چت امنیتی!
يكي از دوستان با چت سوال كرد و جواب دادم. متن زير همان است با كمي جرح و تعديل:
او: سلام آقای خسروبیگی. پشت میز هستین؟ وقت دارین؟
من: سلام. بفرمایید
او: یه سوال فنی دارم، و سعی میکنم زیاد وقتتون رو نگیرم. این مکالمهی نوشتاری خودمون در اینجا رو فرض بگیرید، یا ارسال ایمیلی که یک فایل بهش اتچ شده باشه. خب طبیعییه که این چیزی که میفرستم و شما میخونید، توی مسیر به یه سری دیتا تبدیل میشه
من: خب
او: میخوام بدونم روی آی.اس.پی ها و یا جاهای دیگه، اگر اراده کنن متوجهی این چیزی که الان دارم براتون مینویسم میشن؟ جایی ذخیره میشه؟ تبادل اطلاعات بین ما، در روی سرور آی.اس.پیها و خدمات دهندگان اینترنت، یا احتمالا جاهای مرتبط دیگه ذخیره میشه؟
من: 1- با توجه به اینکه الآن داریم با https کار میکنیم، این اطلاعات رمز میشه و منتقل میشه و بنابراین قابل دسترسی نیست. مگر رمزگشایی بشه
2- در جایی ذخیره نمیشه. البته قابل شنود هست. و چیزی که قابل شنود باشه توسط نرمافزار قابل ذخیره هم هست. ولی در حالت عادی، نه ذخیره نمیشه. در موقع مخابره ممکنه به دلیل قرار گرفتن در صف، در بافرهای نودهای میانی ذخیره بشه. ولی این ذخیرهسازی، ذخیرهسازی به منظور ذخیره و استفاده بعدی نیست. صرفا به منظور جلوگیری از، از بین رفتنه و بعد از مخابره دیگه دیتاهای جدید جايگزين و بنابراین قبلیها از بین میره.
او: در کل امکان دسترسی آی.اس.پی به این گفتگو، چقدر میتونه باشه؟ و اگر پروتکل امن نباشه، چطور؟
من: اگر پروتکل امن نباشه، به راحتی قابل استفاده است. چون اطلاعات به صورت رمز نشده مبادله میشه و با شنود قابل استفاده برای دیگرانه. ببینید… کلا اطلاعاتی که در شبکههای کامپیوتری و اینترنتی مبادله میشه، در قالب بستهها جابجا میشه، از یک نود به نود دیگه. در بین راه از طریق نشت در لینکها قابل شنود هست. مخصوصا لینکهای وایرلس. و همچنین در خود نودها هم قابل شنود (کپی) هست. البته گفتم در شرایط عادی اینکار انجام نمیشه. مگر کسی که بخواد استراق سمع کنه یا نفوذ کنه، ابزار اضافی برای این منظور بکار بگیره. حالا این داستان ربطی به اینکه بستههای اطلاعاتی رمز شده باشند یا نه، نداره. اما اگر رمز شده باشند، پس از شنود بایستی رمزگشایی بشن. که این کار بسته به اینکه چگونه و با چه تکنیکی رمز شده باشند، زمانبر هست. در ضمن وقتی شما دارید از پروکسیها استفاده میکنید هم، کلا اطلاعات رمزنگاری شده و سپس مخابره میشوند
او: خب تکنیک رو میشه حدس زد، مگر این مکاله، با مکالمههای قبلی من با کسان دیگه، همه از یک تکنیک رمزنگاری استفاده نمیکنن؟ منظورم اینه که تکنیک رمزنگاری بستههای گوگل (جیمیل) همه یک شکل هستند؟
من: مسئله فقط تکنیک و روش نیست. بلکه کدهایی که با متن اصلی تلفیق میشه تا متن رمز شده را تولید کنه هم هست.
او: اوكي. پس مثلا وبلاگ من که ظاهرا از پروتکل معمولی استفاده میکنه، ممکنه مثلا برای آی.اس.پی به راحتی قابل شنود و نفوذ باشه؟
من: ببینید… وبلاگ داستانش فرق میکنه. شما مطالبتون رو در قالب وبلاگتون به صورت آزاد و با پروتکل وب در اختیار دیگران گذاشته اید. آنجا بحث امنیت به این شکل مطرح نیست. البته اگر با پروتکل امن بخواهید استفاده کنید، رمز نگاری میشه و اطلاعات جابجا میشه. اما در مقصد دوباره رمزگشایی میشه. در اونصورت چندان نیازی به استفاده از پروتکل امن نیست.
اما در مورد محتوای ایمیلها یا همین چت، داستان فرق میکنه. چیزایی که من مینویسم برای شما، قرار نیست دیگران مطلع بشن. اگر رمزنگاری شده باشه، حتی اگر دیگران هم شنود کنند، نمیفهمند. اما اگر رمزنگاری نشده باشه، اگر دیگران “شنود” کنند، میتونند بخونند. روی کلمه “شنود” تاکید دارم. منظورم اینه که در شرایط عادی قرار نیست دیگران محتوا رو بدونند. اما اگر شنود بشه و متن رمز نشده باشه، میتونند بخونند.
البته اگر رمز شده هم باشه، بعد از رمزگشایی قابل خوندن هست. اما رمز گشایی پروسهای زمانبر هست. و با ابزار و امکانات موجود، مثلا متنهای رمز شده جیمیل، امنه!
و سالها طول میکشه تا بتونند رمزگشاییش کنند.
او: به قالب وبلاگ اشاره کردید که وبلاگ منتشر شده رو نشون میده، البته من بیشتر منظورم موقع درج یوزر و پسورد و لاگین شدن به وبلاگم هست. یا مثلا لاگین شدن به حساب بانکی اینترنتی. یا موارد مشابه دیگه، حتی همین گفتگوی خصوصی ساده. خب، معمولا آی.اس.پیها شنود میکنن یا نه؟ من روی آی.اس.پیها تاکید دارم. مثلا من میرم توی گوگل، مطلب مهندسی سرچ میکنم. هیچ جا هم لاگین نکردم. یه سری دیتا میفرستم و میگیرم. آی.اس.پی، اگر بخواد میتونه بفهمه؟
من: بله میتونه بفهمه. اما معمولا این کارو نمیکنند. اولا اغلب تخصصشو ندارند. ثانیا ابزارشو ندارند. و ثالثا وقتشو.
اما توصیه میکنم در مکانهای عمومی، مثل کافینتها بیشتر مراقب باشید. روی کافینتها جای نگرانی بیشتره تا آی اس پی ها. و ضمنا در مواقع مخابره اطلاعات حساس، مثل یوزر پسورد، در حد امکان از پروتکلهای امن استفاده کنید. و اگر امکانش نبود، بلافاصله پس از اون، در اولین فرصت پسوردتونو عوض کنید!
او: اوكي
من: نکته مهم دیگه اینه: مراقب کیلاگرها باشید. سختافزارها يا نرمافزارهایی هستند که یوزر پسورد (بهتر بگم، كليدهاي زده شده) را ذخیره میکنند. حتی اگر شما دارید با پروتکلهای امن کار میکنید. چون کیلاگر، اطلاعات رو مستقیما از صفحه کلید میگیره و قبل از اینکه بخواد رمز و سپس مخابره بشه! بنابراین در مواقعی که مثلا میخواهید پسورد سیستم بانکی رو بزنید، از ابزارهایی که صفحه کلید مجازی روی مانیتور درست میکنند و با کلیک موس اطلاعات رو میگیرند استفاده کنید. مثلا من موقع ورود رمزها در کار با سایتهای بانکی و یا سایر سایتهای مشابه، از کیبرد استفاده نمیکنم. بلکه از صفحه کلید مجازی استفاده میکنم. البته روی سیستم شخصی خودم نه، بلکه روی سیستمهایی که به امنیتشون اعتماد کامل ندارم.
او: بد نیست اشارهای هم کنم به این نکته که همونطور که میدونید، چندی قبل یکی از مسئولین….. گفته بود به ایمیلها تسلط داریم. کنجکاو شده بودم ببینم مگه میشه
من: در صورتی که از پروتکلهای امن استفاده نشه، بله، حرف ایشون صحیحه. اما در صورت استفاده از پروتکلهای امن، نه.
راستی این را هم اضافه کنم که اینکه پرسیدهاید این اطلاعات در جایی ذخیره میشوند یا نه؟ محتوای این گفتگو، در صورتیکه در تنظیمات جیمیل گفته باشید، سوابق چت نگهداری شوند، در روی سرور جیمیل ذخیره میشود. ولی فقط صاحب ایميل با یوزر پسورد بهش دسترسی داره. اما در شرایط عادی و بدون شنود، در مسیر بین راه تا رسیدن به مقصد، در جایی ذخیره نمیشه. چون نه جا براش دارند و نه چندان اهمیتی داره که نیاز به ذخیرهسازی داشته باشه. و نه به دلایل فنی نیازی به ذخیره در بین راه هست. مگر اینکه بخواهند شنود کنند و برای بررسی بعدی ذخیره کنند. که این کار هم ممکنه توسط نیروهای امنیتی و اطلاعاتی دولتها انجام بشه!!!
او: مسئولین بخاطر مسائل امنیتی، ترجیح نمیدن جایی ذخیره بشه؟ یعنی شنود کنن؟
من: نه، فكر نميكنم، مال افراد عادی رو کاری ندارند. مگر کسی، آدم مهمی باشه و تحت نظر باشه. که البته در اونصورت هم، اون آدم مهم، حتما با کمک مشاورانش، بلده چه جوری مبادله اطلاعات کنه، که دم لای تله نده!
نگران نباشید، برای من و شما بعیده مشکلی پیش بیاد. خیلی از ماها مهمتر و گندهتر هستند…
امیدوارم اطلاعات مورد نیاز شما کامل شده باشه
او: خوب و کافی بود. دست شما درد نکنه. زحمت کشیدید
من: خواهش میکنم. از شما که باعث شدید این موارد رو به بررسی بشینیم، هم متشکرم.
عليكم بالچت في الجيميل!!!
One Reply to “چت امنیتی!”