دور از چشم مزاحمان مجازی؛ همه چیز درباره امنیت در اینترنت

دور از چشم مزاحمان مجازی؛ همه چیز درباره امنیت در اینترنت

رادیو فردا : تازه‌ترین بخش از برنامه «نگاه تازه» به موضوع ایمنی در اینترنت و فضای مجازی اختصاص داشت. محمود عنایت، پژوهشگر مسائل اینترنتی در دانشگاه آکسفورد، از روش‌های ایمن‌تر کردن اینترنت برای کاربران می‌گوید.

رادیوفردا: اینترنت، برای این که بتوان در آن رابطه ایجاد کرد، تا چه میزان امن است؟

محمود عنایت: متاسفانه امن نیست. برخلاف تصوری که داریم، آن‌لاین شدن خود به خود شما را امن نمی‌کند. خیلی وقت‌ها از روش‌های ارتباطی آنالوگ مثل تلفن، نامه یا صحبت کردن ناامن‌تر است. مخصوصاً برای کسانی که فعال سیاسی - اجتماعی هستند. در حالت کلی در جهان مسئله امنیت آن‌لاین خیلی مهم است و این که به شهروندان یاد بدهند که چگونه از حساب بانکی آن‌لاین استفاده کنید و چه چیزهایی را رعایت کنید که این حساب بانکی مورد نفوذ واقع نشود. دولت‌ها در این زمینه سرمایه‌گذاری می‌کنند. بانک‌ها در این زمینه فعال هستند که به شما یاد بدهند که چه طور کامپیو‌تر شما امن شود.

اگر کسی بخواهد وارد این رابطه شود و از طریق اینترنت ارتباطاتش را سامان دهد و مثلاً فعال اجتماعی یا سیاسی هم باشد، یا یک دانشجویی که داخل این نوع فعالیت‌هاست، اولین کاری که باید بکند برای ایمنی خودش چیست؟

اولین قدم امنیت سیستم عامل کامپیوتر شماست. باید یک نرم‌افزار آنتی‌ویروس خوب داشته باشید. یک نکته‌ای که در ایران هست، چون از نرم‌افزارهای قفل‌شکن استفاده می‌شود، به‌روز شدن آنتی ویروس خیلی وقت‌ها انجام نمی‌شود یا مشکل است. به عنوان سرمایه‌گذاری اولیه یک نرم‌افزار آنتی‌ویروس نصب کنید که به‌روز باشد. در قدم دوم یک فایر-وال باید در کامپیو‌تر خود نصب کنید. این خودش تا حد زیادی کامپیو‌تر شما را امن می‌کند. بیشتر کاربران در ایران از سیستم عامل ویندوز استفاده می‌کنند. قدم سوم این که از مرورگر یا «براوزر»ی که استفاده می‌کنید حتی‌المقدور «اینترنت اکسپلورر» نباشد. باید بگویم فایرفاکس دوای هر دردی است. استفاده از اکسپلورر با توجه به این که مایکروسافت خیلی سعی می‌کند امنش کند و ورسیون‌های مختلف را مدام آپ‌دیت می‌کند ولی به دلیل آن ساختار و معماری اولیه‌اش ناامن است.

چرا این اتفاق می‌افتد در فایرفاکس؟

روش مایکروسافت این است که کدش «متن – باز» نیست، یعنی اوپن سورس نیست. فایرفاکس کدش «متن – باز» است و این کمک می‌کند به این که یک جامعه یا کامیونیتی از هکرهایی که می‌خواهند کار خیر انجام دهند و برنامه‌نویسی بلدند دائماً مرور می‌کنند و ایرادهایی که پیدا می‌شود زود متوجه می‌شوند.

در مورد «متن – باز» هم یک مقدار توضیح دهید.

ترجمه رایج اوپن سورس است. دو جور کد داریم. یک جور کدی هست که من وقتی برنامه را می‌نویسم و به شما می‌دهم، متن برنامه را به شما نمی‌دهم. من می‌دانم که آنجا چه می‌گذرد. یک جور دیگر هست که من آن را می‌دهم و کد هم به شما می‌دهم و می‌گویم این کد را داشته باشید و خواستید عوض کنید. معمولاً متن باز مجانی است و برنامه‌هایی که «متن – باز» نیستند پولی هستند.

قدم اولیه بعدی چه می‌تواند باشد؟ برای این که ما خودمان را حفظ کنیم از حمله هکر‌ها و اطلاعات و ای‌میل‌های شخصی ما در دسترس دیگران قرار نگیرد؟

وقتی آن‌لاین می‌شوید بستگی دارد که چه کار می‌خواهید بکنید. در ارتباط ای‌میلی مهم‌ترین چیز این است که از چه ای‌میلی استفاده می‌کنید. اگر وب‌بیس است که اکثر مواقع کاربران در ایران از ای‌میل‌های وب‌بیس استفاده می‌کنند، مثل یاهو، جی‌میل و هات میل. این یک روش است. یک موقع هم هست که شما سرویس اس‌ام‌تی‌پی استفاده می‌کنید. خودتان یک سرور دارید و این بیشتر در شرکت‌ها رایج است که نرم‌افزار به صورت آف‌لاین است که چک می‌کنند. در قدم اول سرویس ای‌میلی باید استفاده کنید که به صورت اتوماتیک می‌آید ای‌میل را رمزگذاری می‌کند. تنها سرویس مجانی قابل اعتماد الان جی‌میل است. جی‌میل این کار را می‌کند. شما وقتی روی سایتی می‌روید قسمت آدرس را نگاه کنید: آدرس آن در برخی سایت‌ها http است و در بعضی سایت‌ها https . آن s در واقع مخفف کلمه «سکیور» است به معنای «امن». به قسمت آدرس نگاه کنید، نوشته باشد https این به معنای این است که شما هر چیزی را که در مرورگر یا براوزر خود می‌بینید و می‌فرستید به طرف دیگر، این رمزگذاری شده.

یعنی ای‌میل‌های دیگر هیچ کدام قابل اعتماد نیستند؟ یاهو و هات میل؟

قابل اعتماد نیستند به این دلیل که این کانال ارتباطی که بین کامپیو‌تر شما و سرور یاهو ایجاد می‌شود، رمز گذاری نیست. عین این است که شما نامه‌ای بنویسید و در پاکت نگذارید. هیچ رمزی رویش نگذارید. همین طور بیندازید به صندوق پست. پستچی یا هر کسی می‌تواند آن را بخواند. خوبی جی‌میل این است که مال شرکت گوگل است و سرمایه‌گذاری می‌کند و به‌روز نگهش می‌دارد. امنیتش برایش مهم است. مخصوصاً بعد از اتفاقاتی که اوایل سال پیش افتاد. حمله‌هایی که از چین به گوگل شد. قدم دوم، حالا وقتی جی‌میل هم داشته باشید ولی یک سری موارد را رعایت نکنید، باز فایده ندارد. چون شما از یک مرورگر استفاده می‌کنید که به جی‌میل وصل شوید، امنیت داخلی کامپیو‌تر شما مهم است و به همین خاطر اول گفتم که نرم‌افزار آنتی‌ویروس و فایر - وال خیلی مهم است و براوزر خوب. یعنی یک سری حمله‌ها هست که می‌توانند متن ای‌میل شما یا پس‌وردی (کلمه عبور) را که وارد می‌کنید پیدا کنند که ربطی به جی‌میل یا گوگل ندارد. آن‌ها امن می‌ماند و در واقع این کامپیو‌تر شماست که هک شده. اگر یک ویروس برای شما بفرستند یا جاسوس‌افزار یا اسپای‌ور، اگر آنتی‌ویروس نتواند تشخیص بدهد که این اسپای‌ور است، فایر - وال می‌تواند جلو آن را بگیرد که این جاسوس‌افزار روی کامپیو‌تر شما نتواند با هکر ارتباط برقرار کند. یک چیز دیگر این که مهم است پس‌ورد خوب انتخاب کردن است.

شنیده‌ام که می‌گویند پس‌ورد را باید خیلی دقت کرد، چون بعضی از پس‌ورد‌ها خیلی راحت است.

الان من به شما قول می‌دهم پس‌وردی که شنونده‌های شما دارند به احتمال خیلی زیاد یک مخلوطی از اسم خانوادگی، اسم خودشان و اسم دوست‌دختر و شماره تلفن خانه یا تاریخ تولد است. چون سخت است، اگر بخواهید یک پس‌ورد تصادفی انتخاب کنید، مغز آدم نمی‌تواند تصادفی انتخاب کند. وقتی دنبال پس‌ورد می‌روید، دنبال کلمه‌هایی می‌گردید که برای شما معنایی داشته باشد. مثلاً نمی‌توانیم بگوییم «الف، ب، ج، چ»، باید یک معنی داشته باشد. ولی باید سعی کنیم پس‌وردی که انتخاب می‌کنیم تصادفی باشد.

چه طور می‌شود یک پس‌ورد خوب و امن انتخاب کرد؟

به نظر من بهترین راهش این است که به یک جمله فکر کنیم. یک جمله‌ای باشد که در ذهن بماند. اول کلمات این‌ها را انتخاب می‌کنم، یکی را کوچک می‌زنم یکی را حرف بزرگ و بعد یک تاریخ یا شماره تلفن هم وسطش می‌گذارم. حرف بزرگ و حرف کوچک و یک سری عدد. این بهترین پس‌ورد است.

بعضی‌ها می‌گویند که استفاده کنیم از نشان به‌علاوه، مساوی...

هر چه قدر کاراکتر‌های (علائم) غیرمعمول را در پس‌ورد بگذارید بهتر است. یکی از چیزهایی که هست در مورد جی‌میل و در ایران شایع شده و من خودم چند موردش را دیدم، این شاید ربط پیدا کند به حرفی که وزیر اطلاعات زد که ما اشراف اطلاعاتی داریم به همه ای‌میلهای رمزگذاری شده. ای‌میلی که رمزگذاری شده دو حالت دارد. یکیش را که توضیح دادم. کانال ارتباطی رمزگذاری می‌شود. یک جور دیگر رمزگذاری این است که متن ای‌میل را رمزگذاری کنید و آن متن رمزگذاری شده را بفرستید. رمزگذاری متن ای‌میل کار ساده‌ای نیست. بهش می‌گویند پی جی پی. فعالان اجتماعی سیاسی خیلی برای‌شان مهم است می‌توانند از آن استفاده کنند. برای کاربر عادی پی جی پی خیلی سخت است. قدرت کامپیوتری که وجود دارد و لازم است برای شکاندن قفل متن و آن کانال ارتباطی، اصلاً امکان‌پذیر نیست. ولی کاری که در ایران شنیدیم شده و دیدیم این است که آی اس پی‌ها در ایران می‌آیند آن کانال ارتباطی که بین کامپیو‌تر شما و سرور جی‌میل وجود دارد، یک گواهی‌نامه قلابی می‌اندازند به کامپیو‌تر شما و آن کانال را دست‌کاری می‌کنند. به این صورت، من که می‌خواهم وصل شوم به سرویس جی میل، سرور گوگل می‌گوید این کانال را امن کردم این هم گواهی‌نامه‌اش. یک سرتیفیکیت (گواهی) به شما نشان می‌دهد. آی اس پی چی‌ها کاری که می‌کنند می‌آیند وارد این ارتباط شما و سرور گوگل می‌شوند و آن گواهی‌نامه را از گوگل می‌گیرند و یک گواهی‌نامه قلابی به کامپیو‌تر شما می‌دهند. این وسط در واقع می‌گویند «میدل اتک» یعنی شخصی که وسط دو نفر که دارند صحبت می‌کنند بایستد و به آن طرف بگوید من فلانی هستم و به این طرف هم بگوید من فلانی هستم. این کسی که این وسط می‌ایستد و به صحبت‌ها گوش می‌دهد، این را در ایران انجام داده‌اند. خیلی ساده هم می‌شود فهمید که اتفاق می‌افتد. براوزرتان که بروید و آدرس بزنید https جی‌میل دات کام، روی آن بغل فایرفاکس یک علامتی هست که آیکون گوگل را نشان می‌دهد. اگر روی آن آیکون کلیک کنید، یک صفحه دیگر باز می‌شود و به شما می‌گوید کسی که این گواهی‌نامه را صادر کرده کیست. اگر آنجا نوشته باشد گوگل، امن است. اگر هر چیز دیگر نوشته باشد مثل نا‌شناس بدانید که مورد حمله قرار گرفتید.

دولت‌ها چه در ایران و چه در جاهای دیگر این توان را دارند که تمام ای‌میل‌های شخصی ارتباطات اینترنتی را کنترل کنند و از صافی خودشان رد کنند؟

از لحاظ منطق فنی، بله می‌شود این کار را کرد. شدنی است، از این بابت که اگر شما از سرویس‌های رمزگذاری شده استفاده نکنید، مثل جی‌میل که توضیح دادم، یا این که خودتان رمزگذاری نکنید، ارتباط ترافیکی که از کامپیو‌تر شما می‌آید بیرون باز است و می‌شود دید. ولی آیا دولت ایران با این سوء مدیریتی که دارد می‌تواند در این وسعت این کار را بکند، اما و اگر شروع می‌شود. این که به صورت یک سیستم جامعه مدیریت شده‌ای باشد که یک نفر نشسته در تهران که همه ای‌میل‌ها را می‌بیند، احتمالش ضعیف است. چون آن هزینه‌ای باید بشود و ساختاری که باید پیاده شود، پیچیده است. واقعاً نمی‌دانیم که این امکان را دارند یا نه. ولی باید فرض را بگذاریم که اتفاقات می‌افتد. مثلاً دولت آمریکا برای مبارزه با تروریسم ای‌میل‌ها را کنترل می‌کند. اتفاق جالبی چند ماه پیش افتاد که کنگره دارد سعی می‌کند به چند شرکت اصلی مثل فیس‌بوک و گوگل که در مواردی که مظنونی به تروریسم که دادگاه در مورد او حکم داده، این‌ها باید همکاری کنند با ماموران امنیتی و ای‌میل‌ها و ارتباطات آن فرد را در فیس‌بوک و جی‌میل به دولت آمریکا بدهند. خود این درخواست نشان می‌دهد که نمی‌توانند بدون همکاری شرکت‌هایی مثل گوگل و فیس‌بوک این را کنترل کنند. حتی در کشوری مثل آمریکا با تمام پیشرفت‌های فنی و همه این‌ها.

بعضی‌ها اعتقاد دارند که اگر از اسکایپ استفاده کنند برای ارتباطات‌شان خیلی ایمن‌تر است و نمی‌شود به راحتی به این مکالمه‌ها دست پیدا کرد.

بله. اسکایپ از همه این‌ها امن‌تر است. ولی از آن امن‌تر هم وجود دارد. چت متنی که در یاهو و جی‌میل اتفاق می‌افتد متن - باز است. هر چیزی که می‌نویسید عین آن را می‌توانند ببینند. اسکایپ امن است هم صوتش امن است و هم متن و چت امن است.

الان خیلی از جوان‌ها از فیس‌بوک استفاده می‌کنند و در دورانی که اعتراضات به نتایج انتخابات ایران در جریان بود، اعلام می‌شد یکی از منابعی که از روی آن شناسایی می‌کنند افراد را صفحات فیس‌بوک است. فیس‌بوک چه قدر ایمنی دارد؟

همان مواردی که گفتم. اگر شما براوزر خوب داشته باشید و امنیتش را رعایت کنید، آنتی‌ویروس و فایر - وال داشته باشید و پس‌وردتان لو نرود، امن است. فیس‌بوک یک خوبی دارد که وقتی وارد آن می‌شوید، قسمت اول که شما وارد سایت می‌شوید، رمزگذاری شده است. ولی بقیه‌اش رمزگذاری نشده است. ولی ترفندهایی هست که می‌شود این‌ها را امن کرد. کسی از وی پی ان استفاده کند، شما روی هر سایتی بروید که خود سایت رمزگذاری نمی‌کند ولی چون کانال ارتباطی شما رمزگذاری شده است، سرویس‌های شما اتوماتیک رمزگذاری می‌شود.

وی پی ان چیست؟

وی پی ان مخفف virtual private network یعنی شبکه خصوصی مجازی. اتفاقی که در وی پی ان می‌افتد می‌آید در این زنجیره وب یک کانال ارتباطی امن ایجاد می‌کند. یعنی بین شما و یک سروری که با آن ارتباط دارید، یک کانال امن ارتباطی ایجاد می‌کند که رمزگذاری شده است و هر چه از طریق این کانال بفرستید، اتوماتیک رمزگذاری می‌شود. به همین دلیل بعد از انتخابات اولین چیزی که در روزهای اول قطع شد وی پی ان بود. دلیلش هم این است که شما زمانی که از وی پی ان استفاده می‌کنید، آن کانال ارتباطی رمزگذاری شده است. یک چیزی که در وی پی ان خیلی مهم است این است که شما وی پی ان را از کجا گرفتید. آن کسی که به شما وی پی ان می‌دهد، می‌تواند ببیند که شما چه کار می‌کنید و چه چیزهایی را دارید می‌فرستید. این خیلی مهم است که از هر وی پی ان نباید استفاده کنید. مثل یک جامعه است. جامعه مجازی است. به نظر من باید نگاه کرد که خط مشی شما در مورد پذیرفتن یک نفر به عنوان دوست چیست. باید خیلی مواظب باشید در فیس‌بوک چیزهایی که می‌نویسید در مورد عقاید سیاسی، این چیز‌ها شاید خیلی‌هایش پیچیده باشد مخصوصاً برای کاربران عادی. یک چیزی که پیشنهاد می‌کنم… متاسفانه منابع خوب به زبان فارسی کم است. یک سایتی به تازگی راه افتاده که آموزش مبانی امنیت از طریق ای‌میل می‌دهند. اسمش هست درسنامه برای کسانی که علاقه دارند بیشتر یاد بگیرند در مورد مبانی امنیت کامپیو‌تر. می‌توانند یک ای‌میل خالی بفرستند به آدرس security1@darsnameh.com. این‌ها اتوماتیک وارد خودآموزی می‌شوند و ای‌میلهایی می‌آید که ۹ تا ۱۰ درس است و از قدم اول شروع می‌کند و می‌رود بالا‌تر. مبانی مختلف امنیت در اینترنت را توضیح می‌دهد.