ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

افشاگری مدیر تلگرام از ناامنی همیشگی واتس‌اپ

| شنبه, ۲۸ ارديبهشت ۱۳۹۸، ۱۱:۴۶ ق.ظ | ۰ نظر

پاول دوروف، بنیان گذار پیام رسان تلگرام، در واکنش به رسوایی جاسوس افزار واتس اپ، در مطلبی به نقاط ضعف این پلتفرم و سیاست های فیس بوک نقد کرده و برای تک تک جملاتش در این نوشته، مرجع ذکر کرده است. این مطلب را می خوانید:
دنیا از شنیدن این خبر که واتس‌اپ، هر تصویری را تبدیل به جاسوس افزار می‌کند، حیرت زده شده است. هر چیزی روی گوشی شما، شامل تصاویر، ایمیل‌ها و متن‌ها، فقط به این دلیل که واتس‌اپ را نصب کرده‌اید، در دسترس مهاجمان قرار داشته است.
این اخبار البته من را متعجب نکرد. پارسال واتس‌اپ وادار به تایید مساله‌ای مشابه شد؛ یک تماس تصویری از طریق واتس‌اپ برای هکرها کافی بود که به تمامی داده‌های روی گوشی شما دسترسی بیابند.
هر بار که واتس‌اپ یک آسیب‌پذیری بحرانی را در اپ‌اش اصلاح می‌کند، یک مشکل جدید به جای آن پدیدار می‌شود. همه مشکلات امنیتی آنها برای کنترل کاربر مناسب است و همه مانند Backdoor عمل می‌کنند.
بر خلاف تلگرام، واتس‌اپ منبع‌باز نیست؛ بنابراین محققان امنیت به آسانی قادر به بررسی اینکه در کد آن، Backdoor وجود دارد، نخواهند بود. آنها دقیقا برعکس عمل می‌کنند؛ واتس‌اپ عامدانه دسترسی به کدهایش را نمی‌دهد تا هیچ کس قادر به بررسی آنها نباشد.
واتس‌اپ و شرکت مادرش، فیس‌بوک، شاید حتی از سوی روال‌های امنیتی مانند دستور سکوت (gag order) اف‌بی‌آی وادار به نصب در پشتی (Backdoor) شده باشند.در آمریکا، برقراری یک ارتباط امن ساده نیست. در سال 2016 تیمی از تلگرام یک هفته در آمریکا مستقر بود و در این مدت 3 تلاش برای نفود به تلگرام از سوی اف‌بی‌آی انجام شد. حال تصور کنید 10 سال کار کردن در چنین فضایی چه تبعاتی برای شرکت‌های مستقر در آمریکا خواهد داشت.
البته توجیهات نهادهای امنیتی را برای نصب در پشتی برای مقابله با تهدیدهای تروریستی درک می‌کنم؛ اما مشکل چنین Backdoorهایی این است که مجرمان سایبری و دولت‌های تمامیت‌خواه نیز می‌توانند از آنها استفاده کنند. عجیب نیست که دیکتاتورها واتس‌اپ را دوست دارند؛ ضعف امنیتی واتس‌اپ به آنان امکان می‌دهد که از شهروندان‌شان جاسوسی کنند. به همین دلیل هم واتس‌اپ همچنان در کشورهایی مثل روسیه و ... آزاد و در دسترس است؛ در حالی که تلگرام به دستور مقامات ممنوع شده است.
در واقع من در واکنش به فشارهای مقامات روس کار روی تلگرام را آغاز کردم. آن زمان در سال 2012، واتس‌اپ فقط پیام‌ها را به صورت متن ساده تبادل می‌کرد که دیوانگی بود. نه تنها دولت‌ها و هکرها، بلکه حتی اپراتورهای موبایل و ادمین‌های وای‌فای نیز به تمامی متن‌های تبادل شده روی واتس‌اپ دسترسی داشتند.
واتس‌اپ، بعدها گونه‌ای از رمز‌گذاری را به سرویس‌اش افزود که به سرعت مشخص شد صرفا یک ترفند تبلیغاتی بوده است. چون کلید رمزگشایی پیام‌ها در دسترس بعضی از دولت‌ها از جمله دولت روسیه بود. بعد، با محبوب شدن تلگرام، بنیان‌گذاران واتس‌اپ، این پیام رسان را به فیس‌بوک فروختند و اعلام کردند که «حریم خصوصی در دی‌ان‌ای آنهاست». اگر چنین ادعایی صحت داشته باشد هم احتمالا ژن آنها ساکت (dormant) یا ژن باخته (recessive) است.
3 سال پیش واتس‌اپ اعلام کرد که رمزگذاری سرتاسری (endto end encryption) را به کار گرفته است و دیگر هیچ شخص ثالثی به پیام‌ها دسترسی ندارد. این اعلامیه همراه شد با درخواست‌های متعدد و تشویق کاربران واتس‌اپ که چت‌های‌شان را در ابر پشتیبان‌گیری کنند. اما واتس‌اپ به کاربرانش نمی‌گفت که وقتی از چت‌ها پشتیبان بگیرند، این پشتیبان‌ها دیگر با رمزگذاری سرتاسری محافظت نمی‌شود و می‌تواند در دسترس هکرها و مقامات حکومتی قرار بگیرد. چه بازاریابی درخشانی! و برخی از مردم ساده‌دل هم در نتیجه این اقدام، هم اکنون دوران محکومیت خود را در زندان می‌گذرانند.
آنهایی هم که مقاوم‌تر بوده‌اند و به درخواست‌های بک‌آپ‌گیری تن ندادند نیز همچنان با ترفندهایی قابل ردیابی هستند؛ ترفندهایی از جمله دسترسی به پشتیبان فهرست مخاطبان تا تغییرات نامحسوس کلید رمز. فراداده‌هایی که به دست کاربران واتس‌اپ تولید می‌شود لاگ‌هایی که نشان می‌دهد که چه کسی با چه کسی و در چه زمانی چت کرده است از سوی شرکت مادر واتس‌اپ به انواع نهادهای امنیتی و غیر امنیتی درز داده شده است. اما مهم‌تر از همه اینها، ملغمه‌ای از آسیب‌پذیری‌های بحرانی، یکی پس از دیگری در این پیام‌رسان پدیدار می‌شود.
واتس‌اپ دارای تاریخچه مشخصی است – از شروع فعالیت بدون هیچ‌گونه رمزگذاری تا مشکلات امنیتی پی‌درپی مناسب برای اهداف نظارتی و جاسوسی. به عقب که نگاه کنیم، حتی یک روز در تاریخ 10 ساله واتس‌اپ نبوده که این سرویس امن بوده باشد. به همین دلیل است که گمان نمی‌کنم با روزآمدسازی اپ موبایل واتس‌اپ، بتوان آن را برای همگان امن کرد. واتس‌اپ اگر می‌خواهد به یک سرویس مبتنی بر حریم خصوصی تبدیل شود، باید ریسک از دست دادن تمامی بازار و کشمکش با مقامات کشور محل استقرارش را بپذیرد و به نظر نمی‌رسد که آنها برای چنین ریسکی آماده باشند.
سال گذشته، بنیان‌گذاران واتس‌اپ به دلیل نگرانی درباره حریم خصوصی کاربران این شرکت را ترک کردند. آنان واقعا گرفتار دستورسکوت و پیمان‌نامه‌های عدم افشای اطلاعات (NDA) هستند؛ بنابراین، بدون به مخاطره انداختن آینده و آزادی‌شان، قادر به صحبت آزاد درباره Backdoor‌ها در ملا عام نیستند. البته این بنیان‌گذاران می‌توانستند اعتراف کنند که حریم خصوصی کاربران‌شان را فروخته‌‌اند.
بی‌میلی بنیان‌گذاران واتس‌اپ در ارایه اطلاعات بیشتر، برای من قابل درک است. به خطر انداختن آسایش فردی آسان نیست. چندین سال قبل من به دلیل تبعیت نکردن از دستور دولت برای ارایه اطلاعات شبکه اجتماعی VK مجبور شدم کشورم را ترک کنم. برای من خوشایند نبود؛ اما آیا دوباره هم همین کار را خواهم کرد؟ با کمال میل. هر کدام از ما بالاخره یک روزی می‌میریم؛ ولی نسل بشر حالاحالاها در زمین مقیم است. به همین دلیل است که اعتقاد دارم مال‌اندوزی، شهرت یا قدرت مهم نیست و خدمت به بشریت تنها چیزی است که در طولانی مدت ارزش و اهمیت دارد.
و همچنان، بر خلاف نیت‌های‌مان، احساس می‌کنم که در ماجرای جاسوس افزار واس‌اپ ما بشریت را مایوس کرده‌ایم. بسیاری از مردم نمی‌توانند دست از واتس‌اپ بکشند چون دوستان و فامیل‌شان همچنان در آنجا هستند. این بدان معنی است که ما در تلگرام، در ترغیت افراد به تغییر پیام‌رسان‌شان خوب عمل نکرده‌ایم. اگر چه در 5 سال گذشته صدها میلیون کاربر را جذب کرده‌ایم، این مقدار هنوز کافی نیست. عمده کاربران اینترنت همچنان در دست امپراتوری فیس‌بوک/واتس‌اپ/ اینستاگرام گروگان هستند. بسیاری از کاربران تلگرام، همچنان از واتس‌اپ استفاده می‌کنند؛ یعنی که گوشی‌شان همچنان آسیب‌پذیر است. حتی آنها که کاملا از واتس‌اپ دل کنده‌اند، احتمال دارد که همچنان از اینستاگرام و فیس‌بوک استفاده کنند که هر دو این اپلیکیشن‌ها همچنان گمان می‌کنند ذخیره گذرواژه‌ها به صورت متنی ساده، ایرادی ندارد. (من هنوز باورم نمی‌شود که یک شرکت فناوری چنین عملکردی داشته باشد و گیر نیفتد.)
تلگرام، که هم اکنون حدود 6 سال از عمرش می‌گذرد، تا کنون شاهد نشت عمده اطلاعات یا ضعف‌های امنیتی مشابه آنچه واتس‌اپ هر چندماه یک‌بار درگیرش می‌شود، نبوده است. در این 6 سال ما حتی یک بایت از داده‌های‌مان را برای شرکت‌ها یا اشخاص ثالث افشا نکرده‌ایم؛ در حالی که فیس‌بوک/ واتس‌اپ در همین مدت تقریبا همه چیز را با هر نهادی که مدعی بوده با دولت‌ها کار می‌کند، به اشتراک گذاشته است.
افراد اندکی خارج از جامعه علاقه‌مندان تلگرام می‌دانند که بسیاری از امکانات جدید پیام‌رسان‌ها، ابتدا از سوی تلگرام عرضه می‌شود و بعد واتس‌اپ آنها را به شکلی ناشیانه کپی می‌کند. اخیرا هم ما شاهد تلاش فیس‌بوک برای کپی کل فلسفه تلگرام بوده‌ایم؛ جایی که زاکربرگ ناگهان به اهمیت خریم خصوصی و سرعت صحه گذاشت و در سخنرانی‌اش در کنفرانس F8 بر واژه واژه توضیحات تلگرام تاکید کرد.
اما نالیدن از دورویی اف‌بی‌آی و نبود خلاقیت دردی را دوا نمی‌کند. باید اعترام کنیم که فیس‌بوک راهبردی کارآمد دارد. ببینید آنها چه بلایی سر اسنپ‌چت آوردند.
ما در تلگرام باید مسوولیت‌مان در ساخت آینده را بپذیریم. آینده شاهد انحصار ما یا فیس‌بوک خواهد بود؛ یعنی یا آزادی و حریم خصوصی و یا نفاق و طمع‌کاری. تیم ما در 13 سال گذشته با فیس‌بوک در حال رقابت بوده است. ما تاکنون یک بار آنها را در بازار شبکه‌های اجتماعی شرق اروپا شکست داده‌ایم و بار دیگر آنها را در بازار جهانی پیام‌رسان‌ها شکست خواهیم داد. باید این کار را بکنیم.
این البته آسان نیست. دپارتمان بازاریابی فیس‌بوک خیلی عظیم است. ما هم در تلگرام تقریبا هیچ بازاریابی خاصی نمی‌کنیم. ما نمی‌خواهیم به روزنامه‌نگاران و محققان پول بدهیم که درباره تلگرام مطلب بنویسند و در این راه، فقط به میلیون کاربرمان متکی هستیم. اگر شما تلگرام را دوست داشته باشید، به دوستان‌تان پیشنهادش می‌کنید و اگر هر کاربر تلگرام 3 نفر از دوستانش را به حذف واتس‌اپ و نقل مکان دائمی به تلگرام ترغیب کند، تلگرام به سرعت به محبوبیتی بیش از واتس‌اپ دست خواهد یافت.
دوران طمع‌کاری و نفاق به پایان خواهد رسید و عصر آزادی و حریم خصوصی آغاز خواهد شد. آن روز از آنچه به نظر می‌رسد نزدیک‌تر است.(منبع:فناوران)

  • ۹۸/۰۲/۲۸

تلگرام

واتس‌اپ

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">