بد یا بدتر

اخیرا که تلگرام فیلتر شده و در فاز بعدش فیلترشکن هاهم شروع به بسته شدن کردن به لطف دوست مون که دستش روی دکمه فیلترینگ نمیره (:

مردم برای استفاده از گزینه های جایگزین تلگرام به سمت موارد دیگه سرایز شدن . در این شرایط ؛ همونطور که قبلا هم گفتم انتخاب گزینه های داخلی اصلا به صلاح نیست پس راه حل چیه ، انتخاب گزینه های ایمن .

سوالی که پیش میاد اینه که در بین گزینه های پیام رسان موجود کدوم ایمن تره ؟ 

از بین گزینه های موجود استفاده از مواردی که از الگوریتم های end-to-end استفاده میکنند گزینه های امن فعلی به حساب میان . به صورت ساده تر الگوریتم end-to-end :

یک سیستم ارتباطی است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام‌ها هستند. در این شیوه ارتباطی، شنود کلیدهایی که برای رمزگذاری مکالمه استفاده می‌شود برای هیچ فردی از جمله رساننده خدمات اینترنتی و ارائه دهندگان خدمات مخابراتی امکان‌پذیر نخواهد بود. در رمزگذاری سرتاسر از آنجا که هیچ شخص دیگری امکان کشف داده‌های در حال مبادله یا ذخیره را ندارد، امکان مراقبت و دستکاری غیرممکن است. به همین دلیل شرکت‌هایی که از شیوه رمزگذاری سرتاسر استفاده می‌کنند، نمی‌توانند پیام‌های مشتریان خود را به مقامات امنیتی ارائه دهند.

از بین گزینه های پیام رسان موجود signal و whatsup از مواردی هستند که از این الگوریتم استفاده میکنند .

این وسط پیام رسان signal به تازگی توسط گروهی از هکر های کلاه سفید در آرژانتین تونستند که این پیام رسان هک کنند . داستان از این قرار که دو متخصص امنیت نرم افزار ، ایوان اریال و الفردو اورتگا داشتن داخل سیگنال چت میکردند که یکی از اونها آدرسی وبسایتی که آسیب پذیری xss payload داشته برای نفر دوم میفرسته و بصورت اتفاقی آسیب پذیری اجرا میشه .

xss که بعنوان cross-site scripting هم شناخته میشه ، نوعی آسیب پذیری مرسوم که مهاجم از طریق اون کد مخربشو به برنامه مورد نظرش تزریق میکنه .

بعد از بررسی های صورت گرفته اعلام کردند که این آسیب پذیری از طریق تابعی که وظیفه به اشتراک گذاشتن لینک ها روداره تونسته اجرا بشه که به مهاجم ها اجازه میده از طریق محتوایی که داخل برنامه به اشتراک گذاشته اند  آسیب پذیری تزریق کنند .

این آسیب پذیری به سرعت توسط تیم توسعه دهنده سیگنال درهفته ای که گذشت  برطرف شد.

با بررسی های بیشتری که توسط این تیم هکر صورت گرفته اعلام کردند که این آسیب پذیری خطرناک نیست و همچنان از سیگنال به عنوان یکپیام رسان ایمن میشه استفاده کرد .

بد یا بدتر :

سیگنال با داشتن حتی آسیب پذیری هم هنوز نسبت پیام رسان های داخلی از امنیت بیشتری برخورداره ، چرا که از الگوریتم  end to end  برای تامین امنیت کاربرانش استفاده میکنه و این مزیت اصلی اون نسبت به پیام رسان های داخلی .

پی نوشت : 

از اونجایی که هیچ برنامه ای صد در صد ایمن نیست لازم دونستم که درباره آسیب پذیری های سیگنال هم بنویسم ، اما هنوز معتقدم که به دلیل مزایای پیام رسانی مثل سیگنال ازجمله امنیت لازمه که از اون برای جاگزین های احتمالی تلگرام استفاده کنیم .

 

چهار شنبه ها با امنیت ۱

روش های حفظ امنیت تلفن همراه در دوران پسا تلگرام :

از چند که خبر فیلترینگ تلگرام بر روی خبر گذاری ها مخابره شد و واکنش های مختلفی در بر داشت ، تصمیم گرفتم که مجموعه چهارشنبه ها با امنیت که قبلا گفته بودم با همین ایده شروع کنم .

[امنیت موبایل]

این روزها که نظرات مختلف درباره امکان و عدم امکان فیلترینگ تلگرام مطرح میشه که گاها میتونن نظرات غیر واقعی و یا نادرست باشن . پس لازمه که حتما از منبع انتشار هر خبری در این رابطه اول مطمئن بشین .

در ادامه لازمه که به موارد زیر توجه کنین :

    • از هر منبعی فیلترشکن دانلود نکنید :

این روزها به دلیل نبود منبعی درست و یا عدم آگاهی های لازم مردم این امکان برای افراد سودجو و بعضا حکومت پدید اومده که با انتشار بد  افزارهایی در قالب فیلترشکن ، تلگرام بدون فیلتر ، برنامه های مشابه تلگرام مثل موبوگرام ، نارنجی گرام و … ، توانایی شنود و دسترسی به اطلاعات موجود بر روی تلفن همراه شما فراهم بشه .

  • سطح دسترسی برنامه های نصب شده بر روی گوشی  خود را بازنگری کنید :

هر برنامه قبل از نصب شدن برروی سیستم عامل تلفن همراه بسته به نیاز خود امکان دسترسی به یک یا چند منابع موجود بر روی تلفن همراه مانند ، موقعیت یاب تلفن (GPS و Location) ، استفاده از دوربین تلفن همراه ، دسترسی به لیست مخاطبین و … درخواست میکند . این امر باتوجه به کارکرد نرم افزار متفاوت است . برای مثال تلگرام باتوجه به سازوکارش نیاز به دسترسی به لیست مخاطبین شما را دارد .

[اخیرا ، گزارش هایی مشاهده شده از اپلیکیشن موبایل بانک قوامین که پس از بروز رسانی به آخرین نسخه درخواست دسترسی به لیست مخاطبین ، گالری ، موقعیت گوشی را دارد و در صورت عدم اجازه برنامه دیگر کار نخواهد کرد .]

  • در انتخاب پیام رسان جایگزین دقت کنید :

جدا از بحث برنده و یا بازنده بودن نبرد میان تلگرام و حکومت ، به این نکته توجه کنید که درصورتی که راه حلی قطعی برای فیلتر تلگرام بدست آمده و مجبور به مهاجرت دائمی به پیام رسان بعدی شدید  ، هر پیام رسانی که بسته به میل و نیاز خود آنرا انتخاب می کنید حتما باید ویژگی های زیر را داشته باشد  :

  • پیام رسان جایگزین از سیستم رمزگزاری end – to – end برای تامین امنیت استفاده کند .  سیستم رمزگذاری «end-to-end» پیام‌ فرستنده را در مبدا رمزگذاری می‌کند به طوری که فقط کاربر دریافت‌کننده می‌تواند آن را رمزگشایی کند. در این صورت کسی جز فرستنده و گیرنده به محتوای پیام‌ دسترسی نخواهد داشت. همچنین در این سیستم رمزگذاری، پیام‌ها به هیچ عنوان روی سرور‌ها ذخیره نمی‌شود، بلکه فقط در دستگاه فرستنده و گیرنده ذخیره می‌شود.
  • (این نکته لزوما دلیلی بر تایید و یا تکذیب نیست من نیست  ) ، نکته دیگر این‌که برخی پیام‌رسان‌های داخلی اجازه برخی فعالیت‌ها را به شما نمی‌دهند؛ مثلا با این ابزارها نمی‌توانید در کانال‌های خبری خارج از ایران عضو شوید یا اگر در آن‌ها عضو بوده‌اید به محض استفاده از این پیام‌رسان‌ها به صورت اتوماتیک از کانال خارج می‌شوید. همچنین این اپلیکیشن‌ها شما را در برخی کانال‌های داخلی عضو می‌کند و اجازه خروج هم به شما نمی‌دهد؛ این یعنی دخالت آشکار در حریم خصوصی شما.
  • اگر در فضاهای مجازی فعالیت‌های خاصی انجام می‌دهید به این مسئله بسیار دقت کنید؛ چرا که دسترسی دیگران به اطلاعات و محتوای اپلیکیشن‌های ارتباطی شما بسیار خطرناک است و ممکن است برای‌تان دردسرساز شود.

در نهایت :

من در مقام مسئولی نیستم که قادر به اظهار نظر در رابطه با خوب یا بد بودن فیلتر دن تلگرام باشم ، اما چیزی که برام مهمه آموزش . آموزش اینکه در دنیای اینترنت هیچ کس به اندازه خومون توانایی محافظت از خودمون نداره .

در جامعه ای که ظرفیت نقد پذیری درونش به قدری پایین که حکومت حاضر شده خسارت های ناشی از فیلترینگ پرداخت کنه اما توانایی حل مشکلات مهم تر از قبیل آب و … نداره پس خیلی هم نباید به تبلیغاتش برای استفاده از هر چیزی اهمیت داد. 

لینک های بیشتر :

لینکستان : با موضوع امنیت 
هاون ، ابزار نظارت شخصی
احتیاط شرط عقله ؟
امین ثابتی : یکشنبه ها با امنیت دیجیتال 
چرا جایگزین‌های تلگرام ناامن و غیرقابل اعتمادند؟

 

 

 

 

چرا بی طرفی شبکه باید برای همه اهمیت داشته باشد.

در آخرین روزهای تعطیلات نوروز خبرهای ضد و نقیضی مطرح شد درباره احتمال فیلتر تلگرام  و جایگزینی نمونه داخلی به بهانه محافظت از امنیت داخلی . اگر به یاد داشته باشین در چند سال گذشته همیشه در امریکا بحث شنود تماس تلفنی مردم مطرح بوده و با واکنش های اعتراضی از سوی مردم روبرو شده . شاید بد نباشه گاهی ماهم یاد بگیریم که چطور روش های اعتراضی مسالمت آمیز  استفاده کنیم.

ویدیویی که در زیر قرار دادم درباره اهمیت بی طرفی شبکه حرف میزنه . درسته که خیلی از سرویس هایی که اسم میاره با اینترنتی که ما ازش استفاده میکنیم بصورت پیش فرض یا فیلتر باشن یا به دلیل سرعت کم اون ها طرفداری نداشته باشن اما بد نیست که این اهمیت رو بارها به خودمون یاداوری کنیم تا مبدا روزی بخواهیم حسرت بخوریم .

هاون ابزار نظارت شخصی

همونطور که قبلا توی لینکستان  گفتم ، این بار به معرفی اپلیکیشن هاون
اختصاص پیدا میکنه :

هاون :

یک اپلیکیشن نظارتی برای جلوگیری از سرقت دیوایس (ابزار) سخت افزاری
مثل موبایل .  که هرکدوم از ما از ابزار های سخت افزاری مختلف
در طول روز استفاده میکنیم .

که مهمترین اونها گوشی های تلفن همراه ماست . و  چون تلفن های همراه پر هستند از چیپست هایی که قابلت نظارتی  دارند و اینکه سرویس های اطلاعاتی بزرگ از اونها برای نظارت علیه ما استفاده میکنند .

پس چرا خود ما از اونها برای تامین امنیت خودمون استفاده نکنیم ؟

هاون یک نرم افزار متن باز که فعلا برای گوشی های اندوریدی ارائه شده و از چیپست های تلفن همراه مثل دوربین ، بلندگو و …. استفاده میکنه و در صورت هرگونه تغییری در محیطش که براش ناشناس باشه به مالک گوشی حبر میده .

ایده اینه که امروزه تلفن های همراه با بهترین الگوریتم های رمز نگاری هم در معرض سرقت فیزیکی قرار دارند ، پس باید به دنبال راهی بود که از همه امکانات گوشی به نفع خودمون استفاده کنیم .

این پروژه توسط گاردین پروجکت و آزادی مطبوعات  اجرا شده و در حال توسعه است و اسنودن ایده استفاده از این ابزارهار رو برای افزایش سطح امنیتی مطرح کرده و در پشت صحنه این اپلیکیشن قرار داره .

برای مثال اگر شما یک ذخیره کننده داده برروی لپتاپ خودتون داشته باشید ، هاون میتونه با رکورد کردن هرگونه حرکت و جابه جایی ناشناس با استفاده از SMS  و یا از طریق ایمیل به صاحب اون ابزار خبر بده .

میکا لی یکی از اعضای آزادی مطبوعات ، کسی که به راه اندازی و تست اپلیکیشن کمک کرده درباره هاون میگه :

که در آینده ویژگی های دیگه ای مثل استفاده از اینترنت برای اطلاع رسانی و جلوگیری از کاهش باتری به این اپلیکیشن اضافه میشه .

“از هاون به عنوان یک سیستم ارزان قیمت در تامین امنیت خانه ها و ادارات هم میشه استفاده کرد .”

هاون رو از گوگل پلی میتونید دانلود کنید .اسنودن، که به روسیه تبعید شده است، قبلا به توسعه یک مورد برای گوشی  آیفون کمک کرده  که هنگامی که یک دستگاه ،اطلاعاتی را ارسال می کند  می تواند کاربران را در معرض خطر تشخیص قرار دهد.  او پیشتر  توصیه کرده بود که مردم از Dropbox بیرون بروند و از استفاده از گوگل و فیس بوک اجتناب کنند و به طور کامل توضیح داده است که چرا جمع آوری داده ها “مشکل اصلی آینده است“.

لینکستان

بعد از تاخیر نسبتا طولانی ، لینکستان این بار  شروع میکنم  .
این ماه با شلوغی هاش این نکته رو که باید در هرشرایطیلینکستان
به فکر امنیت خودمون و اطرافنیانمون باشیم  ، بیشتر از همیشه
مطرحش کرد  پس لینکستان  این ماه اختصاص پیدا
میکنه به آموزش امنیت .

لینک های شخصی :

  • علی مولایی که وبلاگش منبع کاملی برای دوستداران دنیای اپن سورس
  • آرش کدخدایی یا به قول خودش فانی لنسر که از وب و انسان مینویسه توی وبلاگش ، از وبلاگش حتما دیدن کنید که کلی ایده جذاب بهتون میده
  • ارشاد نیکخواه که حتما میشناسیدش و این روزها رو آورده به سمت وبلاگ نویسی

لینک های عمومی :

  • بی خوف دانشنامه ای که با ایده گسترش امنیت در فضای مجازی و اینترنت شکل گرفته و داره پیش میره.
  • اگر به دنبال چایی برای از نو خوندن و از نو نوشتن در زمینه امنیت در فضای مجازی هستین ، های لنو منبع خوبی برای شروع .

منابع داخلی :

  • اگر دنبال منبع أموزشی هستید برای یاد گیری زبان انگلیسی سری به وبلاگ یرما بزنید ، یرما رو رضا کشاورز راه انداخته تا دونسته هاش در زبان انگلبسی  به اشتراک بزاره .
  • برای آموزش برنامه نویسی هم میتونید به کافه پایتون برید تا با اصول برنامه نویسی پایتون آشنا بشید و اگه علاقمند شدید این دنیا رو بشکل حرفه ای تر دنبال کنید .

منابع خارجی :

استارت آپ ها :

  • استارتاپ این ماه هم با توجه به قسمت های دیگه امنیتی انتخاب کردم ، که اختصاص پیدا میکنه به استارتاپ هاون (Haven) که توسط اسنودن و تیم گاردین پروجکت داره توسعه پیدا میکنه . ایده اینه که از گوشی های هوشمند ابزار نظارتی بسازه برای افراد .[هاون رو در نوشته های بعدی کاملا معرفی میکنم .]

تلگرام :

  • تلگرام این ماه به خاطر مشکلات فیلترینگ کرکرش و آوردم پایین تا به وقتش دوباره افتتاحش کنم .

اختصاصی این ماه :

  • اختصاصی این ماه به معرفی تور و مرورگر اون اختصاص میدم که ، فعلا امنترین ابزار موجود برای گشت و گذار در محیط اینترنت.

کمپین ماه :

  • کمپین این ماه هم اختصاص پیدا میکنه به کمپین اشغال فلش در محیط وب که راه نفوذ معروف برای حملات سایبری به حساب میاد .

پیشنهاد فیلم :

پیشنهاد موسیقی :

  • یاور همیشه مومن – داریوش