پیامرسان امن هم داریم؟
به گزارش ایسنا، در حالی که برخی پیامرسانها امنتر از دیگران هستند اما به نظر میرسد همیشه نقصی وجود دارد که قابل کشف باشد. باید به دنبال این پاسخ بود که آیا واقعا یک برنامه پیامرسان امن وجود دارد یا تمامی پیامرسانها مستعد رخنههای امنیتی هستند.
یک نفر میتواند ساعتها تمام ابزار ارتباطات رمزگذاریشده در دسترس را بررسی کند، از خدمات محبوب و شناختهشدهای مانند واتساپ و مسنجر فیسبوک تا پیامرسانهای تازهواردی مانند سیگنال و وایر. اما در حالی که کارشناسان معتقدند برخی از این گزینهها امنتر از دیگران هستند، در همین پیامرسانهای امن هم همیشه نقصی وجود دارد که به نظر میرسد بالاخره روزی کشف شود. این باعث میشود جستجو برای یک برنامه کامل و بینقص بسیار دشوار باشد.
رخنه امنیتی به واتساپ
گاردین در گزارش خود نوشته است که چند روز قبل آشکار شد مهاجمانی توانستند یک آسیبپذیری امنیتی در واتساپ بیابند و با استفاده از آن برای تجسس در حساب کاربری افراد بهرهبرداری کنند. این آسیبپذیری در اجرای خدمات رمزگذاری دو طرفه رخ داد که قرار است هر کاری در آن صورت بگیرد اما خواندن پیامها برای افرادی غیر از فرستنده و گیرنده مورد نظر غیرممکن باشد.
این مشکل ناشی از توانایی واتساپ برای ایجاد کلیدهای رمزگذاری جدید برای کاربران آنلاین است. این کار برای ابزارهای ارتباطی امن شایع است، اما واتساپ توسط تصمیم خود مبنی بر رمزگذاری دوباره پیامها با کلیدهای جدید بدون اطلاع فرستنده یا گیرنده از این کار ایزوله شده است.
این کار میتواند به دیگران اجازه دهد ارتباطات را رهگیری کنند بدون اینکه هیچ نشانهای از حضور در گفتوگو داشته باشند. بنابراین واتساپ با این کار به طور موثر اصل اساسی رمزگذاری دوطرفه را تضعیف کرده است.
واکنش بیش از حد به این موضوع میتواند آسان باشد. البته واتساپ یک «در پشتی» (راهی که با استفاده از آن بدون اجازه به قسمتهای مشخصی از یک سامانه دست پیدا کرد) به خدمات خود اضافه نکرده است، ادعایی که یکی از بنیانگذاران این شرکت به صورت عموم مطرح کرد و گفت واتساپ همواره از هرگونه درخواست دولت برای ایجاد یک در پشتی مبارزه میکند.
این آسیبپذیری البته در حدی بحرانی نیست که مردم این برنامه را از دستگاههای خود حذف کنند. کاربران نگران میتوانند هویت افراد را با مقایسه «اثر انگشت» مربوط با کلید خود بررسی کنند و همچنین میتوانند تنظیماتی فعال کنند که هنگامی که یک پیام با یک کلید جدید دوباره رمزگذاری شده، به آنها اطلاعرسانی شود.
مسدود کردن پیامها و رفع مسدودی
با این حال همچنان ماهیت این اطلاعیهها مورد سوال است؛ دو گزینه وجود دارد، مسدود کردن و یا حل مشکل مسدودی که نیاز دارد، کاربران به صورت دستی مشخص کنند که یک کلید جدید قانونی است و یا به سادگی کاربر را زمانی که یک کلید تغییر کرد، آگاه کند.
راهکار واتساپ غیرمسدود کردن است. سیگنال، ابزار پیامرسانی رمزگذاریشده Open Whisper Systems یا OWS که پروتکل رمزگذاری دوطرفه آن در واتساپ، مسنجر و برنامههای دیگر مورد استفاده قرار میگیرد، از مسدود کردن اطلاعیهها استفاده میکند.
یکی از کارمندان OWS میگوید: سیگنال برنامهریزی کرده تا از مسدود کردن اطلاعیهها به عنوان یک گزینه برای برخی از کاربران استفاده کند. غیرمسدود کردن اطلاعیهها نیز به طور پیشفرض اجرا میشود.
او میگوید: بازخوردی که ما دریافت کردیم این است که بسیاری از کاربران ما نمیخواهند پیامهایشان مسدود شود. آنچه آنها میخواهند تنها توانایی بررسی یکپارچگی ارتباطات خود است و اینکه ببینند این اتفاقات چه زمانی رخ میدهد اما آنها نمیخواهند گردش کار عادیشان قطع شود.
این موضوع هم گزارش را به ریشه این مشکل برمیگرداند، اینکه آیا اولویت برنامههای پیامرسانی باید آسودگی باشد و یا امنیت؟
موکسی مارلیناسپایک، یکی از افسران ارشد فناوری در بخش ارائهدهنده ارتباطات امن پیامرسان پیامرسان وایر، میگوید: این موضوع واقعا به ارائهدهنده سرویس و میزان خطری که میخواهد بپذیرد بستگی دارد.
برای واتساپ نسبتا دشوار است در حالی که یک میلیارد کاربر دارد، از مسدود کردن پیامها استفاده کند و با ادامه کار همانطور که واتساپ انجام داده است، تجارتی با به خطر انداختن امنیت کاربران انجام میدهد. از سوی دیگر وایر با ارزش نهادن و توجه به امنیت بیشتر از آسودگی، رویکردی متفاوت در پیش گرفته است.
برخی از برنامههای پیامرسانی از واتساپ پیروی میکنند و کاربران را از تغییرات کلیدی پیشفرض آگاه نمیکنند. برخی دیگر مانند وایر پیامی را با کلیدهای جدید و بدون رضایت کاربر به افراد ارسال نمیکنند. این شرکتها بدون توجه به تصمیمی که اتخاذ کنند با انتقاد روبهرو میشوند.
کاربران واتساپ ممکن است نگران باشند که پیامهایشان امنیت ندارد، کاربران وایر نیز ممکن است از افزایش اطلاعیههای امنیتی خسته شوند و رویکرد خود را بر اساس بازخورد کاربران، همانطور که OWS با نرمافزار سیگنال انجام میدهد، تغییر دهند.
هیچ پاسخ درست یا غلطی وجود ندارد. این پاسخ میتواند برای دیگر تصمیمها مانند سرویس «الو» گوگل و «مکالمات محرمانه» فیسبوک مسنجر نیز گفته شود که از رمزگذاری دوطرفه به طور پیشفرض استفاده نمیکنند و شرکتها میگویند این کار به آنها امکان ارائه ویژگیهایی را میدهد که در غیر این صورت ممکن نخواهد بود.
همچنین برنامههایی که به طور پیشفرض از رمزگذاری استفاده میکنند، مانند سیگنال و وایر، نیاز دارند مردم را که مایل به برقراری ارتباط با دیگران هستند متقاعد کنند پیامرسان خود را به یک ابزار ناآشنا تغییر دهند.
باید در مورد آسیبپذیری رمزگذاری واتساپ نگران باشیم؟
شرکتها رویکردهای مختلفی در برابر یک مشکل مشابه دارند؛ واتساپ باید انتخاب کند که یک میلیارد کاربر داشته باشد که هنگام مکالمه کسی مزاحم آنها نشود و یا اینکه هر زمان یک کلید امنیتی تغییر کرد به آنها اطلاع دهد.
گوگل باید تلاش کرده و با این اشتیاق که ویژگیهایی ارائه دهد که بتواند به تازهواردی مانند الو برای رقابت با خدمات دیگر کند کمک کند، مردم را ایمنتر کند. حتی برنامههایی که به حریم خصوصی توجه بیشتری میدهند نیز باید طراحیهای خود را با در ذهن داشتن کاربران انجام دهند.
باید توجه داشت که در بازار ارتباطات ایمن هیچ مکانیزم یکسانی برای همه برنامهها وجود ندارد. البته سرویسها باید تصمیم بگیرند که میخواهند چه مشکلاتی را حل کنند تا بدین ترتیب مصرفکنندگان بتوانند بهترین برنامه را متناسب با نیازهای خود انتخاب کنند. در حال حاضر برنامههای زیادی از رمزگذاری دوطرفه پشتیبانی میکنند و حتی اگر هیچکدام از آنها کامل و بینقص نباشند، این بدان معناست که ارتباطات خصوصی امنتر از قبل هستند. البته مشکلات متعددی نیز وجود دارند که باید با دقت در نظر گرفته شوند و درباره آنها سادهانگاری نشود.
مارلیناسپایک میگوید: واتساپ یک طراحی بسیار خوب و قابل توجه انجام داده است و با موفقیت آن را به بزرگترین شبکه رمزگذاری دوطرفه گسترش داده است. پرداختن به مسائل بهترین تجربه کاربر و اینکه چگونه باید در مورد این مشکلات فکر کنیم با این کار که از در پشتی نام ببریم و به همه افراد بگوییم که واتساپ را حذف کنند، آسیبهای بسیار بیشتری نسبت به فواید آن خواهد داشت.
این کار باعث میشود مردم به دانلود برنامههای دیگر اقدام کنند که اهمیت کمتری به ایمنی میدهند و از توجه و مراقبت کمتری بهره میبرند که کاربران کمتر قادر به ارزیابی آن هستند.