چت امنیتی!

يكي از دوستان با چت سوال كرد و جواب دادم. متن زير همان است با كمي جرح و تعديل:

او: ‫سلام آقای خسروبیگی‬.   ‫پشت میز هستین؟ وقت دارین؟‬
من: سلام.   بفرمایید
او: ‫یه سوال فنی دارم، و سعی می‌کنم زیاد وقت‌تون رو نگیرم‬.  ‫این مکالمه‌ی نوشتاری خودمون در اینجا رو فرض  بگیرید، یا ارسال ایمیلی که یک فایل بهش اتچ شده باشه‬.   ‫خب طبیعی‌یه که این چیزی که می‌فرستم و شما می‌خونید، توی مسیر به یه سری دیتا تبدیل می‌شه‬
من: ‫خب‬
او: ‫می‌خوام بدونم روی آی.اس.پی ها و یا جاهای دیگه، اگر اراده کنن متوجه‌ی این چیزی که الان دارم براتون می‌نویسم می‌شن؟‬   ‫جایی ذخیره می‌شه؟‬  ‫تبادل اطلاعات بین ما، در روی سرور آی.اس.پی‌ها و خدمات دهندگان اینترنت، یا احتمالا جاهای مرتبط دیگه ذخیره می‌شه؟‬
من: ‫1- با توجه به اینکه الآن داریم با https کار میکنیم‬،   ‫این اطلاعات رمز میشه و منتقل میشه‬  ‫و بنابراین قابل دسترسی نیست‬.  ‫مگر رمزگشایی بشه‬
‫2- در جایی ذخیره نمیشه‬.   ‫البته قابل شنود هست‬. و چیزی که قابل شنود باشه توسط نرم‌افزار قابل ذخیره هم هست‬.   ‫ولی در حالت عادی، نه‬   ‫ذخیره نمیشه‬.  ‫در موقع مخابره ممکنه به دلیل قرار گرفتن در صف‬،   ‫در بافرهای نودهای میانی ذخیره بشه‬.   ‫ولی این ذخیره‌سازی‬،   ‫ذخیره‌سازی به منظور ذخیره و استفاده بعدی نیست‬.   ‫صرفا به منظور جلوگیری از، از بین رفتنه‬   ‫و بعد از مخابره دیگه دیتاهای جدید جايگزين  ‫و بنابراین قبلیها از بین میره‬.
او: ‫در کل  ‫امکان دسترسی آی.اس.پی به این گفتگو، چقدر می‌تونه باشه؟‬   ‫و اگر پروتکل امن نباشه، چطور؟‬
من: ‫اگر پروتکل امن نباشه‬،   ‫به راحتی قابل استفاده است‬.   ‫چون اطلاعات به صورت رمز نشده مبادله میشه‬  ‫و با شنود قابل استفاده برای دیگرانه‬.   ‫ببینید‬…   ‫کلا اطلاعاتی که در شبکه‌های کامپیوتری و اینترنتی مبادله میشه‬،   ‫در قالب بسته‌ها جابجا میشه‬،   ‫از یک نود به نود دیگه‬.  ‫در بین راه از طریق نشت در لینکها قابل شنود هست‬.   ‫مخصوصا لینکهای وایرلس‬.   ‫و همچنین در خود نودها هم قابل شنود (کپی) هست‬.   ‫البته گفتم در شرایط عادی اینکار انجام نمیشه‬. مگر کسی که بخواد استراق سمع کنه یا نفوذ کنه، ابزار اضافی برای این منظور بکار بگیره‬.   ‫حالا این داستان ربطی به اینکه بسته‌های اطلاعاتی رمز شده باشند یا نه‬،   ‫نداره‬.   ‫اما اگر رمز شده باشند‬،  ‫پس از شنود‬   ‫بایستی رمزگشایی بشن‬.   ‫که این کار بسته به اینکه چگونه و با چه تکنیکی رمز شده باشند‬،   ‫زمانبر هست‬.   ‫در ضمن‬   ‫وقتی شما دارید از پروکسی‌ها استفاده میکنید هم‬،  ‫کلا اطلاعات رمزنگاری شده و سپس مخابره میشوند‬
او: ‫خب تکنیک رو میشه حدس زد، مگر این مکاله، با مکالمه‌های قبلی من با کسان دیگه، همه از یک تکنیک رمزنگاری استفاده نمی‌کنن؟‬  ‫منظورم اینه که تکنیک رمزنگاری بسته‌های گوگل (جی‌میل) همه یک شکل هستند؟‬
من: ‫مسئله فقط تکنیک و روش نیست‬.   ‫بلکه کدهایی که با متن اصلی تلفیق میشه تا متن رمز شده را تولید کنه هم هست‬.
او: اوكي.  ‫پس مثلا وبلاگ من  که ظاهرا از پروتکل معمولی استفاده می‌کنه، ممکنه مثلا برای آی.اس.پی به راحتی قابل شنود و نفوذ باشه؟‬
من: ‫ببینید…‬   ‫وبلاگ داستانش فرق میکنه‬.  ‫شما مطالبتون رو در قالب وبلاگتون به صورت آزاد و با پروتکل وب در اختیار دیگران گذاشته اید‬.   ‫آنجا بحث امنیت به این شکل مطرح نیست‬.   ‫البته اگر با پروتکل امن بخواهید استفاده کنید‬،  ‫رمز نگاری میشه و اطلاعات جابجا میشه‬.   ‫اما در مقصد دوباره رمزگشایی میشه‬.   ‫در اونصورت چندان نیازی به استفاده از پروتکل امن نیست‬.
‫اما در مورد محتوای ایمیلها یا همین چت‬،   ‫داستان فرق میکنه‬.  ‫چیزایی که من مینویسم برای شما‬،   ‫قرار نیست دیگران مطلع بشن‬.   ‫اگر رمزنگاری شده باشه‬،  ‫حتی اگر دیگران هم شنود کنند، نمیفهمند‬.   ‫اما اگر رمزنگاری نشده باشه‬،  ‫اگر دیگران “شنود” کنند‬،   ‫میتونند بخونند‬.   ‫روی کلمه “شنود” تاکید دارم‬.   ‫منظورم اینه که در شرایط عادی قرار نیست دیگران محتوا رو بدونند‬.   ‫اما اگر شنود بشه و متن رمز نشده باشه‬،   ‫میتونند بخونند‬.
‫البته اگر رمز شده هم باشه‬،   ‫بعد از رمزگشایی قابل خوندن هست‬.   ‫اما رمز گشایی پروسه‌ای زمانبر هست‬.   ‫و با ابزار و امکانات موجود‬،   ‫مثلا متنهای رمز شده جیمیل‬،   ‫امنه!‬
‫و سالها طول میکشه تا بتونند رمزگشاییش کنند‬.
او: ‫به قالب وبلاگ اشاره کردید که وبلاگ منتشر شده رو نشون می‌ده، البته من بیشتر منظورم موقع درج یوزر و پسورد و لاگین شدن به وبلاگم هست. یا مثلا لاگین شدن به حساب بانکی اینترنتی. یا موارد مشابه دیگه، حتی همین گفتگوی خصوصی ساده‬.  ‫خب، معمولا آی.اس.پی‌ها شنود می‌کنن یا نه؟ من روی آی.اس.پی‌ها تاکید دارم‬.   ‫مثلا من می‌رم توی گوگل، مطلب مهندسی سرچ می‌کنم‬.   ‫هیچ جا هم لاگین نکردم‬.   ‫یه سری دیتا می‌فرستم و می‌گیرم‬.  ‫آی.اس.پی، اگر بخواد می‌تونه بفهمه؟‬
من: ‫بله میتونه بفهمه‬.  ‫اما معمولا این کارو نمیکنند‬.   ‫اولا اغلب تخصصشو ندارند‬.   ‫ثانیا ابزارشو ندارند‬.   ‫و ثالثا وقتشو‬.
‫اما توصیه میکنم در مکانهای عمومی، مثل کافی‌نتها بیشتر مراقب باشید‬.  ‫روی کافی‌نتها جای نگرانی بیشتره تا آی اس پی ها‬.   ‫و ضمنا‬   ‫در مواقع مخابره اطلاعات حساس‬،   ‫مثل یوزر پسورد‬،   ‫در حد امکان از پروتکلهای امن استفاده کنید‬.   ‫و اگر امکانش نبود‬،   ‫بلافاصله پس از اون‬،   ‫در اولین فرصت‬   ‫پسوردتونو عوض کنید‬!
او: اوكي
من: ‫نکته مهم دیگه اینه:‬   ‫مراقب کی‌لاگرها باشید‬.   ‫سخت‌افزارها يا نرم‌افزارهایی هستند که یوزر پسورد (بهتر بگم، كليدهاي زده شده) را ذخیره میکنند‬.   ‫حتی اگر شما دارید با پروتکلهای امن کار میکنید‬.  ‫چون کی‌لاگر‬،   ‫اطلاعات رو مستقیما از صفحه کلید میگیره‬   ‫و قبل از اینکه بخواد رمز و سپس مخابره بشه‬!   ‫بنابراین‬   ‫در مواقعی که مثلا میخواهید پسورد سیستم بانکی رو بزنید‬،  ‫از ابزارهایی که صفحه کلید مجازی روی مانیتور درست میکنند‬   ‫و با کلیک موس اطلاعات رو میگیرند استفاده کنید‬.   ‫مثلا من موقع ورود رمزها در کار با سایتهای بانکی  و یا سایر سایتهای مشابه‬،   ‫از کیبرد استفاده نمیکنم‬.  ‫بلکه از صفحه کلید مجازی استفاده میکنم‬.   ‫البته  روی سیستم شخصی خودم نه‬،   ‫بلکه روی سیستمهایی که به امنیتشون اعتماد کامل ندارم‬.
او: ‫ ‫بد نیست اشاره‌ای هم کنم به این نکته که همونطور که می‌دونید، چندی قبل یکی از مسئولین….. گفته بود به ایمیل‌ها تسلط داریم‬.   ‫کنجکاو شده بودم ببینم مگه می‌شه‬
من: ‫در صورتی که از پروتکلهای امن استفاده نشه‬،   ‫بله‬،   ‫حرف ایشون صحیحه‬.  ‫اما در صورت استفاده از پروتکلهای امن‬،   ‫نه‬.
‫راستی این را هم اضافه کنم که‬   ‫اینکه پرسیده‌اید این اطلاعات در جایی ذخیره میشوند یا نه؟‬   ‫محتوای این گفتگو‬، ‫در صورتیکه در تنظیمات جیمیل گفته باشید، سوابق چت نگهداری شوند‬،   ‫در روی سرور جیمیل ذخیره میشود‬.   ‫ولی فقط صاحب ایميل با یوزر پسورد بهش دسترسی داره‬.  ‫اما در شرایط عادی و بدون شنود‬،  ‫در مسیر بین راه تا رسیدن به مقصد‬،   ‫در جایی ذخیره نمیشه‬.   ‫چون نه جا براش دارند  ‫و نه چندان اهمیتی داره که نیاز به ذخیره‌سازی داشته باشه‬. ‫و نه به دلایل فنی نیازی به ذخیره در بین راه هست‬. مگر اینکه بخواهند شنود کنند و برای بررسی بعدی ذخیره کنند‬.   ‫که این کار هم ممکنه توسط نیروهای امنیتی و اطلاعاتی دولتها انجام بشه!!!‬
او: ‫مسئولین بخاطر مسائل امنیتی، ترجیح نمی‌دن جایی ذخیره بشه؟‬  ‫یعنی شنود کنن؟‬
من: ‫نه‬، فكر نميكنم،  ‫مال افراد عادی رو کاری ندارند‬.  ‫مگر کسی، آدم مهمی باشه و تحت نظر باشه‬.   ‫که البته در اونصورت هم‬،   ‫اون آدم مهم‬،   ‫حتما با کمک مشاورانش‬،   ‫بلده چه جوری مبادله اطلاعات کنه‬،   ‫که دم لای تله نده!‬
‫نگران نباشید‬،   ‫برای من و شما بعیده مشکلی پیش بیاد‬.   ‫خیلی از ماها مهمتر و گنده‌تر هستند‬…‬
‫امیدوارم اطلاعات مورد نیاز شما کامل شده باشه‬
او: ‫خوب و کافی بود‬.   ‫دست شما درد نکنه‬.   ‫زحمت کشیدید‬
من: ‫خواهش میکنم‬.  ‫از شما که باعث شدید این موارد رو به بررسی بشینیم، هم متشکرم‬.

عليكم بالچت في الجيميل!!!

One Reply to “چت امنیتی!”

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *