پرسه در دالان‌های تاریک - بخش اول

الفبای امنیت در وب

من و خانواده‌ام تقریباً از سال 1998 آنلاین بوده‌ایم. اما من در ابتدای کار چندان به امنیت در فضای آنلاین توجه نمی‌کردم. البته، کامپیوتر متصل به اینترنت (که در آن زمان یک سلرون 433 مگاهرتزی بود) همیشه آخرین نسخه مرورگر اینترنت اکسپلورر را اجرا می‌کرد و من هم سعی می‌کردم برای همه کارهایم از یک گذرواژه استفاده نکنم. اما توجهی به این‌که ترافیک وب من به کجا می‌رفت نداشتم یا توجه نمی‌کردم که در حرکت به سرور اینترنتی و بازگشت چه مسیری را طی می‌کند.

برای مشاهده بیشتر به ادامه مطلب مراجعه کنید

من همان زمان هم (از طریق یکی از اساتیدم) می‌دانستم که استفاده از ایمیل مانند این است که سرت را از پنجره بیرون کنی و داد بزنی! امنیت و حریم خصوصی چندانی وجود ندارد. اما از چیزهایی که می‌دانستم به درستی استفاده نمی‌کردم.
چنین رویکردی در گذشته خطرناک بود و اکنون نیز با درنظر گرفتن مجموعه ابزارهای پیچیده و پیشرفته هک که امروزه به‌صورت آماده موجود است، این رویکرد خطرناک‌تر هم شده است. خوشبختانه وضعیت امنیت خود اینترنت هم کم‌وبیش بهتر شده است. در این مقاله که نخستین بخش از مجموعه‌ای پنج ‌قسمتی است، قصد داریم درباره امن نگاه داشتن خودتان و کسب‌وکارتان در روی وب صحبت کنیم. حتی اگر می‌دانید در گوشه‌های خلوت اینترنت چه خطراتی در کمین شما است، ممکن است یکی از آشنایان شما با این موضوع آشنا نباشد. بنابراین به این مطلب و قسمت‌های بعدی آن به چشم یک راهنمای سریع و دم‌دست برای کسانی که چندان با امنیت در فضای آنلاین آشنا نیستند، نگاه کنید. کسانی که برای این موضوع اهمیت بیشتری قائل هستند، بهتر است برای آشنایی با مباحث پیچیده‌تر به قسمت‌های بعدی این مقالات هم توجه کنند. مطلب حاضر را با برخی اطلاعات پایه در‌مورد رمزنگاری در اینترنت و نحوه استفاده از آن برای محافظت از اطلاعات شخصی‌تان شروع می‌کنیم. پس از آن به بدافزارها، امنیت برنامک‌های موبایل و موضوعات دیگر خواهیم پرداخت.

SSL و TLS، شنل‌های امنیتی نامریی
معمول‌ترین شیوه رمزنگاری در وب، چیزی است که بیشتر کاربران حتی متوجه آن هم نمی‌شوند. پروتکل امن انتقال ابرمتن  HTTPS (سرنام HyperText Transfer Protocol Secure) ترافیک معمول وب که به‌صورت http است را به کمک امنیت لایه انتقال TLS (سرنام  Transport Layer Security) یا لایه سوکت‌های امن SSL (سرنام  Secure Sockets Layer) رمزنگاری می‌کند. TLS جدیدتر است و بیشتر در سایت‌های مدرن مورد استفاده قرار می‌گیرد. اما از آنجا که این دو به لحاظ عملکرد یکسان هستند، متخصصان امنیتی به‌صورت یک‌جا و با نام SSL/TLS از آن یاد می‌کنند. جدیدترین نسخه SSL نسخه 3 و جدیدترین نسخه TLS نسخه 1 است. پروتکل HTTPS به‌طور معمول هنگام انتقال داده‌های حساس یا شخصی مورد استفاده قرار می‌گیرد. نام کاربری و کلمه عبور، اطلاعات مالی و اطلاعات ردوبدل شده میان سرور و کلاینت‌های ایمیل به‌طور معمول با این پروتکل جابه‌جا می‌شوند. صفحات معمول وب اغلب از این سیستم استفاده نمی‌کنند، اگرچه در سایت‌هایی نظیر ویکی‌پدیا هم میزان استفاده از نسخه HTTPS کم‌کم در حال رشد است.

شکل1: مسئله فقط همان S  است. یک اتصال https امنیت ارتباط میان مرورگر شما و سرور سایت را تأمین می‌کند.

HTTPS اتصالی رمزنگاری‌شده و امن را میان مرورگر شما و سرورهای سایتی که به آن متصل می‌شوید برقرار می‌کند. داده‌ها قبل از ارسال به سمت سرور رمزنگاری می‌شوند و این داده‌ها تنها زمانی رمزگشایی می‌شوند که به‌صورت کامل و صحیح به سرور رسیده باشند. همین امر در مورد داده‌هایی که از سرور برای مرورگر شما فرستاده می‌شوند هم صادق است. در رمزنگاری استاندارد «متقارن» کلید واحدی برای رمزنگاری و رمزگشایی مورد استفاده قرار می‌گیرد. در مقابل در رمزنگاری «کلید عمومی نامتقارن» از کلیدی همگانی که در دسترس عموم قرار دارد برای رمزنگاری استفاده می‌شود. اما محتوای رمزنگاری شده بدون حضور کلید خصوصی دومی (که البته به لحاظ ریاضی به اولی مربوط است) قابل رمزگشایی نخواهد بود. پروتکل https ترکیبی از این دو روش را برای ممانعت از دسترسی و رمزگشایی غیرمجاز داده‌ها به کار می‌گیرد. یکی دیگر از بخش‌های حیاتی این پروتکل شامل کنترل هویت سرور و کلید عمومی آن است تا مشخص شود آیا این سرور و اطلاعات واقعاً به شخص یا سازمانی که ادعا می‌کند مربوط است یا خیر. اگر کسی سروری جعلی یا آلوده به راه ‌انداخته باشد (که به‌اصطلاح آن را فرد وسطی یا man in the middle می‌نامند)، رمزنگاری ارتباطات در عمل هیچ فایده‌ای نخواهد داشت. برای این که هویت سرور تأیید و مشخص شود به یک کلید عمومی نیاز است که توسط یک مقام مجاز امنیتی به‌صورت دیجیتال امضا شده باشد. این مقامات مسئول را به‌اصطلاح CA (سرنام Certificate Authority) می‌نامند. این CAها سازمان‌های حقوقی شناخته شده‌ای هستند که به‌طور معمول با نرخ‌های گزاف به متقاضیان یک گواهی‌نامه امضا شده می‌دهند تا به کمک آن هویت و صحت اعتبار سرورهای‌شان را به مرورگرها اثبات کنند.

شکل2: بیشتر مرورگرها می‌توانند همه اطلاعات مورد نیاز درباره مجوز امضا شده یک سایت را به شما نشان دهند.

مدیران سرورها بدون این گواهی‌نامه‌های امضا شده نیز می‌توانند ترافیک سرورشان را رمزنگاری کنند، اما این گواهی‌نامه‌های «خود امضا» روش مطمئنی برای اعتبارسنجی هویت سایت‌ها نیستند و به‌سادگی ممکن است جعل شوند. بیشتر مرورگرها و برنامه‌ها طوری طراحی شده‌اند که به این گواهی‌نامه‌ها اعتماد نکنند. دلیل اصلی همان‌طور که پیش‌تر گفته شد این است که جعل‌کردن آن‌ها ساده‌تر است. مرورگرها در‌چنین شرایطی پیام‌های خطای ترسناکی را به نمایش در می‌آورند که به کاربران هشدار می‌دهد به این سایت‌ها اعتماد نکنند. این سایت‌ها ناامن هستند و تجربه کاربری بدی را به ارمغان می‌آورند. اما گواهی‌نامه‌های امضا شده هم محدودیت‌ها و ضعف‌های خود را دارند. یک CA تنها به اندازه سیاست‌های امنیتی‌اش قابل اعتماد است. اگر خود CA مورد نفوذ قرار بگیرد، تمام گواهی‌نامه‌هایی که تا زمان نفوذ صادر کرده است را نیز باید بی‌اعتبار و از دست رفته تلقی کرد. البته این خود می‌تواند موضع مقاله‌ای جداگانه باشد.

شکل3: گواهی‌نامه‌های خود امضا در برابر نفوذ و جعل آسیب‌پذیرتر هستند.

با توجه به این موضوع که تقریباً تمام این فرآیند رمزنگاری از کنترل کاربر خارج است، بهترین کاری که می‌توانید برای حفظ امنیت خود در‌هنگام انتقال داده‌های در دنیای آنلاین می‌توان انجام دهید این است که دقت کنید که کدام سایت‌ها از HTTPS و کدام‌ها از HTTP استفاده می‌کنند. بیشتر مرورگرها برای نشان دادن امن بودن سایت از یک تصویر کوچک (شکل یک قفل) در نوار آدرس استفاده می‌کنند. این آیکون‌ها هم ممکن است جعل شوند، به همین دلیل در متن آدرس به دنبال کلمه https بگردید.
اگر لازم باشد می‌توانید از مرورگرتان بخواهید که اطلاعات جامعی را در ارتباط با گواهی‌نامه و الگوریتم رمزنگاری مورد استفاده سایت به شما ارائه کند. ما در این اسکرین‌شات‌ها از کروم گوگل استفاده کرده‌ایم، اما تقریباً همه مرورگرها می‌توانند همین کار را انجام دهند(شکل4).

شکل4: مرورگر کروم امکان مشاهده دیدی کلی از سیستم رمزنگاری که برای حفظ امنیت شما مورد استفاده قرار گرفته است را به‌سادگی فراهم می‌آورد.

با کلیک روی همان آیکون قفل می‌توانید اطلاعات رمزنگاری و گواهی‌نامه مربوط به سایت موردنظر را ببینید. در این نمونه گواهی‌نامه توسط  VeriSign امضا شده است و اتصال از TLS 1.1 با رمزنگاری 128 بیتی RC4 استفاده می‌کند. کلیک روی لینک اطلاعات گواهی‌نامه، اطلاعات بیشتری را در مورد خود گواهی‌نامه به شما نشان خواهد داد. مثلاً این که تاریخ انقضای گواهی‌نامه چه زمانی است و به چه شخصیت حقیقی یا حقوقی تعلق دارد.
رمزنگاری‌های SSL و TLS عالی و بی‌نقص هستند و استفاده از این پروتکل‌ها بیشتر و بیشتر رایج می‌شوند. اما حقیقتی که باید به آن توجه کرد این است که این پروتکل‌ها تنها ارتباط کامپیوتر شما و یک سایت واحد را حفاظت می‌کنند. بسیاری از سایت‌ها هنوز از http قدیمی و ناامن استفاده می‌کنند. اگر می‌خواهید از «تمام» ترافیک وب‌تان به صورت یک‌جا محافظت کنید (به‌خصوص زمانی که از یک محل عمومی یا وای‌فای باز همگانی به اینترنت وصل شده‌اید) به‌احتمال زیاد تنها گزینه شبکه خصوصی مجازی یا VPN (سرنام Virtual Private Network) است.استفاده از VPN برای حفاظت کامل
چندین نوع مختلف از سرورهای VPN وجود دارد، اما بیشتر آن‌ها از یک روش واحد استفاده می‌کنند: کامپیوتر شما به یک سرور VPN متصل می‌شود و تمام ترافیک میان شما و سرور به‌صورت رمزنگاری شده در می‌آید. به VPN به چشم یک تونل امن نگاه کنید که داده‌های شما را از سایت داده‌های موجود در شبکه جدا می‌کند. این اتصال همچنین تمام ترافیک شما را (نه فقط بخشی از آن را با سایت‌های https) رمزنگاری می‌کند. تمام ارتباطات شما توسط سرور رمزگشایی شده و از طریق شبکه سرور (که معمولاً امن فرض می‌شود) به‌سوی مقصد فرستاده می‌شود. داده‌های برگشتی نیز به همین ترتیب در سرور رمزنگاری شده و برای سیستم شما ارسال می‌شود.
نقطه ضعف VPN این است که برقراری اتصال آن به عهده کاربر است. در حالی که TLS و SSL کم و بیش شفاف (پنهان از دید کاربر و بدون نیاز به انجام عملی از سوی او) هستند، کاربر باید هر بار به‌شخصه اتصال VPN را برقرار کند. البته، نمونه‌های خودکارتری از VPN مانند  Microsoft Direct Access نیز وجود دارند، اما میزان استفاده از آن‌ها به نسبت کمتر است. نکته دیگر این‌که شما باید دسترسی به یک سرور VPN را به نوعی تهیه کنید. ممکن است کارفرمای شما چنین امکانی را برای انجام امور شرکت در‌اختیار شما بگذارد، اما برای استفاده از این سیستم در امور غیرکاری (یا زمانی که نمی‌خواهید کارفرما از همه فعالیت شما روی وب را ببیند) باید به فکر راه‌حل دیگری باشید.
اگر شما به سرور اختصاصی خودتان نیاز دارید، می‌توانید از نرم‌افزارهای آزادی مانند OpenVpn استفاده کنید. برای کاربران مک، سیستم VPN از طریق بسته 20 دلاری OS X Server قابل تهیه است. برخی از روترهای رده بالای بازار یا فرم‌ویرهای طرف سوم نیز می‌توانند قابلیت‌های ساده VPN را بدون نیاز به سخت‌افزار اختصاصی در‌اختیار کاربر قرار دهند. OpenVpn به‌طور معمول به‌عنوان ستون فقرات بسیاری از سرویس‌های VPN دیگر (که در بخش‌های بعدی از آن‌ها صحبت خواهیم کرد) مورد استفاده قرار می‌گیرد.

شکل5: سیستم‌عامل OS X  Server با یک سرویس VPN  ابتدایی عرضه می‌شود که ممکن است برای کاربران خانگی یا کسب‌وکارهای کوچک مناسب باشد. اما OpenVPN قدرتمندتر است و روی پلتفرم‌های بیشتری کار می‌کند .

اگر نخواهید هزینه و دردسر تهیه و نگه‌داری سخت‌افزارهای مورد نیاز را تقبل کنید، این روش (استفاده از VPN روی روتر) امن‌ترین روش موجود است چرا‌که داده‌ها تنها در شبکه شما بدون رمزنگاری خواهند بود و به‌محض خروج از روتر به‌صورت رمزنگاری شده برای سرور VPN ارسال می‌شوند. اما این روش برای همه کار نخواهد کرد. همچنین مجبور خواهید بود که تنظیمات صحیح Port Frwarding را روی روترتان اعمال کنید تا بتواند با سرور VPN ارتباط برقرار کند. انجام این تنظیمات کاری است که روال در روترهای مختلف با هم متفاوت است. کسانی که با تجهیزات معمول و برای استفاده‌های معمولی به اینترنت متصل می‌شوند، مجبور خواهند بود که بعضی وقت‌ها با آدرس‌های IP سروکار داشته باشند و این آدرس‌ها هم گه‌گاه تغییر می‌کنند.
 کار در‌چنین شرایطی نیازمند دستکاری تنظیمات سرور VPN یا استفاده از سیستمی پویا برای DNS نظیر DynDNS است. البته، همه این‌ها به شرطی است که ISP مورد استفاده اجازه برقراری اتصال VPN را بدهد. هر دوی این مشکلات را می‌توان با خرید یک اتصال رده تجاری از ISP برطرف کرد. اما چنین روشی به تبع هزینه بیشتری را به همراه خواهد داشت. همانند بسیاری از خدمات فناوری، سرورهای VPN هم می‌توانند برون‌سپاری شوند. سرویس‌های پولی فراوانی برای VPN در دسترس هستند که مزیات استفاده از آن‌ها واضح است. نیازی نیست سرور خودتان را راه‌اندازی کنید، زمان خرابی و عدم پاسخ‌گویی کمتری (به واسطه قطع برق، خرابی شبکه یا به‌روزرسانی سیستم‌ها) خواهید داشت. بیشتر این سرویس‌های VPN علاوه‌بر امنیت به حفظ حریم‌خصوصی شما نیز کمک خواهند کرد، چرا‌که می‌توانند ترافیک شما را حتی از ISPتان مخفی کنند یا حتی طوری وانمود کنند که انگار شما از کشور دیگری به اینترنت متصل شده‌اید.
در تناقضی آشکار، مهم‌ترین ضعف این سرویس‌ها امنیت آن‌ها است! این سرویس‌ها تنها به اندازه افرادی که آن‌ها را عرضه می‌کنند اعتبار داشته و قابل اعتماد هستند، چرا‌که تمام ترافیک شما از سرورهای آن‌ها گذشته و در ماشین‌های آن‌ها رمزگشایی می‌شود.
پیتر اکرسلی مدیر پروژه‌های فناوری بنیاد پیشتازان الکترونیک (Electronic Frontier Foundation) می‌گوید: «این مشکل ذاتی تمام سرویس‌های VPN است. کاربر مجبور است به شرکت عرضه‌کننده VPN کاملاً اعتماد کند. حتی اگر برای همه‌چیز از HTTPS/TLS استفاده کنید، خدمات‌دهنده VPN شما می‌تواند آدرس IP شما را ثبت کرده، درخواست‌های DNSتان را ببیند و بفهمد به کدام سرورها متصل شده‌اید. اگر نخواهید یا نتوانید از HTTPS/TLS استفاده کنید، باید در زمینه محتوای ترافیک‌تان هم به خدمات‌دهنده VPN اعتماد کنید.»
او ادامه می‌دهد: «همچنین سؤالی که مطرح می‌شود این است که آیا تضمینی وجود دارد که فراهم‌کنندگان VPN به سیاست‌های حریم‌شخصی که قول داده‌اند وفادار بمانند؟ یافتن پاسخ این سؤال برای یک فراهم‌کننده خاص نه تنها نیازمند کسب اطلاعات درباره شرکت ارائه‌کننده و قابل اعتماد بودن آن‌ها است، بلکه در بسیاری موارد نیازمند کسب اطلاع از قوانین در زمینه‌های مختلف قضایی است.»
برای نگاه دقیق‌تر به عرضه‌کنندگان مختلف VPN اکرسلی مطالعه این فهرست  TorrentFreak را پیشنهاد می‌کند.
 این سایت تعدادی از این شرکت‌ها را بر‌اساس میزان ثبت داده‌ها و سیاست‌های حفظ حریم‌خصوصی، فهرست کرده است. البته، به‌طور معمول بررسی ترافیک شما و دسترسی به اطلاعات‌تان یا فروش این اطلاعات به دیگران جزء سیاست‌های این شرکت‌ها نیست، زیرا در چنین صورتی به سرعت مشتریان خود را از دست خواهند داد، اما به هر حال این موضوعی است که باید مراقبش باشید و البته از کنترل شما خارج است. اما یقین بدانید که هیچ خدمات‌دهنده‌ای نمی‌تواند به اندازه سروری که خودتان راه‌اندازی می‌کنید امن باشد، اما به هر حال استفاده از وی‌پن‌ان‌های شرکت‌های دیگر هم از استفاده بدون ملاحظه از وای‌فای‌های باز یا اینترنت در مکان‌های عمومی بهتر است. درنهایت در نظر داشته باشید که جدا از نیات و مقاصد ارائه‌کنندگان سرویس‌های VPN هر کدام از آن‌ها هم ممکن است مانند هر شبکه و سیستم دیگری مورد نفوذ قرار گرفته و باعث لو رفتن اطلاعات شما شوند.

قدم اول تنها قدم لازم نیست
استفاده از فناوری‌هایی مانند TLS و VPN برای حفظ امنیت شما در فضای وب ضروری است. بهترین قدمی که می‌توانید برای محافظت از خودتان بردارید شناخت این فناوری‌ها است. اطمینان حاصل کنید که سایت‌هایی که داده‌های ارزشمندتان (نظیر شماره کارت‌های اعتباری، آدرس و گذرواژه‌ها) را در آن‌ها ذخیره می‌کنید از گواهی‌نامه‌های امضا شده معتبر و نوعی از رمزنگاری SSL یا TLS استفاده می‌کنند. اگر به‌صورت معمول با اطلاعات حساس و مهم آن هم در شبکه‌های عمومی سروکار دارید، حتم استفاده از VPN را برای حفظ امنیت داده‌های‌تان در برابر کاربران مشکوک یا نفوذهای احتمالی به این شبکه‌ها مدنظر داشته باشید. حتی اگر این تنها کاری باشد که انجام می‌دهید، باز هم وضعیت بسیار بهتر از حالتی است که من استفاده از اینترنت را شروع کردم! در بخش بعدی این مجموعه به موضوع بدافزارهای وب خواهیم پرداخت.