چرا امنیت پیام‌رسان‌های داخلی پایین است؟

پاسخ اینجاست: ۱)عجله برای فریب دادن مردم و تصاحب بازار ۲)عدم وجود سواد کافی به دلیل دولتی بودن ساختار

در روزهای گذشته شاهد اخباری بودیم که نشان می‌داد اطلاعات شخصی کاربران از طریق پیام‌رسان‌های داخلی به شکل ناشیانه‌ای در دسترس همگان قرارگرفته است و این موضوع بعید به نظر نمی‌رسید.

اطلاعات ما در پیام‌رسان سروش چگونه در دسترس قرار می‌گیرد؟

خوشبختانه شخصی که در حال خواندن مقاله‌ی وی هستید درزمینهٔ “مهندسی نرم‌افزار” و تأمین “امنیت” آموزش‌دیده و در عمل نیز دارای تجربه است. اگر در خاطر داشته باشید در مقاله‌ی فیلتر تلگرام ، چرا و جایگزین‌های آن در رابطه بااینکه در نرم‌افزار دولتی سروش اطلاعات رمزنگاری نمی‌شوند تا سرعتی نزدیک به تلگرام را ارائه کند حضورتان مطالبی را عرض کردم و سر مباحث امنیتی زیاد کنجکاوی نکردم و حتی بااینکه می‌دانستم سروش قطعاً پر از باگ و دارای سطح امنیت پایین است اصلاً جهت بررسی و تحت نظر گرفتن سورس و ترافیک ردوبدل شونده در شبکه‌ی این پیام‌رسان اقدامی نکردم زیرا چیزی که واضح است، نیاز به وقت تلف کردن ندارد.

اخباری که دیروز در رابطه با هک شدن سروش منتشر شد، نظرم را جلب کرد و منتظر بمب خبری در کانال‌ها و رسانه‌های دیگر بودم که همان‌طور که انتظار می‌رفت حتی یک کلمه هم توسط کانال‌های خبری پربازدید و حتی برخی از کانال‌های مطرح دیگر نیز به دلیل تحت‌فشار بودنشان منتشر نشد و می‌دانستند که اگر حرفی بزنند به خاطر داشتن شامد(کد ملی محتوای الکترونیکی) به زودی به درب خانه‌شان مراجعه خواهند کرد. این سکوت همچنان ادامه دارد و سعی دارند رد پای خبرگزاری‌های بزرگ را دنبال کنند تا اگر اتفاقی افتاد پایشان گیر نباشد. بسیار خب برویم سر مسائل فنی:

بی‌دلیل نیست که پیام‌رسان‌های مطرح دنیا مثل تلگرام و واتس اپ بر سر امنیت ویژه خود مانور می‌دهند و می‌گویند که رمزنگاری دوطرفه داریم(End-to-End Encryption)، البته این رمزنگاری دوطرفه در تلگرام برای چت‌های رمزدار استفاده می‌شود که هیچ احدی جز شما و طرف مقابل قادر به بازخوانی آن نیست.  اما این پیام‌رسان‌ها و وجود عقل سالم در سایر پیام‌رسان‌های غیر ایرانی، در ارتباطات میان سرور و نرم‌افزار نیز از رمزنگاری به‌وسیله پروتکل‌های مختلف استفاده می‌کنند.

اگر گوشی تلفن همراه شما هک شده باشد یا حتی شخص هکر بتواند به وای فای منزل شما وصل شود می‌تواند کل داده‌های ردوبدل شونده موجود در شبکه را گوش کند بدون این‌که شما حتی متوجه وجود آن بشوید و راه‌حل جلوگیری از آن استفاده از ارتباطات امن است که پیام‌رسان سروش مثال ناقض آن است.

ارتباطات در پیام‌رسان تلگرام:

ارتباطات در پیام‌رسان سروش:

کدام‌یک خواناترند؟ از ارتباطات تلگرام هیچ‌چیز نمی‌توانید سر دربیاورید و به این معنی است که اگر یک هکر این اطلاعات را جمع‌آوری هم کرده باشد، با استفاده از یک سوپرکامپیوتر هم تا آخر عمرش قادر به بازیابی اطلاعات اصلی بدون داشتن کلید رمزنگاری، نخواهد بود.

اما هر شخص بی‌سوادی، می‌تواند با نصب یک نرم‌افزار کنترل ترافیک روی گوشی‌اش، کل ترافیک ردوبدل شونده در شبکه سروش را خیلی شفاف بخواند.

تصویر مربوط به تلگرام را با گوشی شخصی‌ام و با استفاده از اپلیکیشن Packet Capture گرفته‌ام و تصویر دومی که با همین نرم‌افزار انجام‌شده از اینترنت دریافت شده و در اختیارتان قرارگرفته است. دقت داشته باشید که این یک هک نیست، باگ و نقص امنیتی حاصل از بی سوادی است. خیلی از باگ ها هنوز هم وجود دارند و هکرها از آن ها حرفی نمی زنند تا اطلاعات با ارزش و بیشتری به دست بیاورند.

 

چرا اطلاعات شخصی فاش می‌شوند؟

از مبحث واضح اضطرار وجود رمزنگاری در اپلیکیشن های امروزی که بگذریم به مبحثی دیگر می‌رسیم که نشان از غیرمتخصص بودن و سَمبَل ساز بودن برنامه‌نویس‌ها، مدیران ارشد اجرایی و طراحان نرم‌افزار این پیام‌رسان است. چراکه عذر می‌خواهم هر خَری می‌داند که نباید از اطلاعات شخصی مردم به‌جای ID ردوبدل شونده در شبکه استفاده کند و بعد هم برای ماست‌مالی کردن قضیه بیاید بگوید این فرهنگ ماست که همه اطلاعاتمان شفاف است و شماره ادمین را به هرکس که بخواهد می‌دهیم!(و ما هم اصلاً نفهمیدیم این یک گاف بوده) بله این فرهنگشان است، فاش کردن اطلاعات شخصی مردم در بین یک پیام‌رسان دولتی را نمی‌توان یک فرهنگ ندانست. اصلاً به این شکل دروغ گفتن مضحک است و این را می‌رساند که شخص دروغ‌گو، پیش خودش فکر کرده بهترین ماست‌مالی تاریخ را انجام داده اما نفهمیده که سقف دانشش در جمله‌ای که گفته مشخص می‌شود و او نه یک مهندس نرم‌افزار، کارشناس آی تی و نه چیز دیگری است بلکه یک شخص قابل‌اطمینان برای کسانی است که او را آنجا قرار داده‌اند و ظاهراً در کاری که به وی محول کرده‌اند موفق عمل می‌کند.

اشتراك گذاری نوشته

دیدگاه (2)

  • من پاسخ

    هر خری هم میداند که تو دلت به حال خودت میسوزه…
    نمونه محصولات خودت هم یه نمونه داخلیه که با این قاعده ترجیحا کسی نباید ازش استفاده کنه…
    به صد هزارو صد دلیل

    فروردین ۳۰, ۱۳۹۷ در ۱۰:۳۴ ق.ظ
    • شرق وب پاسخ

      کاملا درسته، من دلم به حال خودم می سوزه چون یک شبه محصولی که سه سال روش کار شده از بین میره.
      اگر دلت به حال خودت نسوزه اجازه می دی هر کسی بیاد همه چیزت رو ازت بگیره و جیک نزنی و این بسط داده میشه به جامعه.
      خوشبختانه محصولاتی که من تولید کردم اطلاعاتی از کاربران نمی دزده و جایی هم ذخیره نیست که خونده بشه چرا که یه سری پلاگین هستن و روی سرور خودت نصب میشن.

      فروردین ۳۰, ۱۳۹۷ در ۱۲:۴۴ ب.ظ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *