۱۳۸۸ دی ۲۶, شنبه

با HTTPS وارد شوید، ایمیلتان کنترل نمی‌شود

دویچه‏وله:
  • با کد وارد شوید، ایمیلتان کنترل نمی‌شود
اسماعیل احمدی مقدم فرمانده نیروی انتظامی ایران در حاشیه نشست تخصصی پلیس مبارزه با مواد مخدر اعلام کرد اس‌ام‌اس‌ها و ایمیل‌ها کنترل می‌شوند. به گزارش خبرگزاری کار ایران، ایلنا وی گفته است: «ای‌میل‌ها و اس‌ام‌اس‌ها از جایی فرستاده می‌شود که کاملا در کنترل ما قرار دارد. تصور نکنند که آنتی پروکسی! جلویش را می‌گیرد و این تصور اشتباه را نداشته باشند که کنترل نمی‌شوند چرا که تا کنون در رابطه با آنها نیز مدارا می‌شده است».
محمود تجلی‌مهر کارشناس آی‌تی و کامپیوتر می‌گوید اس‌ام‌اس را می‌شود کاملا کنترل کرد اما برای مقابله با کنترل ای‌میل راه‌های زیادی وجود دارد.

- آقای تجلی‏مهر، فرمانده‏ی نیروی انتظامی ایران اعلام و یا بهتر است بگوییم تهدید کرده که تمامی ای‏میل‏ها و اس‏ام‏اس‏ها کنترل می‏شود و ما می‏توانیم کسانی را که از این طریق تجمعات را سازماندهی می‏کنند، شناسایی و دستگیر کنیم. آیا امکان کنترل ای‏میل وجود دارد یا خیر؟

محمود تجلی‏مهر: بله، امکان کنترل ای‏میل وجود دارد. به شرطی که کاربران از امکانات کد و دیگر امکانات امنیتی استفاده نکنند. ای‏میل‏هایی که با یاهو فرستاده می‏شود را معمولا می‏توان کنترل کرد. به این ترتیب که می‏توان پیام‏ها را در وسط راه گرفت و باز کرد.

ای‏میل‏هایی که با جی‏میل فرستاده می‏شود؛ در سِتینگ (Setting) جی‏میل می‏توانید بخشی را انتخاب کنید که ای‏میل‏ها را با اچ‏تی‏تی‏پی‏اس (HTTPS) بفرستد. اگر این قسمت علامت نخورده باشد، امکان کنترل این ای‏میل‏ها هم وجود دارد. اگر این قسمت علامت زده شود، امکان کنترل‏ ای‏میل‏ها وجود ندارد و جی‏میل از این نظر مقداری مطمئن‏تر است. ولی به طور کلی، ای‏میلی که کد نشده باشد و رمزی نشده فرستاده شود، امکان کنترل‏اش وجو دارد.

- در ایران برخی از کاربران، به خصوص هنگام استفاده از جی‏میل وقتی وارد باکس ای‏میل‏شان می‏شوند، پیام‏هایی دریافت می‏کنند مبنی بر این که کاربر دیگری دارد با ای‏میل شما کار می‏کند و الان امکان کار کردن برای شما نیست. آیا ممکن است این پیام برای رد گم کردن باشد و یا این که کنترل می‏تواند به حدی باشد که دو نفر هم‏زمان با یک آی‏دی وارد یک میل‌باکس بشوند؟
سیستم این اجازه را نمی‏دهد که دو نفر هم‏زمان با یک اسم کاربری وارد ای‏میل باکس بشوند. این حالت فقط در صورتی می‏تواند پیش بیاید که اسم کاربری و پسورد فرد قبلا لو رفته باشد.
مثلا اگر در مقطعی پیش از آن، ارتباط اینترنتی تحت کنترل باشد، وقتی کاربری اسم و پس‏وردش را می‏زند، اطلاعات کاربری‏اش لو می‏رود. یا اگر بدون این که کاربر متوجه باشد، روی کامپیوترش نرم‏افزاری به نام «تروجان» نصب شده باشد، تمام اطلاعات لو می‏رود. این نرم‌افزار، نرم‌افزاری است که تمام آن‏چه را شما در صفحه‏ کلیدتان تایپ می‏کنید ضبط می‏کند و به جایی می‏فرستد.

- فرمانده‏ی ناجا گفته است کسانی که ای‏میل و اس‏ام‏اس می‏فرستند، تصور نکنند که «آنتی پروکسی!» می‏تواند جلوی کنترل را بگیرد. ممکن است در مورد آنتی‏پروکسی توضیحی بدهید؟
من نمی‏د‏انم که منظور ایشان از آنتی‏پروکسی دقیقا چه بوده است. احتمال دارد منظور آنتی‏ فیلترینگ بوده باشد. آنتی‏فیلترینگ‏ها‏ نرم‏افزارهایی هستند که در ایران استفاده می‏کنند که بتوانند فیلترها را دور بزنند و یا این که فیلترها نتوانند ارتباط آن‏ها را کنترل کنند و مثلا جلوی سایت‏هایی را بگیرند.
در مجموع آن‏ها این امکان را ندارند؛ یعنی اگر از نرم‏افزارهای آنتی‏فیلترینگی که با روش وی‏پی‏ان (VPN) کار می‏کنند استفاده کنند، نیروهای امنیتی امکان کنترلش را ندارند.
در رابطه با اس‏ام‏اس کاملا حق با فرمانده‏ی ناجا است؛ یعنی تمام اس‏ام‏اس‏هایی که فرستاده می‏شود، همه قابل کنترل هستند. چون کل شبکه در اختیارشان است و می‏توانند در هر مرحله‏ای کنترل کنند که اس‏ام‏اس از کجا می‏آید و به کجا می‏رود. امکان امن سازی اس‏ام‏اس بین دو تا کاربر، اصلا وجود ندارد.

- آیا امکان ردیابی کاربر از طریق ای‏میل وجود دارد؟ یعنی وقتی کسی وارد ای‏میلش می‏شود، می‏توان تشخیص داد که کجاست و از کجا وارد شده است؟
بله امکان آن وجود دارد. منتها اگر کاربر از نرم‏افزارهای آنتی‏فیلتر و فیلترشکن‏هایی که بر اساس وی‏پی‏ان کار می‏کنند استفاده کند، این امکان از بین می‏رود.
اگر این کار را نکند و کاملا معمولی وارد اینترنت شود، امکان شناختن او وجود دارد. چون آدرس IP او ضبط می‏شود. آدرس آی‏پی هم کاملا مشخص است که در اختیار کدام ISP است و در پروتکل‏های آنان هم ضبط می‏شود که کدام کاربر با کدام شماره تلفن وارد شبکه شده است. همه‏ی این‏ها قابل پی‏گیری است.

مصاحبه‌گر: میترا شجاعی
مردمک:
  • آیا شنود و کنترل‌ ایمیل‌های کاربران ممکن است؟
اسماعیل احمدی مقدم، فرمانده نیروی انتظامی روز جمعه گفت: اس‌ام‌اس ها و ایمیل‌ها از جایی فرستاده می‌شود که کاملا در کنترل ما قرار دارد. او به کاربران اینترنتی هشدار داد: تصور نکنند که آنتی پروکسی جلویش را می‌گیرد و این تصور اشتباه را نداشته باشند که کنترل نمی‌شوند چرا که تاکنون در رابطه با آنها نیز مدارا می‌شده است. صحبت‌های فرمانده نیروی انتظامی باعث ایجاد نگرانی در میان شهروندان درباره حریم خصوصی خود و مطرح‌شدن این سوال شده است که آیا ایمیل‌های خصوصی افراد قابل رویت و کنترل از سوی فردی دیگر غیر از خود فرد است.
شایان ایرانمنش، از اعضای تیم فنی مردمک، در این باره به برخی از سوالات پاسخ داده است:

-«آنتی پروکسی!» چیست؟
ما چیزی به اسم آنتی پروکسی نداریم. این یک واژه به اشتباه جا افتاده در ایران است که به جای لغاتی مانند آنتی فیلتر یا به طور کلی روش یا نرم افزاری برای عبور از سد فیلترهای ایجاد شده توسط ISP ها استفاده می‌شود.

- آیا کنترل اس‌ام‌اس ها و ایمیل‌ها به نحوی که سردار اسماعیل احمدی مقدم اعلام کردند از لحاظ فنی عملی هست؟
در رابطه با اس‌ام‌اس این مطلب خیلی دور از واقعیت نیست و کنترل اس‌ام‌اس از لحاظ فنی کاملا عملی و قابل اجراست اما در رابطه با ایمیل متاسفانه این جمله تا حدی نامفهوم است. ایشان فرمودند «ایمیل‌ها از جایی که فرستاده میشود که کاملا در کنترل ما قرار دارد» که بنده به بررسی این موضوع خواهم پرداخت.

ایمیل‌ها به طور کلی از جای خاصی فرستاده نمی‌شوند که قابل کنترل باشند یا خیر. هر آدرس ایمیل با توجه به نام دامنه آن ایمیل (Domain) از روی سرور مخصوص به خود ارسال می‌شود. به طور مثال ایمیل‌های یاهو (Yahoo) از طریق سرورهای یاهو و ایمیل‌های جیمیل (GMail) از روی سرورهای جیمیل که متعلق به گوگل است ارسال می‌شود. سرورهای این سایت‌ها در ایران نیستند و طبیعتا در کنترل هیچ نهاد و شخصی در ایران هم نمی‌توانند باشند. مگر آنکه منظور ایشان این باشد که با هک کردن این سرورها کنترل آنها را بدست آورده‌اند که می‌توان گفت این امر هم تقریبا محال و البته غیرقانونی است.

حالت دیگری نیز وجود دارد که ممکن است منظور ایشان این حالت باشد. آن هم برای ایمیل‌هایی که روی دامنه‌های شخصی قرار دارند و نه دامنه‌های عمومی و رایگان مانند یاهو یا جیمیل. در این حالت اگر شخص یا شرکت یا موسسه‌ای برای خود نام دامنه ثبت کرده باشد و ایمیل خود را روی آن نام دامنه ایجاد کند و همچنین سرور مورد استفاده خود را از دیتا سنترهای (Data Center) داخل ایران تهیه کرده باشد، ممکن است نیروی انتظامی یا هر نهاد دیگری به صورت فیزیکی کنترل آن سرور را در اختیار قرار بگیرد و اطلاعات آن را تحت نظر داشته باشند.

- نظر شما در رابطه با جمله دیگری از سردار احمدی مقدم مبنی بر تصور اشتباه مردم در مورد کنترل نشدن ایمیل‌ها چیست؟
اجازه بدهید ابتدا توضیحی در رابطه با کنترل ایمیل‌ها و هر استفاده دیگری از اینترنت بدهم. به طور کلی هر استفاده‌ای از اینترنت اعم از ارسال و دریافت ایمیل، چت و محتوای آن، مشاهده صفحات اینترنتی و محتویات آنها همگی در اکثر موارد قابل کنترل و قابل شنود است. اما راه‌هایی هم برای جلوگیری از این کنترل و شنود وجود دارد که در ادامه توضیح خواهم دارد.

برای مثال فرض کنید شما با تلفن صحبت می‌کنید و فردی در اتاق کنار شما و یا در مرکز مخابرات با برداشتن یک گوشی دیگر مکالمات شما را شنود می‌کند. حال برای جلوگیری از این شنود اگر شما را مبدا و طرف دیگر را مقصد در نظر بگیریم، در مبدا شما یک جمله را به طور رمزگذاری شده ارسال می‌کنید و در مقصد هم با همان روش آنرا رمزگشایی می‌کنند. حالا شخصی که در میانه راه مشغول شنود مکالمات است فقط یک جمله رمزگذاری شده دریافت می کند. در این روش احتمال رمزگشایی این جمله نزدیک به صفر است.

در ایران راه‌های مختلفی برای عبور از سد فیلتر وجود دارد که تقریبا تمام آنها در یک نکته مشترک هستند. فیلترشکن‌ها راه عبور اطلاعات را تغییر می‌دهند و از دید نرم‌افزارهای فیلترینگ پنهان می‌کنند. به طور مثال اگر منزل و محل کار شما در یک خیابان است و حالا در بین راه خیابان بسته شده است، شما می‌توانید از خیابان پشتی برای رسیدن به محل کار خود استفاده کنید. خیابان پشتی همان فیلترشکن شماست.

یکی از این فیلترشکن‌ها وی‌پی‌ان (VPN) است. وی‌پی‌ان به طور کلی در تمام دنیا استفاده می‌شود اما نه به منظور عبور از فیلتر. یکی از کاربردی‌ترین امکانات وی‌پی‌ان استفاده از آن برای افزایش امنیت اطلاعات و جلوگیری از شنود است. وی‌پی‌ان علاوه بر اینکه مسیر اینترنت شما را تغییر می‌دهد، تمام اطلاعات ارسالی و دریافتی کامپیوتر شما را رمزگذاری می‌کند و در نتیجه هیچ بسته اطلاعاتی ارسالی یا دریافتی شما قابل شنود نخواهد بود. این بسته‌ها می‌تواند مربوط به یک ایمیل، چت و یا‌ یک صفحه مورد بازدید شما باشد.

در رابطه با ایمیل راه دیگری نیز برای جلوگیری از شنود آن وجود داد. ممکن است کاربران در برخی سایت‌ها مخصوصا محیط ارسال و دریافت ایمیل خود دیده باشند که گاهی در ابتدای آدرس‌های اینترنتی به جای HTTP از HTTPS استفاده می‌شود. حرف «S» در انتهای HTTP به این معنی است که کاربر در صفحه‌ای قرار دارد که از پروتکل SSL استفاده می‌کند و به زبان ساده‌تر به این معنی خواهد بود که تمام اطلاعات ارسال شده و دریافت شده در این صفحه به صورت رمزگذاری شده ارسال و دریافت می‌شود. در نتیجه حتی در صورت استفاده نکردن از VPN اگر کاربران دقت داشته باشند هنگام استفاده از ایمیل خود از HTTPS استفاده کنند ایمیل‌های ارسالی و دریافتی قابل شنود نخواهند بود.

ممکن است برنامه‌های دیگری نیز در دسته فیلترشکن‌ها وجود داشته باشند که اطلاعات دریافتی و ارسالی را رمزگذاری کنند اما استفاده از دو روشی که ذکر شد از جمله مطمئن‌ترین راه‌ها برای جلوگیری از شنود ایمیل‌ها هستند و همچنین این نکته باید در نظر گرفته شود که تمام راه‌های عبور از فیلتر این قابلیت را ندارند و ممکن است اطلاعات مورد شنود قرار بگیرند.

- در رابطه با گفت‌وگوی صوتی در اینترنت چطور؟ خیلی‌ها چت صوتی (Voice Chat) انجام می‌دهند و نگران هستند که مکالمه آنها شنود شود.
این ارتباط هم دقیقا مانند چت نوشتاری است. در صورت استفاده از VPN یا سرویس مشابهی که ارتباط را رمزنگاری کند استفاده از وویس چت هم کاملا امن و غیر قابل شنود است. البته با اینکه شنود Voice Chat از شنود چت های نوشتاری بسیار مشکل‌تر است اما در صورت رمز نشدن ارتباط و بسته‌های صوتی ارسالی و دریافتی از لحاظ فنی شنود این ارتباط ها ناممکن نیست.

هیچ نظری موجود نیست: