آيا پيام‌رسان امن هم داريم؟

يكشنبه 10 بهمن 1395

از آنجايي که واتس‌اپ به عنوان يکي از آخرين قرباني‌هاي رخنه‌هاي امنيتي شناخته شده، اين سوال وجود دارد که آيا برنامه پيام‌رساني وجود دارد که واقعا و همه‌جانبه امن باشد.

  • 0



به گزارش اپليکيشن ايراني، در حالي که برخي پيام‌رسان‌ها امن‌تر از ديگران هستند اما به نظر مي‌رسد هميشه نقصي وجود دارد که قابل کشف باشد. بايد به دنبال اين پاسخ بود که آيا واقعا يک برنامه پيام‌رسان امن وجود دارد يا تمامي پيام‌رسان‌ها مستعد رخنه‌هاي امنيتي هستند.

 
يک نفر مي‌تواند ساعت‌ها تمام ابزار ارتباطات رمزگذاري‌شده در دسترس را بررسي کند، از خدمات محبوب و شناخته‌شده‌اي مانند واتس‌اپ و مسنجر فيس‌بوک تا پيام‌رسان‌هاي تازه‌واردي مانند سيگنال و واير. اما در حالي که کارشناسان معتقدند برخي از اين گزينه‌ها امن‌تر از ديگران هستند، در همين پيام‌رسان‌هاي امن هم هميشه نقصي وجود دارد که به نظر مي‌رسد بالاخره روزي کشف شود. اين باعث مي‌شود جستجو براي يک برنامه کامل و بي‌نقص بسيار دشوار باشد.
 
رخنه امنيتي به واتس‌اپ
 
گاردين در گزارش خود نوشته است که چند روز قبل آشکار شد مهاجماني توانستند يک آسيب‌پذيري امنيتي در واتس‌اپ بيابند و با استفاده از آن براي تجسس در حساب کاربري افراد بهره‌برداري کنند. اين آسيب‌پذيري در اجراي خدمات رمزگذاري دو طرفه رخ داد که قرار است هر کاري در آن صورت بگيرد اما خواندن پيام‌ها براي افرادي غير از فرستنده و گيرنده مورد نظر غيرممکن باشد.
 
اين مشکل ناشي از توانايي واتس‌اپ براي ايجاد کليدهاي رمزگذاري جديد براي کاربران آنلاين است. اين کار براي ابزارهاي ارتباطي امن شايع است، اما واتس‌اپ توسط تصميم خود مبني بر رمزگذاري دوباره پيام‌ها با کليدهاي جديد بدون اطلاع فرستنده يا گيرنده از اين کار ايزوله شده است.
 
اين کار مي‌تواند به ديگران اجازه دهد ارتباطات را رهگيري کنند بدون اينکه هيچ نشانه‌اي از حضور در گفت‌وگو داشته باشند. بنابراين واتس‌اپ با اين کار به طور موثر اصل اساسي رمزگذاري دوطرفه را تضعيف کرده است.
 
واکنش بيش از حد به اين موضوع مي‌تواند آسان باشد. البته واتس‌اپ يک «در پشتي» (راهي که با استفاده از آن بدون اجازه به قسمت‌هاي مشخصي از يک سامانه دست پيدا کرد) به خدمات خود اضافه نکرده است، ادعايي که يکي از بنيانگذاران اين شرکت به صورت عموم مطرح کرد و گفت واتس‌اپ همواره از هرگونه درخواست دولت براي ايجاد يک در پشتي مبارزه مي‌کند.
 
اين آسيب‌پذيري البته در حدي بحراني نيست که مردم اين برنامه را از دستگاه‌هاي خود حذف کنند. کاربران نگران مي‌توانند هويت افراد را با مقايسه «اثر انگشت» مربوط با کليد خود بررسي کنند و همچنين مي‌توانند تنظيماتي فعال کنند که هنگامي که يک پيام با يک کليد جديد دوباره رمزگذاري شده، به آنها اطلاع‌رساني شود.
 
مسدود کردن پيام‌ها و رفع مسدودي
 
با اين حال همچنان ماهيت اين اطلاعيه‌ها مورد سوال است؛ دو گزينه وجود دارد، مسدود کردن و يا حل مشکل مسدودي که نياز دارد، کاربران به صورت دستي مشخص کنند که يک کليد جديد قانوني است و يا به سادگي کاربر را زماني که يک کليد تغيير کرد، آگاه کند.
 
راهکار واتس‌اپ غيرمسدود کردن است. سيگنال، ابزار پيام‌رساني رمزگذاري‌شده Open Whisper Systems يا OWS که پروتکل رمزگذاري دوطرفه آن در واتس‌اپ، مسنجر و برنامه‌هاي ديگر مورد استفاده قرار مي‌گيرد، از مسدود کردن اطلاعيه‌ها استفاده مي‌کند.
 
يکي از کارمندان OWS مي‌گويد: سيگنال برنامه‌ريزي کرده تا از مسدود کردن اطلاعيه‌ها به عنوان يک گزينه براي برخي از کاربران استفاده کند. غيرمسدود کردن اطلاعيه‌ها نيز به طور پيش‌فرض اجرا مي‌شود.
 
او مي‌گويد: بازخوردي که ما دريافت کرديم اين است که بسياري از کاربران ما نمي‌خواهند پيام‌هايشان مسدود شود. آنچه آنها مي‌خواهند تنها توانايي بررسي يکپارچگي ارتباطات خود است و اينکه ببينند اين اتفاقات چه زماني رخ مي‌دهد اما آنها نمي‌خواهند گردش کار عادي‌شان قطع شود.
 
اين موضوع هم گزارش را به ريشه اين مشکل برمي‌گرداند، اينکه آيا اولويت برنامه‌هاي پيام‌رساني بايد آسودگي باشد و يا امنيت؟
 
موکسي مارلين‌اسپايک، يکي از افسران ارشد فناوري در  بخش ارائه‌دهنده ارتباطات امن پيام‌رسان پيام‌رسان واير، مي‌گويد: اين موضوع واقعا به ارائه‌دهنده سرويس و ميزان خطري که مي‌خواهد بپذيرد بستگي دارد.
 
براي واتس‌اپ نسبتا دشوار است در حالي که يک ميليارد کاربر دارد، از مسدود کردن پيام‌ها استفاده کند و با ادامه کار همان‌طور که واتس‌اپ انجام داده است، تجارتي با به خطر انداختن امنيت کاربران انجام مي‌دهد. از سوي ديگر واير با ارزش نهادن و توجه به امنيت بيشتر از آسودگي، رويکردي متفاوت در پيش گرفته است.
 
برخي از برنامه‌هاي پيام‌رساني از واتس‌اپ پيروي مي‌کنند و کاربران را از تغييرات کليدي پيش‌فرض آگاه نمي‌کنند. برخي ديگر مانند واير پيامي را با کليدهاي جديد و بدون رضايت کاربر به افراد ارسال نمي‌کنند. اين شرکت‌ها بدون توجه به تصميمي که اتخاذ کنند با انتقاد روبه‌رو مي‌شوند.
 
کاربران واتس‌اپ ممکن است نگران باشند که پيام‌هايشان امنيت ندارد، کاربران واير نيز ممکن است از افزايش اطلاعيه‌هاي امنيتي خسته شوند و رويکرد خود را بر اساس بازخورد کاربران، همان‌طور که OWS با نرم‌افزار سيگنال انجام مي‌دهد، تغيير دهند.
 
هيچ پاسخ درست يا غلطي وجود ندارد. اين پاسخ مي‌تواند براي ديگر تصميم‌ها مانند سرويس «الو» گوگل و «مکالمات محرمانه» فيس‌بوک مسنجر نيز گفته شود که از رمزگذاري دوطرفه به طور پيش‌فرض استفاده نمي‌کنند و شرکت‌ها مي‌گويند اين کار به آنها امکان ارائه ويژگي‌هايي را مي‌دهد که در غير اين صورت ممکن نخواهد بود.
 
همچنين برنامه‌هايي که به طور پيش‌فرض از رمزگذاري استفاده مي‌کنند، مانند سيگنال و واير، نياز دارند مردم را که مايل به برقراري ارتباط با ديگران هستند متقاعد کنند پيام‌رسان خود را به يک ابزار  ناآشنا تغيير دهند.
 
 بايد در مورد آسيب‌پذيري رمزگذاري واتس‌اپ نگران باشيم؟
 
شرکت‌ها رويکردهاي مختلفي در برابر يک مشکل مشابه دارند؛ واتس‌اپ بايد انتخاب کند که يک ميليارد کاربر داشته باشد که هنگام مکالمه کسي مزاحم آنها نشود و يا اينکه هر زمان يک کليد امنيتي تغيير کرد به آنها اطلاع دهد.
 
گوگل بايد تلاش کرده و با اين اشتياق که ويژگي‌هايي ارائه دهد که بتواند به تازه‌واردي مانند الو براي رقابت با خدمات ديگر کند کمک کند، مردم را ايمن‌تر کند. حتي برنامه‌هايي که به حريم خصوصي توجه بيشتري مي‌دهند نيز بايد طراحي‌هاي خود را با در ذهن داشتن کاربران انجام دهند.
 
بايد توجه داشت که در بازار ارتباطات ايمن هيچ مکانيزم يکساني براي همه برنامه‌ها وجود ندارد. البته سرويس‌ها بايد تصميم بگيرند که مي‌خواهند چه مشکلاتي را حل کنند تا بدين ترتيب مصرف‌کنندگان بتوانند بهترين برنامه را متناسب با نيازهاي خود انتخاب کنند. در حال حاضر برنامه‌هاي زيادي از رمزگذاري دوطرفه پشتيباني مي‌کنند و حتي اگر هيچ‌کدام از آنها کامل و بي‌نقص نباشند، اين بدان معناست که ارتباطات خصوصي امن‌تر از قبل هستند. البته مشکلات متعددي نيز وجود دارند که بايد با دقت در نظر گرفته شوند و درباره آنها ساده‌انگاري نشود.
 
مارلين‌اسپايک مي‌گويد: واتس‌اپ يک طراحي بسيار خوب و قابل توجه انجام داده است و با موفقيت آن را به بزرگترين شبکه رمزگذاري دوطرفه گسترش داده است. پرداختن به مسائل بهترين تجربه کاربر و اينکه چگونه بايد در مورد اين مشکلات فکر کنيم با اين  کار که از در پشتي نام ببريم و به همه افراد بگوييم که واتس‌اپ را حذف کنند، آسيب‌هاي بسيار بيشتري نسبت به فوايد آن خواهد داشت.
 
اين کار باعث مي‌شود مردم به دانلود برنامه‌هاي ديگر اقدام کنند که اهميت کمتري به ايمني مي‌دهند و از توجه و مراقبت کمتري بهره مي‌برند که کاربران کمتر قادر به ارزيابي آن هستند.
تا کنون نظری ثبت نشده است . شما میتوانید اولین نفر باشد .