20:57 | جمعه 30 آذر 1403
Research Analysis Debriefing Day
پاسخ به دغدغه‌ی امنیت کاربران پیام‌رسان‌های بومی

1397/10/02 08:12

پاسخ به دغدغه‌ی امنیت کاربران پیام‌رسان‌های بومی

پایگاه خبری راد: استفاده از پیام‌رسان‌های بومی به یکی از اولویت‌های مسوولان تبدیل شده، اما دغدغه‌ی امنیت یکی از مواردی است که پیام‌رسان‌ها با حل آن می‌توانند کاربران را به استفاده از ابزارهای بومی جذب کنند.

به گزارش پایگاه خبری راد،  پیام‌رسان‌ها یکی از سرویس‌های محبوب و فراگیر در حوزه رسانه‌های اجتماعی هستند که میلیون‌ها کاربر با کمک این نرم‌افزارها به ارتباط و تعامل با یکدیگر می‌پردازند و ارتباط کاربران با یکدیگر را از طریق متن، صوت یا ویدئو را تسهیل می‌کنند. با وجود این، یکی از مهم‌ترین دغدغه‌هایی که می‌تواند باعث برتری یک سرویس‌دهنده به سرویس‌دهنده دیگر شود، امنیت پیام‌رسان و میزان اعتماد کابران است.

از طرفی در حالی که ممکن است حفره‌های امنیتی و امکان درز اطلاعات در پیام‌رسان‌های داخلی وجود داشته باشد، کارشناسان معتقدند پیام‌رسان‌های داخلی باید هرچه می‌توانند روی امنیت اطلاعات مردم بیش‌تر کار کنند، زیرا اطلاعات برای مردم بسیار ارزشمند است و برخی معتقدند بخش خصوصی باید وارد عرصه شود و یک مرجع مستقل، امنیت پیام‌رسان خصوصی را بررسی کند تا استفاده‌ از آن پیام‌رسان، توجیهی داشته باشد که مردم از آن استفاده کنند.

در این راستا، مدیر یکی از پیام رسان‌های داخلی، در پاسخ به این‌که با توجه به دغدغه‌ی کاربران پیام‌رسان‌ها درباره‌ی امنیت، برای ایجاد حس امنیت چه اقداماتی در پیام‌رسان‌ها انجام شده است، گفت: ابتدا باید دو مفهوم امنیت و احساس امنیت را از هم جدا کنیم. امنیت اطلاعات فنی ما توسط شرکت‌هایی که در حوزه‌ی امنیت اطلاعات کار می‌کنند و مجوز امنیت اطلاعات صادر می‌کنند، با انجام یک سری تست‌های نفوذ آزمایش شده و این شرکت‌ها امنیت فنی این پیام‌رسان را تایید کرده‌اند.

مرتضی رحیمی با بیان این‌که این تست امنیت لزوماً برای تمام پیام‌رسان‌ها انجام نمی‌شود، افزود: امنیت اطلاعات کاربران برای ما بسیار مهم و حیاتی و به‌اصطلاح یک ارزش هسته­‌ای (core value) است. یعنی اگر اطلاعات کاربران ما جایی نشت پیدا کند، کل کار ما زیر سوال می‌رود. پس این تست امنیت، مستقل از فشارهای رسانه‌ای برای خود ما اهمیت دارد. ما با پرداخت هزینه این تست را برای سروش انجام دادیم. کار زمان‌بری است و باید به‌طور مستمر (در یک بازه‌ی سه تا شش‌ماهه) انجام شود.

او در ادامه درباره احساس امنیت توضیح داد: احساس امنیت یک موضوع روانی است و زمانی ایجاد می‌شود که ما کار رسانه‌ای درباره امنیت سیستم‌مان انجام داده و شبهات امنیتی که به ما وارد می‌شود را پاسخ بدهیم. پخش یک شبهه و پاسخ دادن به آن به لحاظ گستردگی انتشار در رسانه، دو مقوله‌ی نامتقارن هستند. یعنی این‌که یک شبهه به‌راحتی پخش می‌شود اما زمانی که به آن پاسخ داده ‌شود، این پاسخ به اندازه خود شبهه، دیده و شنیده نمی‌شود.

حرف پیام‌رسان‌ها شنیده نمی‌شود

رحیمی درباره‌ی مخاطبانی که به دلیل دغدغه‌ی امنیت اطلاعات‌شان، از پیام‌رسان‌های داخلی استفاده نمی‌کنند، بیان کرد: روی این دسته از کاربران آنقدر عملیات روانی صورت می‌گیرد که حرف‌های ما در این بین ناشنیده می‌ماند. اما از این کاربران دعوت می‌کنیم که در پیام‌رسان‌های داخلی عضو شوند و کاربری این فضا را تجربه کنند و بعد اگر متوجه شدند اطلاعات‌شان به جایی نفوذ کرده، یا گفت‌وگوهایشان در جایی بررسی و خوانده شده، اعتراض کرده و اعتراض‌شان را پیگیری کنند.

او هم‌چنین خاطرنشان کرد: کار ما سرک کشیدن به اطلاعات شخصی مردم نیست و هرگز نمی‌خواهیم این اتفاق بیفتد. تلاش‌مان بر این است که زیرساختی را برای ارتباط مردم با هم توسعه بدهیم که مردم در آن احساس امنیت کنند. ما هم دغدغه‌ی این را داریم که اطلاعات شخصی‌مان در یک کانال امن منتقل شود.

وی در پاسخ به این‌که شبهه‌ی عضویت بدون اطلاع افراد در این پیام‌رسان چگونه پاسخ داده شد، اظهار کرد: یک سری شبهات امنیتی به ما وارد شده بود، مواردی نظیر عضو کردن افراد در پیام‌رسان بدون اطلاع خودشان. ما این شبهه را ماه‌ها پیش پاسخ دادیم. سروش از سال 1394 رونمایی شده بود و عضوگیری داشت. بعضی افراد، مدت‌ها پیش در سروش ثبت‌نام کرده و این موضوع را فراموش کرده بودند. حتی ما با اجازه‌ی این افراد، به ایشان اطلاع دادیم که شما در فلان تاریخ با فلان مدل گوشی، در سروش ثبت نام کرده‌اید و آن‌ها تایید کردند.

رحیمی ادامه داد: درباره برخی افراد که ادعا داشتند شماره‌شان بدون اطلاع خودشان در سروش ثبت شده، مساله این بود که این افراد، شماره‌ای را استفاده می‌کردند که قبلا متعلق به فرد دیگری بوده و مالک قبلی در سروش ثبت نام کرده و بعد سیم‌کارتش را فروخته یا واگذار کرده و مالک جدید اطلاعی از این موضوع نداشته است. با بررسی دقیق نتیجه گرفتیم که حتی یک مورد عضویت بدون اطلاع فرد در سروش اتفاق نیفتاده است. اما این پاسخ­‌ها شنیده نشد؛ شاید به این دلیل که کار رسانه­‌ای ما برای پاسخ‌گویی به شبهاتی که مطرح شد، کافی نبود.

نگاه اشتباه به حریم خصوصی

وی درباره‌ی شبهه‌های امنیتی دیگر از جمله فاش شدن شماره تلفن مدیران کانال‌ها هم اظهار کرد: این شبهه اساسا برخاسته از یک نگاه اشتباه به حریم خصوصی در بحث­‌های ژورنالیستی بود. پروتکلی که واتس‌اپ به‌عنوان یک پیام‌رسان بین‌المللی دارد، این است که هرکس بخواهد با شخصی دیگر ارتباط بگیرد، شماره تلفنش برای گیرنده‌ی پیام نمایش داده می‌شود و نمایش شماره‌ی فرستنده، احترام به حریم خصوصی گیرنده است. اما در تلگرام این اتفاق نمی‌افتد و هنگام گفت‌وگو، اگر شما شماره تلفن پیام‌دهنده را نداشته باشید، فقط می‌توانید نام کاربری او را ببینید.

او درباره‌ی نمایش شماره تلفن‌ها در واتس‌اپ توضیح داد: علاوه بر این در واتس‌اپ، اگر شما در یک گروه عضو باشید و شماره‌ی مدیر و اعضای دیگر گروه را نداشته باشید، این شماره تلفن‌ها در قسمت اطلاعات گروه برای شما قابل رویت است. اما در گروه‌های تلگرامی، شماره تلفن اعضا و مدیر برای کاربر نمایش داده نمی‌شود. وقتی یک شماره (مثلا شماره‌ فرستنده‌ی پیام) برای گیرنده پیام مخفی می‌ماند، لزوما به این معنی نیست که حریم خصوصی بیش‌تر حفظ می‌شود.

رحیمی ادامه داد: مثلا برای ما خیلی عادی شده که وقتی کسی با ما تماس می‌گیرد یا پیامک می‌فرستد، شماره‌اش برای ما نمایش داده ‌شود، اما این امکان در گذشته وجود نداشت. در دوره‌ای که امکان نمایش شماره تلفن تماس‌گیرنده (همان امکان caller ID) وجود نداشت، مزاحمت تلفنی خیلی زیاد بود و اتفاقا پنهان بودن شماره کمکی به حفظ حریم خصوصی نمی‌کرد.

او در ادامه با بیان این‌که بعد از اضافه شدن امکان ساخت کانال در تلگرام، اشخاص می‌توانستند بدون مشخص بودن هویت و شماره تلفن‌شان، کانال بسازند و افرادی را به کانال اضافه کنند، افزود: این کار بر اساس هیچ کدام از پروتکل‌ها مورد تایید نبود. در حالی که در سروش از ابتدا چنین مبنایی که تلگرام برخلاف اکثر استانداردهای بین‌المللی وضع کرده بود، وجود نداشت. هک خاصی هم اتفاق نیفتاده بود.  

مدیر محصول پیام‌رسان سروش ادامه داد: با نصب یک نرم‌افزار ساده دارای امکان packet capture برروی موبایل و چک کردن packet محتوای یک پیام کانالی، محتواهای رمزنشده­‌ای که در بسته­‌ها وجود داشت، از جمله شماره مدیر کانال، مشخص می‌شد زیرا ما بر اساس پروتکل‌مان اصلا نمی‌خواستیم شماره‌ی کانال‌دارها جزو بخش رمزگذاری‌شده‌ی پیام باشد. همین اختلاف پروتکلی با تلگرام، این شبهه را به وجود آورد که هک اتفاق افتاده و شماره‌ی کانال‌دارها، لو رفته است.

رحیمی هم‌چنین خاطرنشان کرد: این مساله مختص سروش نیست و در اپلیکیشن­‌های دیگر هم امکان بررسی بسته‌ی محتوایی وجود دارد. حتی می‌شود محتوای ایمیل‌های دریافتی از طریق اپلیکیشن جی‌میل را هم از طریق همین نرم‌افزارهای ‌packet capture بازیابی کرد و این اطلاعات جزو حریم خصوصی این اپلیکیشن محسوب نمی‌شود. بعد که ما دیدیم این شبهه خیلی فراگیر شده و کار رسانه‌ای شاید نتواند این قضیه را در آن زمان جا بیندازد، ما هم پروتکل‌مان را تغییر دادیم که کار بسیار بزرگ و سختی بود؛ چون محتوای حدود ۴۰۰ میلیون پیام باید اصلاح می‌شد.

وی در پایان توضیح داد: برای حل این مساله، یک پروژه‌ی دو ماهه تعریف شد که در ۲۰ فروردین‌ماه امسال به نتیجه رسید و شماره تلفن مدیران کانال هم رمزگذاری شد و از آن به بعد، استخراج شماره‌ی کانال‌دارها امکان‌پذیر نیست. ما همان موقع به این شبهات جواب دادیم اما چون جواب‌ها به اندازه‌ی خود شبهات دیده نشد، شبهه‌ها هنوز در اذهان پررنگ هستند. بنابراین فردی که تحت تاثیر این شبهه‌ها قرار گرفته، احساس امنیت را تجربه نمی‌کند، مگر این‌که خودش از پیام‌رسان داخلی استفاده کند و با تجربه‌ی کاربری این پیام‌رسان، این احساس امنیت را لمس کند.