رادیو فردا : تازهترین بخش از برنامه «نگاه تازه» به موضوع ایمنی در اینترنت و فضای مجازی اختصاص داشت. محمود عنایت، پژوهشگر مسائل اینترنتی در دانشگاه آکسفورد، از روشهای ایمنتر کردن اینترنت برای کاربران میگوید.
رادیوفردا: اینترنت، برای این که بتوان در آن رابطه ایجاد کرد، تا چه میزان امن است؟
محمود عنایت: متاسفانه امن نیست. برخلاف تصوری که داریم، آنلاین شدن خود به خود شما را امن نمیکند. خیلی وقتها از روشهای ارتباطی آنالوگ مثل تلفن، نامه یا صحبت کردن ناامنتر است. مخصوصاً برای کسانی که فعال سیاسی - اجتماعی هستند. در حالت کلی در جهان مسئله امنیت آنلاین خیلی مهم است و این که به شهروندان یاد بدهند که چگونه از حساب بانکی آنلاین استفاده کنید و چه چیزهایی را رعایت کنید که این حساب بانکی مورد نفوذ واقع نشود.
دولتها در این زمینه سرمایهگذاری میکنند. بانکها در این زمینه فعال هستند که به شما یاد بدهند که چه طور کامپیوتر شما امن شود.
اگر کسی بخواهد وارد این رابطه شود و از طریق اینترنت ارتباطاتش را سامان دهد و مثلاً فعال اجتماعی یا سیاسی هم باشد، یا یک دانشجویی که داخل این نوع فعالیتهاست، اولین کاری که باید بکند برای ایمنی خودش چیست؟
اولین قدم امنیت سیستم عامل کامپیوتر شماست. باید یک نرمافزار آنتیویروس خوب داشته باشید. یک نکتهای که در ایران هست، چون از نرمافزارهای قفلشکن استفاده میشود، بهروز شدن آنتی ویروس خیلی وقتها انجام نمیشود یا مشکل است.
به عنوان سرمایهگذاری اولیه یک نرمافزار آنتیویروس نصب کنید که بهروز باشد. در قدم دوم یک فایر-وال باید در کامپیوتر خود نصب کنید. این خودش تا حد زیادی کامپیوتر شما را امن میکند. بیشتر کاربران در ایران از سیستم عامل ویندوز استفاده میکنند. قدم سوم این که از مرورگر یا «براوزر»ی که استفاده میکنید حتیالمقدور «اینترنت اکسپلورر» نباشد.
باید بگویم فایرفاکس دوای هر دردی است. استفاده از اکسپلورر با توجه به این که مایکروسافت خیلی سعی میکند امنش کند و ورسیونهای مختلف را مدام آپدیت میکند ولی به دلیل آن ساختار و معماری اولیهاش ناامن است.
چرا این اتفاق میافتد در فایرفاکس؟
روش مایکروسافت این است که کدش «متن – باز» نیست، یعنی اوپن سورس نیست. فایرفاکس کدش «متن – باز» است و این کمک میکند به این که یک جامعه یا کامیونیتی از هکرهایی که میخواهند کار خیر انجام دهند و برنامهنویسی بلدند دائماً مرور میکنند و ایرادهایی که پیدا میشود زود متوجه میشوند.
در مورد «متن – باز» هم یک مقدار توضیح دهید.
ترجمه رایج اوپن سورس است. دو جور کد داریم. یک جور کدی هست که من وقتی برنامه را مینویسم و به شما میدهم، متن برنامه را به شما نمیدهم. من میدانم که آنجا چه میگذرد. یک جور دیگر هست که من آن را میدهم و کد هم به شما میدهم و میگویم این کد را داشته باشید و خواستید عوض کنید. معمولاً متن باز مجانی است و برنامههایی که «متن – باز» نیستند پولی هستند.
قدم اولیه بعدی چه میتواند باشد؟ برای این که ما خودمان را حفظ کنیم از حمله هکرها و اطلاعات و ایمیلهای شخصی ما در دسترس دیگران قرار نگیرد؟
وقتی آنلاین میشوید بستگی دارد که چه کار میخواهید بکنید. در ارتباط ایمیلی مهمترین چیز این است که از چه ایمیلی استفاده میکنید. اگر وببیس است که اکثر مواقع کاربران در ایران از ایمیلهای وببیس استفاده میکنند، مثل یاهو، جیمیل و هات میل. این یک روش است.
یک موقع هم هست که شما سرویس اسامتیپی استفاده میکنید. خودتان یک سرور دارید و این بیشتر در شرکتها رایج است که نرمافزار به صورت آفلاین است که چک میکنند. در قدم اول سرویس ایمیلی باید استفاده کنید که به صورت اتوماتیک میآید ایمیل را رمزگذاری میکند. تنها سرویس مجانی قابل اعتماد الان جیمیل است. جیمیل این کار را میکند. شما وقتی روی سایتی میروید قسمت آدرس را نگاه کنید: آدرس آن در برخی سایتها http است و در بعضی سایتها https . آن s در واقع مخفف کلمه «سکیور» است به معنای «امن». به قسمت آدرس نگاه کنید، نوشته باشد https این به معنای این است که شما هر چیزی را که در مرورگر یا براوزر خود میبینید و میفرستید به طرف دیگر، این رمزگذاری شده.
یعنی ایمیلهای دیگر هیچ کدام قابل اعتماد نیستند؟ یاهو و هات میل؟
قابل اعتماد نیستند به این دلیل که این کانال ارتباطی که بین کامپیوتر شما و سرور یاهو ایجاد میشود، رمز گذاری نیست. عین این است که شما نامهای بنویسید و در پاکت نگذارید. هیچ رمزی رویش نگذارید. همین طور بیندازید به صندوق پست. پستچی یا هر کسی میتواند آن را بخواند. خوبی جیمیل این است که مال شرکت گوگل است و سرمایهگذاری میکند و بهروز نگهش میدارد. امنیتش برایش مهم است. مخصوصاً بعد از اتفاقاتی که اوایل سال پیش افتاد. حملههایی که از چین به گوگل شد.
قدم دوم، حالا وقتی جیمیل هم داشته باشید ولی یک سری موارد را رعایت نکنید، باز فایده ندارد. چون شما از یک مرورگر استفاده میکنید که به جیمیل وصل شوید، امنیت داخلی کامپیوتر شما مهم است و به همین خاطر اول گفتم که نرمافزار آنتیویروس و فایر - وال خیلی مهم است و براوزر خوب. یعنی یک سری حملهها هست که میتوانند متن ایمیل شما یا پسوردی (کلمه عبور) را که وارد میکنید پیدا کنند که ربطی به جیمیل یا گوگل ندارد. آنها امن میماند و در واقع این کامپیوتر شماست که هک شده. اگر یک ویروس برای شما بفرستند یا جاسوسافزار یا اسپایور، اگر آنتیویروس نتواند تشخیص بدهد که این اسپایور است، فایر - وال میتواند جلو آن را بگیرد که این جاسوسافزار روی کامپیوتر شما نتواند با هکر ارتباط برقرار کند.
یک چیز دیگر این که مهم است پسورد خوب انتخاب کردن است.
شنیدهام که میگویند پسورد را باید خیلی دقت کرد، چون بعضی از پسوردها خیلی راحت است.
الان من به شما قول میدهم پسوردی که شنوندههای شما دارند به احتمال خیلی زیاد یک مخلوطی از اسم خانوادگی، اسم خودشان و اسم دوستدختر و شماره تلفن خانه یا تاریخ تولد است.
چون سخت است، اگر بخواهید یک پسورد تصادفی انتخاب کنید، مغز آدم نمیتواند تصادفی انتخاب کند. وقتی دنبال پسورد میروید، دنبال کلمههایی میگردید که برای شما معنایی داشته باشد. مثلاً نمیتوانیم بگوییم «الف، ب، ج، چ»، باید یک معنی داشته باشد. ولی باید سعی کنیم پسوردی که انتخاب میکنیم تصادفی باشد.
چه طور میشود یک پسورد خوب و امن انتخاب کرد؟
به نظر من بهترین راهش این است که به یک جمله فکر کنیم. یک جملهای باشد که در ذهن بماند. اول کلمات اینها را انتخاب میکنم، یکی را کوچک میزنم یکی را حرف بزرگ و بعد یک تاریخ یا شماره تلفن هم وسطش میگذارم. حرف بزرگ و حرف کوچک و یک سری عدد. این بهترین پسورد است.
بعضیها میگویند که استفاده کنیم از نشان بهعلاوه، مساوی...
هر چه قدر کاراکترهای (علائم) غیرمعمول را در پسورد بگذارید بهتر است. یکی از چیزهایی که هست در مورد جیمیل و در ایران شایع شده و من خودم چند موردش را دیدم، این شاید ربط پیدا کند به حرفی که وزیر اطلاعات زد که ما اشراف اطلاعاتی داریم به همه ایمیلهای رمزگذاری شده.
ایمیلی که رمزگذاری شده دو حالت دارد. یکیش را که توضیح دادم. کانال ارتباطی رمزگذاری میشود. یک جور دیگر رمزگذاری این است که متن ایمیل را رمزگذاری کنید و آن متن رمزگذاری شده را بفرستید. رمزگذاری متن ایمیل کار سادهای نیست. بهش میگویند پی جی پی. فعالان اجتماعی سیاسی خیلی برایشان مهم است میتوانند از آن استفاده کنند. برای کاربر عادی پی جی پی خیلی سخت است. قدرت کامپیوتری که وجود دارد و لازم است برای شکاندن قفل متن و آن کانال ارتباطی، اصلاً امکانپذیر نیست.
ولی کاری که در ایران شنیدیم شده و دیدیم این است که آی اس پیها در ایران میآیند آن کانال ارتباطی که بین کامپیوتر شما و سرور جیمیل وجود دارد، یک گواهینامه قلابی میاندازند به کامپیوتر شما و آن کانال را دستکاری میکنند. به این صورت، من که میخواهم وصل شوم به سرویس جی میل، سرور گوگل میگوید این کانال را امن کردم این هم گواهینامهاش. یک سرتیفیکیت (گواهی) به شما نشان میدهد. آی اس پی چیها کاری که میکنند میآیند وارد این ارتباط شما و سرور گوگل میشوند و آن گواهینامه را از گوگل میگیرند و یک گواهینامه قلابی به کامپیوتر شما میدهند. این وسط در واقع میگویند «میدل اتک» یعنی شخصی که وسط دو نفر که دارند صحبت میکنند بایستد و به آن طرف بگوید من فلانی هستم و به این طرف هم بگوید من فلانی هستم. این کسی که این وسط میایستد و به صحبتها گوش میدهد، این را در ایران انجام دادهاند.
خیلی ساده هم میشود فهمید که اتفاق میافتد. براوزرتان که بروید و آدرس بزنید https جیمیل دات کام، روی آن بغل فایرفاکس یک علامتی هست که آیکون گوگل را نشان میدهد. اگر روی آن آیکون کلیک کنید، یک صفحه دیگر باز میشود و به شما میگوید کسی که این گواهینامه را صادر کرده کیست. اگر آنجا نوشته باشد گوگل، امن است. اگر هر چیز دیگر نوشته باشد مثل ناشناس بدانید که مورد حمله قرار گرفتید.
دولتها چه در ایران و چه در جاهای دیگر این توان را دارند که تمام ایمیلهای شخصی ارتباطات اینترنتی را کنترل کنند و از صافی خودشان رد کنند؟
از لحاظ منطق فنی، بله میشود این کار را کرد. شدنی است، از این بابت که اگر شما از سرویسهای رمزگذاری شده استفاده نکنید، مثل جیمیل که توضیح دادم، یا این که خودتان رمزگذاری نکنید، ارتباط ترافیکی که از کامپیوتر شما میآید بیرون باز است و میشود دید. ولی آیا دولت ایران با این سوء مدیریتی که دارد میتواند در این وسعت این کار را بکند، اما و اگر شروع میشود. این که به صورت یک سیستم جامعه مدیریت شدهای باشد که یک نفر نشسته در تهران که همه ایمیلها را میبیند، احتمالش ضعیف است. چون آن هزینهای باید بشود و ساختاری که باید پیاده شود، پیچیده است.
واقعاً نمیدانیم که این امکان را دارند یا نه. ولی باید فرض را بگذاریم که اتفاقات میافتد. مثلاً دولت آمریکا برای مبارزه با تروریسم ایمیلها را کنترل میکند. اتفاق جالبی چند ماه پیش افتاد که کنگره دارد سعی میکند به چند شرکت اصلی مثل فیسبوک و گوگل که در مواردی که مظنونی به تروریسم که دادگاه در مورد او حکم داده، اینها باید همکاری کنند با ماموران امنیتی و ایمیلها و ارتباطات آن فرد را در فیسبوک و جیمیل به دولت آمریکا بدهند. خود این درخواست نشان میدهد که نمیتوانند بدون همکاری شرکتهایی مثل گوگل و فیسبوک این را کنترل کنند. حتی در کشوری مثل آمریکا با تمام پیشرفتهای فنی و همه اینها.
بعضیها اعتقاد دارند که اگر از اسکایپ استفاده کنند برای ارتباطاتشان خیلی ایمنتر است و نمیشود به راحتی به این مکالمهها دست پیدا کرد.
بله. اسکایپ از همه اینها امنتر است. ولی از آن امنتر هم وجود دارد. چت متنی که در یاهو و جیمیل اتفاق میافتد متن - باز است. هر چیزی که مینویسید عین آن را میتوانند ببینند. اسکایپ امن است هم صوتش امن است و هم متن و چت امن است.
الان خیلی از جوانها از فیسبوک استفاده میکنند و در دورانی که اعتراضات به نتایج انتخابات ایران در جریان بود، اعلام میشد یکی از منابعی که از روی آن شناسایی میکنند افراد را صفحات فیسبوک است. فیسبوک چه قدر ایمنی دارد؟
همان مواردی که گفتم. اگر شما براوزر خوب داشته باشید و امنیتش را رعایت کنید، آنتیویروس و فایر - وال داشته باشید و پسوردتان لو نرود، امن است. فیسبوک یک خوبی دارد که وقتی وارد آن میشوید، قسمت اول که شما وارد سایت میشوید، رمزگذاری شده است. ولی بقیهاش رمزگذاری نشده است. ولی ترفندهایی هست که میشود اینها را امن کرد. کسی از وی پی ان استفاده کند، شما روی هر سایتی بروید که خود سایت رمزگذاری نمیکند ولی چون کانال ارتباطی شما رمزگذاری شده است، سرویسهای شما اتوماتیک رمزگذاری میشود.
وی پی ان چیست؟
وی پی ان مخفف virtual private network یعنی شبکه خصوصی مجازی. اتفاقی که در وی پی ان میافتد میآید در این زنجیره وب یک کانال ارتباطی امن ایجاد میکند. یعنی بین شما و یک سروری که با آن ارتباط دارید، یک کانال امن ارتباطی ایجاد میکند که رمزگذاری شده است و هر چه از طریق این کانال بفرستید، اتوماتیک رمزگذاری میشود. به همین دلیل بعد از انتخابات اولین چیزی که در روزهای اول قطع شد وی پی ان بود. دلیلش هم این است که شما زمانی که از وی پی ان استفاده میکنید، آن کانال ارتباطی رمزگذاری شده است. یک چیزی که در وی پی ان خیلی مهم است این است که شما وی پی ان را از کجا گرفتید. آن کسی که به شما وی پی ان میدهد، میتواند ببیند که شما چه کار میکنید و چه چیزهایی را دارید میفرستید. این خیلی مهم است که از هر وی پی ان نباید استفاده کنید. مثل یک جامعه است. جامعه مجازی است.
به نظر من باید نگاه کرد که خط مشی شما در مورد پذیرفتن یک نفر به عنوان دوست چیست. باید خیلی مواظب باشید در فیسبوک چیزهایی که مینویسید در مورد عقاید سیاسی، این چیزها شاید خیلیهایش پیچیده باشد مخصوصاً برای کاربران عادی. یک چیزی که پیشنهاد میکنم… متاسفانه منابع خوب به زبان فارسی کم است. یک سایتی به تازگی راه افتاده که آموزش مبانی امنیت از طریق ایمیل میدهند. اسمش هست درسنامه برای کسانی که علاقه دارند بیشتر یاد بگیرند در مورد مبانی امنیت کامپیوتر. میتوانند یک ایمیل خالی بفرستند به آدرس security1@darsnameh.com. اینها اتوماتیک وارد خودآموزی میشوند و ایمیلهایی میآید که ۹ تا ۱۰ درس است و از قدم اول شروع میکند و میرود بالاتر. مبانی مختلف امنیت در اینترنت را توضیح میدهد.
|
|
|
|