مشکل امنیتی ایجاد شده از سوی دولت ایران در گواهی نامه های SSL: پاسخ به سوالات شما

بخش ۲

پیش از آغاز، از دوست بسیار عزیز و قدیمی خودم که نمی توانم نام وی را در اینجا ببرم سپاسگزاری می کنم برای ترجمه این مقاله من از انگلیسی به پارسی. این کار به خاطر تخصصی بودن این مقاله بسیار سخت بوده و ایشان به زیبایی هرچه تمام تر این لطف را در حق بنده و هموطنانمان متقبل شدند. باشد که دست به دست هم وطنی بهتر بسازیم.

ترجمه شده از مقاله انگلیسی: SSL security issue caused by the Iranian government: Answers to your Questions

بسیار خوب. این دومین مقاله در مورد تحقیقهای من در اختلال امنیتی ایجاد شده از سوی دولت ایران است. این در ادامه مقاله قبلی در همین وبلاگ است. اگر مقاله قبلی را مطالعه نکردید به لینک مقابل مراجعه کنید: مشکل امنیتی ایجاد شده در گواهی نامه های SSL توسط دولت ایران: نگاهی عمیق.

در اینجا بروی پاسخ دادن به سوالاتی که در طول روز گذشته از من پرسیده شده است تمرکز میکنم، هرچند در گذشته برخی از آنها را پاسخ داده ام.

سوالات پرسیده شده به شرح زیر هستند:

آیا گواهی SSL نامعتبر مسیر انتقال داده های قربانی را از کامپیوتر ارسال کننده به کامیوتر دریافت کننده تغییر می دهد؟

خیر. گواهی SSL توانایی تغییر مسیر را برای شما ندارد. در اصل ارائه دهنده سرویس اینترنت شماست که می تواند مسیر انتقال داده های شما را به سوی یک سوپرکامپیوتر تغییر دهد. کاری که SSL می کند (یا باید انجام دهد) این است که داده های شما را رمز گذاری کند. بنابر این دیگر هیچ کامپیوتری بجز کامپیوتر ارسال کننده توانایی رمز گشایی آنرا نخواهد داشت.

دقیقا چه اتفاقی در سوپر کامپیوتر می افتد که به دولت امکان می دهد تا داده ها را سرقت کنند؟

همانطور که در مطلب قبلی گفتم، با تایید یک گواهی نامه دروغین، شما خطر اینکه یک سیستم دیگر(بجز دریافت کننده اصلی) به روش محرمانه سازی شما دست پیدا کند را پذیرفته اید. در چنین حالتی شما بهدریافت کننده دروغین اجازه خواهید می دهید تا هدر که شامل روش کد گذاری داده های شما را که با SSL رمزگذاری شده است را بگشاید. وقتی داده های شما رمز گشایی شد می تواند برای اهداف جاسوسی ذخیره شود و سپس به سمت گیرنده اصلی ارسال گردد. در حالی که دریافت کننده واقعی می پندارد که ارسال کننده واقعی همان کامپیوتر(دریافت کننده دروغین) است، بنابراین آن کامپیوتر بعنوان ارسال کننده اصلی نیز شناسایی خواهد شد. بنابر این بجای اینکه پاسخ به شما ارسال شود، به آنجا ارسال خواهد شد. وقتی این گیرنده دروغین داده های شما را دریافت کرد آنها را ثبت می کند و سپس برای شما ارسال می کند. به این تر تیب شما می توانید داده هایی که در خواست داده بودید را مشاهده کنید بدون انکه بدانید آن ها قبلا توسط کامپیوتر دیگری بررسی شده است ( جاسوسی شده است).

شاید این موضوع با نگاه به تصویر ۱ بهتر قابل درک باشد.

شکل ۱

درحقیقت نیازی نیست که داده ها مستقیما برای انتقال از یک کامپیوتر عبور کنند، سویچ ها و روترها به خوبی قابلیت تغییر مسیر داده ها را به سوی گیرنده مورد نظر بدون نیاز به وجود هر کامپیوتر دیگری را (و به همان دقت کامپیوترها) دارند. بطور کلی انتقال داده ها باید از مسیر اتصالی قرمز در شکل ۱ عبور کند ولی در حال حاضر در ایران از مسیر آبی رنگ عبور می کنند.

آبا آنتی ویروس ها و فایروال ها می توانند کمکی بکنند؟

نه. تا انجایی که من میدانم هیچ آنتی ویروس یا فایروالی نمی تواند مسایلی که ورای لایه Application در مدل OSI می گذرد را کنترل کند. و سخت افزار های فایروال (که البته در شبکه های خانگی کاربردی ندارد) نیز چنین کاری نمی کنند مگر اینکه برای چنین منظوری برنامه ریزی شده باشند.

آیا بروز رسانی سیستم عامل، مرورگر، یا نرم افزارهای واسط اینترنتی مناسب خواهد بود؟

با این کار شما دیتابیس گواهی نامه های تعیید شده خود را بروز خواهید کرد. ولی اینکاربه تنهایی این واقعه را متوقف نخواهد کرد. هنوز گواهی نامه های دروغین وجود دارند هنوز باید محتاط باشید تا به اشتباه این گواهی نامه های بی اعتبار و دروغین را تایید نکنید.

من یک گواهی نامه دروغین را تایید کرده ام حالا باید چکار کنم؟ کارم تمومه؟

نمیتوانم بگویم که داده های شما توسط سرور به سرقت رفته است. حتی نمی توانم بگویم که آیا تا کنون تحت نظر بوده اید یا نه. ولی کاریکه هم اکنون می توانید انجام دهید این است که کتابخانه گواهینامه های سیستم عامل خود را، اعم از لینوکس، ویندوز، مک، یونیکس، BSD، سولاریس، یا هرچیز دیگری باز کنید و تمام گواهی نامه های دروغین و بی اعتبار را پیدا کنید و بطور دستی آنها را حذف کنید. سپس تمام گذرواژه ها، سوالات محرمانه سازی شماره های کارت اعتباری و غیره را عوض کنید. هرگز هیچ گواهی نامه غیر معتبر دیگری را تایید نکنید. از این پس می توانید اطمینان داشته باشید که دیگر تحت نظر نخواهید بود.

آیا VPN ها ایمن هستند؟

نه، اغلب ایمن نیستند. VPN ها یا Virtual Planned Network (شبکه برنامه ریزی مجازی) روشی ایمن برای اتصال به شبکه اینترنت هستند. VPN اغلب از SSL استفاده می کند. و بدلایل مالی و اینکه انها شبکه های خصوصی هستند گواهی نامه های معتبر را استفاده نمیکنند. بنابر این کاربر گزینه ای جز پذیرش همه گواهی نامه های نا معتبر ندارد. حتی در برخی از سیستم عامل ها در بخش تنظیمات تیک مربوط به تایید تمام گواهی نامه های SSL به صورت پیش فرض خورده است. بنابر این بدون توجه و اخطار به شما پذیرفته خواهند شد. با پذیرش چنین چیزی شما در خطر بزرگتری خواهید افتاد . شما ریسک کنترل کامپیوتر خود را پذیرفته اید.

آیا راهی برای جلویری از پذیرش همه گواهی نامه ها وجود دارد؟

بله برای این کار ۳ راه وجود دارد. که افراد عادی می توانند ۲ راه آن را انجام دهند و راه سوم نیاز به فردی با دانش بالاتر کامپیوتر در سطح شبکه سیستم عامل دارد.

–

می توانید از پروکسی استفاده کنید

ولی باید دقت کنید تا از پروکسی سرور هایی استفاده کنید که بصورت غیر مستقیم کار میکنند

در چنین شرایطی درحقیقت صفحه مورد نظر شما در سرور پروکسی لود می شود و سپس لینک آن در آدرس بار مرورگر شما وارد میشود

بنابر این اگر شما برای مثال صفحه

https://www.gmail.com

را درخواست داده باشید در آدرس بار خود هیچ نشانی از

gmail

یا

google

یا هر چیز مرتبطی با انها نخواهید دید

. (