هوشیاری، کلید بالابردن امنیت سایبری

پس از آنکه حسین رمضانی معاون حقوقی و بین‌الملل پلیس فضای تولید و تبادل اطلاعات ایران (فتا) اعلام کرد «ما از شرکت‌های تلگرام، یاهو، گوگل خواسته‌ایم که با ما در برخورد با اقدامات مجرمانه همکاری کنند» نگرانی‌هایی مبنی بر محرمانه نماندن حساب‌های کاربری در این شبکه به وجود آمد.

این اولین باری نیست که پلیس فتا و نهادهای مرتبط با شبکه‌های مجازی سخنانی از این دست را مطرح کرده‌اند. چندی پیش پس از آنکه نرم‌افزار پیام‌رسان تلگرام اعلام کرد که شبکه‌های محلی،ترافیک ارسال و دریافت این نرم‌افزار در ایران محدود شده است، محمود خسروی معاون وزیر ارتباطات جمهوری اسلامی اعلام کرد: «نامه‌ای رسمی به تلگرام زدیم و در آن گفته‌ایم که شبکه شما در ایران مشکل دارد، بیایید بنشینیم مشکلات را حل کنیم».

آنچه مشخص است مسوولان جمهوری اسلامی به دنبال راه‌های گوناگون برای ارتباط  با شرکت این نرم‌افزار پیام‌رسان هستند. نرم‌افزار تلگرام نیز به دلیل امنیت مطلوبی که برای کابران خود فراهم آورده مورد استقبال کاربران ایرانی قرار گرفته است. این استقبال به نحوی است که بیشترین مراجعه به سایت این نرم‌افزار در ایران به ثبت رسیده است (البته این به معنی آن نیست که بیشترین کاربر این نرم‌افزار ایرانی‌ها هستند).

اما آنچه امروز اهمیت دارد شفافیت رابطه این شرکت‌های نرم‌افزاری در هر سطحی با مقامات جمهوری اسلامی است که می‌تواند به نگرانی‌های موجود دامن بزند. برای بررسی این موضوع با علی نکوئی کارشناس امنیت سایبری و فعال حقوق بشر مصاحبه کردیم تا از اهمیت این موضوع و راه‌کارهای پیشگیری از به خطر افتادن امنیت سایبری شهروندان مطلع شویم.

– آیا اساسا پلیس یک کشور می‌تواند با شرکتی مانند تلگرام تماس بگیرد و درخواست کند که اطلاعات مربوط به کاربران را در اختیارش قرا دهد؟

– تا جایی که من اطلاع دارم بله امکانش است. دلیل این موضوع هم جرائم رایانه‌ای سازمان‌یافته‌ بین‌المللی و جرائمی است که از طریق سرویس‌های اینترنتی که ایران به طور مستقیم به آنها دسترسی ندارد. برای مثال فرض کنید شخصی در یک کشور اروپایی با استفاده از سرویس جی‌میل اقدام به دزدی کند. پلیس آن کشور بر اساس قوانین آن کشور به نماینده‌ گوگل در آن کشور درخواست اطلاعات برای تحقیقات ارائه می‌دهد و باقی قضایا. در حال حاضر مساله عدم ارتباط ایران با دنیای خارج است و محدودیت‌هایی که برای ایران وجود دارد. اما این مسئله روی دیگری هم دارد و آن سوء استفاده‌ ایدئولوژیک بعضی دولت‌ها از این قضیه است. این که هر یک از این شرکت‌ها چه تعهداتی در قبال کاربران خود (در مورد حفظ حریم خصوصی) دارند یک مساله است که به گواه اسناد موجود در برابر فشار دولت‌ها اطلاعاتی را افشا کرده‌اند که می‌توان به افشای اطلاعات جیکوب اپلبام (Jacob Appelbaum) توسط گوگل اشاره کرد که آخرین مورد جنجالی در افشای اطلاعات کاربران است. به هر حال باید در نظر داشت که طرف بسیاری از کاربران غول‌های تجاری هستند که منافع مالی‌شان بر حفظ حریم خصوصی و تعهدات متقابل‌شان برتری دارد.

در مورد ایران مسئله کمی پیچیده است و تحریم‌ها باعث شده که این شرکت‌ها منافعی و به تبع آن دفتری در ایران نداشته باشند. این که آیا امکان حقوقی آن برای ایران فراهم باشد، به نظر غیر منطقی می‌رسد و باید از طریق مراجع بین‌المللی مثل اینترپل اقدام شود. به هر حال فراموش نکنیم که هر کاربری، شرکتی، دولتی یا غیره می‌تواند با این شرکت‌ها تماس بگیرد و هر درخواستی داشته باشد باید دید که پاسخ این شرکت‌ها چه خواهد بود. در این مورد خاص با توجه به این که این شرکت‌ها منافع خاصی در ایران ندارند به نظر می‌رسد که پاسخ درخوری دریافت نکنند.

– مساله امنیت کابران امروز در ایران از اهمیت بسیاری برخوردار است، اساسا تا چه حد به برنامه‌هایی از این دست می‌شود اطمینان کرد؟

– از نظر من به عنوان کسی که در حوزه‌ امنیت سایبری کار می‌کنم و تا حدی از معضلات و مشکلات برخی نرم‌افزارها و برنامه‌ها باخبرم، نمی‌توان به سادگی به هر برنامه و نرم‌افزاری اعتماد کرد. مسئله‌ اساسی عصر ما فروش اطلاعات کاربران برای کسب منافع مالی است. همیشه باید یک سوال پرسید که چرا گوگل، فیس‌بوک، وایبر، اینستاگرام و هزاران شرکت دیگر خدمات رایگان ارائه می‌دهند و هر روز ارزش سهام آنها بیش‌تر و بیش‌تر می‌شود. چه اتفاقی می‌افتد که این شرکت‌ها با خدمات رایگان به غول‌های اقتصادی بدل می‌شوند. هر کاربری باید بداند که شرکت‌های تجاری به دنبال منافع اقتصادی خود هستند و برای کسب این منافع اطلاعات کاربران را به دیگر شرکت‌ها و دولت‌ها می‌فروشند. تا این بخش از قضیه، صرفا حریم خصوصی کاربران زیر سوال می‌رود و برای همین هر کاربری باید بداند که شرکتی که از آن سرویس می‌گیرد در قبال این خدمات رایگان چه اطلاعاتی از کاربر را می‌فروشد، به چه اطلاعاتی دسترسی دارد و مالکیت داده‌های کاربر که در آن نرم‌افزار یا تارنما قرار گرفته است با چه کسی است. پرسش‌هایی از این دست به کاربر کمک می‌کند که حریم خصوصی خود را بشناسد. برای مثال کمتر کاربری می‌داند که مالک هر آنچه در فیس‌بوک گذاشته می‌شود، فیس‌بوک است. یا کاربران جی‌میل باید بدانند که گوگل رایانامه (ایمیل) آنها را می‌خواند و بر اساس آن به کاربران تبلیغ نشان می‌دهد، یا گوگل عنوان‌های جست‌وجو شده را ذخیره می‌کند و می‌داند که هر کاربری پی چه موضوع‌هایی می‌گردد.

این مسئله روی دیگری هم دارد که با افشاگری «ادوارد اسنودن» چهره‌ زشت خود را به همگان نشان داد. دولت‌هایی که برای جاسوسی و برتری‌جویی از شرکت‌ها طلب اطلاعات می‌کنند و شرکت‌ها برای حفظ منافع اقتصادی خود اقدام به افشای اطلاعات کاربران می‌کنند. این مسئله در مورد آمریکا به جایی رسید که در بین افشاگری‌های اسنودن مشخص شد که دولت آمریکا با استفاده از زیرساخت‌ها یا امکان‌های نرم‌افزاری اقدام به جاسوسی از برخی کشورها می‌کرده است. در کشورهای غربی و به ویژه آمریکا این کار به اسم مبارزه با تروریسم انجام می‌شود و در کشورهای خاورمیانه – از جمله ایران- به اسم حفظ ارزش‌های نظام. دخالت در امور خصوصی دیگران و شکستن حریم خصوصی و امنیت روحی انسان‌ها، نقض اعلامیه‌ جهانی حقوق بشر و پیمان‌های الحاقی است. در مورد ایران نقض قانون اساسی هم به مسئله اضافه می‌شود اما دولت‌ها برای حفظ قدرت و برتری خود از هیچ چیز فروگذاری نمی‌کنند.

بد نیست پس از این «سیاه‌نمایی» که واقعی است، چهره‌ دیگری از دنیای مجازی را هم نشان دهم. در دنیای وب، فرهنگی وجود دارد به نام نرم‌افزار آزاد که توسط بنیاد گنو پایه‌گذاری شده است. بر اساس این فرهنگ هر نرم‌افزار، برنامه یا خدمتی باید به صورت متن‌باز (Open source) باشد تا امکان تغییر و توسعه‌ آن وجود داشته باشد و این به متخصصان اجازه می‌دهد که بتوانند آن نرم‌افزار را وارسی کنند و ضعف‌های آن را ببینند و مهم‌تر از آن، ضعف‌ها را برطرف کنند. در کنار این فرهنگ، گروه‌هایی به صورت داوطلبانه به ارائه‌ خدمات به روی اینترنت اقدام می‌کنند و مدل اقتصادی آنها بر مبنای فروش سود نیست بلکه از طریق کمک‌های مردمی، سازمانی یا دولتی یا به صورت مشارکتی است. به این ترتیب برای بقای خود نیازی به فروش اطلاعات ندارند. ترکیب این فرهنگ و این مدل اقتصادی باعث رشد دسته‌ جدیدی از نرم‌افزارها و برنامه‌ها شده است.

برای مثال TOR، Rise Up، TextSecure، RedPhone، Signal،Firefox، Thunderbird و هزاران برنامه‌ دیگر و حتا سیستم‌عامل (توزیع‌های لینوکس) همه به صورت متن‌باز و آزاد ارائه شده‌اند. این برنامه‌ها مدل غیر تجاری بسیاری از خدمات موجود هستند. مساله‌ اساسی جا به جا شدن از وایبر و تلگرام و واتس‌اپ به سیگنال و تکست‌سکیور است که به خاطر تبلیغات کم، این اتفاق به کندی می‌افتد. از سوی دیگر به خاطر محدودیت در بودجه و به دنبال آن در توسعه‌ این خدمات گاهی فاصله‌ای بین کیفیت خدمات می‌توان دید. به هر حال اگر برای کسی امنیت و حریم خصوصی مهم باشد باید از برنامه و خدماتی استفاده کند که به آن متعهدند. البته عصر ما عصر صفر و یک نیست و نمی‌توان گفت که فلان برنامه صد در صد ناقض حریم خصوصی و امنیت است. می‌توان با صرف اندکی وقت و کمی حوصله رتبه‌ امنیتی هر برنامه یا خدمتی را پیدا کرد. فراموش نکنیم که مهم‌ترین مسئله در حفظ امنیت همانا شفافیت (بخوانید متن‌ باز) است.

چون این روزها بحث در مورد تلگرام بسیار زیاد است بد نیست اشاره کنم که تلگرام برنامه‌ای با «متن‌ باز» است اما بخش اصلی آن یعنی مدل رمزنگاری آن باز نیست و نمی‌توان با قاطعیت گفت که این نرم‌افزار ایمن است، هر چند که تا به حال اتفاق مهمی نیافتاده یا حداقل به بیرون درز نکرده است. در ضمن باید دقت کرد که تلگرام امنیت «چت خصوصی» را تضمین می‌کند نه گفت‌وگوی گروهی یا معمولی را.

– راه‌های بالا بردن امنیت در چنین برنامه‌هایی چیست؟

-در یک کلام می‌شود به هوشیاری اشاره کرد. در سیستم‌عامل اندروید وقتی برنامه‌ای را نصب می‌کنید به میزان دسترسی برنامه اشاره می‌کند. بهتر است پیش از تایید نگاهی بیاندازیم و از خود بپرسیم چرا مثلا یک بازی باید به گالری تصاویر من، متن مکالمه‌های تلفنی من یا موقعیت جغرافیایی من دسترسی داشته باشد. چرا فیس‌بوک می‌خواهد پیامک‌های مرا بخواند یا چرا نیاز دارد دوربین گوشی مرا کنترل کند. از سوی دیگر بهتر است پیش از استفاده از هر نرم‌افزار اندکی درباره‌ تاریخچه و مشکل‌های امنیتی و نقض حریم‌خصوصی آن مطالعه کرد.

– پلیس در ایران گفته است که قاچاقچیان از این برنامه استفاده می‌کنند و به این بهانه به دنبال فیلتر کردن و یا به تعبیر خودشان فیلترینگ هوشمند هستند. چقدر امکان دارد که بتوان محتوی چنین برنامه‌هایی را بررسی کرد؟

– منطقی است که قاچاقچیان بخواهند از چنین خدماتی برای کم کردن خطرها استفاده کنند اما نباید این بهانه‌ای شود برای نظارت بر کاربران. پیش‌تر توضیح دادم که آمریکا به خود اجازه می‌دهد که به اسم مبارزه با تروریسم مکالمه‌های تلفنی شهروندان خود را گوش کند یا رایانامه‌ی آنها را بخواند و … مساله این است که تمام دولت‌ها باید به حریم خصوصی شهروندان خود احترام بگذارند و پرسش اساسی که تا به حال دولت آمریکا به آن پاسخ نداده این است که تا چه میزان با استفاده از این شیوه توانسته جلوی حمله‌های تروریستی را بگیرد؟! هر دولتی برای افزایش سلطه‌ خود بهانه‌ای پیدا می‌کند و ایران از این قاعده مستثنا نیست.

در مورد بحث فنی، تا وقتی که رابطه‌ای با شرکت‌های تولیدکننده‌ این برنامه‌ها نباشد امکان نظارت بر «محتوای رد و بدل شده» وجود ندارد، البته به شرطی که از سیستم‌های رمزگذاری (خیلی ساده HTTPS یا SSL) استفاده شده باشد.

برای مثال فرض کنید که من صفحه‌ای که HTTPS است را باز می‌کنم. دولت امکان فهمیدن این که من چه صفحه‌ای را باز کردم دارد اما امکان این که چه اطلاعاتی فرستاده یا گرفته شده است را ندارد. این مساله را می‌توان در مورد نرم‌افزارهای پیام‌رسان هم عنوان کرد.

در مورد فیلترینگ هوشمند که ایده‌ بسیار خلاقانه‌ای نسبت به فیلترینگ فله‌ای است باید صبر کرد و دید، اما آنچه دولت ادعا می‌کند بیش‌تر شبیه یک رویا است و دستیابی به آن نیاز به توان فوق‌العاده‌ی زیرساختی دارد. برای این کار باید «تمام» محتوای وب را خواند، هر صفحه را که «مصادیق جرم» است فیلتر کرد. این به آن معنی است که به جای فیلتر کردن کل یک تارنما، تنها صفحه‌هایی از آن را فیلتر کنند. اگر در گذشته محتوایی از یک تارنما را می‌خواندند و کل آن را فیلتر می‌کردند حالا باید همه‌ آن را بخوانند و صفحه‌های «مجرمانه»ی آن را فیلتر کنند. برای این کار باید سیستم‌های پیشرفته‌ای داشت که امکان پردازش این حجم از داده‌ها را داشته باشد. در کنار آن باید در نظر داشت که تکنولوژی فعلی در امکان تشخیص «مجرمانه» بودن صدا، تصویر و ویدئو محدودیت‌هایی دارد. برای مثال فرض کنید که عکسی از یک درخت (به رنگ پوست انسان) وجود دارد. در این صورت آیا آن تصویر، یک عکس برهنه از بدن کسی است که باید فیلتر شود؟ یا با چه تکنولوژی فعلی می‌توان ویدئوی آموزش استفاده از سلاح را با صحنه‌هایی از یک فیلم اکشن تمیز داد و … باید دید که دولت برای ادعاهای خود چه برنامه‌ای دارد اما به نظر می‌رسد بیشتر یک رویاست.