت‌های دیگر واگذار می‌کنند و گوگل، تلگرام، وایبر و… از این داستان مستثنا نیستند و آنها نیز برای آنکه در هزینه زیرساخت و نیروی انسانی خود صرفه‌جویی کنند، داستان ارسال پیامک را به شرکت‌های دیگر برون‌سپاری کرده‌اند.

این شرکت‌ها که قرار است به گوگل، تلگرام و… سرویس بدهند نیز به دلیل آنکه نمی‌توانند در تک تک کشورهای دنیا سرویس ارسال پیامک را راه‌اندازی کنند (به دلیل هزینه، قوانین متفاوت شرکت‌ها و…)، در نتیجه آنها نیز این سرویس‌ها را به شرکت‌های فعال در زمینه ارسال پیامک در هر یک از کشورها برون‌سپاری می‌کنند. در نتیجه شما زمانی که پیامک از وایبر یا گوگل دریافت می‌کنید، شماره فرستنده را یک شماره داخل ایران مشاهده می‌کنید. به عنوان مثال شرکت AFE مسئول ارسال پیامک‌های وایبر و گوگل در ایران است.

و به همین دلیل است که هم اکنون شرکت‌هایی مانند توییتر امکان فعالسازی ورود دو مرحله‌ای را به کاربران ایرانی نمی‌دهند چون خطر شنود و دزدیده شدن کدفعال‌سازی وجود دارد هر چند که تاکنون چنین موردی مشاهده نشده است.

خلاصه کلام آنکه علت آنکه شما از یک شماره ایرانی برای یک سرویس خارجی پیامک دریافت می‌کنید به داستان برون‌سپاری بازمی‌گردد.

نوشتن دیدگاه

چرا تلگرام را باید به وایبر ترجیح بدهم؟

در مطلب «راه حل مقابله با شنود دولت‌های جهان چیست؟»، امیر پوریا نظر زیر را نوشته و در آن سوالی در مورد امنیت تلگرام پرسیده است:

یه سوالی که همیشه برای من مطرحه اینه که تلگرام تا چه حد امنیت داره؟

من وایبر رو یه آشغال‌افزار می‌دونم ولی خب وقتی می‌خوام کسی رو قانع کنم که از تلگرام استفاده کنه، جز این‌که بهش بگم تلگرام پیام‌ها رو رمزنگاری می‌کنه چیز دیگه‌ای در چنته ندارم.

چرا هیچ‌کس یه آزمایش دقیق و با جزییات برای مقایسه‌ی این پیام‌رسان‌ها انجام نمیده که ما هم بتونیم با استناد به اون عامه‌ی مردم رو قانع کنیم از تلگرام استفاده کنند.

با خواندن این نظر و اهمیت سوالی که در آن مطرح شده است، دیدم بد نیست که به جای پاسخ دادن به آن به صورت یک نظر، آن را در یک پست وبلاگی منتشر کنم و برای درک بهتر سوال مطرح شده، تصمیم گرفتم که از آخر نظرش شروع کنم و سپس به سوال اصلی که در ابتدای نظرش نوشته است برسم 🙂

«…چرا هیچ‌کس یه آزمایش دقیق و با جزییات برای مقایسه‌ی این پیام‌رسان‌ها انجام نمیده که ما هم بتونیم با استناد به اون عامه‌ی مردم رو قانع کنیم از تلگرام استفاده کنند.»

خوشبختانه در این مورد افراد زیاد و مختلفی در سرتاسر جهان کارهای زیادی انجام داده‌اند که معروف‌ترین و بهترین آن پروژه Secure Messaging Scorecard یا کارت امتیاز امنیت پیام‌رسان‌ها است که توسط بنیاد مرزهای الکترونیکی یا Electronic Frontier Foundation ایجاد و توسط اصل ۱۹ به فارسی ترجمه شده است.

در این پروژه شما می‌توانید امنیت پیام‌رسان‌های مختلف را از ۷ جنبه مشاهده کنید و براساس آن تصمیم بگیرید که که از چه پیام‌رسانی استفاده کنید.

«…من وایبر رو یه آشغال‌افزار می‌دونم ولی خب وقتی می‌خوام کسی رو قانع کنم که از تلگرام استفاده کنه، جز این‌که بهش بگم تلگرام پیام‌ها رو رمزنگاری می‌کنه چیز دیگه‌ای در چنته ندارم…»

واقعیتش را بخواهی در مورد اینکه وایبر «آشغال‌افزار» است یا نه نمی‌توانم نظری بدهم زیرا امنیت در ابزارها یک جنبه ماجرا است و جنبه دیگر آن فراگیر بودن، استفاده راحت، در دسترس بودن، ساده بودن و… است، هر چند که من همواره استفاده از تلگرام را به وایبر ترجیح می‌دهم و استفاده از آن را به دیگران نیز توصیه می‌کنم.

«یه سوالی که همیشه برای من مطرحه اینه که تلگرام تا چه حد امنیت داره؟…»

خب، حالا بگذار که پاسخ سوالی مهم که مطرح کرده‌ای را بدهم و بگویم چرا تلگرام از وایبر امن‌تر است و امکان رمزنگاری ارتباطات تنها ویژگی آن نیست. برای توضیح بیشتر بد نیست نگاهی به جدول مربوط به کارت امتیاز امنیت پیام‌رسان‌ها بیاندازیم:

امنیت تلگرام در مقابل وایبر

همانگونه که مشاهده می‌کنی، تلگرام به ۵ دلیل و وایبر تنها به ۲ دلیل امن است، دلایلی که وقتی هر کدام از آنها را می‌خوانی، متوجه اهمیت آنها می‌شوی.

  • آیا ارتباطات شما در زمان عبور رمزنگاری شده است؟ وایبر و تلگرام تمامی اطلاعات شما در زمان عبور را رمزنگاری می‌کنند و در این زمینه تفاوتی بین این دو پیام‌رسان وجود ندارد.
  • آیا ارتباط شما با کلیدی رمزنگاری شده است که سرویس دهنده به آن دسترسی ندارد؟ این سوال یکی از تفاوت‌های کلیدی بین تلگرام و وایبر است زیرا تلگرام دارای این ویژگی است در حالی که وایبر چنین ویژگی‌ای ندارد. این یعنی آنکه که صاحبان تلگرام اگر هم بخواهند، امکان مشاهده مکالمات شما را ندارند و تنها شما و فرد گیرنده امکان دیدن مکالمات را دارید. حال آنکه در وایبر اگر صاحبان آن بخواهند، به راحتی می‌توانند مکالمات رمزنگاری شده شما با یک فرد خاص را شنود و مشاهده کنند.
  • آیا شما به صورت مستقل امکان شناسایی و احراز هویت طرف مقابل‌تان را دارید؟ این مورد نیز تفاوت دیگر تلگرام و وایبر است. در تلگرام شما این امکان را دارید که به صورت مستقل (از طریق اثر انگشت دیجیتالی یا پروتکل تایید هویتی مانند Socialist Millionaire) هویت فرد مقابل را تایید کنید در حالی که چنین امکانی در وایبر وجود ندارد و یک فرد می‌تواند خودش را جای فرد دیگری جا بزند.
  • آیا کد برنامه برای بررسی‌های مستقل باز است؟ این مورد نیز یکی از تفاوت‌های کلیدی میان تلگرام و وایبر است به گونه‌ای که تمامی کدهای مربوط به تلگرام به صورت مستقل در دسترس عموم است تا آن را از نظر امنیت مورد بررسی قرار بدهند و از وجود هرگونه در پشتی (Backdoor) و… آگاه شوند. حال آنکه چنین امکانی به هیچ عنوان برای وایبر وجود ندارد و ممکن است ده‌ها حفره امنیتی داشته باشد که توسط افراد خرابکار مورد سو استفاده قرار بگیرد.
  • آیا طراحی برنامه رمزنگاری به خوبی مستند شده است؟ این مورد نیز از تفاوت‌های دیگر میان تلگرام و وایبر است. تلگرام دارای توضیحات مستند خوبی در مورد ساختار رمزنگاری‌اش است به گونه‌ای افراد متخصص در زمینه امنیت دیجیتال با مشاهده آن از چگونگی تولید و نگهداری کلیدهای رمزنگاری بین کاربران و… مطلع می‌شوند.

با توجه به همه نکات بالا،‌ نکته‌ای که نباید فراموش کنی آن است که تلگرام نسبت به پیام‌رسان‌های دیگری مانند Silent Text و Silent Phone و… امن نیست.

در کل هم پیشنهاد می‌کنم که هر زمانی که خواستی از ابزاری استفاده کنی، بد نیست به پروژه Securing Messaging Scorecard سر بزنی. دقت کن که نسخه فارسی آن که توسط اصل ۱۹ ترجمه شده است به روز نیست اما اپلیکیشن‌های پرطرفدار در ایران را پوشش داده است.

نوشتن دیدگاه

آیا وایبر و واتس‌اپ قابل شنود هستند؟

واتس‌اپ و وایبر

امروز صبح که از خواب بلند شدم، با لینکی حیرت‌انگیز بر روی توییتر مواجه شدم که در آن سید کمال هادیانفر، رئیس پلیس فتا از خوانده شدن پیام‌های افراد در وایبر و واتس‌اپ خبر داده بود:

از پرونده‌هایی که پلیس فتا پیگیری کرده و به نتیجه رسیده است، باید بدانید که پیام‌های خصوصی در وایبر، واتس آپ و… توسط پلیس فتا قابل کنترل است.

و همین یک خط کافی بود که کاربران ایرانی دچار ترس شوند و بحث‌های مختلفی در مورد امن بودن واتس‌اپ و وایبر بکنند که آیا این ابزارهای امن هستند یا نه. با توجه به حجم واکنش‌ها، تصمیم گرفتم که مطلبی در این مورد بنویسم تا شاید از میزان ترسی که ایجاد شده است کمی کاسته شود و کاربران ایرانی با چشمانی باز به ابزارهایی که استفاده می‌کنند نگاه کنند.

اما قبل از آنکه به اصل مطلب بپردازم باید به این نکته اشاره کنم که امنیت در دنیای آنلاین هیچ گاه به صورت ۱۰۰٪ امکان‌پذیر نیست و فرض من در اینجا آن است که گوشی هوشمند شما از هرگونه بدافزار، اپلیکیشن مشکوک و… پاک باشد. علت این فرض هم به این نکته باز می‌گردد که اگر شما تمام نکات امنیتی را رعایت کنید اما بر روی گوشی اندروید و آی‌اواس خود بدافزاری نصب کرده باشید که کلیه فعالیت‌های شما را ضبط و به سروری دیگر بفرستد، تمام مطالبی که در ادامه گفته می‌شود بی‌معناست!

آیا واتس‌اپ (WhatsApp) امن است؟
اگر بخواهم پاسخ این سوال را به صورت بله یا خیر بدهم، با فرض اینکه دستگاه شما حاوی هیچگونه بدافزاری نیست، باید بگویم واتس‌اپ امن است و امکان شنود مکالمات در آن وجود ندارد.

علت این ادعا هم به این نکته باز می‌گردد که کلیه مکالمات بین اپلیکیشن و سرورهای واتس‌اپ رمزگذاری می‌شود. این «رمزگذاری» که ممکن است نام آن را بارها شنیده باشید به این معنی است که امکان شنود از پیام‌ها و مطالبی که از طریق واتس‌اپ ارسال می‌کنید از بین می‌رود و تنها راه حل ممکن برای شنود داشتن کلید باز کردن رمز است که این کلید تنها و تنها در اختیار واتس‌اپ (و نه هیچ کس دیگری) است. تصویر زیر به خوبی مفهوم رمزگذاری اطلاعات را نشان می‌دهد و اینکه چگونه جمله «آیا واتس‌اپ امن است؟» به مجموعه‌ای از اعداد و حروف مختلف تبدیل می‌شود. دقت کنید که اگر پلیس فتا بخواهد مکالمات شما را شنود کند، پیام‌های شما را به صورت مجموعه‌ای از اعداد و رقم‌هایی خواهد دید که در تصویر بالا نشان داده شده است 🙂

چگونگی رمزگذاری شده یک پیام
چگونگی رمزگذاری شده یک پیام

برای همین امکان شنود پیام‌های شما از طریق واتس‌اپ توسط پلیس فتا، بقال سر کوچه، امین ثابتی، شورای عالی امنیت ملی و… وجود ندارد هر چند که در گذشته واتس‌اپ مشکلات امنیتی متعددی مانند امکان دسترسی به کلیه مکالمات از طریق اپلیکیشن دیگری را داشته است که هم اکنون تمامی آنها برطرف شده است.

خلاصه کلام آنکه واتس‌اپ بر خلاف ادعای رئیس پلیس فتا قابل شنود نیست و خیال شما در این مورد باید راحت باشد. البته دقت کنید که فرض من بر این است که گوشی هوشمند شما حاوی هیچگونه بدافزار و اپلیکیشن مشکوکی نیست.

آیا وایبر (Viber) امن است؟
اگر این سوال را یک سال پیش مطرح می‌کردید، پاسخ من به شما منفی بود اما هم اکنون باید بگوییم که وایبر تاحدودی امن است. این به چه معناست؟

این بدین معناست که هم اکنون وایبر کلیه پیام‌های متنی و همچنین عکس‌ها و ویدیوها را رمزگذاری می‌کند و امکان شنود در مورد آنها وجود ندارد هر چند که امکان شنود در مورد مکالمات صوتی و تصویری وجود دارد. به بیان دیگر اگر شما از طریق وایبر با دیگران مکالمه صوتی/ تصویری داشته باشید، امکان شنود وجود دارد اما در حالت‌های دیگر مانند ادعای رئیس پلیس فتا در مورد خوانده شدن پیام‌های رد و بدل شده از طریق وایبر، این امکان وجود ندارد. البته دقت کنید که وایبر در نسخه دسکتاپ ویندوز ۷ عکس‌ها و ویدیوها را رمزگذاری نمی‌کند.

بد نیست این را هم اشاره کنم که چند ماه پیش یک سری آزمایش بر روی امنیت وایبر انجام دادم که موارد بالا را به صورت کامل تایید کردند.

چه نتایجی می‌توان گرفت؟
با توجه به توضیحات بالا، این نکات را بد نیست که مدنظر بگیرید:

۱- گوشی‌های هوشمند ابزار امنی نیستند: به طور کلی گوشی‌های هوشمند ابزار امنی نیستند و شما هر چقدر هم حواس‌تان به امنیت آنها باشد، امکان لو رفتن اطلاعات مهم و حیاتی وجود دارد. مثلا اگر گوشی خود را گم کنید، فردی که گوشی شما را پیدا کند به راحتی می‌تواند اطلاعات مختلف آن را استخراج کند.

۲- از نصب اپلیکیشن‌های مشکوک خودداری کنید: تا جایی که می‌توانید از نصب اپلیکیشن‌های بی‌خود و مشکوک خودداری کنید به خصوص اگر از اندروید استفاده می‌کنید. دلیل این پیشنهاد به این نکته باز می‌گردد که در برخی موارد این اپلیکیشن‌ها دسترسی به اطلاعات کارت SD یا لاگ‌های مختلف در گوشی اندرویدتان را می‌گیرند که شما را در خطر لو رفتن اطلاعات‌تان قرار می‌دهند.

۳- از  WiFi مکان‌های عمومی استفاده نکنید: تا جایی که امکان دارد از اتصال به WiFi در مکان‌های عمومی مانند هتل، کتابخانه و… خودداری کنید و در صورتی که هم که وصل می‌شوید، حتما از طریق وی‌پی‌ان یا دیگر ابزارهای دور زدن فیلترینگ وبگردی کنید.

در نهایت باید بگویم که اگر گوشی تلفن هوشمند شما در دست فردی دیگری بیافتد، امکان اینکه تمام مکالمات شما را مرور کند وجود دارد. در نتیجه گوشی خود را به هیچ عنوان تنها نگذارید 🙂

در صورتی هم که سوالی داشتید، لطفا در بخش نظرات آن را بنوسید و یا آنکه از طریق ایمیل یا توییتر آن را با من درمیان بگذارید.

پی‌نوشت ۱: دقت کنید که هدف از نوشتن این مطلب بحث در مورد سخنان رئیس پلیس فتا و نادرست بودن آنها نه داستان حریم خصوصی در اپلیکیشن‌ها و… . همانگونه که در بالا هم گفتم، به طور کلی تلفن‌های هوشمند ابزار امنی نیستند!

پی‌نوشت ۲: بخش مربوط به وایبر به روز شده است و این قسمت اضافه شده است: «البته دقت کنید که وایبر در نسخه دسکتاپ ویندوز ۷ عکس‌ها و ویدیوها را رمزگذاری نمی‌کند.» لطفا آن را مجددا بخوانید.

نوشتن دیدگاه

فیلترینگ اینترنت در ایران به کجا می‌رود؟

فیلترنت
منبع عکس: Comminit.com

داستان سانسور اینترنت و قطع دسترسی کاربران ایران به سرویس‌های مختلف داستانی است که دیگر عالم و آدم در مورد آن خبر دارد و زمانی که در مورد آن صحبت می‌شود، نیاز به هیچ مقدمه‌چینی‌ای نیست! برای همین بدون اینکه به مقدمه بپردازم، مستقیم سر اصل داستان می‌روم و به سوال عنوان این پست پاسخ می‌دهم که «فیلترینگ اینترنت در ایران به کجا می‌رود؟»

از نگاه من در یک سال اخیر و با رشد بیش از پیش تلفن‌های هوشمند در میان کاربران ایرانی، توجه مسئولین سانسورچی بیش از پیش به سمت تلفن‌های هوشمند رفته است به گونه‌ای که این روزها اخبار خیلی کمی در مورد فیلتر شدن فلان وب‌سایت به گوش می‌رسد و بیشتر اخبار سانسور مربوط به اپلیکیشن‌های مختلف است.

برای اثبات این ادعا هم می‌توان به گزارش‌های مختلفی که در مورد وضعیت فیلترینگ اینترنت در ایران و همچنین اخبار مرتبط به این موضوع منتشر می‌شود نگاه کرد و آن را با سال‌های گذشته مقایسه کرد. مثلا تنها کافی است که شش ماه آخر ریاست جمهوری احمدی‌نژاد را با شش ماه اول ریاست جمهوری روحانی مقایسه کرد و دید که چگونه در شش ماه آخر احمدی‌نژاد تمرکز ساختار سانسور ایران بر روی وب‌سایت‌های مختلف بوده است و با روی کار آمد دولت روحانی، این تمرکز به شدت به سمت اپلیکیشن‌های مختلف رفته است.

این تغییر جهت دوستان فیلترچی را می‌توان به دلایل مختلف مانند افزایش محبوبیت تلفن‌های هوشمند، افزایش محبوب اپلیکیشن مختلف (که به صورت جهانی است) و… توجیه کرد اما آنچه که از نظر من دارای اهمیت است این نکته است که فیلترینگ اینترنت در ایران در حال تغییر است و این تغییر به شدت هر چه تمام‌تر انجام می‌شود به گونه‌ای که رسانه‌های حامی سانسور اینترنت در ایران نیز تمرکز خود را برای فیلتر کردن وب‌سایت‌های مختلف از دست داده‌اند و هم اکنون به صورت پیوسته در حال نوشتن مقالات مختلف بر علیه اپلیکیشن‌های مختلف مانند وایبر، واتس‌اپ، اینستاگرام و… هستند.

و اما پاسخ سوالی که عنوان این مطلب را به خود اختصاص داده است این نکته است که در ماه‌های آینده شاهد درگیری بیشتری میان دولت روحانی و کمیته فیلترینگ خواهیم بود و این دعواها به صورت‌های مختلف خود را نشان خواهد داد؛ مثلا جلوگیری دولت از مسدود شدن اپلیکیشن واتس‌اپ و یا بردن داستان مسدود شدن اینستاگرام به دادگاه را می‌توان نمونه‌هایی از این دعواها دانست.

شاید در انتها بد نباشد به این نکته هم اشاره کنم که داستان ایستادن دولت روحانی در مقابل مسدود شدن اپلیکیشن واتس‌اپ نشانه‌ای خوب بر این نکته است که دولت روحانی از افزایش قلع و قمع اپلیکیشن‌های مختلف احساس خطر کرده است.

نوشتن دیدگاه