بد یا بدتر

اخیرا که تلگرام فیلتر شده و در فاز بعدش فیلترشکن هاهم شروع به بسته شدن کردن به لطف دوست مون که دستش روی دکمه فیلترینگ نمیره (:

مردم برای استفاده از گزینه های جایگزین تلگرام به سمت موارد دیگه سرایز شدن . در این شرایط ؛ همونطور که قبلا هم گفتم انتخاب گزینه های داخلی اصلا به صلاح نیست پس راه حل چیه ، انتخاب گزینه های ایمن .

سوالی که پیش میاد اینه که در بین گزینه های پیام رسان موجود کدوم ایمن تره ؟ 

از بین گزینه های موجود استفاده از مواردی که از الگوریتم های end-to-end استفاده میکنند گزینه های امن فعلی به حساب میان . به صورت ساده تر الگوریتم end-to-end :

یک سیستم ارتباطی است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام‌ها هستند. در این شیوه ارتباطی، شنود کلیدهایی که برای رمزگذاری مکالمه استفاده می‌شود برای هیچ فردی از جمله رساننده خدمات اینترنتی و ارائه دهندگان خدمات مخابراتی امکان‌پذیر نخواهد بود. در رمزگذاری سرتاسر از آنجا که هیچ شخص دیگری امکان کشف داده‌های در حال مبادله یا ذخیره را ندارد، امکان مراقبت و دستکاری غیرممکن است. به همین دلیل شرکت‌هایی که از شیوه رمزگذاری سرتاسر استفاده می‌کنند، نمی‌توانند پیام‌های مشتریان خود را به مقامات امنیتی ارائه دهند.

از بین گزینه های پیام رسان موجود signal و whatsup از مواردی هستند که از این الگوریتم استفاده میکنند .

این وسط پیام رسان signal به تازگی توسط گروهی از هکر های کلاه سفید در آرژانتین تونستند که این پیام رسان هک کنند . داستان از این قرار که دو متخصص امنیت نرم افزار ، ایوان اریال و الفردو اورتگا داشتن داخل سیگنال چت میکردند که یکی از اونها آدرسی وبسایتی که آسیب پذیری xss payload داشته برای نفر دوم میفرسته و بصورت اتفاقی آسیب پذیری اجرا میشه .

xss که بعنوان cross-site scripting هم شناخته میشه ، نوعی آسیب پذیری مرسوم که مهاجم از طریق اون کد مخربشو به برنامه مورد نظرش تزریق میکنه .

بعد از بررسی های صورت گرفته اعلام کردند که این آسیب پذیری از طریق تابعی که وظیفه به اشتراک گذاشتن لینک ها روداره تونسته اجرا بشه که به مهاجم ها اجازه میده از طریق محتوایی که داخل برنامه به اشتراک گذاشته اند  آسیب پذیری تزریق کنند .

این آسیب پذیری به سرعت توسط تیم توسعه دهنده سیگنال درهفته ای که گذشت  برطرف شد.

با بررسی های بیشتری که توسط این تیم هکر صورت گرفته اعلام کردند که این آسیب پذیری خطرناک نیست و همچنان از سیگنال به عنوان یکپیام رسان ایمن میشه استفاده کرد .

بد یا بدتر :

سیگنال با داشتن حتی آسیب پذیری هم هنوز نسبت پیام رسان های داخلی از امنیت بیشتری برخورداره ، چرا که از الگوریتم  end to end  برای تامین امنیت کاربرانش استفاده میکنه و این مزیت اصلی اون نسبت به پیام رسان های داخلی .

پی نوشت : 

از اونجایی که هیچ برنامه ای صد در صد ایمن نیست لازم دونستم که درباره آسیب پذیری های سیگنال هم بنویسم ، اما هنوز معتقدم که به دلیل مزایای پیام رسانی مثل سیگنال ازجمله امنیت لازمه که از اون برای جاگزین های احتمالی تلگرام استفاده کنیم .

 

احتیاط شرط عقله ؟

از قدیم ضرب المثلی مرسوم بود که :

احتیاط شرط عقله

اینکه آیا واقعا هست چیزی که این روزها زیاد باید بهش توجه کرد . من به عنوان شهروند در مقامی نیستم که بتونم درباره اتفاقات اخیر اظهار نظری بکنم اما از اونجایی که ما چیزی به اسم اینترنت آزاد نداریم لازم دونستم که مواردی برای حفظ امنیت خودمون در هر شرایطی ، اینجا بهش اشاره کنم .

احتیاط شرط عقله ؟

چگونه دولت و هرکسی را در جاسوسی کردن از خودمان متوقف کنیم ؟

  • اول از همه ، وبکم کامپیوتر خود را ببندید :

یکی از موارد ترسناکی که توسط اسنودن مطرح شد این بود که دولت ها توانایی کنترل دوربین وبکم شما را حتی از راه دور هم دارند . اگر دانش کمی هم در کامپیوتر داشته باشید ، با کمی جستجو در اینترنت موارد گوناگونی از نحوه دسترسی به دوربین های وبکم را به راحتی پیدا میکنید . استفاده  از یک تکه کوچک کاغذ به راحتی شما را دربرابر این مورد ایمن می نماید.

  • وی پی ان (VPN) خود را داشته باشید :

شبکه مجازی خصوصی یا (VPN) بصورت موثر آی پی و ترافیک مصرفی شما را از تغییر میدهد .بنابراین همه فعالیت شما از دید سرویس دهنده اینترنت مخفی می ماند .

اساسا ، زمانی که شما به سرویس دهنده اینترنت یا (ISP) متصل میشوید ، و سپس  هر وبسایت و یا هر محتوایی که در خواست کرده اید در دسترس شما قرار میگیرد .بنابراین همه فعالیت شما زیر نظر سرویس دهنده اینترنت خواهد بود .

اما زمانی که از وی پی ان استفاده میکنید ، آی پی شما با توجه به کشوری که  وی پی ان از آن سرویس میگیرد تغییر میکند بنابراین سرویس دهنده اینترنت شما تصور میکند که شما از کشور محل وی پی ان به  آن متصل شده اید .

به این وسیله فعالیت شما از نظر سرویس دهنده اینترنت و در نتیجه دولت مخفی میماند.

توجه : از هر منبعی وی پی ان دانلود نکنید فقط از منابع رسمی مانند وبسایت های شرکت های تولید کننده و یا استور های موبایل ، چرا که منابع غیر رسمی محل مناسبی برای انتقال فایل های مخرب می باشد .

  • دیسکانکت را نصب کنید :

افزونه دیسکانکت به شما امکان مدیریت وبسایت هایی که فعالیت شما را ردگیری میکنند می دهد .

در سالهای اخیر شرکت های بزرگ به دنبال توسعه ابزارهایی بودند که بتواند فعالیت شما را در محیط اینترنت رد گیری کرده و آنرا به شرکت های تبلیغاتی می فروشند .

توجه ۲ :یکی از بزرگترین این شرکت ها شرکت گوگل است که بصورت علنی اعلام میکند درصورتی که خواستار استفاده از سرویس های وی هستید باید این اجازه را بدهید که فعالیت شما را در محیط اینترنت رصد کرده و آنرا به شرکت های دیگر بفروشد .

توجه ۳ :راه حل جایگزین استفاده از مرورگر تور و موتور جستجور داک داک گو می باشد .

  • از HTTPS استفاده کنید :

این مورد به اندازه کافی در برابر دولت ها موثر نیست اما گزینه مناسبی برای حفظ امنیت در برابر سارقان اینترنتی می باشد .

بدون شک متوجه شده اید زمانی که میخواهید از درگاه های پرداخت اینترنتی استفاده کنید HTTP از آدرس وبسایت به HTTPS تغییر می یابد .HTTPS فقط راهیست برای آنکه مطمئن شوید وبسایتی که از آن بازدید میکنید واقعا همانی است که مد نظر شماست .

از آنجا که اکثر وبسایت های حساس مانند بانک ها از HTTPS استفاده میکنند – اما نه همه آنها – شما میتوانید با فعال سازی افزونه HTTPS-Everywhere که از طریق Electronic Frontier Foundation قابل دانلود است جستجوی خود را در اینترنت ایمن نماید .

  • از یک ایمیل رمز گذاری شده امن استفاده کنید :

امنیت ایمیل شما از طریق شخص ثالثی همیشه در معرض خطر است . سابقا بهترین گزینه  الگوریتم PGP که هنوز هم از آن استفاده میشود اما راه اندازی آن برای بسیاری از مردم نسبتا آزار دهنده می باشد .

با این حال، اکنون گزینه های بسیار بیشتری دارید. برای مثال ProtonMail، یک سرور ایمیل است که به طور پیش فرض به طور کامل رمزگذاری شده ، بنابراین شما مجبور نیستید بیش از حد در مورد آن نگران باشید.

اما اگر به امنیت زیادی نیاز دارید – اگر در فعالیت های حقوق بشر کار می کنید یا مثلا یک روزنامه نگار تحقیقاتی هستید، این ممکن است به اندازه کافی امن نباشد. برای اکثر مردم، با این حال، به اندازه کافی نیازهای اولیه را برطرف میکند.

  • از پیام رسان هایی که از الگوریتم های رمزنگاری استفاده میکنند ، مهاجرت کنید :

به طور مشابه، برنامه های پیام رسانی رمزگذاری شده این روزها بسیار شایع تر از گذشته هستند – و حتی برنامه های اصلی مانند WhatsApp، iMessage و Facebook Messenger به طور پیش فرض رمزنگاری END to END زا ارائه میدهند .

اما حتی با این نگاه شما نمیتوانید از فیسبوک و اپل بخواهید که سطح دسترسی خود به اطلاعات شما را کاهش دهند حتی اگر ارتباطات خود را با دولت به کلی قطع نمایند .

بنابراین شما میتوانید از پیام رسان Signal که توسط Whisper Systems پیاده سازی و فعالیت میکند استفاده کنید . این پیام رسان توسط اسنودن  مورد تایید قرار گرفته است .

  • …سایر مواردی که هکر ها میتوانند جاسوسی شما را نمایند :

حتی اگر دولت ها به طور خاص به جاسوسی از شما نپردازند ، این امکان برای هرکسی که آشنایی با سیستم های مخابراتی داشته باشد وجود دارد تا از رفتار شما در اینترنت جاسوسی نمایند .

ارکا کوویونن مشاور متخصص امنیت سایبری شرکت F-Secure میگوید :

اگر چه شرکت های مخابراتی مشتاقانه می گویند که آنها بر رفتار مشتریان خود در فضای مجازی جاسوسی نمی کنند، اما آنها باید از اجرای قانون پیروی کنند – به طوری که آنها می توانند تشخیص اینکه آیا شما شروع به حمله DDOS یا هر چیز دیگری می کنید ، بدهند.

این بدیهی است که بسیار مفید می باشد چرا که دولت ها باید از وقوع جرم جلوگیری کرده ، پس به این دسترسی ها نیاز دارند .

اما در این سالها شاهد موارد متعددی بوده ایم  که شخصی برای یکی از شرکت های مخابراتی کار میکرده و شروع به جاسوسی از اعضای خانواده ، همکاران ، دوست پسر و یا دوست دختر سابق خود و یا شروع به جاسوسی از یکی از مقامات دولتی کرده است .

بنابراین این یک نیاز واضح و متفاوت است که مردم دربرابر این چنین تهدیداتی نیز مجهز شوند.

ما باید بگویم ، اگر جه این شرکت ها به سرعت پاسخ میدهند که این کار توسط کارمندان و به صورت خودسرانه انجام می گیرد و در صورت مشاهده با شخص خاطی برخورد انضباطی میشود.

احتیاط شرط عقله ؟

  • کاهش فضای اسیب پذیر :

احتمالا مشکلی برای شخص یا افرادی که بخواهند از شما جاسوسی کند وجود ندارد درصورتی که فقط میکروفن گوشی شما را از راه دور روشن کرده و شروع به ضبط صدا نماید .

کاهش فضای آسیب پذیر به معنای بستن و یا غیر فعال کردن پورت های فیزیکی بر روی دستگاه شماست که در صورت فعال بود امکان حاسوسی برای فرد و یا افرادی را فراهم میکند .

این کمی پیچیده و طولانی است اما دستور العمل هایی برای کاهش آسیب پذیری ها وجود دارد که به صورت رایگان در اینترنت منتشر شده است . به عنوان مثال دولت استرالیا دستورالعمل جامعی در این زمینه دارد هرچند که ویژه مقامات دولتی است اما بصورت رایگان منتشر شده است .

ساده ترین شکل کاهش آسیب پذیری ها موردی است که در ابتدا ذکر شد و همان پوشاندن دوربین وبکم دستگاه مورده استفاده شماست .

  • مراقب لوازم هوشمند باشید :

اگر میخواهید خانه خود را هوشمند کنید باید آگاه باشید که این ابزار نیز میتوانند مورد سوء استفاده قرار گیرند .

مردم واقعا به مفهومی که این روزها بسیار مطرح شده به نام اینترنت چیزها تا تابستان گذشته فکر نمیکردند ، زمانی که پژوهش گران متوجه شدند تنها با هک کردن یخچال هوشمند سامسونگ امکان دسترسی به اطلاعات جیمیل افراد وجود دارد .

سپس در اکتبر سال جاری، متوجه یک حمله DDoS سراسری شدند که توییتر، Spotify و دیگر سایت های محبوب را در سراسر جهان با هک کردن دستگاه های هوشمند انجام داد، نه کامپیوترها -و لوازم هوشمند نشان دادند که چگونه آسیب پذیر هستند.

بنابراین اگر شما دستگاه های هوشمند را در  خانه خود می خواهید، لازم است اقدامات احتیاطی بیشتری به منظور محافظت از آنها انجام دهید، مثلا، در مورد نصب نسخه های به روز رسانی امنیتی و با استفاده از احراز هویت چند منظوره (به جای اینکه تنها با یک رمز عبور) در صورت امکان، استفاده کنید. آنها را به شبکه اصلی کامپیوتر اصلی خود متصل نکنید و هرگز آنها را به WiFi عمومی وصل نکنید.

  • فکر کنید که آیا واقعا نیاز به استفاده از Tor دارید:

در صورتی که نمی دانید، Tor یک مرورگر ایمن است که اساسا آدرس IP شما را دوباره مرتب می کند تا مکان شما شناسایی نشود.

 با این حال، استفاده از VPN برای اکثر افراد  به اندازه کافی  مناسب است. اگر بخواهید به هر دلیلی به وب تاریک بروید، مرورگر Tor واقعا مفید است.

 با استفاده از Tor ، مردم به اشتباه از چیزهایی مانند فیس بوک و گوگل استفاده می کنند. متاسفانه، اگر از Tor برای چیزهای روزمره مثل این موارد استفاده می کنید، شما به طور خودکار موقعیت خود را به خطر می اندازید.

  • و در نهایت مراقب سلامت روان خود باشید :

میزان کافی در تلاش برای حفظ حریم شخصی  همیشه مفید و قابل پذیرش است . اما به این نکته توجه داشته باشید که همیشه موارد پیش بینی نشده ای وجود دارد که امکان به خطر انداختن امنیت شما را ایجاد می کند .

در صورتی که بیش از پیش درگیر این امر شدید لازم است تا با مراجعه به روانشناس از سلامت روان خود مطمئن شوید .

 

 


پ ن :

این نوشته ترجمه ای آزاد با اندکی تغییر از “How to stop the government and everyone else from spying on you” نوشته آشیتا ناگش است .

از پس سعی میکنم در آخرین چهار شنبه هر ماه به بررسی روش های حفظ امنیت شخصی در محیط اینترنت تحت عنوان چهارشنبه ها با امنیت بپردازم.

مطالب مرتبط :

خبر از دروغ تا واقعیت 
زلزله و جنبش های خیابانی سه تفاوت و یک شباهت 
نکاتی برای حفظ امنیت