پیامرسانهای ناامن موبایل و رایانه (بخش اول)
بر خلاف نرم افزارهایی که بعنوان پیامرسانهای امن معرفی میگردند، لیست موجود از نرم افزارهای ناامن، برنامه هایی که اسامی آنها برای اغلب کاربران آشنا میباشد را شامل میشود. در این مقاله و بخش بعدی آن نرم افزارهایی را از جانب شرکت کسپرسکی معرفی مینماییم که بر اساس هفت معیار از EFF یا بنیاد حریم الکترونیکی بعنوان ارائه دهندگان کمترین امنیت شناخته شدهاند.
EFF یا بنیاد حریم الکترونیکی هفت معیار ارزیابی برای این منظور در نظر گرفته است که برنامهها در ادامه بر اساس امتیازات آنها دستهبندی شدهاند:
1- آیا پیغامهای انتقالی کدگذاری میگردد؟
2- آیا پیغامهای انتقالی به نحوی کدگذاری میگردد که حتی سرویس دهنده هم به آنها دسترسی داشته باشد؟
3- آیا امکان احراز هویت واقعی کاربران وجود دارد؟
4- آیا سرویسدهنده از فناوری PFS یا اختفای کامل پیام (perfect forward secrecy)، که بواسطه آن پیغامهای کدگذاری انتقالی بصورت موقت معتبر و قابل کدبرداری و ترجمه میباشند تا کدهای سرقتی قابل خواندن نباشند.
5- آیا کد سرویس بصورت اوپنسورس برای تحلیل و بررسی کارشناسان عام موجود است؟
6- آیا فناوریها و فرآیندهای کدگذاری مورد استفاده بصورت مستند موجود میباشند؟
7- آیا طی یک سال اخیر بررسی امنیتی دقیق و مستقلی برای این سرویس صورت گرفته است؟
این هفت معیار برای ارزیابی ابزارهای پیامرسانی در ارائه بهترین یا ضعیفترین امنیت را در مقابل نفوذ هکرها و سودجوییهای مجرمین سایبری مورد استفاده قرار گرفته است. لازم به ذکر است نه بنیاد حریم الکترونیکی و نه شرکت کسپرسکی رسماً برنامههای ذکر شده را محکوم یا تأیید نمینمایند و تنها به این موضوع اشاره دارد که چه تعداد از معیارهای استاندارد ذکر شده در برنامههای بررسی شده لحاظ شده است.
ضعیفترین گروه: صفر امتیاز
در این گروه تنها برنامه های Mxit و QQ قرار دارند که هیچ یک از موارد ذکر شده در آنها رعایت نشده است. خوشبختانه این برنامه ها از محبوبیت زیادی بین کاربران برخوردار نبوده اند ولی مهمترین نکته ای که بموجب آن توصیه مینماییم که از این برنامه ها استفاده نکنید عدم استفاده از حتی سادهترین کدگذاری میباشد و پیغامهای شما براحتی قابل بازیابی و بازخوانی توسط افراد دیگر است.
گروه بسیار ضعیف: یک امتیاز
متاسفانه در این گروه چهار برنامه محبوب که بسیاری ما از آنها استفاده مینماییم وجود دارد.
یکی از برنامه ها که مدت زیادی است اقدام خاصی برای افزایش امنیت کاربرانش انجام نداده است یاهو مسنجر است که متون و داده های انتقالی تنها در مسیر ارسال کدگذاری مینماید. این بدین معنی است که خود شرکت یاهو براحتی به این اطلاعات انتقالی دسترسی دارد و بعید نیست که مجرمین سایبری نیز در این بین از این حفره برای سودجویی استفاده نمایند. لذا این برنامه نه امکان احراز هویت کاربران را بشما میدهد و نه کدهای برنامه یا اسنادی در مورد سیستم امنیتی مورد استفاده را به مراکز مستقل ارزیابی امنیتی ارائه میدهد. همچنین اینکه شرکت یاهو مدت زیادی است که به یک بررسی دقیق یا ممیزی امنیتی نپرداخته است. بهرحال با توجه به اینکه این شرکت در ماه آگوست سال جاری به اقداماتی امنیتی نظیر کدگذاری پیشرفته برای سرویسهای تحت وب خود پرداخت امیدواریم این اتفاق برای پیام رسان این شرکت نیز بیافتد.
اسکایپ (Skype)
سرویس پیامرسان اسکایپ از شرکت مایکروسافت نیز دقیقاً نقاط ضعف امنیتی یاهو مسنجر را دارا میباشد و تنها از همان امتیاز کدگذاری حین انتقال پیغامها برخوردار میباشد. این نرم افزار پیشتر نیز پس از هک از سوی گروهی از کشور سوریه بشدت مورد انتقاد از سوی منتقدین امنیتی قرار گرفت که شرکت مایکروسافت صحت هیچکدام از این آسیبپذیریها را نپذیرفت.
بلکبری (BlackBerry Messenger)
پیامرسان بلکبری (BlackBerry Messenger) نیز دقیقاً همانند سرویسهای اسکایپ و یاهو عمل مینماید. این سرویس که پیشتر توسط شرکتی تحت عنوان RIM ارائه میشد، تنها مورد کدگذاری ضمن انتقال را رعایت مینماید و علاوه بر اینکه ممکن است متون بصورت کامل قابل دستیابی توسط هکرها باشد، بلکه حتی پیامهای کدگذاری شده نیز در صورت سرقت قابل کدبرداری و بازخوانی میباشند.
AIM یا سرویس پیام رسان شرکت AOL
مورد آخر از این گروه پیام رسان AIM یا پیام رسان شرکت AOL میباشد. یقیناً میتوان گفت که این سرویس از اواخر دهه نود تا اواسط دهه 2000 میلادی بینظیر بود. اگرچه از محبوبیت گذشته خود برخوردار نیست همواره توسط کاربران بیشماری مورد استفاده قرار میگیرد ولی متأسفانه همانند سرویس های فوقالذکر تنها مورد حفاظت شده کدگذاری ضمن انتقال پیغامهاست.
در بخش بعدی این مطلب برنامه های دیگری را معرفی مینماییم که علیرغم اینکه مورد استفاده بسیاری از کاربران قرار میگیرند و اغلب برای شبکههای اجتماعی میباشند، همچنان بر اساس معیارهای EFF از امنیت کافی برخوردار نیستند.
بخش دوم این مطلب را از این صفحه مطالعه نمایید.