بد یا بدتر

اخیرا که تلگرام فیلتر شده و در فاز بعدش فیلترشکن هاهم شروع به بسته شدن کردن به لطف دوست مون که دستش روی دکمه فیلترینگ نمیره (:

مردم برای استفاده از گزینه های جایگزین تلگرام به سمت موارد دیگه سرایز شدن . در این شرایط ؛ همونطور که قبلا هم گفتم انتخاب گزینه های داخلی اصلا به صلاح نیست پس راه حل چیه ، انتخاب گزینه های ایمن .

سوالی که پیش میاد اینه که در بین گزینه های پیام رسان موجود کدوم ایمن تره ؟ 

از بین گزینه های موجود استفاده از مواردی که از الگوریتم های end-to-end استفاده میکنند گزینه های امن فعلی به حساب میان . به صورت ساده تر الگوریتم end-to-end :

یک سیستم ارتباطی است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام‌ها هستند. در این شیوه ارتباطی، شنود کلیدهایی که برای رمزگذاری مکالمه استفاده می‌شود برای هیچ فردی از جمله رساننده خدمات اینترنتی و ارائه دهندگان خدمات مخابراتی امکان‌پذیر نخواهد بود. در رمزگذاری سرتاسر از آنجا که هیچ شخص دیگری امکان کشف داده‌های در حال مبادله یا ذخیره را ندارد، امکان مراقبت و دستکاری غیرممکن است. به همین دلیل شرکت‌هایی که از شیوه رمزگذاری سرتاسر استفاده می‌کنند، نمی‌توانند پیام‌های مشتریان خود را به مقامات امنیتی ارائه دهند.

از بین گزینه های پیام رسان موجود signal و whatsup از مواردی هستند که از این الگوریتم استفاده میکنند .

این وسط پیام رسان signal به تازگی توسط گروهی از هکر های کلاه سفید در آرژانتین تونستند که این پیام رسان هک کنند . داستان از این قرار که دو متخصص امنیت نرم افزار ، ایوان اریال و الفردو اورتگا داشتن داخل سیگنال چت میکردند که یکی از اونها آدرسی وبسایتی که آسیب پذیری xss payload داشته برای نفر دوم میفرسته و بصورت اتفاقی آسیب پذیری اجرا میشه .

xss که بعنوان cross-site scripting هم شناخته میشه ، نوعی آسیب پذیری مرسوم که مهاجم از طریق اون کد مخربشو به برنامه مورد نظرش تزریق میکنه .

بعد از بررسی های صورت گرفته اعلام کردند که این آسیب پذیری از طریق تابعی که وظیفه به اشتراک گذاشتن لینک ها روداره تونسته اجرا بشه که به مهاجم ها اجازه میده از طریق محتوایی که داخل برنامه به اشتراک گذاشته اند  آسیب پذیری تزریق کنند .

این آسیب پذیری به سرعت توسط تیم توسعه دهنده سیگنال درهفته ای که گذشت  برطرف شد.

با بررسی های بیشتری که توسط این تیم هکر صورت گرفته اعلام کردند که این آسیب پذیری خطرناک نیست و همچنان از سیگنال به عنوان یکپیام رسان ایمن میشه استفاده کرد .

ید یا بدتر :

سیگنال با داشتن حتی آسیب پذیری هم هنوز نسبت پیام رسان های داخلی از امنیت بیشتری برخورداره ، چرا که از الگوریتم  end to end  برای تامین امنیت کاربرانش استفاده میکنه و این مزیت اصلی اون نسبت به پیام رسان های داخلی .

پی نوشت : 

از اونجایی که هیچ برنامه ای صد در صد ایمن نیست لازم دونستم که درباره آسیب پذیری های سیگنال هم بنویسم ، اما هنوز معتقدم که به دلیل مزایای پیام رسانی مثل سیگنال ازجمله امنیت لازمه که از اون برای جاگزین های احتمالی تلگرام استفاده کنیم .

 

چهار شنبه ها با امنیت ۱

روش های حفظ امنیت تلفن همراه در دوران پسا تلگرام :

از چند که خبر فیلترینگ تلگرام بر روی خبر گذاری ها مخابره شد و واکنش های مختلفی در بر داشت ، تصمیم گرفتم که مجموعه چهارشنبه ها با امنیت که قبلا گفته بودم با همین ایده شروع کنم .

[امنیت موبایل]

این روزها که نظرات مختلف درباره امکان و عدم امکان فیلترینگ تلگرام مطرح میشه که گاها میتونن نظرات غیر واقعی و یا نادرست باشن . پس لازمه که حتما از منبع انتشار هر خبری در این رابطه اول مطمئن بشین .

در ادامه لازمه که به موارد زیر توجه کنین :

    • از هر منبعی فیلترشکن دانلود نکنید :

این روزها به دلیل نبود منبعی درست و یا عدم آگاهی های لازم مردم این امکان برای افراد سودجو و بعضا حکومت پدید اومده که با انتشار بد  افزارهایی در قالب فیلترشکن ، تلگرام بدون فیلتر ، برنامه های مشابه تلگرام مثل موبوگرام ، نارنجی گرام و … ، توانایی شنود و دسترسی به اطلاعات موجود بر روی تلفن همراه شما فراهم بشه .

  • سطح دسترسی برنامه های نصب شده بر روی گوشی  خود را بازنگری کنید :

هر برنامه قبل از نصب شدن برروی سیستم عامل تلفن همراه بسته به نیاز خود امکان دسترسی به یک یا چند منابع موجود بر روی تلفن همراه مانند ، موقعیت یاب تلفن (GPS و Location) ، استفاده از دوربین تلفن همراه ، دسترسی به لیست مخاطبین و … درخواست میکند . این امر باتوجه به کارکرد نرم افزار متفاوت است . برای مثال تلگرام باتوجه به سازوکارش نیاز به دسترسی به لیست مخاطبین شما را دارد .

[اخیرا ، گزارش هایی مشاهده شده از اپلیکیشن موبایل بانک قوامین که پس از بروز رسانی به آخرین نسخه درخواست دسترسی به لیست مخاطبین ، گالری ، موقعیت گوشی را دارد و در صورت عدم اجازه برنامه دیگر کار نخواهد کرد .]

  • در انتخاب پیام رسان جایگزین دقت کنید :

جدا از بحث برنده و یا بازنده بودن نبرد میان تلگرام و حکومت ، به این نکته توجه کنید که درصورتی که راه حلی قطعی برای فیلتر تلگرام بدست آمده و مجبور به مهاجرت دائمی به پیام رسان بعدی شدید  ، هر پیام رسانی که بسته به میل و نیاز خود آنرا انتخاب می کنید حتما باید ویژگی های زیر را داشته باشد  :

  • پیام رسان جایگزین از سیستم رمزگزاری end – to – end برای تامین امنیت استفاده کند .  سیستم رمزگذاری «end-to-end» پیام‌ فرستنده را در مبدا رمزگذاری می‌کند به طوری که فقط کاربر دریافت‌کننده می‌تواند آن را رمزگشایی کند. در این صورت کسی جز فرستنده و گیرنده به محتوای پیام‌ دسترسی نخواهد داشت. همچنین در این سیستم رمزگذاری، پیام‌ها به هیچ عنوان روی سرور‌ها ذخیره نمی‌شود، بلکه فقط در دستگاه فرستنده و گیرنده ذخیره می‌شود.
  • (این نکته لزوما دلیلی بر تایید و یا تکذیب نیست من نیست  ) ، نکته دیگر این‌که برخی پیام‌رسان‌های داخلی اجازه برخی فعالیت‌ها را به شما نمی‌دهند؛ مثلا با این ابزارها نمی‌توانید در کانال‌های خبری خارج از ایران عضو شوید یا اگر در آن‌ها عضو بوده‌اید به محض استفاده از این پیام‌رسان‌ها به صورت اتوماتیک از کانال خارج می‌شوید. همچنین این اپلیکیشن‌ها شما را در برخی کانال‌های داخلی عضو می‌کند و اجازه خروج هم به شما نمی‌دهد؛ این یعنی دخالت آشکار در حریم خصوصی شما.
  • اگر در فضاهای مجازی فعالیت‌های خاصی انجام می‌دهید به این مسئله بسیار دقت کنید؛ چرا که دسترسی دیگران به اطلاعات و محتوای اپلیکیشن‌های ارتباطی شما بسیار خطرناک است و ممکن است برای‌تان دردسرساز شود.

در نهایت :

من در مقام مسئولی نیستم که قادر به اظهار نظر در رابطه با خوب یا بد بودن فیلتر دن تلگرام باشم ، اما چیزی که برام مهمه آموزش . آموزش اینکه در دنیای اینترنت هیچ کس به اندازه خومون توانایی محافظت از خودمون نداره .

در جامعه ای که ظرفیت نقد پذیری درونش به قدری پایین که حکومت حاضر شده خسارت های ناشی از فیلترینگ پرداخت کنه اما توانایی حل مشکلات مهم تر از قبیل آب و … نداره پس خیلی هم نباید به تبلیغاتش برای استفاده از هر چیزی اهمیت داد. 

لینک های بیشتر :

لینکستان : با موضوع امنیت 
هاون ، ابزار نظارت شخصی
احتیاط شرط عقله ؟
امین ثابتی : یکشنبه ها با امنیت دیجیتال 
چرا جایگزین‌های تلگرام ناامن و غیرقابل اعتمادند؟

 

 

 

 

چرا بی طرفی شبکه باید برای همه اهمیت داشته باشد.

در آخرین روزهای تعطیلات نوروز خبرهای ضد و نقیضی مطرح شد درباره احتمال فیلتر تلگرام  و جایگزینی نمونه داخلی به بهانه محافظت از امنیت داخلی . اگر به یاد داشته باشین در چند سال گذشته همیشه در امریکا بحث شنود تماس تلفنی مردم مطرح بوده و با واکنش های اعتراضی از سوی مردم روبرو شده . شاید بد نباشه گاهی ماهم یاد بگیریم که چطور روش های اعتراضی مسالمت آمیز  استفاده کنیم.

ویدیویی که در زیر قرار دادم درباره اهمیت بی طرفی شبکه حرف میزنه . درسته که خیلی از سرویس هایی که اسم میاره با اینترنتی که ما ازش استفاده میکنیم بصورت پیش فرض یا فیلتر باشن یا به دلیل سرعت کم اون ها طرفداری نداشته باشن اما بد نیست که این اهمیت رو بارها به خودمون یاداوری کنیم تا مبدا روزی بخواهیم حسرت بخوریم .

گوگل خبیث ، گوگل دوست داشتنی

تا حالا به محصولاتی که گوگل دقت کردین ، از ارسال ایمیل ، فکس دسته بندی عکس ها و …. تا گوگل کد ، گوگل اسکولار و ابزار هایی از این دست .این ابزار ها هرکدومشون بنا به سیاست های گوگل و یا فشار هایی که بهش وارد میشه روی ما یا فیلتر میشن یا از اساس زیر ساخت هاش قابل پیاده سازی داخل کشور نیست .

[البته صحبت از فیلترینگ توی کشوری که اینترنت به هر بهونه ای فیلتر میشه ، و جدیدا هم که معلوم شده بلای خانمان سوزه بیشتر شکل با نمک داره تا جنبه اعتراض آمیز  (: ]

[گوگل خبیث ، گوگل دوست داشتنی]

اما توی این نوشته هدفم اصلا صحبت راجع به فیلترینگ داخلی یا خارجی نیست (:  ، همونطور که اول هم گفتم تا حالا به لیست محصولاتی که گوگل به صورت رایگان در اختیار کاربرانش فرار میده دقت کردین ؟

همه این محصولات شامل شخصی ترین قسمت ها مثل گوگل فتو ( برای مدیریت عکس ها ) ، جیمیل معروفترین سرویس گوگل تا گوگل کد ( آرشیوی از کد های مختلف ) و ابزار هایی که ارائه کرد و یا شکست خورد مثل گوگل گلس و یا بازار جهانی رو بدست آورد مثل پلتفرم آندروید .

البته نه خیلی اخیرا  ، گوگل شروع کرده بصورت رسمی از تمام کسانی که از موتور جستحوش استفاده می کنن باهاشون قرار دادی امضا میکنه که تمام استفاده اشون از سرویس های رایگان گوگل  ذخیره و برای درآمد زایی به شرکت هایی که نیاز دارن فروخته میشه .

قضیه به این معنی که گوگل داره تبدیل میشه به برادر بزرگتر که داره همه فعالیت های منو زیر نظر میگیره و بسته به سلیقه ای که دارم و گذشته ای که دارم اطلاعات برام دسته بندی میکنه و بهم نمایش میده ، این کار هم با کمک سرویس هایی که من دارم ازشون استفاده میکنم انجام میده .

به خودی خود این داستان بدی ها و خوبی هایی هم داره . اول از همه این کار یجور خودسانسوری به حساب میاد که من به دست خودم انجام میدم ، با توجه به این نکته که قبلا مجوزشو دادم .

اما با حساب این امر که من یه عالمه ابزار رایگانی دارم که نیاز هامو برطرف میکنه و به شرطی که خودم کاری نکنم که امنیتم به خطر نیفته امنیتمم حفظ میشه .

الیته این یجور انتخاب بین بد و بدتر هم هست چون همزمان با گوگل به دلیل خانمان سوز بودن اینترنت سرویس های مشابه داخلی هم با صرف هزینه های گزاف تولید میشه و مردم و با استفاده از فشار اقتصادی مجبور به استفاده ازش می کنن . [ حالا بماند که این نقض قانون آزادی اینترنت ]

این وسطا اتفاقاتی هم میفته که به نفع من به عنوان مصرف کننده هم هست . تازگی ها مرورگر ایریدیوم  معرفی شده که کد منبع اون مرورگر قدیمی کرومیوم . ایریدیوم با ویژگی هایی که داره میتونه رقیب قابل اعتنایی برای کروم باشه .

گزینه دیگه موتور جستجوی داک داک گو  که با شعار عدم مانیتور کردن عملکرد کاربر در فضای مجازی داره فعالیت میکنه و مثل ایریدیوم رغیب قابل قبولی به حساب میادش ، البته با این تفاوت که گوگل سرمایه کلانی پشت سرش داره که این دوتا ندارن ، اما توی دنیای مجازی که داره یجورایی شکل برده داری به خودش میگیره این ها هنوز روزنه هایی از امید هستن که نباید از دستشون داد .

برای سرویس ایمیل ، سرویس ایمیل پروتون میل که کاملا رمزنگاری شده است و اسنودن هم به شدت استفاده از اونو داره توصیه میکنه ، جایگزینی امن برای ارتباطات ایمیلی به حساب میاد .

نتیجه :

من خودم هم به ناچار توی خیلی از موارد مجبورم و دارم از سرویس های گوگل استفاده میکنم ، اما باید به این نکته توجه داشته باشیم که ما همیشه انتخابامون بین بد و بدتره .

در مقایسه بین موتور جستجوی داخلی یوز و یا پارسی جو که رسما اعلام شدن نتایج جستجوهاشون کاملا سلیقه ایه ، گوگل دید بازتری از دنیای بیرون و به شما میده .  اما اگر نمیخواین از چاله در بیاین و توی چاه بیفتین راجع به گوگل هم باید تجدید نظر کرد .

گوگل شاید با سیاستی که در پیش گرفته کاملا خبیثانه عمل کنه و دوستی خودشو با من کاربر نشون نده اما دشمن منم در مقابل با گزینه های بدتر نیست .

 

 

بیت کوین و چین

در رابطه با بیت کوین و بلاک چین ، این روزها مطالب مختلفی توی وب داره میچرخه و به تناسب قسمتی از این مطالب هم توی وب فارسی میاد

یکی از مواردی که کاملا اتفاقی بهش برخوردم و بسیار برام جالب بود ، خبری بود در رابطه با اینکه دادگاهی در چین  رای داده مبنی بر این که مردم با احتساب پذیرش خطراتش میتونه به صورت قانونی در مبادلاتشون از بیت کوین استفاده کنند .

ماجرا از این قرار بوده که شخصی به نام آقای وانگ توی مبادلاتش مبلغ ۴۰۰۰۰۰ بیت کوین و از دست میده و به دادگاهی در چین شکایت میکنه که براساس تئوری اقتصادی کارل مارکس هر کالا باید دارای  دو عامل ،ارزش – استفاده و ارزش باشد به عبارتی دیگه  کالا باید ارزش و استفاده داشته باشد .

و چون بیت کوین ارزش و استفاده ندارند پس نمیتونه کالا به حساب بیاد .بنابراین معاملاتش باید نامعتبر باشن ، اما دادگاه رای به این داده که :

طبق قوانین و مقررات مربوطه چین، بیتکوین توسط مقامات پولی صادر نمی شود ، لذا  دارای ویژگی های قانونی و پولی نیست، “هیچ قانونی وجود ندارد که مانع از سرمایه گذاری و تجارت بیت کوین شود  “و” مردم حق دارند آزادانه در معاملات تجاری بیت کوین با ریسک خود شرکت کنند

جالبه ، نه کشوری که قوانین بسیار بیشتری در رابطه با فیلترینگ داره  توسط یک دادگاه اجازه استفاده از بیت کوینو به مردمش داده .

به صرف اقتصادی بودن داستان این خیلی جالبه که غول بزرگی مثل چین هم نتونسته مقابل تکنولوژی های جدید از خودش واکنش نشون بده ، البته هیچ بعید نیست با روندی که بیت کوین در پیش گرفته چین هم بخواد پول دیجیتالی خودشو عرضه کنه و اونوقته که قضیه جالبت تر میشه .

در رابطه به بیت کوین و مسائلش میتونید در وبلاگ رضا بیشتر بخونید :