چت امنیتی!

يكي از دوستان با چت سوال كرد و جواب دادم. متن زير همان است با كمي جرح و تعديل:

او: ‫سلام آقای خسروبیگی‬.   ‫پشت میز هستین؟ وقت دارین؟‬
من: سلام.   بفرمایید
او: ‫یه سوال فنی دارم، و سعی می‌کنم زیاد وقت‌تون رو نگیرم‬.  ‫این مکالمه‌ی نوشتاری خودمون در اینجا رو فرض  بگیرید، یا ارسال ایمیلی که یک فایل بهش اتچ شده باشه‬.   ‫خب طبیعی‌یه که این چیزی که می‌فرستم و شما می‌خونید، توی مسیر به یه سری دیتا تبدیل می‌شه‬
من: ‫خب‬
او: ‫می‌خوام بدونم روی آی.اس.پی ها و یا جاهای دیگه، اگر اراده کنن متوجه‌ی این چیزی که الان دارم براتون می‌نویسم می‌شن؟‬   ‫جایی ذخیره می‌شه؟‬  ‫تبادل اطلاعات بین ما، در روی سرور آی.اس.پی‌ها و خدمات دهندگان اینترنت، یا احتمالا جاهای مرتبط دیگه ذخیره می‌شه؟‬
من: ‫۱- با توجه به اینکه الآن داریم با https کار میکنیم‬،   ‫این اطلاعات رمز میشه و منتقل میشه‬  ‫و بنابراین قابل دسترسی نیست‬.  ‫مگر رمزگشایی بشه‬
‫۲- در جایی ذخیره نمیشه‬.   ‫البته قابل شنود هست‬. و چیزی که قابل شنود باشه توسط نرم‌افزار قابل ذخیره هم هست‬.   ‫ولی در حالت عادی، نه‬   ‫ذخیره نمیشه‬.  ‫در موقع مخابره ممکنه به دلیل قرار گرفتن در صف‬،   ‫در بافرهای نودهای میانی ذخیره بشه‬.   ‫ولی این ذخیره‌سازی‬،   ‫ذخیره‌سازی به منظور ذخیره و استفاده بعدی نیست‬.   ‫صرفا به منظور جلوگیری از، از بین رفتنه‬   ‫و بعد از مخابره دیگه دیتاهای جدید جايگزين  ‫و بنابراین قبلیها از بین میره‬.
او: ‫در کل  ‫امکان دسترسی آی.اس.پی به این گفتگو، چقدر می‌تونه باشه؟‬   ‫و اگر پروتکل امن نباشه، چطور؟‬
من: ‫اگر پروتکل امن نباشه‬،   ‫به راحتی قابل استفاده است‬.   ‫چون اطلاعات به صورت رمز نشده مبادله میشه‬  ‫و با شنود قابل استفاده برای دیگرانه‬.   ‫ببینید‬…   ‫کلا اطلاعاتی که در شبکه‌های کامپیوتری و اینترنتی مبادله میشه‬،   ‫در قالب بسته‌ها جابجا میشه‬،   ‫از یک نود به نود دیگه‬.  ‫در بین راه از طریق نشت در لینکها قابل شنود هست‬.   ‫مخصوصا لینکهای وایرلس‬.   ‫و همچنین در خود نودها هم قابل شنود (کپی) هست‬.   ‫البته گفتم در شرایط عادی اینکار انجام نمیشه‬. مگر کسی که بخواد استراق سمع کنه یا نفوذ کنه، ابزار اضافی برای این منظور بکار بگیره‬.   ‫حالا این داستان ربطی به اینکه بسته‌های اطلاعاتی رمز شده باشند یا نه‬،   ‫نداره‬.   ‫اما اگر رمز شده باشند‬،  ‫پس از شنود‬   ‫بایستی رمزگشایی بشن‬.   ‫که این کار بسته به اینکه چگونه و با چه تکنیکی رمز شده باشند‬،   ‫زمانبر هست‬.   ‫در ضمن‬   ‫وقتی شما دارید از پروکسی‌ها استفاده میکنید هم‬،  ‫کلا اطلاعات رمزنگاری شده و سپس مخابره میشوند‬
او: ‫خب تکنیک رو میشه حدس زد، مگر این مکاله، با مکالمه‌های قبلی من با کسان دیگه، همه از یک تکنیک رمزنگاری استفاده نمی‌کنن؟‬  ‫منظورم اینه که تکنیک رمزنگاری بسته‌های گوگل (جی‌میل) همه یک شکل هستند؟‬
من: ‫مسئله فقط تکنیک و روش نیست‬.   ‫بلکه کدهایی که با متن اصلی تلفیق میشه تا متن رمز شده را تولید کنه هم هست‬.
او: اوكي.  ‫پس مثلا وبلاگ من  که ظاهرا از پروتکل معمولی استفاده می‌کنه، ممکنه مثلا برای آی.اس.پی به راحتی قابل شنود و نفوذ باشه؟‬
من: ‫ببینید…‬   ‫وبلاگ داستانش فرق میکنه‬.  ‫شما مطالبتون رو در قالب وبلاگتون به صورت آزاد و با پروتکل وب در اختیار دیگران گذاشته اید‬.   ‫آنجا بحث امنیت به این شکل مطرح نیست‬.   ‫البته اگر با پروتکل امن بخواهید استفاده کنید‬،  ‫رمز نگاری میشه و اطلاعات جابجا میشه‬.   ‫اما در مقصد دوباره رمزگشایی میشه‬.   ‫در اونصورت چندان نیازی به استفاده از پروتکل امن نیست‬.
‫اما در مورد محتوای ایمیلها یا همین چت‬،   ‫داستان فرق میکنه‬.  ‫چیزایی که من مینویسم برای شما‬،   ‫قرار نیست دیگران مطلع بشن‬.   ‫اگر رمزنگاری شده باشه‬،  ‫حتی اگر دیگران هم شنود کنند، نمیفهمند‬.   ‫اما اگر رمزنگاری نشده باشه‬،  ‫اگر دیگران “شنود” کنند‬،   ‫میتونند بخونند‬.   ‫روی کلمه “شنود” تاکید دارم‬.   ‫منظورم اینه که در شرایط عادی قرار نیست دیگران محتوا رو بدونند‬.   ‫اما اگر شنود بشه و متن رمز نشده باشه‬،   ‫میتونند بخونند‬.
‫البته اگر رمز شده هم باشه‬،   ‫بعد از رمزگشایی قابل خوندن هست‬.   ‫اما رمز گشایی پروسه‌ای زمانبر هست‬.   ‫و با ابزار و امکانات موجود‬،   ‫مثلا متنهای رمز شده جیمیل‬،   ‫امنه!‬
‫و سالها طول میکشه تا بتونند رمزگشاییش کنند‬.
او: ‫به قالب وبلاگ اشاره کردید که وبلاگ منتشر شده رو نشون می‌ده، البته من بیشتر منظورم موقع درج یوزر و پسورد و لاگین شدن به وبلاگم هست. یا مثلا لاگین شدن به حساب بانکی اینترنتی. یا موارد مشابه دیگه، حتی همین گفتگوی خصوصی ساده‬.  ‫خب، معمولا آی.اس.پی‌ها شنود می‌کنن یا نه؟ من روی آی.اس.پی‌ها تاکید دارم‬.   ‫مثلا من می‌رم توی گوگل، مطلب مهندسی سرچ می‌کنم‬.   ‫هیچ جا هم لاگین نکردم‬.   ‫یه سری دیتا می‌فرستم و می‌گیرم‬.  ‫آی.اس.پی، اگر بخواد می‌تونه بفهمه؟‬
من: ‫بله میتونه بفهمه‬.  ‫اما معمولا این کارو نمیکنند‬.   ‫اولا اغلب تخصصشو ندارند‬.   ‫ثانیا ابزارشو ندارند‬.   ‫و ثالثا وقتشو‬.
‫اما توصیه میکنم در مکانهای عمومی، مثل کافی‌نتها بیشتر مراقب باشید‬.  ‫روی کافی‌نتها جای نگرانی بیشتره تا آی اس پی ها‬.   ‫و ضمنا‬   ‫در مواقع مخابره اطلاعات حساس‬،   ‫مثل یوزر پسورد‬،   ‫در حد امکان از پروتکلهای امن استفاده کنید‬.   ‫و اگر امکانش نبود‬،   ‫بلافاصله پس از اون‬،   ‫در اولین فرصت‬   ‫پسوردتونو عوض کنید‬!
او: اوكي
من: ‫نکته مهم دیگه اینه:‬   ‫مراقب کی‌لاگرها باشید‬.   ‫سخت‌افزارها يا نرم‌افزارهایی هستند که یوزر پسورد (بهتر بگم، كليدهاي زده شده) را ذخیره میکنند‬.   ‫حتی اگر شما دارید با پروتکلهای امن کار میکنید‬.  ‫چون کی‌لاگر‬،   ‫اطلاعات رو مستقیما از صفحه کلید میگیره‬   ‫و قبل از اینکه بخواد رمز و سپس مخابره بشه‬!   ‫بنابراین‬   ‫در مواقعی که مثلا میخواهید پسورد سیستم بانکی رو بزنید‬،  ‫از ابزارهایی که صفحه کلید مجازی روی مانیتور درست میکنند‬   ‫و با کلیک موس اطلاعات رو میگیرند استفاده کنید‬.   ‫مثلا من موقع ورود رمزها در کار با سایتهای بانکی  و یا سایر سایتهای مشابه‬،   ‫از کیبرد استفاده نمیکنم‬.  ‫بلکه از صفحه کلید مجازی استفاده میکنم‬.   ‫البته  روی سیستم شخصی خودم نه‬،   ‫بلکه روی سیستمهایی که به امنیتشون اعتماد کامل ندارم‬.
او: ‫ ‫بد نیست اشاره‌ای هم کنم به این نکته که همونطور که می‌دونید، چندی قبل یکی از مسئولین….. گفته بود به ایمیل‌ها تسلط داریم‬.   ‫کنجکاو شده بودم ببینم مگه می‌شه‬
من: ‫در صورتی که از پروتکلهای امن استفاده نشه‬،   ‫بله‬،   ‫حرف ایشون صحیحه‬.  ‫اما در صورت استفاده از پروتکلهای امن‬،   ‫نه‬.
‫راستی این را هم اضافه کنم که‬   ‫اینکه پرسیده‌اید این اطلاعات در جایی ذخیره میشوند یا نه؟‬   ‫محتوای این گفتگو‬، ‫در صورتیکه در تنظیمات جیمیل گفته باشید، سوابق چت نگهداری شوند‬،   ‫در روی سرور جیمیل ذخیره میشود‬.   ‫ولی فقط صاحب ایميل با یوزر پسورد بهش دسترسی داره‬.  ‫اما در شرایط عادی و بدون شنود‬،  ‫در مسیر بین راه تا رسیدن به مقصد‬،   ‫در جایی ذخیره نمیشه‬.   ‫چون نه جا براش دارند  ‫و نه چندان اهمیتی داره که نیاز به ذخیره‌سازی داشته باشه‬. ‫و نه به دلایل فنی نیازی به ذخیره در بین راه هست‬. مگر اینکه بخواهند شنود کنند و برای بررسی بعدی ذخیره کنند‬.   ‫که این کار هم ممکنه توسط نیروهای امنیتی و اطلاعاتی دولتها انجام بشه!!!‬
او: ‫مسئولین بخاطر مسائل امنیتی، ترجیح نمی‌دن جایی ذخیره بشه؟‬  ‫یعنی شنود کنن؟‬
من: ‫نه‬، فكر نميكنم،  ‫مال افراد عادی رو کاری ندارند‬.  ‫مگر کسی، آدم مهمی باشه و تحت نظر باشه‬.   ‫که البته در اونصورت هم‬،   ‫اون آدم مهم‬،   ‫حتما با کمک مشاورانش‬،   ‫بلده چه جوری مبادله اطلاعات کنه‬،   ‫که دم لای تله نده!‬
‫نگران نباشید‬،   ‫برای من و شما بعیده مشکلی پیش بیاد‬.   ‫خیلی از ماها مهمتر و گنده‌تر هستند‬…‬
‫امیدوارم اطلاعات مورد نیاز شما کامل شده باشه‬
او: ‫خوب و کافی بود‬.   ‫دست شما درد نکنه‬.   ‫زحمت کشیدید‬
من: ‫خواهش میکنم‬.  ‫از شما که باعث شدید این موارد رو به بررسی بشینیم، هم متشکرم‬.

عليكم بالچت في الجيميل!!!



یک جواب برای “چت امنیتی!”

  1. […] خسروبیگی عباس, [۱۰.۰۸.۱۵ ۲۱:۱۴] برای تکمیل اطلاعات در این راستا توصیه میکنم پست زیر رو بخونید: “چت امنیتی” […]

دوستانی که نقد میکنند را بیشتر دوست دارم. لطفا اشکالاتم را بگویید تا من ازشما یاد بگیرم و افتخار شاگردی شما نصیبم شود. اگر موافق نظر شما باشم، دیگر پاسخی نمیدهم. اما اگر موافق نباشم یا نکته‌ای را برای تکمیل مطلب لازم به ذکر بدانم، حتما پاسخ را (بر اساس بند 11 مرامنامه) خواهم نوشت. در آنصورت خوشحال خواهم شد که نظر شما را در خصوص ادامه بحث هم بدانم. راستی اگر آدرس ایمیلتان را درست بنویسید؛ پاسخ، برایتان ایمیل میشود. ممنون