واتساپ، تلگرام، وایبرو….

خطر گوگل
گوگل به خوبی از رد پای شما در اینترنت آگاه است و بهترین جایی که ‌می‌توانید شفاف از این موضوع آگاهی یابید‌، Google Web History است که همه سابقه و تاریخچه مربوط به جستجوی شما را از هر دستگاهی که‌ روی آن با حساب کاربری گوگل خود آنلاین بوده‌اید، در آنجا نگه داشته‌ است. برای آنکه خود ببینید، به اینجا بروید.
‌داشتن سابقه جستجو‌های شما برای خودتان بهتر است و گوگل این را می‌گوید، زیرا از این اطلاعات برای ارائه نتایج دقیق‌تر در راستای جستجو‌های شما استفاده خواهد شد؛ اما این موضوع (حوزه‌های علاقه و در مرکز توجه شما) برای بازاریابان محصولات بسیار ارزشمند است و چنانچه در جریان این علاقه شدید، اطلاعات شخصی شما نیز به نحوی به دست آنها برسد، موضوع دیگر شخصی است!
در عین حال، تاریخچه بازدید شما از صفحات وب نیز هرچند کمتر عینی و آشکار اما به همان ترتیب تاریخچه جستجو، برای گوگل به آسانی قابل دیدن و دسترسی است. گوگل این تاریخچه را با ‌ابزارهای رصد کننده و همچنین با کاربست اطلاعات استخراج شده از AdSense و Analytics به دست می‌آورد.
گوگل می‌داند که شما معمولا از چه وب‌سایت‌هایی بازدید می‌کنید، ترتیب بازدید شما از آنها به چه شکل است، چه مدت زمانی را در ‌آن وب‌سایت‌ها‌‌ می‌گذرانید و اطلاعات جزئی دیگر.
البته پروفایلی که از این اطلاعات درست می‌شود، به نام شما نیست، بلکه ‌به نام IP شماست؛ اما مجموع همه اینها یک اثر انگشت منحصر به فرد را تشکیل می‌دهد که در نهایت مربوط به شماست و می‌توان از آن در راستای تبلیغات استفاده شود.

اطلاعات ما به چه درد آمریکا می خورد
سیدعلیرضا آل داوود از کارشناسان و فعالان شبکه‌های اجتماعی و فضای مجازی به‌عنوان سخنران این نشست، مباحثی پیرامون امنیت، سرقت اطلاعات و جاسوسی در فضای مجازی بیان کرد.
وی با اشاره به اشراف کامل آژانس امنیت ملی امریکا بر اینترنت کل جهان و ارتباط نزدیک مسئولان آن با صهیونیست‌ها گفت: در گوشه‌وکنار فضای مجازی مستندات محکمی وجود دارد که نشان می‌دهد در چارت سازمانی جدید NSA که مسئولیت‌ها و پست‌های اصلی را در این آژانس مشخص کرده به صورت دقیق به ایران و فعالیت های سپاه قدس اشاره شده و برای آن مسئولان مستقیم انتخاب شده است. این مورد خاص البته در اسناد فاش شده از سوی اسنودن نیز مورد اشاره قرار گرفته و تأیید شده است.

سرقت اطلاعات از همه کاربران گوشی‌های هوشمند
آل داوود درباره اهمیت اثرگذاری فعالیت‌های جاسوسی آژانس امنیت ملی امریکا برای حکومت و ارتش این کشور گفت: فرماندهی آژانس امنیت ملی آمریکا بر عهده دریاسالار مایکل راجرز است. وی فرمانده بخش سایبری ناوگان دهم نیروی دریایی آمریکا و ریاست کل عملیات سایبری ارتش این کشور را نیز بر عهده داشته است. فرماندهی آژانس امنیت ملی آمریکا قبل از راجرز بر عهده ژنرال پترائوس از مهره‌های اثرگذار آمریکا بوده است.
آل داوود در بخش دیگری از مباحث مطروحه، مخاطرات مختلف از جمله سرقت اطلاعات و جاسوسی در فضای مجازی را یک معضل بزرگ برای همه دارندگان تلفن همراه و کاربران اینترنت دانسته و گفت: اسناد و مشاهدات نشان می دهد که حضور در اینترنت و فعالیت در فضای مجازی دارای خطرهای مهم و واقعی برای سیر طبیعی زندگی همه ماست و از این رو باید با چشم بازتر در این فضا حضور پیدا کنیم.

اطلاعات گوشی ما به چه درد آمریکا می‌خورد؟
این کارشناس فضای مجازی همچنین به یک سئوال مهم کاربران اینترنت اشاره کرد که می‌پرسند:«اطلاعات ما ممکن است چه استفاده‌ای برای آمریکا و سرویس‌های اطلاعاتی ان داشته باشد؟». وی در پاسخ به این سئوال گفت: «در آژانس امنیت ملی آمریکا با حجم بسیار بالا و در 24ساعت شبانه روز اقدام به دریافت و ذخیره اطلاعات از طریق اینترنت از سرتاسر دنیا می‌شود. یکی از انگیزه‌های جمع‌آوری این میزان باورنکردنی از اطلاعات، گروگانگیری اطلاعاتی است. گروگانگیری اطلاعاتی یعنی تلاش برای جمع آوری اطلاعات درباره نقطه ضعف ها و خصوصیات و اعمال افراد مختلف با این هدف که از اتفاقات مورد اشاره به عنوان ابزاری برای تهدید آنها استفاده کنند. همچنین آن دسته از کاربران اینترنت که فعالیت‌هایی خلاف منافع آمریکا و یا ارتباطاتی با افراد خاص و اثرگذار دارند، به محض ورود به یکی از کشورهای 5eyes شناسایی، کنترل، تعقیب و یا در صورت لزوم دستگیر می‌شوند. این کشورها شامل آمریکا، انگلیس، کانادا، نیوزلند و استرالیا می‌شود که پیمان امنیتی خاصی با یکدیگر دارند.
آل داوود ضمن اشاره به حملات سایبری علیه تأسیسات هسته‌ای کشورمان در سال‌های قبل گفت: بخش مربوط به عملیات موسوم به «دسترسی مناسب» TAO نام دارد که در حقیقت واحد جنگ سایبری آژانس امنیت ملی ایالات متحده است. این واحد در سال 2007 علیه تأسیسات هسته‌ای ما اقدام به جاسوسی کرد. این بخش تا سال 2007 به عنوان یکی از اصلی‌ترین فعالیت‌هایش، کار جمع‌آوری و یا به زبان ساده‌تر اقدام به دزدیدن اطلاعات از ایمیل‌های مردم سراسر دنیا می‌کرد. در بیان میزان اهمیت Tao برای ارتش آمریکا، ذکر همین نکته کفایت می‌کند که گاهی تا 70درصد از گزارش‌هایی که درباره فضای مجازی به دست رییس‌جمهور آمریکا می‌رسد، در همین بخش تهیه می‌شود.
وی همچنین حجم اطلاعات سرقت شده از کاربران اینترنت توسط دولت آمریکا را مورد اشاره قرارداد و گفت: جالب است بدانید که حجمی که برای میزان سرقت و جمع‌آوری اطلاعات توسط هکرهای پنتاگون تخمین زده می‌شود، حدود 2.1 گیگ در هر ساعت است.

عملیات جایگزینی تلگرام به صورت نرم آغاز شده است
وی همچنین درباره شبکه اجتماعی تلگرام گفت: در بحث شبکه های اجتماعی مجازی همواره با جایگزین شدن یک شبکه توسط شبکه دیگر مواجه هستیم که این سیر تسلسل ادامه دارد و هنوز هم متوقف نشده است. نکته جالبی که در این رابطه به نظر می‌رسد پروزه مشخص شدن جایگزین تلگرام در آینده نه چندان دور در ایران است. اخیراً تبلیغاتی برای یک شبکه اجتماعی به نام سیگنال صورت گرفته است که نشان می‌دهد می‌تواند جایگزین تلگرام باشد. جالب اینجاست که بعضی از رسانه‌های داخلی نیز این نکته را به صورت مستقیم و یا غیرمستقیم اعلام کرده و به صورت تفصیلی از مزایای سیگنال و امنیت بالاتر آن نسبت به تلگرام سخن گفته اند اما حقیقت امر آن است که این شبکه اجتماعی خارجی نیز همچون تلگرام برای نصب شدن در گوشی های تلفن همراه، اجازه دسترسی به همه اطلاعات خصوصی و احیاناً محرمانه شما را دریافت می‌کند.

واتساپ
کمپانی فیس‌بوک توانست با ربودن گوی سبقت از رقبای بزرگی نظیر گوگل و با ارائه‌ی پیشنهاد اغواکننده‌ای معادل 19 میلیارد دلار، برنامه پیام‌رسان محبوب واتس‌اپ را به مالکیت خود درآورد. انتقالی که حدوداً 19 برابر مبلغ دیگر خرید فیس‌بوک، یعنی اینستگرام، برای این کمپانی هزینه دربرداشت.
جالب است بدانید که تیم واتس‌اپ تنها از 32 مهندس تشکیل شده است که به مدیریت روزانه 50 میلیارد پیغام از سوی چیزی در حدود 385 میلیون کاربر فعال مشغول هستند. به نظر این تیم کوچک بار سنگینی از مسئولیت را به دوش می‌کشند و نمی‌توان خوشبین بود که بتوانند بطور کامل و شایسته از پس این مسئولیت سنگین برآیند.
از طرف دیگر به‌تازگی انتقادهایی نسبت به امنیت پلتفرم واتس‌اپ که میلیاردها پیغام بر روی آن تحویل داده می‌شوند، بوجود آمده است. محققان لابراتوار امنیتی Praetorian، وجود چندین مشکل امنیتی مرتبط با SSL را در واتس‌اپ با بکارگیری «پروژه نپتون» تأیید نموده‌اند. لازم به ذکر است پروژه نپتون، پلتفرمی برای تست امنیت برنامه‌های موبایلی می‌باشد. این در حالی است که کمپانی واتس‌اپ در وبلاگ رسمی خود بیان کرده:
ارتباطات بین گوشی شما و سرورهای ما به طور کامل رمزنگاری می‌شوند. ما تاریخچه گفتگوهای شما را در سرورهای خود ذخیره نمی‌کنیم. به محض اینکه پیغام شما با موفقیت تحویل مخاطب موردنظرتان شود، آن پیغام از سیستم ما حذف خواهد شد.
اما محققان، آسیب‌پذیری را در این برنامه یافته‌اند که آن را مستعد حملاتی از نوع «مردی در میانه» یا Man-in-the-Middle Attack می‌نماید؛ چرا که واتس‌اپ از قابلیت SSL Pinning پشتیبانی نمی‌کند و این موضوع امکان دزدیده‌شدن اعتبارها را به سادگی فراهم می‌کند.
بگذارید برای درک بهتر این موضوع کمی مختصر به بررسی مفاهیمی نظیر SSL، Man-in-the-Middle Attack و SSL Pinning بپردازیم.
• SSL یا Secure Sockets Layer به دو طریق از شما محافظت می‌کند. این لایه محافظتی با رمزنگاری اطلاعات شما، از دزدیده‌شدن اطلاعات حیاتی شما نظیر نام‌های کاربری، کلمه‌های عبور، شماره و کلمه‌عبور کارت‌های اعتباری و… جلوگیری می‌کند. همچنین SSL می‌تواند اعتبار و هویت یک سایت را تأیید نماید.
• Man-in-the-Middle Attack نیز به حملاتی گفته می‌شود که در آن اعتبار SSL یک سایت دزدیده و یا جعل می‌شود تا کاربران آن سایت به اشتباه به یک سایت جعلی اطمینان کنند. اما چگونه چنین چیزی رخ می‌دهد؟! شما به هنگام مرور یک وب‌سایت با تأییدیه SSL جعلی و نامعتبر از طریق یکی از مرورگرهای محبوب نظیر کروم، اخطاری مبنی بر اعلام این موضوع دریافت می‌کنید. اما مشکل وقتی پیش می‌آید که ترافیک فی‌مابین شما و سایت مورد نظر از طریق برنامه‌های موبایلی و غیرمرورگرها منتقل می‌شود و شما دیگر موفق به دریافت تأییدیه برای صحت SSL سایت موردنظر نخواهید شد. بنابراین در صورت مواجهه با سایتی که از یک SSL جعلی و غیرمعتبر استفاده می‌کند، هیچ اخطار خاصی شما را از ورود به آن سایت بازنخواهد داشت.
• و اما SSL Pinning؛ این ویژگی که در اغلب اپلیکیشن‌های محبوب نظیر گوگل، توئیتر و فیس‌بوک به کار گرفته شده است، بصورت خودکار از پذیرفتن اتصال به وب‌سایت‌هایی که SSL نامعتبر ارائه می‌دهند ممانعت می‌کند؛ به عبارتی این قابلیت به کاربر کمک می‌کند تا فقط و فقط به تبادل اطلاعات با سایتی بپردازد که گواهینامه معتبر مربوطه را دارا است.
کارشناسان امنیتی معتقدند:
در حالی که ویژگی SSL Pinning امکان برقراری یک اتصال ایمن بین اپلیکیشن موبایلی و وب‌سرویس را ارائه می‌نماید، واتس‌اپ از این قابلیت بی‌بهره است. بدون اجبار در بکارگیری SSLPinning، یک حمله‌کننده می‌تواند با استفاده از تکنیک man-in-the-middle ارتباط بین اپلیکیشن موبایلی و وب‌سرویس واتس‌اپ را به راحتی مورد نفوذ قرار داده و به سوء‌استفاده از اطلاعات شخصی و حساس کاربران بپردازد.
واتس‌اپ به سرورهای میزبانی اطلاعات خود این اجازه را می‌دهد تا با استفاده از معماری‌های رمزنگاری ضعیفی مثل 40 بیت و 56 بیت به رمزنگاری اطلاعات کاربران بپردازند. این معماری‌های سطح پایین را می‌توان به راحتی و با بکارگیری شیوه‌هایی نظیر حملات Brute Force رمزگشایی نمود؛ شیوه‌ای که به گفته محققان، مورد علاقه سازمان‌های جاسوسی نظیر NSA می‌باشد.
به هر حال تیم واتس‌اپ اعلام نموده‌اند که در حال تلاش برای اضافه نمودن ویژگی SSL Pinning به برنامه خود هستند؛ هر چند در حال حاضر این نقیصه نمی‌تواند نوید حفاظت از حریم خصوصی کاربر را بدهد.
اما پس از این مقدمه‌ها دوباره باز می‌گردیم به مبحث داغ خرید واتس‌اپ توسط فیس‌بوک. این دو کمپانی پس از اعلام رسمی خبر معامله، تأکید نموده‌اند که پس از این انتقال مالکیت، هیچگونه تغییری در روند کاری واتس‌اپ رخ نداده و این برنامه کماکان بصورت مستقل به سرویس‌دهی ادامه خواهد داد. اما آیا این کافی است؟! از دید ما خیر! مسأله اساسی اینجاست که شاید شما به کمپانی‌های بزرگی نظیر فیس‌بوک، گوگل، واتس‌اپ و… اعتماد داشته باشید؛ ولی واقعیت این است که نه تنها کاربران ایرانی، بلکه تمام کاربران دنیا نمی‌توانند به دولت آمریکا و سرویس‌های جاسوسی معروفش نظیر NSA اعتماد کنند! چیزی که واضح و مسلم است، آنها احترامی برای حریم خصوصی و آزادی بیان ما قائل نیستند و بارها و بارها خبرهایی مربوط به رسوایی‌های جدیدشان در این زمینه منتشر شده است.
برنامه‌های پیغام‌رسان موبایلی اغلب برای انتقال پیام‌های شخصی و حساس یا مکالمات کاری و حرفه‌ای مورد استفاده قرار می‌گیرند و با توجه به اینکه این اطلاعات در سرورهای سرویس‌دهنده‌های اینترنت (آی‌اس‌پی‌ها) نیز ثبت می‌شوند، می‌بایست بصورت End-to-End رمزنگاری شوند (یعنی از مبدأ تا مقصد). چیزی که در حال حاضر در واتس‌اپ وجود ندارد.
خوب. پس به عنوان یک نتیجه‌گیری تا اینجای بحث ما با دو مشکل مواجه هستیم. امکان سوء استفاده از اطلاعات شخصی کاربران در برنامه‌های کمپانی‌های آمریکایی توسط دولت ایالات متحده (از جمله واتس‌اپ) و از طرف دیگر ایرادات امنیتی وارد به واتس‌اپ خصوصاً عدم رمزنگاری دو سویه اطلاعات و بی‌بهره ماندن از قابلیت مهم SSL Pinning. مجموع این دو عامل یعنی دلایلی کافی برای مهاجرت از واتس‌اپ به یک پلتفرم و برنامه جایگزین که در عین برخورداری از ویژگی‌های پایه، این نگرانی‌ها را نیز مرتفع سازد.
. به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ Skype اسکایپ
داده های حساس کاربرانش را بدون رمزنگاری بصورت محلی بر روی کامپیوترها نگه می‌دارد.
Dragos Gaftoneanu یک برنامه نویس رومانیایی از گروه امنیتی Hackyard ادعا کرد Skype که متعلق به محبوبترین خدمات تماس صوتی و تصویری رایگان مایکروسافت است پایگاه داده‌های محلی خود را که اطلاعات حساس کاربران در آن قرار دارد بدون رمزنگاری و بصورت محلی بر روی کامپیوترها قرار می‌دهد و این یک خطر بزرگ محسوب می‌شود.
هر چند پایگاه داده‌های محلی Skype که قرار بود به دلیل حساس بودن اطلاعات کاربران رمزنگاری شود، اما Dragos کشف کرد که اطلاعاتی مانند نام و نام خانوادگی، تاریخ تولد، شماره تلفن، کشور، شهرستان و گفتگوی چت بر روی Hard Disk کاربران و در یک محل شناخته شده و بدون هیچ رمزنگاری قرار داده می‌شود.
Dragos ادعا کرد که اطلاعات خصوصی کاربران Skype به گونه‌ای است که هر کسی با دسترسی به سیستم می‌تواند چت‌های خصوصی، نام های کاربری، شماره تلفن و … را مشاهده کند و برای هر منظوری از آن استفاده کند. این محقق می‌گوید در حالی که مشغول چت با دوستانش بر روی Skype بود متوجه یک پوشه در پوشه اصلی لینوکس خود (Home Directory) که حاوی یک فایل پایگاه داده بنام Main.db شد که توسط نرم افزار Skype ایجاد شده بود. در ابتدا گمان می‌شد که این فایل فقط بر روی سیستم عامل‌های لینوکس ایجاد می‌شود ولی بعدا متوجه شد که بر روی سایر سیستم عامل‌ها هم ایجاد می‌شود.
مسیرهایی که این فایل ایجاد می‌شود به شرح زیر می‌باشد:
Linux : /Home/User/.Skype/Skypename/
Mac OS X : /Users/User/Library/Application Support/Skype/Skypeuser/
Windows : C:\Users\Username\AppData\Romming\Skype\Skype.id
Dragos با استفاده از ابزار Sqlite به پایگاه داده رمزنگاری نشده Skype متصل شد و اطلاعات مربوط به حساب‌های کاربران Skype را پیدا کرد که این پایگاه داده شامل رکوردهایی مانند CallMembers که اطلاعاتی در مورد زمانی که کاربران که با هم در ارتباط هستند را به نمایش در می آورد و رکوردهای دیگری بنام contacts که شامل نام و نام خانوادگی، تاریخ تولد، شماره تلفن، کشور، شهرستان و … است را به نمایش در می آورد. و همچنین جدولی بنام جدول پیام‌ها را در خود قرار داده است.

پلیس فتا