سردار احمدی مقدم ،شنود غیر قانونی و https

در خبرها خواندیم که سردار احمدی مقدم فرمانده نیروی انتظامی اعلام کرده اند که قدرت شنود تمام ایمیلها و پیامک ها را دارند و کاربران این سرویسها بهتر است مراقب روش استفاده خود باشند. مطالب بسیاری به سرعت سعی کردند تا به بررسی این ادعا بپردازند که آیا امکان انجام دادن این کار وجود دارد یا خیر. البته به نظر من قابل انجام بودن یا نبودن این موضوع اهمیت خاصی ندارد، آنچه که مهم است رعایت حریم شخصی افراد است، و همانطور که مکالمات تلفنی جزء حریم شخصی افراد محسوب می شود، ایمیل و پیامک نیز جزء حریم شخصی افراد هستند. ورود به این حریم (در تمام دنیا) معمولا تنها توسط نهادهای قانونی و با کسب مجوز در شرایط بسیار بحرانی صورت می گیرد. اما از سخنان فرمانده نیروی انتظامی این گونه بر می آید که این نیرو برای شنود پیامک ها و ایمیلها نیازی به کسب مجوز ندارد.
کاملا به خاطر دارم که بعد از وقایع 11 سپتامبر دولت وقت آمریکا برای بالا بردن امنیت، قانونی را تصویب کرد که به واسطه این قانون امکان شنود همه مکالمات تلفنی، ایمیلی و … را بدون اخذ مجوز داشته باشد، در آن زمان رسانه های داخلی این موضوع را به عنوان یک نقطه ضعف برای دولت آمریکا عنوان می کردند و تاکید داشتند که دولت آمریکا در حال نقض حریم شخصی افراد است. البته قابل ذکر است که دولت وقت آمریکا برای نقض حریم شخصی افراد قانونی را به تصویب رسانده بود ولی من از به تصویب رسیدن چنین قانونی در کشورم بی اطلاع هستم.

در مورد امکان شنود پیامک ها به دلیل اینکه ساز و کار آن در اختیار دولت است بحثی نیست. این کار کاملا عملی است و نیازی هم نیست تک تک پیامها خوانده شود بلکه با تعریف چند فیلتر ساده می توان پیامهای حاولی کلمات و عبارات خاص را مشاهده کرد.
در مورد شنود ایمیل هم باید گفت راه های فراوانی هم برای شنود وجود دارد و هم برای غیر ممکن کردن شنود. اما آنچه که کاربران معمولی و عادی باید بدانند این است که امنیت در دنیای مجازی یک چیز نسبی است و این یعنی امن ترین روش وجود ندارد. مسئولین حفظ امنیت در دنیای مجازی هر روز در حال ابداع روش جدیدی برای حفظ امنیت هستند و هم زمان با آنها هکرها هم هر روز در حال ابداع روشهای جدید برای مخدوش کردن امنیت حاصل شده هستند.
کاربران معمولی و عادی برای اطمینان از اینکه ایمیلهای آنها توسط فرد دیگری خوانده نمی شود باید کارهای بسیار ساده ای را انجام دهند. اول اینکه کلمه عبور مناسبی را انتخاب کنید (این مطلب را بخوانید) و دوم اینکه همیشه بعد از اتمام کارتان Sign out یا log out کنید. راه سوم استفاده از پروتکل Https بجای http است. البته نیازی نیست آدم فنی باشید اما باید بدانید که تنها Gmail این امکان را ارائه می دهد پس اگر نگران مطالعه شدن ایمیلهایتان هستید بهتر است به Gmail نقل مکان کنید. در ادامه این مطلب روش کار Https را خواهید خواند.

Https چگونه کار می کند و آیا قابل هک کردن هست؟
هنگامیکه شما قصد دارید اطلاعاتی (ایمیل، فرم ثبت نام، اطلاعات کارت بانکی و…) را برای Server بفرستید، دو مسئله مورد توجه است. اول صحت هویت، یعنی اینکه آیا اطلاعاتی که قصد ارسال آنها را داریم به سروری منتقل می شود که باید بشود. آیا اطلاعات نام کاربری و کلمه عبوری را که در فرم ورود Gmail تایپ کرده ایم واقعا به Gmail ارسال می شود، یا این صفحه تنها یک صفحه تقلبی است برای ربودن اطلاعات ما. دوم رمز کردن اطلاعات، یعنی اگر کسی این اطلاعات را در مسیر ارسال دریافت کرد می تواند آنها را بخواند.
برای اطمینام از هویت در جامعه مجازی شرکتهایی وجود دارند به نام Certificate Authority یا CA. وظیفه این شرکتها تایید هویت سایتها است. تشخیص اینکه یک سایت واقعا همانی است که ادعا دارد در مورد سایتهایی که با اطلاعات خصوصی افراد کار دارند کار آسانی نیست. در نتیجه CA ها بوجود آمدند که هویت خودشان توسط مراجع قانونی تایید شده است، سپس این CA ها وظیفه دارند تا با بررسی هویت سایتها در دنیای واقعی برای آنها گواهینامه صادر کنند و توسط این گواهینامه هویت آنها را تایید کنند. صدور این گواهینامه ها با بررسی صحت اطلاعات ارسال شده از طرف متقاضی، مانند محل شرکت، اسناد رسمی و ثبتی و اطلاعاتی از این دست بررسی می شود. این گواهینامه ها دیجیتال هستند و مرورگرها امکان خواندن آنها را دارند. به همین دلیل وقتی وارد سایتی می شوید که دارای گواهینامه هست مرورگر شما قفل کوچکی را در نوار زیرین نشان می دهد که با کلیک بر روی آن می توانید اطلاعات گواهینامه را مطالعه کنید. خب بدین ترتیب می توان از هویت سایت اطمینان حاصل کرد.

نمونه ای از گواهینامه دریافت شده توسط مرورگر

برای کد کردن هم از یک جفت کلید استفاده می شود. یک کلید عمومی (Public key) و یک کلید خصوصی (Private Key). روش کار به این صورت است که وقتی شما با استفاده از Https وارد سایتی می شوید سرور با انجام مراحلی گواهینامه خود را برای مرورگر ارسال می کند که این گواهینامه علاوه بر اطلاعات ذکر شده در بالا شامل یک کلید عمومی هم هست. مرورگر برای ارسال اطلاعات اول آنها را با استفاده از این کلید عمومی تبدیل به کد و رمز می کند سپس آنها را ارسال می کند. این اطلاعات کد شده تنها با کلید خصوصی که در اختیار سرور هست قابل رمز گشایی هستند. فکر کنم حالا کاملا با روش استفاده از جفت کلید ها آشنا شدید. کلید عمومی در اختیار همه هست، ولی تنها کاربردش در مرحله کد کردن اطلاعات است و تنها کلید خصوصیی که جفت آن کلید عمومی است می تواند آن اطلاعات را از حالت رمز خارج کند.
Gmail از مدتها قبل امکان استفاده از Https را به صورت اختیاری پشتیبانی می کرد اما به تازگی به صورت پیش فرض از این پروتکل استفاده می کند. لذا می توانید اطمینان حاصل کنید که احتمال خوانده شده ایمیلهای شما نزدیک به صفر است.
شنود ارتباطهایی که از Https استفاده می کنند هم امکان پذیر است اما با استفاده از بی اطلاعی کاربران. با استفاده از ابزارهایی می توان میان دو طرف ارتباط قرار گرفت و به محض اینکه قربانی قصد برقراری ارتباط با یک سایت امن را کرد، درخواست دریافت گواهینامه به دست هکر رسیده و همانجا می ماندو سپس هکر یک گواهینامه قلابی صادر کرده و برای کاربر می فرستد، به دلیل اینکه هکر این گواهینامه را صادر کرده هم کلید خصوصی را در اختیار دارد و هم کلید عمومی را. به محض اینکه کاربر اطلاعات را با استفاده از کلید عمومی دریافت شده کد کرده و ارسال کرد هکر می تواند آنها را با استفاده زا کلید خصوصی که در اختیار دارد از حالت رمز خارج کند. اما موفقیت این نوع از حمله به خود کاربر بستگی دارد. مرورگر به محض دریافت گواهینامه تقلبی متوجه آن شده و به کاربر اختار می دهد و اگر کاربر این اختار را نادیده بگیرد خود را با دست خودش قربانی یک حمله کرده است.(در این رابطه این فیلم را ببینید)

حالا که با جزئیات کار آشنا شدید فکر می کنید نیروی انتظامی با هر کس دیگری امکان مطالعه غیر قانونی ایمیلهای شما را داشته باشد؟

[منبع تصویر]

منبع مطلب

Advertisements
  1. بیان دیدگاه

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: