دسته: امنیت وب و شبکه

ماجرای گواهی‌های تقلبی 1.1.1.1 کلادفلر

قضیه از این قراره که طی چند روز، کلادفلر از طریق برنامه‌های گزارش آسیب‌پذیری و ایمیل‌های مربوط به شفافیت گواهی‌ها، خبردار شد که یه سری گواهی غیرمجاز برای آدرس 1.1.1.1 صادر شده. این آدرس آی‌پی، یکی از آدرس‌های اصلی سرویس DNS عمومی کلادفلر هست که خیلی‌ها ازش استفاده میکنن.

شرکتی که این کار رو کرده بود «فاینا سی‌ای» (Fina CA) نام داشت. این شرکت از فوریه ۲۰۲۴ تا آگوست ۲۰۲۵، دوازده تا گواهی برای آدرس 1.1.1.1 بدون اجازه کلادفلر صادر کرده بود. نکته مهم اینه که کلادفلر بررسی کرد و دید که این صدور غیرمجاز فقط برای 1.1.1.1 اتفاق افتاده و برای بقیه دامنه‌ها و سرویس‌هاش مشکلی پیش نیومده.

حالا سوال اصلی اینه که آیا کسی از این گواهی‌های تقلبی سو استفاده کرده؟ کلادفلر میگه هیچ مدرکی پیدا نکرده که نشون بده آدم‌های خلافکار از این اشتباه سو استفاده کرده باشن. برای اینکه یه هکر بتونه خودشو جای سرویس DNS کلادفلر جا بزنه، فقط داشتن یه گواهی غیرمجاز و کلید خصوصی مربوط به اون کافی نیست. چند تا شرط دیگه هم لازمه:

کاربرهایی که مورد حمله قرار میگیرن، باید به شرکت صادرکننده گواهی یعنی «فاینا سی‌ای» اعتماد داشته باشن. (یعنی این شرکت باید تو لیست شرکت‌های مورد اعتماد سیستم‌عاملشون باشه).
ترافیک اینترنتی بین کاربر و آدرس 1.1.1.1 باید توسط هکر شنود یا دستکاری بشه.

کلادفلر این اتفاق رو یه اشتباه امنیتی غیرقابل قبول از طرف «فاینا سی‌ای» میدونه، اما در عین حال قبول داره که خودشون هم باید زودتر متوجه این قضیه میشدن و بهش واکنش نشون میدادن. بعد از صحبت با «فاینا سی‌ای»، مشخص شد که اون‌ها این گواهی‌ها رو برای تست‌های داخلی خودشون صادر کرده بودن. اما قانون کلی اینه که هیچ شرکت صادرکننده گواهی (CA) نباید برای دامنه‌ها و آدرس‌های آی‌پی که کنترلشون رو در دست نداره، گواهی صادر کنه. در حال حاضر همه اون دوازده تا گواهی باطل شدن و کلادفلر منتظر یه گزارش کامل و دقیق از طرف «فاینا سی‌ای» هست تا ببینه دقیقا چه اتفاقی افتاده.

با اینکه این اتفاق ناخوشایند بوده، اما یه فرصت خوبه تا با هم یاد بگیریم که اصلا اعتماد تو اینترنت چطور کار میکنه؛ اعتمادی که بین شبکه‌هایی مثل کلادفلر، مقصدهایی مثل 1.1.1.1، شرکت‌های صادرکننده گواهی مثل «فاینا سی‌ای» و دستگاهی که شما الان باهاش دارید این مطلب رو میخونین وجود داره.

بیایید با اصول اولیه آشنا بشیم: DNS و 1.1.1.1 چی هستن؟

خب، قبل از اینکه عمیق‌تر بشیم، بذارین یه کم در مورد مفاهیم پایه صحبت کنیم. کلادفلر یه سرویس DNS عمومی به اسم 1.1.1.1 داره. کار DNS چیه؟ خیلی ساده‌س. وقتی شما تو مرورگرتون مینویسین example.com، کامپیوتر شما که این اسم رو نمیفهمه. کامپیوترها با آدرس‌های عددی به اسم آی‌پی (IP) کار میکنن. سرویس DNS مثل یه دفترچه تلفن غول‌پیکر برای اینترنته که اسم‌های قابل فهم برای انسان (مثل example.com) رو به آدرس‌های آی‌پی قابل فهم برای کامپیوتر (مثلا 192.0.2.42 یا 2001:db8::2a) ترجمه میکنه. میلیون‌ها دستگاه در سراسر دنیا از سرویس 1.1.1.1 برای همین کار استفاده میکنن.

سرویس 1.1.1.1 از طریق چند تا دامنه و آدرس آی‌پی مختلف در دسترسه. مثلا:

دامنه‌ها: cloudflare-dns.com و one.one.one.one
آدرس‌های آی‌پی: 1.1.1.1, 1.0.0.1, 2606:4700:4700::1111, 2606:4700:4700::1001

علاوه بر این، یه سرویس دیگه به اسم 1.1.1.1 for Families هم وجود داره که برای خانواده‌ها طراحی شده و روی آدرس‌های آی‌پی متفاوتی میزبانی میشه: 1.1.1.2, 1.1.1.3, 1.0.0.2, 1.0.0.3 و نسخه‌های IPv6 اونها.

مشکل DNS قدیمی: چرا به امنیت بیشتری نیاز داشتیم؟

پروتکل DNS در ابتدا که طراحی شد (طبق استانداردهای RFC 1034 و RFC 1035)، هیچ فکری برای حریم خصوصی و امنیتش نشده بود. درخواست‌ها و جواب‌های DNS به صورت متن ساده و رمزنگاری نشده بین کامپیوتر شما و سرور DNS رد و بدل میشد. این یعنی هر کسی وسط راه میتونست ببینه شما دنبال آدرس چه سایتی میگردین و حتی میتونست جواب رو دستکاری کنه و شما رو به یه سایت تقلبی بفرسته، بدون اینکه شما یا سرور DNS اصلا متوجه بشین. جالبه بدونین که هنوز هم حدود ۶۰ درصد درخواست‌هایی که به سرویس 1.1.1.1 کلادفلر میرسه، از همین روش قدیمی و ناامن استفاده میکنه.

برای حل این مشکل، متخصص‌ها دو تا راه حل جدید طراحی کردن:

DNS over TLS (DoT): که تو استاندارد RFC 7878 تعریف شده.
DNS over HTTPS (DoH): که تو استاندارد RFC 8484 تعریف شده.

در هر دوی این روش‌ها، خود پروتکل DNS تغییر زیادی نکرده، بلکه یه لایه امنیتی بهش اضافه شده. به جای اینکه درخواست‌ها به صورت متن ساده فرستاده بشن، اول یه کانال امن، خصوصی و رمزنگاری شده با استفاده از تکنولوژی TLS برقرار میشه و بعد درخواست‌های DNS از توی این کانال امن رد و بدل میشن. اینجوری دیگه کسی وسط راه نمیتونه درخواست‌های شما رو بخونه یا دستکاری کنه.

نقش کلیدی گواهی‌های TLS در امنیت

حالا میرسیم به بخش مهم ماجرا، یعنی گواهی‌ها. وقتی کامپیوتر شما میخواد با استفاده از DoT یا DoH به سرور DNS وصل بشه، یه فرآیندی به اسم «دست‌دهی TLS» یا TLS handshake اتفاق میفته. در این فرآیند، سرور برای اینکه هویت خودشو به کامپیوتر شما ثابت کنه، یه گواهی دیجیتالی (Certificate) نشون میده. کامپیوتر شما این گواهی رو چک میکنه تا ببینه آیا توسط یه «مرکز صدور گواهی» یا (Certification Authority – CA) معتبر امضا شده یا نه. اگه همه چیز درست بود، ارتباط برقرار میشه و از اون به بعد تمام اطلاعات به صورت رمزنگاری شده رد و بدل میشه.

گواهی‌هایی که برای DoT و DoH استفاده میشن، دقیقا از همون نوع گواهی‌هایی هستن که وبسایت‌های HTTPS استفاده میکنن. بیشتر گواهی‌های وبسایت‌ها برای اسم دامنه (مثلا example.com) صادر میشن. اما گواهی‌های سرور DNS یه فرق کوچولو دارن.

این گواهی‌ها علاوه بر اسم دامنه، باید حتما آدرس آی‌پی سرویس رو هم داخل خودشون داشته باشن. چرا؟ چون وقتی کامپیوتر شما میخواد برای اولین بار به یه سرور DNS وصل بشه، هنوز نمیتونه اسمی مثل cloudflare-dns.com رو به آی‌پی ترجمه کنه (چون کار خود DNS همینه!). پس دستگاه‌ها از اول با یه آدرس آی‌پی مشخص مثل 1.1.1.1 تنظیم میشن. وقتی با DoT یا DoH به این آی‌پی وصل میشن، سرور یه گواهی TLS میده که داخلش آدرس آی‌پی 1.1.1.1 نوشته شده. کامپیوتر شما این گواهی رو چک میکنه و اگه معتبر بود، مطمئن میشه که داره با صاحب واقعی 1.1.1.1 صحبت میکنه و شروع به فرستادن درخواست‌هاش میکنه.

برای مثال، اگه به گواهی واقعی که کلادفلر برای سرویس DNS خودش استفاده میکنه نگاه کنین، میبینین که کلی آدرس آی‌پی و دامنه داخلش وجود داره:

Subject Alternative Name (نام‌های جایگزین):
- DNS: cloudflare-dns.com
- DNS: *.cloudflare-dns.com
- DNS: one.one.one.one
- IP Address: 1.0.0.1
- IP Address: 1.1.1.1
- IP Address: 162.159.36.1
- IP Address: 162.159.46.1
- و چندین آدرس IPv6 دیگه.

این گواهی توسط شرکت معتبر DigiCert صادر شده و مشخص میکنه که این دامنه‌ها و آی‌پی‌ها همگی متعلق به کلادفلر هستن.

بازگشت به مشکل اصلی: وقتی یک گواهی غیرمجاز صادر می‌شود

خب، حالا که با اصول کار آشنا شدیم، برگردیم سراغ اتفاقی که افتاده. همونطور که گفتیم، اعتبارسنجی گواهی، راهی هست که کامپیوتر شما از واقعی بودن هویت سرور DNS مطمئن میشه. پس صدور یه گواهی غیرمجاز برای 1.1.1.1 یه نگرانی جدی به حساب میاد.

فکر کنین یه کامپیوتر تنظیم شده که از سرویس 1.1.1.1 با روش امن DoT استفاده کنه. این کامپیوتر برای شروع کار، باید یه ارتباط TLS با سرور برقرار کنه. برای اینکه سرور مورد اعتماد باشه، باید یه گواهی ارائه بده که توسط یه CA (مرکز صدور گواهی) که کامپیوتر شما بهش اعتماد داره، صادر شده باشه. به مجموعه گواهی‌های این مراکز معتبر که روی سیستم شما نصب هستن، «مخزن ریشه» یا Root Store میگن.

یک مرکز صدور گواهی یا CA، سازمانی مثل DigiCert هست که وظیفه‌اش اینه که درخواست‌های صدور گواهی رو دریافت کنه و بررسی کنه که آیا درخواست‌دهنده واقعا کنترل اون دامنه رو در اختیار داره یا نه. در این ماجرا، شرکت «فاینا سی‌ای» برای 1.1.1.1 گواهی صادر کرده، بدون اینکه کلادفلر در جریان باشه. این یعنی «فاینا سی‌ای» به درستی بررسی نکرده که آیا درخواست‌دهنده، کنترل واقعی آدرس 1.1.1.1 رو داره یا نه.

توضیح خود شرکت «فاینا سی‌ای» این بوده:
«این گواهی‌ها به منظور تست داخلی صدور گواهی در محیط عملیاتی صادر شدند. در حین صدور گواهی‌های تستی، هنگام وارد کردن آدرس‌های آی‌پی خطایی رخ داد و به همین دلیل این گواهی‌ها در سرورهای لاگ شفافیت گواهی منتشر شدند.»

کلادفلر تاکید میکنه که مشکل اصلی، انتشار گواهی‌های تستی در سیستم شفافیت گواهی نیست (که جلوتر توضیح میدیم چیه)، بلکه اشتباه اصلی اینه که «فاینا سی‌ای» از کلیدهای عملیاتی و اصلی خودش برای امضای یک گواهی برای آدرس آی‌پی که مالکش نبوده، استفاده کرده. اون‌ها باید به جای آی‌پی معروف 1.1.1.1، از یه آدرس آی‌پی که تحت کنترل خودشون هست برای تست استفاده میکردن.

سابقه مشکلات مشابه و راه‌حل: شفافیت گواهی (Certificate Transparency)

متاسفانه صدور گواهی‌های غیرمجاز چیز جدیدی نیست. گاهی به خاطر بی‌دقتی (مثل اتفاقی که برای شرکت IdenTrust در نوامبر ۲۰۲۴ افتاد) و گاهی به خاطر هک شدن. یکی از معروف‌ترین موارد، هک شدن شرکت هلندی DigiNotar در سال ۲۰۱۱ بود که هکرها از کلیدهای اون برای صدور صدها گواهی تقلبی استفاده کردن.

این هک یک زنگ خطر بزرگ بود و باعث شد سیستمی به اسم شفافیت گواهی (Certificate Transparency – CT) معرفی بشه (که بعدا در استاندارد RFC 6962 رسمی شد). هدف CT این نیست که جلوی صدور اشتباه گواهی رو بگیره، بلکه هدفش اینه که هر صدور اشتباهی رو بعد از وقوع، به سرعت شناسایی کنه. چطوری؟ با این قانون که هر گواهی که توسط یک CA صادر میشه، باید در یک لاگ یا دفتر ثبت عمومی در دسترس همه قرار بگیره تا همه بتونن اون رو ببینن و بررسی کنن.

در سیستم شفافیت گواهی، چندین شرکت مستقل (از جمله خود کلادفلر) سرورهای لاگ عمومی رو مدیریت میکنن. امروزه خیلی از مرورگرهای مدرن، گواهی‌هایی رو که مدرکی مبنی بر ثبت شدن در حداقل دو تا از این لاگ‌های عمومی نداشته باشن، اصلا قبول نمیکنن. این مدرک به صورت یک «مهر زمانی گواهی امضا شده» (SCT) به گواهی اضافه میشه.

این سیستم به صاحبای دامنه‌ها اجازه میده که این لاگ‌های عمومی رو دائما زیر نظر داشته باشن و اگه گواهی برای دامنه‌شون صادر شد که خودشون درخواست نداده بودن، فورا متوجه بشن و هشدار بدن. سرویس‌های عمومی مثل crt.sh و صفحه شفافیت گواهی در رادار کلادفلر هم از همین داده‌ها استفاده میکنن تا همه بتونن گواهی‌های صادر شده رو جستجو کنن.

البته همه نرم‌افزارها این قانون رو رعایت نمیکنن. مرورگرها معمولا این کار رو میکنن، اما بیشتر کلاینت‌های DNS نه. کلادفلر میگه خوش‌شانس بودن که «فاینا سی‌ای» این گواهی‌های غیرمجاز رو در لاگ‌های CT ثبت کرده بود و همین موضوع باعث شد که ماجرا کشف بشه.

بررسی احتمال سو استفاده خرابکارانه

اولین نگرانی کلادفلر این بود که نکنه کسی از این گواهی‌ها برای جعل هویت سرویس 1.1.1.1 استفاده کرده باشه. همونطور که قبلا گفتیم، یه همچین حمله‌ای به چند تا شرط نیاز داره:

یک مهاجم به گواهی غیرمجاز و کلید خصوصی مربوط به اون نیاز داره.
کلاینت‌های مورد حمله باید به «فاینا سی‌ای» به عنوان یک مرجع صدور گواهی معتبر اعتماد داشته باشن.
ترافیک بین کلاینت و 1.1.1.1 باید توسط مهاجم شنود بشه.

کلادفلر این سه مورد رو به دقت بررسی کرد:

مورد اول: مشخصه که یک گواهی بدون اجازه کلادفلر صادر شده. پس باید فرض کرد که یک کلید خصوصی هم برای اون وجود داره که دست کلادفلر نیست و میتونه توسط یک مهاجم استفاده بشه. «فاینا سی‌ای» به کلادفلر گفته که کلیدهای خصوصی فقط در محیط کنترل شده خودشون بوده و حتی قبل از باطل شدن گواهی‌ها، فورا از بین برده شدن. اما چون راهی برای تایید این حرف وجود نداره، کلادفلر همچنان در حال بررسی هرگونه استفاده مخرب هست.

مورد دوم: بعضی از کلاینت‌ها به «فاینا سی‌ای» اعتماد دارن. این شرکت به طور پیش‌فرض در لیست شرکت‌های معتبر مایکروسافت و همچنین لیست ارائه‌دهندگان خدمات اعتماد اتحادیه اروپا قرار داره. اما خبر خوب اینه که این CA به طور پیش‌فرض در لیست ریشه‌های معتبر اندروید، اپل، موزیلا یا کروم وجود نداره. پس کاربرای این سیستم‌ها با تنظیمات پیش‌فرض، تحت تاثیر این مشکل قرار نگرفتن. کلادفلر بلافاصله بعد از کشف مشکل، با «فاینا سی‌ای»، مایکروسافت و اتحادیه اروپا تماس گرفت. مایکروسافت سریعا پاسخ داد و شروع به انتشار یک آپدیت برای لیست گواهی‌های غیرمجاز خودش کرد تا کلاینت‌ها دیگه به این گواهی‌ها اعتماد نکنن.

مورد سوم: کلادفلر یه تحقیق کامل رو برای پیدا کردن هرگونه شنود یا دستکاری ترافیک بین کاربرها و 1.1.1.1 شروع کرد. یک راه برای این کار، حملات «مرد میانی» (Man-in-the-middle) هست که مهاجم خودش رو بین کاربر و سرور قرار میده. تشخیص این نوع حملات برای کلادفلر سخته چون درخواست‌ها اصلا به سرورهای اصلی نمیرسن. سناریوی دوم، دزدیدن مسیر ترافیک 1.1.1.1 از طریق BGP هست. کلادفلر میگه تاریخچه اعلانات BGP مربوط به 1.1.1.1 رو بررسی کرده و هیچ مدرکی از وقوع چنین اتفاقی پیدا نکرده.

در نهایت، با اینکه نمیشه با اطمینان صد درصد گفت، اما تا الان هیچ مدرکی پیدا نشده که نشون بده این گواهی‌ها برای جعل هویت ترافیک سرویس DNS عمومی کلادفلر استفاده شده باشن.

نگاهی دقیق‌تر به مشخصات گواهی‌های غیرمجاز

تمام گواهی‌های غیرمجازی که برای 1.1.1.1 صادر شده بودن، دقیقا یک سال اعتبار داشتن و شامل نام‌های دامنه دیگه‌ای هم میشدن. جالبه که بیشتر این دامنه‌ها اصلا ثبت نشده بودن، که این نشون میده گواهی‌ها بدون بررسی صحیح کنترل دامنه صادر شدن. این کار نقض مستقیم قوانین انجمن CA/Browser و همچنین سیاست‌های خود شرکت «فاینا سی‌ای» هست.

لیست کامل دامنه‌هایی که در این گواهی‌های غیرمجاز پیدا شدن اینها بودن:

fina.hr
ssltest5
test.fina.hr
test.hr
test1.hr
test11.hr
test12.hr
test5.hr
test6
test6.hr
testssl.fina.hr
testssl.finatest.hr
testssl.hr
testssl1.finatest.hr
testssl2.finatest.hr

نکته جالب دیگه اینه که در بخش مشخصات صاحب گواهی (Subject)، اسم یک سازمان خیالی به اسم TEST D.D. نوشته شده بود. برای مثال، یکی از این گواهی‌ها این مشخصات رو داشت:

صاحب گواهی (Subject): C=HR, O=TEST D.D., L=ZAGREB, CN=testssl.finatest.hr
نام‌های جایگزین (Subject Alternative Name):
- DNS: testssl.finatest.hr
- DNS: testssl2.finatest.hr
- IP Address: 1.1.1.1

جدول زمانی اتفاقات: از اولین صدور تا باطل شدن

برای اینکه تصویر کامل‌تری از ماجرا داشته باشین، بیایید نگاهی به جدول زمانی این اتفاقات بندازیم (تمام زمان‌ها به وقت جهانی UTC هستن):

تاریخ و زمان (UTC)	شرح رویداد
2024-02-18 11:07:33	اولین گواهی صادر و در ساعت 11:40:00 همان روز باطل شد.
… (۱۱ صدور دیگر) …	از فوریه ۲۰۲۴ تا آگوست ۲۰۲۵، ۱۱ گواهی دیگر صادر و در زمان‌های مختلف باطل شدند.
2025-08-26 07:49:00	آخرین گواهی صادر شد و در تاریخ 2025-09-04 06:33:20 باطل شد.
2025-09-01 05:23:00	اولین گزارش عمومی در مورد صدور غیرمجاز در سایت Hacker News منتشر شد.
2025-09-02 04:50:00	گزارشی در پلتفرم HackerOne به کلادفلر ارسال شد، اما به اشتباه رسیدگی نشد.
2025-09-03 02:35:00	گزارش دومی در HackerOne ارسال شد که آن هم به اشتباه رسیدگی نشد.
2025-09-03 10:59:00	گزارشی در لیست ایمیل عمومی [email protected] ارسال شد که توجه تیم کلادفلر را جلب کرد.
2025-09-03 11:33:00	اولین پاسخ کلادفلر در لیست ایمیل مبنی بر شروع تحقیقات.
2025-09-03 12:08:00	حادثه به صورت رسمی اعلام شد.
2025-09-03 12:16:00	اطلاعیه صدور غیرمجاز به «فاینا سی‌ای»، «مخزن ریشه مایکروسافت» و «سرویس اعتماد اتحادیه اروپا» ارسال شد.
2025-09-03 12:23:00	کلادفلر لیست اولیه ۹ گواهی غیرمجاز را شناسایی کرد.
2025-09-03 12:24:00	تماس با «فاینا سی‌ای» برای اطلاع‌رسانی و درخواست ابطال گواهی‌ها.
2025-09-03 12:42:00	به عنوان یک اقدام پیشگیرانه، تحقیقات برای رد احتمال وقوع BGP hijack برای 1.1.1.1 آغاز شد.
2025-09-03 21:27:00	مایکروسافت اعلام کرد که با استفاده از مکانیزم ابطال سریع خود، جلوی استفاده بیشتر از گواهی‌های شناسایی شده را می‌گیرد.
2025-09-04 06:13:27	«فاینا سی‌ای» تمام گواهی‌های غیرمجاز را باطل کرد.
2025-09-04 12:44:00	کلادفلر پاسخی از «فاینا سی‌ای» دریافت کرد که توضیح می‌داد «هنگام صدور گواهی‌های تستی خطایی رخ داده» و قول دادند که جلوی تکرار چنین خطایی را خواهند گرفت.

اقدامات اصلاحی و قدم‌های بعدی کلادفلر

کلادفلر از ابتدا در اکوسیستم شفافیت گواهی سرمایه‌گذاری زیادی کرده. اون‌ها نه تنها لاگ‌های CT خودشون رو دارن، بلکه یک سیستم نظارتی هم دارن که به مشتریانشون در مورد صدور گواهی‌های مشکوک برای دامنه‌هاشون هشدار میده.

به همین دلیل، خیلی ناامیدکننده بود که اون‌ها نتونستن به درستی گواهی‌های مربوط به دامنه خودشون رو نظارت کنن. کلادفلر میگه که سه جا اشتباه کردن:

سیستم هشداردهی اون‌ها برای گواهی‌هایی که برای آدرس آی‌پی (مثل 1.1.1.1) صادر میشن، به درستی کار نمیکرد.
حتی اگه هشدارها رو دریافت میکردن، فیلترینگ مناسبی برای جدا کردن هشدارهای مهم از هشدارهای بی‌اهمیت نداشتن. چون تعداد دامنه‌ها و گواهی‌هایی که مدیریت میکنن خیلی زیاده، بررسی دستی همه اون‌ها ممکن نبوده.
به خاطر همین حجم بالای هشدارهای غیرمفید، سیستم هشداردهی رو برای همه دامنه‌هاشون فعال نکرده بودن.

کلادفلر داره هر سه این مشکلات رو برطرف میکنه. اون‌ها تمام گواهی‌های صادر شده برای دامنه‌ها و آی‌پی‌هاشون رو دوباره با استفاده از شفافیت گواهی بررسی کردن و تایید کردن که به جز گواهی‌های «فاینا سی‌ای»، مورد غیرمجاز دیگه‌ای وجود نداره.

با اینکه هیچ نشونه‌ای از سو استفاده از این گواهی‌ها پیدا نشده، کلادفلر این حادثه رو بسیار جدی گرفته و برنامه‌هایی برای جلوگیری از تکرار این مشکلات در آینده داره:

هشداردهی: سیستم‌های هشدار و اطلاع‌رسانی برای صدور گواهی‌های مربوط به دامنه‌ها و آی‌پی‌های کلادفلر، از جمله 1.1.1.1، بهبود پیدا میکنه.
شفافیت: کشف این گواهی‌ها به خاطر این بود که «فاینا سی‌ای» از شفافیت گواهی استفاده کرده بود. اما چون بیشتر کلاینت‌های DNS این موضوع رو اجباری نمیدونن، این کشف تا حدی شانسی بوده. کلادفلر در تلاشه تا شفافیت گواهی رو برای کلاینت‌های غیرمرورگری، به خصوص کلاینت‌های DNS که از TLS استفاده میکنن، هم الزامی کنه.
برنامه پاداش در برابر باگ: فرآیند رسیدگی به گزارش‌های امنیتی در کلادفلر باعث تاخیر در پاسخگویی شده بود. اون‌ها دارن این فرآیند رو بازبینی میکنن تا مطمئن بشن گزارش‌های مهم به سرعت به دست افراد درست میرسن.
نظارت: در طول این حادثه، تیم کلادفلر از ابزار crt.sh برای جستجو و بررسی گواهی‌ها استفاده کرد. اون‌ها قصد دارن یک رابط کاربری اختصاصی در پلتفرم «رادار» خودشون بسازن تا جستجوی گواهی‌ها، به خصوص گواهی‌های مبتنی بر آی‌پی، راحت‌تر بشه.

شما چه کاری می‌توانید انجام دهید؟

این اتفاق نشون میده که مدل فعلی اعتماد به مراکز صدور گواهی چقدر میتونه شکننده باشه. کافیه فقط یک مرکز صدور گواهی اشتباه کنه یا هک بشه تا امنیت همه به خطر بیفته.

برای مدیران IT: اگه شما مسئول مدیریت تعداد زیادی دستگاه هستید، باید بررسی کنین که آیا نیازی به ابطال دستی این گواهی‌های غیرمجاز روی سیستم‌هاتون هست یا نه. با اینکه گواهی‌ها الان باطل شدن، اما فرآیند ابطال در همه سیستم‌ها آنی و خودکار نیست.
برای مسئولان سیاست‌گذاری مخزن‌های ریشه: اگه شما در شرکتی کار میکنین که لیستی از CAهای معتبر رو مدیریت میکنه و «فاینا سی‌ای» هم در لیست شماست، باید فورا حضور این شرکت رو در لیستتون بازبینی کنین. همچنین باید الزام کنین که تمام CAهای موجود در لیست شما حتما در سیستم شفافیت گواهی شرکت کنن. بدون لاگ‌های CT، کشف مشکلاتی مثل این قبل از اینکه به کاربرها آسیب بزنن، تقریبا غیرممکنه.

کلادفلر تاکید میکنه که این اتفاق به این معنی نیست که باید استفاده از DoH یا DoT رو متوقف کنین. DNS معمولی روی UDP و TCP کاملا رمزنگاری نشده و هر درخواست و پاسخی در معرض خطر شنود و دستکاری قرار داره. اما امنیت کلاینت‌های DoH و DoT میتونه بهتر بشه اگه اون‌ها هم الزام کنن که گواهی سرور حتما باید در لاگ‌های شفافیت گواهی ثبت شده باشه.

این اولین باری بود که کلادفلر با صدور یک گواهی غیرمجاز برای سرویس DNS عمومی 1.1.1.1 مواجه شد. با اینکه شواهدی از قصد خرابکارانه وجود نداره، اما اون‌ها میدونن که ممکنه در آینده تلاش‌های خرابکارانه‌ای هم صورت بگیره. به همین دلیل، در تلاش هستن تا سرعت کشف و هشداردهی در مورد این نوع مشکلات رو افزایش بدن.

پرسش و پاسخ

سوال ۱: یعنی این اتفاق باعث شده بود اینترنت من در خطر باشه؟

جواب: به احتمال خیلی خیلی زیاد، نه. همونطور که گفتیم، برای اینکه یه هکر بتونه از این گواهی‌های تقلبی استفاده کنه، چند تا شرط باید همزمان برقرار میشد. اول اینکه سیستم‌عامل شما باید به شرکت «فاینا سی‌ای» اعتماد میکرد که اکثر سیستم‌عامل‌های معروف مثل اندروید و iOS این کار رو به طور پیش‌فرض نمیکنن. دوم اینکه هکر باید میتونست ترافیک اینترنت شما رو شنود کنه. کلادفلر هیچ مدرکی از سو استفاده گسترده پیدا نکرده، پس جای نگرانی برای کاربرای عادی وجود نداره.

سوال ۲: اگه این گواهی‌ها فقط برای تست بودن، پس مشکل چی بود؟ چرا اینقدر جدی گرفته شد؟

جواب: سوال خیلی خوبیه. مشکل اصلی این نبود که «تست» میکردن. مشکل این بود که برای تست، از یک آدرس آی‌پی عمومی و بسیار مهم (1.1.1.1) که مالکش نبودن، استفاده کردن. این مثل اینه که شما برای تست سیستم صدور کارت ملی، یه کارت ملی برای یه شخصیت معروف صادر کنین. این کار به شدت خطرناکه چون اون گواهی، حتی اگه تستی باشه، توسط کلیدهای اصلی و معتبر اون شرکت امضا شده و برای بعضی سیستم‌ها کاملا معتبر به نظر میرسه. قانون اینه که برای تست باید از دامنه‌ها و آی‌پی‌هایی استفاده بشه که تحت کنترل خود شرکت هستن.

سوال ۳: میشه یه بار دیگه این «شفافیت گواهی» یا CT رو به زبان ساده‌تر توضیح بدین؟

جواب: حتما. فکر کنین هر شناسنامه‌ای که در کشور صادر میشه، یه کپی ازش بلافاصله در یک دفتر ثبت عمومی که برای همه قابل مشاهده‌س، ثبت بشه. حالا شما میتونین هر روز این دفتر رو چک کنین و ببینین آیا شناسنامه‌ای به اسم شما بدون اینکه خبر داشته باشین صادر شده یا نه. «شفافیت گواهی» دقیقا همین کار رو برای گواهی‌های دیجیتال انجام میده. یک سیستم ثبت عمومی برای تمام گواهی‌هاست که به صاحبای دامنه‌ها اجازه میده هر صدور غیرمجازی رو خیلی سریع پیدا کنن. این سیستم بود که باعث شد این مشکل کشف بشه.

سوال ۴: چرا گواهی‌های سرور DNS باید حتما آدرس آی‌پی داشته باشن ولی گواهی سایت‌های عادی معمولا فقط اسم دامنه دارن؟

جواب: دلیلش یه جورایی مثل مشکل مرغ و تخم‌مرغه. وقتی شما میخواین به سایت google.com وصل بشین، مرورگر شما اول از DNS میپرسه که آی‌پی google.com چیه. بعد از اینکه آی‌پی رو گرفت، به اون آی‌پی وصل میشه و گواهی رو چک میکنه که ببینه آیا واقعا برای google.com صادر شده یا نه.
اما وقتی میخواین برای اولین بار به خود سرور DNS (مثلا 1.1.1.1) با پروتکل امن وصل بشین، شما هنوز هیچ DNSی ندارین که ازش بپرسین آی‌پی cloudflare-dns.com چیه! پس از اول باید با خود آدرس آی‌پی (1.1.1.1) ارتباط بگیرین. در این حالت، سرور باید یه گواهی به شما بده که ثابت کنه «من صاحب قانونی همین آدرس آی‌پی 1.1.1.1 هستم». به خاطر همین، آدرس آی‌پی باید مستقیما داخل گواهی نوشته شده باشه.

منابع

[1] Addressing the unauthorized issuance of multiple TLS certificates for 1.1.1.1

مهر 19, 1404

چرا DNS رو برای حریم خصوصی بیشتر باید تغییر دهیم؟
هر بار که یه آدرس سایت رو توی مرورگرت تایپ می‌کنی و اینتر رو می‌زنی، یه تیکه از اطلاعات شخصی تو داره یه جایی ثبت و ضبط می‌شه. این اتفاق معمولا وقتی میفته که داری از تنظیمات پیش‌فرض اینترنتت استفاده می‌کنی؛ یعنی همون تنظیماتی که شرکت سرویس‌دهنده اینترنت (یا همون ISP) یا اپراتور سیم‌کارتت از روز اول برات تنظیم کرده.

قضیه اینه که وقتی از اینترنت اونا استفاده می‌کنی، درخواست‌های تو برای باز کردن سایت‌ها به صورت یه متن ساده و رمزنگاری نشده فرستاده می‌شه. این درخواست‌ها ذخیره می‌شن و بعدا ممکنه به شرکت‌های تبلیغاتی یا هر کس دیگه‌ای که دنبال اینجور اطلاعاته فروخته بشن. پس اگه حریم خصوصی آنلاین برات مهمه، شاید وقتش رسیده باشه که دیگه از سرورهای DNS شرکت اینترنتت استفاده نکنی. لازم نیست حتما خودت یه سرور شخصی راه بندازی، فقط کافیه یه کم وقت بذاری و یه سرویس‌دهنده DNS دیگه پیدا کنی که از روش‌های رمزنگاری شده استفاده می‌کنه و بعد تنظیماتش رو روی همه دستگاه‌هات، از کامپیوتر و لپ‌تاپ گرفته تا گوشی موبایل، اعمال کنی. هر ذره از اطلاعاتی که بتونی از دست ISP و بقیه شرکت‌هایی که تشنه اطلاعات هستن پس بگیری، ارزشش رو داره.

داستان سرور DNS شرکت اینترنت شما چیه؟

راستش رو بخوای چند تا مشکل اساسی اینجا وجود داره و قضیه اینه که این شرکت‌ها همیشه هم دوست شما نیستن. دلایل زیادی هست که آدم نخواد درخواست‌های DNS اش توسط شرکت اینترنتش مدیریت بشه، اما تقریبا همه این دلایل به یه کلمه ختم می‌شه: حریم خصوصی.

شرکت‌های ارائه‌دهنده اینترنت معمولا تو این زمینه خیلی خوب عمل نمی‌کنن. مثلا ممکنه DNSSEC رو فعال نکرده باشن. DNSSEC یه جور مکانیزم امنیتیه که مطمئن می‌شه جوابی که از سرور DNS می‌گیری واقعیه و کسی تو راه دستکاریش نکرده. یه مشکل دیگه اینه که این شرکت‌ها عادت‌های وب‌گردی شما رو جمع می‌کنن، توی بسته‌بندی‌های شیک می‌ذارن و به عنوان «داده‌های ناشناس» به شرکت‌های تبلیغاتی می‌فروشن. توی دنیایی که همه جور داده‌ای برای فروش گذاشته شده، فرستادن درخواست‌های DNS بدون رمزنگاری، یه راه دیگه برای ردیابی شما و عادت‌های آنلاین شماست.

یه کار دیگه که ISP ها می‌کنن اینه که بعضی از سایت‌ها یا منابعی رو که به نظرشون ناامن میاد، در سطح شبکه مسدود می‌کنن. این کار دسترسی شما به بخش‌هایی از اینترنت آزاد رو قطع می‌کنه. البته شاید این کار به نظر خوب بیاد، مثلا وقتی که دارن منابع بدافزار رو مسدود می‌کنن. اما یکم که فکر کنی می‌بینی که ممکنه از همین قابلیت برای مسدود کردن محتوای بزرگسالان، ابزارهای مربوط به نگهداری بازی‌های ویدیویی، یا هر چیز دیگه‌ای که خود شرکت تصمیم به مسدود کردنش بگیره (یا از طرف دولت دستور بگیره که مسدود کنه) استفاده بشه.

وقتی شما سراغ یه سرویس‌دهنده DNS دیگه می‌ری، در واقع این مسدودسازی‌های سطح ISP رو دور می‌زنی. البته هیچ تضمینی نیست که سرویس‌دهنده جدید خودش یه سری چیزها رو مسدود نکنه، اما معمولا این شرکت‌ها خیلی شفاف‌تر عمل می‌کنن و بهت می‌گن که چی رو و چرا دارن مسدود می‌کنن و بیشتر این کارها برای امنیت و منفعت خود کاربر انجام می‌شه.

آیا DNS رمزنگاری شده واقعا جلوی ISP رو می‌گیره؟

اینجا یه بحث خیلی مهم پیش میاد. بعضی‌ها می‌گن استفاده از DNS رمزنگاری شده مثل DNS over HTTPS (DoH) باعث می‌شه ISP نتونه ببینه شما دارید از چه سایت‌هایی بازدید می‌کنید. اما واقعیت یکم پیچیده‌تره. فرض کن شما یه درخواست DNS امن و رمزنگاری شده فرستادی و آدرس IP سایت مورد نظرت رو پیدا کردی. مرحله بعد چیه؟ باید یه بسته اطلاعاتی (packet) به اون آدرس IP بفرستی تا سایت برات باز بشه. این بسته از کجا رد می‌شه؟ دقیقا از طریق همون ISP شما.

از اونجایی که ISP شما برای مسیریابی این بسته باید آدرس IP مقصد رو بدونه، خیلی راحت می‌تونه یه جستجوی معکوس (reverse lookup) انجام بده و بفهمه اون IP به چه سایتی تعلق داره. حتی ممکنه از داده‌های کش شده خودش استفاده کنه تا ببینه قبلا چه دامنه‌ای به این IP متصل بوده.

SNI، پاشنه آشیل حریم خصوصی

یه مشکل دیگه هم هست به اسم SNI که مخفف Server Name Indication هست. وقتی شما می‌خوای به یه سایت با HTTPS وصل بشی، مرورگرت اسم اون سایت رو به صورت رمزنگاری نشده توی یه پیامی به اسم ClientHello می‌فرسته. چرا؟ چون خیلی وقت‌ها روی یک آدرس IP چندین سایت مختلف میزبانی می‌شه و سرور باید بدونه شما کدوم سایت رو می‌خوای تا بتونه گواهینامه امنیتی (SSL) درست رو بهت نشون بده. پس حتی با وجود HTTPS و DNS رمزنگاری شده، ISP شما می‌تونه با نگاه کردن به SNI بفهمه شما دارید به کدوم سایت سر می‌زنید.

البته فناوری‌های جدیدی مثل ECH (Encrypted Client Hello) دارن توسعه پیدا می‌کنن تا این مشکل رو حل کنن. مثلا موزیلا و کلادفلر روی این موضوع کار کردن و مثل اینکه ECH به صورت پیش‌فرض توی فایرفاکس فعاله. اما تا وقتی که همه سایت‌ها ازش پشتیبانی نکنن، SNI همچنان یه راه برای ردیابی باقی می‌مونه.

پس نتیجه چیه؟ استفاده از یه سرویس DNS سوم شخص، فقط باعث می‌شه یه شرکت دیگه هم به لیست کسایی که می‌دونن شما چه سایت‌هایی رو باز می‌کنی اضافه بشه. از نظر بعضی‌ها، اگه به حریم خصوصی اهمیت می‌دی، بهتره از همون DNS خود ISP استفاده کنی، چون اون‌ها به هر حال به خاطر دیدن IP ها و SNI از فعالیتت باخبرن. اضافه کردن یه شرکت دیگه فقط تعداد جاسوس‌ها رو بیشتر می‌کنه.

چرا بعضی‌ها بازم DNS رو عوض می‌کنن؟

با همه این حرف‌ها، دلایل خوبی برای تغییر DNS وجود داره.
- سرعت و پایداری بهتر: سرورهای DNS شرکت‌های اینترنتی گاهی اوقات کند و غیرقابل اعتماد هستن. خیلی از کاربرها تجربه کردن که با تغییر DNS به سرویس‌های عمومی مثل گوگل یا کلادفلر، سرعت وب‌گردیشون به شکل محسوسی بیشتر شده. این موضوع البته قطعی نیست و به فاصله جغرافیایی شما تا سرورهای اون شرکت و وضعیت سرورهای ISP خودتون بستگی داره.
- دور زدن دستکاری‌های ISP: بعضی از ISP ها نتایج DNS رو دستکاری می‌کنن. مثلا اگه یه آدرس اشتباه تایپ کنی، به جای اینکه با خطای «سایت پیدا نشد» (NXDOMAIN) مواجه بشی، به یه صفحه جستجو یا تبلیغاتی منتقل می‌شی. این کار برای خیلی‌ها آزاردهنده‌ است.
- امنیت بیشتر و مسدود کردن سایت‌های مخرب: بعضی از سرویس‌های DNS عمومی، به طور خودکار سایت‌های فیشینگ و منابع بدافزار شناخته شده رو مسدود می‌کنن. این یعنی یه لایه امنیتی اضافه بدون اینکه لازم باشه کار خاصی انجام بدی.
- کنترل والدین و فیلتر محتوا: سرویس‌هایی مثل OpenDNS به شما اجازه می‌دن که تنظیمات فیلترینگ محتوا رو فعال کنی. می‌تونی دسته‌بندی‌های خاصی از سایت‌ها (مثلا محتوای نامناسب برای کودکان) رو برای کل شبکه خونگی‌ات مسدود کنی و این تنظیمات روی همه دستگاه‌هایی که به وای‌فای وصل می‌شن اعمال می‌شه.
- دسترسی به محتوای مسدود شده جغرافیایی: بعضی از سرویس‌های DNS خاص، مثل یک VPN عمل می‌کنن و با یه سری ترفندهای شبکه‌ای کاری می‌کنن که انگار شما از یه کشور دیگه به اینترنت وصل شدی. اینجوری می‌شه به سرویس‌هایی مثل Netflix، Hulu یا BBC iPlayer که برای منطقه شما در دسترس نیستن، دسترسی پیدا کرد.
گزینه‌های جایگزین: سرویس‌های DNS عمومی

خوشبختانه لازم نیست برای استفاده از یه DNS امن‌تر، خودت سرور راه بندازی. کلی سرویس‌دهنده DNS خصوصی و عمومی در سراسر دنیا وجود دارن که به راحتی می‌تونی ازشون استفاده کنی. فقط کافیه آدرس سرور DNS رو توی تنظیمات مودم، کامپیوتر یا گوشی‌هات عوض کنی. این کار امنیت دستگاه‌هات رو بیشتر می‌کنه، جلوی مسدودسازی‌های ISP رو می‌گیره و به حفظ حریم خصوصی‌ات کمک می‌کنه.

یادت باشه که DNS رمزنگاری شده، وب‌گردی شما رو کاملا خصوصی نمی‌کنه. همونطور که گفتیم ISP هنوز IP ها رو می‌بینه. برای خصوصی نگه داشتن کامل ترافیک، به یه VPN یا روش‌های رمزنگاری شده دیگه نیاز داری.

وقتی می‌خوای یه سرویس‌دهنده DNS انتخاب کنی، حواست به این چند تا ویژگی باشه:
- پشتیبانی از DNSSEC: برای اطمینان از صحت پاسخ‌ها.
- پشتیبانی از QNAME Minimization: برای ارسال کمترین اطلاعات ممکن در هر درخواست.
- غیرفعال کردن یا ناشناس کردن EDNS Client Subnet (ECS): این ویژگی می‌تونه بخشی از آدرس IP شما رو به سرورها بفرسته که برای حریم خصوصی خوب نیست.
- سیاست عدم ثبت لاگ (No-Logging Policy): یعنی شرکت قول می‌ده که اطلاعات شخصی شما رو روی دیسک ذخیره نکنه.
- پشتیبانی از Anycast یا Geo-Steering: برای اتصال شما به نزدیک‌ترین سرور و داشتن سرعت بهتر.
- پشتیبانی از پروتکل‌های رمزنگاری شده: مثل DNS-over-HTTPS (DoH)، DNS-over-TLS (DoT)، یا DNS-over-Quic.
در ادامه چند تا از معروف‌ترین سرویس‌دهنده‌ها رو بدون ترتیب خاصی معرفی می‌کنیم. هر کدوم از این‌ها از DNS پیش‌فرض ISP شما امن‌تر و خصوصی‌تر هستن:
- Cloudflare (1.1.1.1): یکی از بزرگترین بازیگران اینترنت که به مسدود نکردن سایت‌ها (مگر اینکه تهدید امنیتی باشن) معروفه.
- Quad9 (9.9.9.9): این سرویس هم DNS رمزنگاری شده ارائه می‌ده و فقط سایت‌های حاوی بدافزار یا تهدیدات دیگه رو مسدود می‌کنه.
- Control D (76.76.2.2): هیچ لاگی ثبت نمی‌کنه، از روش‌های رمزنگاری مختلف پشتیبانی می‌کنه و روی دستگاه‌های اپل هم به خوبی کار می‌کنه.
- AdGuard Public DNS: درخواست‌ها رو ناشناس می‌کنه، یه سری فیلترینگ برای تبلیغات داره و برای دستگاه‌های اپل پروفایل مخصوص ارائه می‌ده.
برای حرفه‌ای‌ها: راه‌اندازی سرور DNS شخصی

اگه دوست داری کنترل بیشتری روی شبکه‌ات داشته باشی، می‌تونی سرور DNS خودت رو راه بندازی. این روزها این کار به شکل فریبنده‌ای ساده شده. گزینه‌های نرم‌افزاری مختلفی مثل Unbound، AdGuard Home، PowerDNS یا Technitium وجود داره. با این کار، تو همه مزایای یه سرویس DNS عمومی مثل مسدود کردن تبلیغات رو به دست میاری، به علاوه اینکه می‌تونی تنظیمات خیلی پیشرفته‌تری رو اعمال کنی.

مثلا می‌تونی دامنه‌های محلی برای شبکه خانگی‌ات تعریف کنی (که برای کسایی که آزمایشگاه خانگی یا همون Home Lab دارن خیلی کاربردیه) یا کاری کنی که دستگاه‌های مختلف توی شبکه‌ات نتایج DNS متفاوتی بگیرن (که بهش می‌گن Split Horizon DNS). می‌تونی از ابزاری مثل dnscrypt-proxy هم استفاده کنی تا درخواست‌های DNS ات برای ISP کاملا ناخوانا بشه. در نهایت با مسدود کردن پورت 53 (پورت استاندارد DNS)، می‌تونی همه دستگاه‌های توی شبکه رو مجبور کنی که فقط از سرور DNS محلی و رمزنگاری شده تو استفاده کنن.

چطور می‌شه DNS پیش‌فرض ISP رو نادیده گرفت؟

بعضی از مودم‌ها و روترها تنظیمات مشخصی برای این کار دارن. مثلا در روترهایی که از سیستم‌عامل KeeneticOS نسخه 3.1 به بعد استفاده می‌کنن، یه گزینه برای نادیده گرفتن DNS های دریافتی از ISP وجود داره.

بذار با یه مثال توضیح بدم. فرض کن توی صفحه تنظیمات روتر، در بخش سرورهای DNS، هم آدرس DNS دریافتی از ISP (مثلا 192.168.100.1) رو می‌بینی و هم آدرس‌هایی که خودت دستی وارد کردی (مثلا 8.8.8.8 و 8.8.4.4 که متعلق به گوگل هستن). حالا اگه بری توی تنظیمات اتصال اینترنتت و گزینه «Ignore DNSv4 from ISP» رو فعال کنی، روتر دیگه از اون آدرس 192.168.100.1 استفاده نمی‌کنه و فقط به آدرس‌هایی که تو دادی تکیه می‌کنه.

یه نکته خیلی مهم: بعضی از ISP ها تنظیمات شبکه خاصی دارن. غیرفعال کردن DNS اون‌ها ممکنه باعث قطع شدن اینترنتت بشه، مخصوصا اگه از اتصال‌های نوع PPPoE، PPTP یا L2TP استفاده می‌کنی. دلیلش اینه که گاهی اوقات آدرس سرور احراز هویت به صورت یه نام دامنه (مثلا l2tp.aa.net.uk) توی تنظیماتت ذخیره شده. اگه تو DNS خود ISP رو غیرفعال کنی، روترت دیگه نمی‌تونه این آدرس رو به IP تبدیل کنه و در نتیجه اتصال برقرار نمی‌شه. پس قبل از این کار حتما تنظیماتت رو چک کن.

یه نکته دیگه هم اینه که اگه روی روترت از فیلترهای اینترنتی مثل SafeDNS یا AdGuard DNS استفاده کنی، یا اگه DNS over TLS/HTTPS رو تنظیم کرده باشی، همه درخواست‌های DNS به هر حال به اون سرویس‌ها فرستاده می‌شن و DNS های ISP و حتی DNS هایی که دستی وارد کردی نادیده گرفته می‌شن.

پرسش و پاسخ‌های رایج

سوال ۱: من هر چی DNS کامپیوترم (مک) رو روی 1.1.1.1 و 8.8.8.8 تنظیم می‌کنم، شرکت اینترنتم دوباره برش می‌گردونه به DNS خودش. چطوری این کار ممکنه و چطور جلوش رو بگیرم؟

جواب: به احتمال خیلی زیاد، این کار رو ISP شما انجام نمی‌ده. شرکت اینترنت نمی‌تونه مستقیم تنظیمات کامپیوتر شما رو تغییر بده. چیزی که معمولا اتفاق میفته اینه که تنظیمات DNS برای هر شبکه وای‌فای به صورت جداگانه ذخیره می‌شه. وقتی شما از یه شبکه به شبکه دیگه وصل می‌شی (مثلا از خونه می‌ری کافه)، ممکنه تنظیمات DNS به حالت خودکار برگرده. بهترین راه برای جلوگیری از این مشکل اینه که تنظیمات DNS رو به جای کامپیوتر، مستقیما روی مودم یا روترتون انجام بدید. اینجوری این تنظیمات برای همه دستگاه‌هایی که به اون شبکه وصل می‌شن اعمال می‌شه و دیگه تغییر نمی‌کنه.

سوال ۲: پس اگه من از DNS رمزنگاری شده مثل DoH استفاده کنم، وب‌گردی من کاملا از چشم ISP مخفی می‌مونه؟

جواب: نه، کاملا مخفی نمی‌مونه. استفاده از DNS رمزنگاری شده فقط خود درخواست پیدا کردن آدرس سایت رو از دید ISP مخفی می‌کنه. یعنی ISP نمی‌فهمه شما دنبال آدرس چه سایتی بودی. اما به محض اینکه آدرس IP سایت رو گرفتی و خواستی بهش وصل بشی، ISP شما می‌تونه اون آدرس IP مقصد رو ببینه. علاوه بر این، به خاطر چیزی به اسم SNI، معمولا اسم سایتی که می‌خوای باز کنی به صورت رمزنگاری نشده فرستاده می‌شه. پس ISP هنوز راه‌های زیادی برای فهمیدن اینکه شما کجا می‌ری داره. برای حریم خصوصی کامل‌تر، باید از VPN استفاده کنی.

سوال ۳: آیا استفاده از یه DNS سوم شخص همیشه باعث افزایش سرعت می‌شه؟

جواب: لزوما نه. این یه «شاید» بزرگه. سرعت به دو تا عامل اصلی بستگی داره: ۱) سرورهای DNS شرکت جایگزین از نظر جغرافیایی چقدر به شما نزدیک هستن و ۲) سرورهای DNS پیش‌فرض ISP شما چقدر کند یا شلوغ هستن. برای خیلی از افراد، استفاده از سرویس‌هایی مثل کلادفلر یا گوگل باعث سریع‌تر شدن وب‌گردی می‌شه، اما ممکنه برای شما هیچ تفاوتی نکنه یا حتی کندتر هم بشه. تنها راه فهمیدنش، تست کردنه.

سوال ۴: اگه من از VPN استفاده کنم، بازم باید نگران DNS باشم؟

جواب: معمولا نه. یه سرویس VPN خوب، نه تنها ترافیک اینترنت شما رو رمزنگاری می‌کنه، بلکه درخواست‌های DNS شما رو هم از طریق تونل امن خودش می‌فرسته و از سرورهای DNS خودش استفاده می‌کنه. در این حالت، ISP شما حتی درخواست DNS رو هم نمی‌بینه. پس اگه از VPN استفاده می‌کنی، منطقی‌ترین کار اینه که به همون VPN اعتماد کنی و از DNS اون استفاده کنی و دیگه پای یه شرکت سوم رو وسط نکشی.
منابع
[2] how to stop my ISP from changing my computer DNS setting – Super User

[4] how to stop my ISP from changing my computer DNS setting – Super User

[6] Secrets ISPs Don’t Want You to Know About DNS Servers

[1] Does DNS over HTTPS actually stop ISPs from knowing the sites you are visiting? : r/privacy

[3] Please stop using your ISP’s DNS

[5] How to ignore your ISP’s DNS

[7] If you care about privacy, use your ISPs DNS servers. Your ISP can see exactly w… | Hacker News
مهر 19, 1404
مطالعه جدید از Open Technology Fund؛ بیشتر شرکت‌های VPN صوری هستند
شاید فکر کنی وقتی دکمه اتصال VPN رو میزنی، دیگه توی دنیای اینترنت نامرئی شدی و جات امنه. خیلی‌ها همین فکر رو میکنن، مخصوصا کسایی که توی کشورهایی زندگی میکنن که دولت‌ها روی اینترنت کنترل شدیدی دارن. اما یه مطالعه جدید نشون میده که این حس امنیت، گاهی وقتا میتونه یه خیال باطل باشه و استفاده از بعضی VPN‌ها نه تنها امن نیست، بلکه میتونه خطرهای بزرگی هم داشته باشه.

وقتی توی یه کشور با حکومت autoritarian زندگی میکنی، دسترسی به اطلاعات آزاد و بدون سانسور کار راحتی نیست. رسانه‌های مخالف معمولا فیلتر میشن و خیلی از سایت‌های خارجی هم از دسترس خارج میشن. اینجاست که VPN‌ها یا همون شبکه‌های خصوصی مجازی، برای صدها میلیون نفر تبدیل به یه راه حل میشن. کار VPN اینه که آدرس اینترنتی یا همون IP شما رو مخفی میکنه و اطلاعاتتون رو رمزنگاری میکنه. اینطوری میتونی به سایت‌های فیلتر شده سر بزنی و از حق خودت برای دسترسی به اطلاعات آزاد استفاده کنی.

به خاطر همین کاربرد، استفاده از VPN توی کشورهایی مثل چین، روسیه، بلاروس، ایران و کره شمالی یا غیرقانونیه یا به شدت محدود شده. کسایی که توی این کشورها از VPN استفاده میکنن، این کار رو مخفیانه انجام میدن و انتظار دارن شرکتی که ازش VPN خریدن هم هوای اونها رو داشته باشه و اطلاعاتشون رو پیش خودش نگه داره.

اما یه تحقیق جامع که توسط «صندوق فناوری باز» یا Open Technology Fund (یه سازمان غیرانتفاعی مستقل برای ترویج آزادی اینترنت در جهان) انجام شده، یه سری مشکلات نگران‌کننده رو توی بعضی از شرکت‌های ارائه دهنده VPN پیدا کرده. این مشکلات در بدترین حالت میتونن حتی باعث زندانی شدن کاربرها بشن.

پشت پرده شرکت‌های VPN چه خبره؟

اولین مشکل، ساختار مالکیت پیچیده و غیرشفاف این شرکت‌هاست. توی این گزارش تحقیقی اومده: «خیلی از سرویس‌های VPN، مالکیت اصلی خودشون رو پشت یه سری ساختارهای شرکتی پیچیده قایم میکنن». یعنی چی؟ یعنی در عمل مشخص نیست که واقعا کی داره این شرکت‌ها رو کنترل میکنه.

برای مثال، شرکت‌هایی مثل Innovative Connecting PTE، Autumn Breeze PTE و Lemon Clove PTE ادعا میکنن که توی سنگاپور ثبت شدن. اما محقق‌ها فهمیدن که در واقعیت، این شرکت‌ها توسط افرادی از داخل خود چین کنترل میشن و به همین خاطر، تحت قوانین کنترل اطلاعات چین قرار میگیرن. گزارش میگه: «خیلی از VPN‌ها میان شرکت‌های صوری توی کشورهایی ثبت میکنن که قوانین سفت و سختی برای نگهداری اطلاعات ندارن».

مشکل بعدی اینه که خیلی از سرویس‌های مختلف VPN، در واقع توسط یه شرکت واحد ساخته شدن. گزارش هشدار میده: «یه تعداد کمی از شرکت‌ها، با استفاده از راهکارهای «white-label»، بخش بزرگی از بازار VPN رو کنترل میکنن». راهکار White-label یعنی یه محصول توسط یه شرکت سوم ساخته میشه و بعد یه شرکت دیگه اون رو با برند و اسم خودش میفروشه.

این مطالعه تونسته هشت تا شرکت ارائه دهنده VPN رو شناسایی کنه که ۱۶ تا اپلیکیشن مختلف VPN دارن و در مجموع بیشتر از ۷۰۰ میلیون بار از گوگل پلی استور دانلود شدن. این شرکت‌ها ارتباطشون با همدیگه رو پنهان میکنن و همین موضوع به شدت مشکل‌سازه. نویسنده‌های این مطالعه میگن: «اپلیکیشن‌هایی که این شرکت‌ها پخش میکنن، مشکلات حریم خصوصی و امنیتی دارن که کاربرها رو در معرض خطر جاسوسی و نظارت قرار میده».

میلیون‌ها کاربر در خطر

اپلیکیشن‌هایی مثل Turbo VPN، VPN Proxy Master، XY VPN و 3X VPN – Smooth Browsing هر کدوم صد میلیون بار از گوگل پلی دانلود شدن و توی این گزارش به عنوان اپ‌های «به شدت نگران‌کننده» معرفی شدن. این یعنی صدها میلیون کاربر اینترنت فکر میکنن در سطح امنیتی بالایی قرار دارن، در حالی که همچین امنیتی در واقع وجود نداره.

این گزارش توضیح میده: «هر دو گروه از این شرکت‌ها از پروتکل تونل‌زنی Shadowsocks برای ساختن تونل VPN استفاده میکنن و ادعا میکنن که اتصال کاربرهاشون امنه». اما نکته اینجاست که پروتکل شادوساکس برای محرمانه نگه داشتن اطلاعات طراحی نشده.

علاوه بر این، طبق گزارش «چه کسی VPN شما را مالکیت، مدیریت و توسعه میدهد»، هر دو گروه از این شرکت‌ها از پروتکل شادوساکس با پسوردهای از پیش نوشته شده (hard-coded) که توی خود اپ ذخیره شده استفاده میکنن. این یه ضعف امنیتی خیلی جدیه. هکرها میتونن این پسوردها رو بخونن و در نتیجه تمام ارتباطات کاربرها رو رمزگشایی کنن و بخونن.

خیلی از این شرکت‌ها سرورهای خودشون رو از مراکز داده اجاره میکنن، بدون اینکه کنترل کاملی روی سخت‌افزار اون سرورها داشته باشن. بعضی از اپ‌های VPN هم مخفیانه اطلاعات مکانی کاربرها رو جمع میکنن، حتی با اینکه توی سیاست‌های حریم خصوصی‌شون نوشتن که این کار رو نمیکنن.

کدوم اپ‌های VPN مشکل دارن؟

این مطالعه هشدار میده که VPN‌ها در بهترین حالت میتونن یه حس امنیت دروغین به کاربر بدن و در بدترین حالت، حریم خصوصی و امنیت کاربر رو به طور کامل به خطر بندازن. این گزارش به طور مشخص به شرکت‌های Innovative Connecting، Autumn Breeze، Lemon Clove، Matrix Mobile، ForeRaya Technologies، Wildlook Tech، Hong Kong Silence Technology و Yolo Mobile Technology Limited اشاره میکنه و میگه: «هر کاربری که از اپلیکیشن‌های این شرکت‌ها استفاده میکنه، خودش رو در معرض خطر بزرگی قرار میده، چون این اپلیکیشن‌ها مشکلات جدی حریم خصوصی و امنیتی دارن».

در عوض، نویسنده‌های گزارش پیشنهاد میکنن که از VPN‌های پولی استفاده بشه که به طور کلی قابل اعتمادتر و امن‌تر هستن. برای مثال، توی VPN‌هایی مثل Lantern، Psiphon، ProtonVPN یا Mullvad هیچ مشکل جدی امنیتی یا حریم خصوصی پیدا نشده.

فاجعه‌ای برای امنیت کاربر

بنجامین میکسون-باکا، یکی از نویسنده‌های این مطالعه، میگه: «این وضعیت برای حریم خصوصی و امنیت کاربرها فاجعه‌باره. حتی بدون در نظر گرفتن کشور محل زندگی کاربر، ضعف‌هایی که ما پیدا کردیم نشون میده این VPN‌ها هیچ نوع حریم خصوصی یا امنیتی رو فراهم نمیکنن، که این دقیقا برخلاف ادعاهاییه که این شرکت‌ها توی وب‌سایت‌هاشون میکنن».

اون هشدار میده: «کاربرها یه حس امنیت دروغین دارن، چون یه هکر دولتی میتونه تمام کارهایی که کاربرهای این محصولات انجام میدن رو ببینه». میکسون-باکا همچنین اشاره میکنه که این «یه نقض جدی اعتماد کاربره»، مخصوصا با توجه به اینکه بعضی از این شرکت‌ها چقدر تلاش کردن تا هویت واقعی خودشون رو پنهان کنن و برخلاف ادعاهاشون، اطلاعات جغرافیایی کاربرها رو جمع‌آوری کردن.

درخواست از مدیران اپ استورها

میکسون-باکا میگه: «کاربرها باید به شرکت‌های VPN اولویت بدن که درباره مالکیت، زیرساخت و حوزه قضایی خودشون شفافیت کامل دارن». راهکارهای متن‌باز (Open-source) و حسابرسی‌های مستقل، شاخص‌های کلیدی کیفیت هستن.

نویسنده‌های این گزارش همچنین به شدت به مدیران اپ استورها مثل گوگل پلی توصیه میکنن که توی فرآیند انتخاب و تایید اپلیکیشن‌ها، توجه بیشتری به نقص‌های امنیتی داشته باشن. در غیر این صورت، آیکون VPN که توی گوگل پلی در دسترسه، به کاربرها حس امنیت اشتباهی میده.

آخرین راه حل: مرورگر Tor

برای میکسون-باکا، یه تضاد اساسی در مورد راهکارهای VPN همچنان حل نشده باقی مونده. اون میگه: «حریم خصوصی و امنیت، یعنی همون چیزی که مردم از این محصولات انتظار دارن، مستقیما با تبلیغات و پول درآوردن در تضاده. چیزی که ما و دیگران کشف کردیم اینه که وقتی حریم خصوصی رو با تبلیغات برای پول درآوردن قاطی میکنی، آخر و عاقبت خوبی نداره».

به نظر اون، یه راهکار VPN که با بودجه عمومی ساخته بشه، مثل پیام‌رسان سیگنال، میتونه عالی باشه، اما این هم محدودیت‌های اساسی حفاظت از داده و امنیت رو حل نمیکنه. در نهایت، اون نتیجه میگیره که هر کسی واقعا میخواد خیالش راحت باشه، باید از مرورگر Tor استفاده کنه.

«Tor هم مثل هر چیز دیگه‌ای محدودیت‌های خودشو داره، اما اگه حریم خصوصی اولویت اصلی شماست، Tor پادشاه این میدونه».

گزارش شفافیت VPN سال ۲۰۲۵: چه کسی صاحب VPN شماست؟

شبکه‌های خصوصی مجازی یا VPNها، یه زیرساخت امنیتی و حریم خصوصی حیاتی هستن که مردم در سراسر دنیا برای دور زدن فیلترینگ جغرافیایی، محافظت از اتصالشون روی وای‌فای عمومی و پنهان کردن اطلاعاتشون از دست شرکت‌های ارائه دهنده اینترنت (ISP) استفاده میکنن. محبوبیت VPN‌ها به شدت زیاد شده، مخصوصا توی کشورهایی با دولت‌های سرکوبگر که دسترسی به وب‌سایت‌ها و اپلیکیشن‌ها رو مسدود میکنن.

شرکت‌های تجاری VPN با درجات مختلفی از شفافیت کار میکنن و کاربرها باید تصمیم بگیرن که موقع انتخاب شرکت، شفافیت براشون مهمتره یا ناشناس بودن، چون هر کدوم مزایا و معایب خودشون رو دارن.
- مزیت یه شرکت شفاف: کاربر میدونه کی میتونه ارتباطاتش رو ببینه.
- عیب یه شرکت شفاف: این شرکت‌ها به راحتی توسط مقامات شناسایی میشن و میتونن احضاریه بگیرن یا هدف حمله هکرها قرار بگیرن که این میتونه کاربر رو به خطر بندازه.
- مزیت یه شرکت ناشناس: به راحتی نمیشه هدف هکرها یا احضاریه‌های قانونی قرارش داد که این خودش یه سطح از محافظت برای کاربره.
- عیب یه شرکت ناشناس: کاربر نمیدونه کی داره ارتباطاتش رو میبینه که این میتونه خطر جاسوسی یا سوءاستفاده رو بیشتر کنه.
اطلاعات کلیدی در مورد شرکت‌های VPN که به کاربرها کمک میکنه تصمیم درستی بگیرن، معمولا یا در دسترس نیست یا پیدا کردنش سخته. برای پر کردن این شکاف، این پروژه شفافیت VPN با همکاری دکتر جفری ناکل و دکتر جدیدایا آر. کراندال، با استفاده از روش‌های جمع‌آوری و تحلیل اطلاعات منبع‌باز (OSINT) انجام شده تا مشخص بشه شرکت‌های مختلف VPN چقدر شفاف یا ناشناس عمل میکنن. بعد از اون با مهندسی معکوس ایستا و پویا، شیوه‌های امنیتی و حریم خصوصی اپلیکیشن‌های VPN اونها بررسی شده.

این گزارش یه امتیاز چندعاملی شفافیت در مقابل ناشناس بودن رو برای ۳۲ اپلیکیشن VPN با مجموع نزدیک به یک میلیارد دانلود ارائه میده که توسط ۲۱ شرکت «به ظاهر مجزا» منتشر شدن. این سیستم امتیازدهی شبیه سیستم امتیازدهی CVSS برای آسیب‌پذیری‌های نرم‌افزاریه. نتایج این گزارش برای کمک به کاربرهاست تا موقع انتخاب VPN تصمیم آگاهانه‌تری بگیرن.

از بین ۳۲ اپلیکیشن و ۲۱ شرکت، دو خوشه از شرکت‌های VPN (یکی شامل سه شرکت و دیگری شامل پنج شرکت) شناسایی شدن که به نظر میرسه درون خوشه‌های خودشون به هم مرتبط هستن. اونها از تکنیک‌های پنهان‌کاری استفاده میکنن تا مشخص نشه واقعا کی صاحب و گرداننده این سرویس‌هاست. اپلیکیشن‌های این شرکت‌ها هم مشکلات امنیتی و حریم خصوصی دارن که کاربرها رو در معرض خطر جاسوسی قرار میده.

این هشت شرکت در مجموع ۱۶ اپلیکیشن VPN رو در گوگل پلی استور منتشر کردن که مجموعا بیش از ۷۰۰ میلیون دانلود دارن. هیچ‌کدوم از این خوشه‌ها اعلام نمیکنن که با هم در ارتباط هستن یا با هم کار میکنن. هر دو گروه از پروتکل تونل‌زنی Shadowsocks استفاده میکنن (که برای محرمانگی طراحی نشده) و ادعا میکنن اتصال کاربرهاشون امنه. موضوع نگران‌کننده اینه که هر دو گروه، اپلیکیشن‌هاشون رو با پسورد hard-coded که توی خود اپ جاسازی شده، منتشر میکنن. از اونجایی که شادوساکس از رمزنگاری متقارن استفاده میکنه، این یعنی یه هکر شبکه‌ای میتونه تمام ارتباطات بین کلاینت VPN و سرور VPN رو رمزگشایی کنه و ترافیک بیش از ۷۰۰ میلیون کاربر رو در معرض خطر قرار بده.
لیست شرکت‌ها و اپ‌های VPN به شدت نگران‌کننده از نظر شفافیت و امنیت
- شرکت INNOVATIVE CONNECTING LIMITED:
  
  Turbo VPN (۱۰۰ میلیون دانلود)
  
  Turbo VPN Lite (۵۰ میلیون دانلود)
  
  VPN Monster (۱۰ میلیون دانلود)
- شرکت LEMON CLOVE PTE. LIMITED:
  
  VPN Proxy Master (۱۰۰ میلیون دانلود)
  
  VPN Proxy Master – Lite (۱۰ میلیون دانلود)
- شرکت AUTUMN BREEZE PTE. LIMITED:
  
  Snap VPN (۵۰ میلیون دانلود)
  
  Robot VPN (۱۰ میلیون دانلود)
  
  SuperNet VPN (۱ میلیون دانلود)
- شرکت MATRIX MOBILE PTE. LTD.:
  
  XY VPN (۱۰۰ میلیون دانلود)
  
  Global VPN (۱۰ میلیون دانلود)
- شرکت ForeRaya Technologies PTE LTD:
  
  Super Z VPN (۱۰ میلیون دانلود)
- شرکت Hong Kong Silence Technology:
  
  Touch VPN – Stable & Secure (۵۰ میلیون دانلود)
- شرکت Yolo Technology Limited:
  
  3X VPN – Smooth Browsing (۱۰۰ میلیون دانلود)
  
  VPN ProMaster – Secure your net (۵۰ میلیون دانلود)
- شرکت Wildlook Tech Pte Ltd:
  
  Melon VPN – Secure Proxy VPN (۵۰ میلیون دانلود)
  
  VPN Inf (۱۰ میلیون دانلود)
چرا شفافیت موقع انتخاب VPN مهمه؟

وقتی از VPN استفاده میکنی، در واقع داری به شرکت VPN اعتماد میکنی. در حالی که VPN‌ها با مخفی کردن IP واقعی کاربر، یه لایه امنیتی اضافه میکنن، اما محدودیت‌های خودشون رو هم دارن. این محدودیت‌ها به راحتی قابل حل نیستن چون به طراحی خود VPN برمیگردن.

وقتی VPN رو روشن میکنی چه اتفاقی میفته؟

VPN‌ها سیستمی هستن که آدرس IP کسی که بهشون وصل میشه رو عوض میکنن. یه نوع VPN برای دسترسی به منابع داخلی شرکت‌ها و دانشگاه‌ها استفاده میشه. نوع دیگه‌ای که توی این گزارش بررسی شده، همون VPN‌هاییه که مردم برای محافظت از اطلاعاتشون روی وای‌فای عمومی، دیدن نتفلیکس کشورهای دیگه یا دسترسی به سایت‌های خبری و شبکه‌های اجتماعی فیلتر شده استفاده میکنن. همه این VPN‌ها یه کار مشترک انجام میدن: اطلاعات شما رو رمزنگاری میکنن و اول به یه سرور پروکسی (سرور VPN) میفرستن. اون سرور اطلاعات شما رو رمزگشایی میکنه، IP شما رو عوض میکنه و بعد اطلاعاتتون رو به سروری که میخواستید بهش وصل بشید میفرسته.

چون شما اطلاعاتتون رو اول به VPN میفرستید، اون VPN میتونه ببینه شما با کی دارید ارتباط برقرار میکنید. حتی اگه اون سایت از پروتکل امنیتی TLS استفاده نکنه، VPN میتونه محتوای مکالمه شما رو هم ببینه. یه قانون کلی هست که میگه سرویس‌های رایگان واقعا رایگان نیستن؛ وقتی ازشون استفاده میکنی، خودت تبدیل به محصول میشی. این در مورد VPN‌ها هم صدق میکنه.

به کی داری اعتماد میکنی؟

وقتی یه شرکت VPN انتخاب میکنی، در واقع داری اعتمادی که به شرکت اینترنتت (ISP) داشتی رو به شرکت VPN منتقل میکنی. این انتقال اعتماد، با توجه به دسترسی که اونها به اطلاعاتت دارن، پیامدهای امنیتی مهمی داره. خیلی از اپ‌های موبایل از TLS استفاده نمیکنن که این موضوع میتونه به جاسوسی و سوءاستفاده منجر بشه. دونستن اینکه کی سرویس VPN رو اداره میکنه، به کاربر کمک میکنه بهتر بفهمه کی به اطلاعاتش دسترسی داره و اطلاعاتش تحت قوانین کدوم کشور قرار میگیره.

شرکت‌های VPN که شفاف عمل میکنن، به راحتی قابل شناسایی هستن و نهادهای قانونی میتونن بهشون احضاریه بفرستن. هکرها و سانسورچی‌ها هم میتونن اونها رو هدف قرار بدن. اما مزیت اصلی یه شرکت ناشناس اینه که به سختی شناسایی میشه و نمیشه به راحتی هدف قرارش داد. این موضوع بسته به قوانین کشوری که کاربر توش زندگی میکنه و کشوری که سرور VPN توش قرار داره، میتونه برای کاربر مفید باشه. اما عیب اصلی استفاده از یه شرکت ناشناس اینه که کاربر داره به یه غریبه کامل اعتماد میکنه که میتونه از دسترسی به اطلاعات کاربر برای اهداف مختلفی استفاده کنه.

معمولا میتونی با مراجعه به صفحه توسعه‌دهنده توی گوگل پلی یا اپ استور، بفهمی صاحب VPN کیه. اما متاسفانه به خاطر حجم بالای اپ‌هایی که منتشر میشن، این فروشگاه‌ها نمیتونن (یا نمیخوان) هویت هر توسعه‌دهنده رو به طور کامل بررسی کنن.

بعضی از شرکت‌های VPN از این عدم تایید هویت و توانایی ثبت شرکت‌های صوری به نفع خودشون استفاده میکنن و سعی میکنن مخفی کنن که واقعا کی خدماتشون رو کنترل میکنه. برای مثال، اخیرا مشخص شد که اپ‌های VPN شرکت‌های INNOVATIVE CONNECTING LIMITED، AUTUMN BREEZE PTE. LIMITED و LEMON CLOVE PTE. LIMITED به شرکت چینی Qihoo 360 مرتبطن، که یه شرکت امنیت سایبری چینه. چین قوانین حریم خصوصی به شدت سختگیرانه‌ای (به نفع دولت) داره، اما یه کاربر ممکنه با دیدن اسم سنگاپور توی اپ استور، فکر کنه که این شرکت‌ها تحت قوانین قوی حریم خصوصی سنگاپور فعالیت میکنن. در نگاه اول، این سه شرکت توسعه‌دهنده‌های مجزایی به نظر میرسن، اما با بررسی دقیق‌تر مواردی مثل سیاست‌های حریم خصوصی و کد باینری اپلیکیشن، استقلال اونها زیر سوال میره.

پس یه نفر قبل از انتخاب VPN باید به چند تا نکته فکر کنه:
- برای چی از VPN استفاده میکنه؟ برای محافظت از تراکنش‌های مالی روی وای‌فای ناامن؟ برای دور زدن فیلترینگ جغرافیایی سرویس‌های استریم؟ یا برای دیدن اخبار و وب‌سایت‌های فیلتر شده در کشورش؟
- در حالت اول، احتمالا یه شرکت VPN شفاف بهتره. در حالت دوم، شاید بهتر باشه از شرکتی استفاده کنه که به راحتی قابل شناسایی نیست و مقامات نمیتونن به سادگی بهش احضاریه بدن.
- همچنین باید در نظر بگیره که شرکت تحت قوانین کدوم کشوره، آیا شرکت اعلام میکنه کی صاحب VPN و زیرساختشه (شامل سرورهای سراسر دنیا)، و آیا اعلام میکنه کی اپلیکیشن رو توسعه داده.
نبود اطلاعات منظم و در دسترس در مورد شفافیت در مقابل ناشناس بودن در اکوسیستم VPN، باعث میشه کاربرها شرکت‌هایی رو انتخاب کنن که ممکنه برای کاربری مورد نظرشون مناسب نباشن. این تحقیق انجام شده تا با مشخص کردن اینکه چه کسی صاحب، گرداننده و توسعه‌دهنده بعضی از محبوب‌ترین اپ‌های VPN در گوگل پلی استوره، به کاربرها کمک کنه تصمیمات آگاهانه‌تری بگیرن.

سیستم امتیازدهی شفافیت (CTSS)

برای این گزارش، «شفافیت» یعنی شرکت VPN هیچ کاری برای پنهان کردن هویت خودش انجام نمیده. بزرگترین خطری که یه کاربر باهاش مواجهه، اینه که ناخواسته اطلاعاتش رو به یه شرکت VPN ناشناس بده که فکر میکرده شفافه، یا از یه اپلیکیشن ناامن استفاده کنه که حریم خصوصیش رو به خطر میندازه. ما یه شرکت رو «ناشناس» در نظر میگیریم وقتی که حوزه قضایی واقعیش با چیزی که یه فرد منطقی از بررسی سطحی پروفایل اپ استور و وب‌سایت شرکت نتیجه میگیره، فرق داشته باشه. برای مثال، این مطالعه کشف کرد که شرکت‌های VPN وجود دارن که ادعا میکنن حوزه قضایی‌شون سنگاپوره، در حالی که در واقعیت چین هستن. این یه نقض اعتماد بزرگه، چون قوانین حفاظت از داده در سنگاپور با چین خیلی متفاوته.

برای بررسی دقیق شفافیت شرکت‌های VPN، اطلاعات بر اساس پنج عامل ترکیبی جمع‌آوری شده:
1. شفافیت عملیات تجاری
2. شفافیت کد
3. شفافیت شبکه‌های اجتماعی
4. شفافیت شبکه/دامنه
5. تحلیل دستی
تحلیل دستی کد باینری برای اپلیکیشن‌های VPN که امتیاز شفافیت خیلی بالا یا خیلی پایینی بر اساس چهار عامل اول داشتن، انجام شده. این سیستم امتیازدهی از روی سیستم امتیازدهی آسیب‌پذیری رایج (CVSS) الگوبرداری شده. در ادامه هر کدوم از این پنج عامل توضیح داده میشن.

۱. شفافیت عملیات تجاری

این عامل امتیازدهی، اطلاعات موجود در مورد مالک، توسعه‌دهنده و گرداننده یه اپلیکیشن VPN رو ترکیب میکنه. برای به دست آوردن این اطلاعات، از وب‌سایت، شرایط خدمات و سیاست حریم خصوصی که در گوگل پلی استور لیست شده، شروع شده. بعد اطلاعات دیگه‌ای مثل حساب‌های شبکه‌های اجتماعی و اطلاعات مربوط به سازمان گرداننده و تیم‌های توسعه و مدیریت، به این بخش اضافه شده.

چرا مهمه؟ کشوری که VPN در اون فعالیت میکنه، نقش مهمی در توانایی VPN برای ارائه یه سرویس امن داره. چون سیاست‌های خاصی در هر کشور وجود داره که گرداننده VPN باید ازشون پیروی کنه. این سیاست‌ها میتونن شامل الزام به ثبت اطلاعات کاربر، همکاری با پلیس اون کشور و همکاری با سازمان‌های پلیسی خارجی مثل اینترپل باشن. یه شرکت VPN مستقر در آمریکا، سوئیس یا جزایر ویرجین آمریکا، در مقایسه با روسیه یا چین، طبق قانون باید از سیاست‌های خیلی متفاوتی برای نگهداری و افشای داده‌ها پیروی کنه.

وقتی یه شرکت VPN اطلاعات مربوط به حوزه قضایی خودش رو در گوگل پلی استور یا وب‌سایتش اعلام میکنه، کاربر ممکنه فکر کنه میدونه اطلاعاتش تحت قوانین کدوم کشور قرار میگیره و میتونه ریسک رو ارزیابی کنه. اما گاهی این اطلاعات پنهان‌کاری میشن، طوری که یه شرکت VPN که ادعا میکنه در سنگاپور مستقره، در واقع دفتر مرکزیش در پکن باشه. این پنهان‌کاری باعث میشه که نهادهای قانونی یا هکرها نتونن به راحتی اون شرکت خاص رو هدف قرار بدن، اما از طرفی هم کاربر نمیدونه اطلاعاتش تحت قوانین کدوم کشوره و آیا میتونه انتظار داشته باشه اطلاعاتش ثبت بشه یا شرکت با پلیس همکاری کنه.

زیرمجموعه‌های این عامل:
- آیا VPN وب‌سایت معتبری داره؟
- آیا VPN سیاست حریم خصوصی داره؟
- آیا بخش‌هایی از متن سیاست حریم خصوصی با VPN‌های دیگه مشترکه؟
- آیا VPN بخش «درباره ما» داره؟
- آیا پرونده‌های تجاری اضافی مثل سوابق مالیاتی یا کپی‌رایت وجود داره؟
- آیا حوزه قضایی اعلام شده در وب‌سایت، اپ استور و پرونده‌های تجاری با هم مطابقت دارن؟
۲. شفافیت کد

این عامل، اطلاعات مربوط به شیوه‌های کدنویسی و ردپای شرکت VPN رو خلاصه میکنه. این میتونه اطلاعات تکمیلی در مورد شیوه‌های شفافیت در مقابل ناشناس بودن شرکت VPN بده، مثلا اینکه آیا کد اونها متن‌بازه و روی چه مخزن‌هایی (repositories) ذخیره شده.

چرا مهمه؟ در نهایت این کده که رفتار یه اپلیکیشن VPN رو تعیین میکنه. برای مثال، کد ممکنه شناسه‌های مختلفی از کاربر رو جمع‌آوری کنه، مثل شناسه دستگاه، اطلاعات مکانی و سایر شناسه‌های سخت‌افزاری و نرم‌افزاری. یه راه برای فهمیدن اینکه یه شرکت VPN روی شفافیت تمرکز داره یا ناشناس بودن، اینه که آیا کدش متن‌بازه یا به طور گسترده در دسترسه. کد متن‌باز استاندارد طلایی برای شفافیته. این به این معنی نیست که اپلیکیشنی که روی دستگاه اجرا میشه لزوما از همون کدی که متن‌باز شده، ساخته شده، اما حداقل نشون میده که شرکت VPN تلاش کرده جزئیات نحوه مدیریت اطلاعات کاربرها رو در دسترس قرار بده.

زیرمجموعه‌های این عامل:
- آیا اپلیکیشن متن‌بازه؟
- آیا شرکت در GitHub پروفایل داره؟
- آیا شرکت در GitLab پروفایل داره؟
- آیا شرکت در Gitee پروفایل داره؟
- آیا کد از طریق دیگه‌ای مثل وب‌سایت شرکت در دسترسه؟
۳. شفافیت شبکه‌های اجتماعی

این عامل، ردپای شرکت‌های VPN در شبکه‌های اجتماعی آنلاین رو مشخص میکنه. این اطلاعات از لینک‌های شبکه‌های اجتماعی که یا در وب‌سایت اپلیکیشن موجوده، یا با استفاده از API‌های شبکه‌های اجتماعی برای جستجوی حساب‌های مرتبط، جمع‌آوری میشه.

چرا مهمه؟ شفافیت در شبکه‌های اجتماعی میتونه نشون بده که شرکت‌های VPN چقدر با مردم در ارتباط هستن. یه شرکت VPN ممکنه در مورد به‌روزرسانی‌های محصولش اطلاعیه بده، پشتیبانی مستقیم ارائه بده یا در مورد مسائل مربوط به حریم خصوصی بحث کنه. علاوه بر این، شرکت‌های VPN ممکن از سرویس‌های تبلیغاتی مختلف، مثل تبلیغات فیسبوک، برای جذب گروه‌های مختلف کاربر استفاده کنن.

زیرمجموعه‌های این عامل:
- آیا VPN اطلاعات تماس عمومی داره؟
- آیا VPN صفحه فیسبوک داره؟
- آیا VPN پروفایل اینستاگرام داره؟
- آیا VPN پروفایل X (توییتر سابق) داره؟
- آیا VPN حساب تلگرام داره؟
- آیا VPN کانال دیسکورد داره؟
- آیا ادعاها یا شکایت‌های مشکوکی از طرف کاربرها در مورد شرکت VPN در یه پلتفرم وجود داره؟
- آیا VPN از تبلیغات برای هدف‌گیری مشکوک استفاده میکنه؟ (مثلا هدف قرار دادن کودکان)
۴. شفافیت شبکه/دامنه

اطلاعات این عامل از اطلاعات دامنه‌ای که با استفاده از رکوردهای WHOIS و ابزار dig جمع‌آوری شده، به دست میاد. اطلاعات در مورد شرکت کنترل‌کننده VPN ممکنه در فیلد «Registrant Org» موجود باشه. نام مدیران، ایمیل‌ها، شماره تلفن‌ها و آدرس‌ها هم ممکنه در این رکوردها وجود داشته باشه که میتونه برای پروفایل‌سازی بیشتر استفاده بشه.

چرا مهمه؟ این عامل انتخاب شده چون یه شرکت VPN میتونه اطلاعاتش رو برای تحلیل عمومی در دسترس قرار بده. اما غیرمعمول نیست که شرکت‌ها، آگاهانه یا ناآگاهانه، موقع ثبت نام دامنه‌شون از سرویس‌های حریم خصوصی استفاده کنن. این سرویس‌ها به عنوان یه واسطه بین شرکت VPN واقعی و ثبت‌کننده دامنه عمل میکنن. دلایل معتبری برای این کار وجود داره، مثلا اگه شرکت معتبر باشه اما در محیطی فعالیت کنه که با ابزارهای افزایش حریم خصوصی مثل VPN‌ها دشمنی دارن. در مورد حداقل سه شرکت VPN – Innovative Connecting، Lemon Clove و Autumn Breeze – یه آدرس ایمیل مشترک در رکوردهای DNS SOA پیدا شده که نشون میده صاحبشون یکیه.

۵. تحلیل دستی

تحلیل دستی فرآیندیه که در اون یه تحلیل‌گر انسانی سعی میکنه یه برنامه رو بفهمه. این نوع تحلیل موقع حسابرسی امنیتی اپلیکیشن‌ها استفاده میشه. هدف اغلب شناسایی ضعف‌های امنیتی یا تایید امن بودن یه اپلیکیشنه. اطلاعات این عامل از تحلیل‌های ایستا و پویا به دست اومده. تحلیل ایستا اطلاعاتی در مورد شیوه‌های جمع‌آوری داده، اینکه آیا کد یه اپلیکیشن VPN توسط چندین شرکت به اشتراک گذاشته شده، شناسه‌هایی مثل آدرس‌های ایمیل و کلیدهای API موجود در کد منبع و اطلاعات کاربری hard-coded ذخیره شده در اپلیکیشن میده. تحلیل پویا اطلاعاتی در مورد اینکه اپلیکیشن با چه سرورهایی صحبت میکنه، چه اطلاعاتی رو از سرورهای دیگه میفرسته یا دریافت میکنه، آیا شیوه‌های ارتباطیش امنه و به چه سرورهای VPN میتونه وصل بشه، میده.

چرا مهمه؟ بعضی اطلاعات در مورد شرکت VPN رو میشه از این تحلیل‌ها به دست آورد که از روش‌های جستجوی OSINT معمولی مشخص نمیشه. برای مثال، تنها راه برای تعیین اینکه آیا شرکت‌های مختلف VPN سرورهای مشترک دارن، اینه که سعی کنی بهشون وصل بشی. علاوه بر این، تنها راه برای تعیین اینکه آیا اپلیکیشن از رمزنگاری مناسب موقع ارتباط استفاده میکنه، تست پویاست. تحلیل دستی یه اپلیکیشن دانلود شده روی یه دستگاه، در واقع حقیقت محض در مورد شیوه‌های ارتباطی اپلیکیشن و امن بودن یا نبودنشه.

نتایج نگران‌کننده: دو گروه از VPN‌های خطرناک

از ۲۱ شرکت VPN که در این گزارش ارزیابی شدن، پنج تا شفاف تشخیص داده شدن. هشت تا به دلیل کمبود اطلاعات در مورد سازمان‌های گرداننده‌شون، غیرشفاف تشخیص داده شدن. و در نهایت، تایید شد که هشت شرکت، VPN‌های خودشون رو به روش‌هایی اداره میکنن که هم از نظر شفافیت و هم از نظر امنیت باید به شدت نگران‌کننده باشن.

این هشت شرکت VPN در دو خوشه بر اساس ارتباطشون با همدیگه گروه‌بندی شدن. هر دو خوشه در یک یا چند عامل امتیازدهی، شاخص‌های مشکوکی دارن.

خوشه اول: Innovative Connecting، Autumn Breeze و Lemon Clove

قبلا هم گزارش شده بود که Innovative Connecting PTE. Limited با چندین شرکت VPN دیگه از جمله Autumn Breeze و Lemon Clove در ارتباطه. این تحقیق هم این یافته‌ها رو تایید کرده. برای مثال سیاست حریم خصوصی اپلیکیشن Signal Secure – Robot VPN از شرکت Autumn Breeze به صراحت میگه که Innovative Connecting نماینده اونهاست.

با جستجوی اسم این شرکت‌ها در OpenCorporates، مشخص شد که پرونده‌های کپی‌رایت این VPN‌ها نشون میده که اونها در واقع توسط یه تبعه چینی کنترل میشن و در نتیجه تحت قوانین کنترل اطلاعات چین قرار دارن. این در حالیه که ادعا میکنن در سنگاپور هستن.

تحلیل فنی چه چیزی رو نشون داد؟

بعد از شناسایی این ویژگی‌های مشکوک، محقق‌ها هر اپلیکیشن رو روی یه دستگاه Google Pixel 7a دانلود کردن. در سطح کد، حداقل هشت VPN مرتبط با این سه شرکت شناسایی شد.
1. استفاده از پروتکل‌های ناامن: هر کدوم از اپلیکیشن‌های این شرکت‌ها از پروتکل‌های IPsec و Shadowsocks پشتیبانی میکنن. وقتی این VPN‌ها از شادوساکس استفاده میکنن، فایل پیکربندی شامل چندین مشکل امنیتیه. اول اینکه، هر اپ فقط رمزهای جریانی (stream ciphers) ناامن و منسوخ شده رو موقع اتصال با شادوساکس ارائه میده. مشخص شد که این رمزهای جریانی به طور ناامن پیاده‌سازی شدن، طوری که یه هکر میتونه بسته‌های ارسالی توسط کاربرها رو رمزگشایی کنه. این موضوع تمام بیش از ۳۰۰ میلیون کاربر رو در معرض حمله قرار میده، چون تونل «امن» اونها دیگه امن نیست.
2. پسورد مشترک و Hard-coded: دومین و نگران‌کننده‌ترین موضوع اینه که تمام بیش از ۳۰۰ میلیون کاربر از یه پسورد مشترک استفاده میکنن. این پسوردها به صورت hard-coded در خود اپلیکیشن‌ها ذخیره شدن. این یه مشکل بزرگه، چون هکری که پسورد رو بدونه، میتونه به راحتی رمزنگاری VPN رو باز کنه. این پسوردها با استفاده از ابزاری به نام Frida از داخل اپلیکیشن استخراج شدن. برای مثال پسورد 14FPrbezE3HDZzsMOr6 برای اتصال به سرور شادوساکس استفاده میشد.
3. زیرساخت مشترک: با توجه به اینکه همه اپ‌ها از اطلاعات کاربری و متن سیاست حریم خصوصی یکسانی استفاده میکنن، این احتمال وجود داشت که زیرساخت مشترکی هم داشته باشن. برای تست این موضوع، آدرس‌های IP سرورهای VPN که این اپ‌ها ارائه میدادن جمع‌آوری شد. بعد با استفاده از اطلاعات کاربری شادوساکس، به هر کدوم از سرورهای VPN وصل شدن. تست تایید کرد که این شرکت‌ها واقعا زیرساخت مشترک دارن. این موضوع شواهد قانع‌کننده‌ای ارائه میده که این شرکت‌های VPN مستقیما به همدیگه مرتبطن.
4. جمع‌آوری مخفیانه اطلاعات مکانی: در مورد اپ VPN Proxy Master، مشخص شد که از تکنیک certificate pinning استفاده نمیکنه. این باعث شد که محقق‌ها بتونن با استفاده از پروکسی MITM، سرویس‌ها و نقاط پایانی API که باهاشون ارتباط برقرار میکرد رو شناسایی کنن. به طور خاص، مشخص شد که این اپ به https://ip-api.com درخواست میفرسته. مقداری که برگردونده میشد، کد پستی مرتبط با آدرس IP عمومی کلاینت بود. این مقدار بعدا به یه نقطه پایانی Firebase آپلود میشد. همه اپ‌های این سه شرکت (Innovative Connecting، Autumn Breeze و Lemon Clove) همچنین کدی برای آنالیتیکس هواوی، شبیه به فایربیس، برای کسب درآمد دارن. این موضوع مخصوصا در مورد SnapVPN، SuperNetVPN، RobotVPN، VPNMonster و TurboVPN نگران‌کننده‌تره، چون فایل‌های AndroidManifest.xml اونها درخواست دسترسی به موقعیت مکانی نمیکنن. سیاست حریم خصوصی همه این اپ‌ها هم به صراحت میگه که اطلاعات جغرافیایی کاربرهاشون رو جمع‌آوری نمیکنن، اما در عمل همه اونها به این نقطه پایانی API دسترسی پیدا میکنن.
این خوشه از شرکت‌های VPN در مجموع بیش از ۳۰۰ میلیون دانلود فقط در گوگل پلی استور دارن. همه اونها ادعای ارائه حریم خصوصی و امنیت میکنن، اما این واقعیت که شادوساکس رو ارائه میدن برای کاربرها گمراه‌کننده‌ست چون شادوساکس برای محرمانگی طراحی نشده. اپ‌ها حاوی اطلاعات کاربری hard-coded شادوساکس هستن که استخراجشون راحته. یه هکر میتونه از این اطلاعات برای از بین بردن رمزنگاری بین کلاینت و سرور VPN برای این خانواده از شرکت‌ها استفاده کنه. علاوه بر این، همه اونها ادعا میکنن اطلاعات مکانی کاربر رو جمع‌آوری نمیکنن اما در واقع این کار رو میکنن و بیشتر کاربرها رو گمراه میکنن.

خوشه دوم: MATRIX MOBILE، ForeRaya Technologies، WILDLOOK TECH، Hong Kong Silence Technology و Yolo Mobile Technology

طبق پروفایل‌های گوگل پلی، Matrix Mobile و Wildlook Tech در سنگاپور فعالیت میکنن. در مقابل، ForeRaya Technologies، Hong Kong Silence Technology و Yolo Mobile Technology در هنگ‌کنگ فعالیت میکنن. این گروه از توسعه‌دهنده‌ها در مجموع هشت محصول VPN جداگانه رو اداره میکنن و بیش از ۴۰۰ میلیون دانلود در گوگل پلی استور دارن.

تحلیل فنی چه چیزی رو نشون داد؟

تحلیل دستی سه نگرانی کلیدی رو آشکار کرد. شبیه به خوشه اول، هر کدوم از این اپ‌های VPN شادوساکس رو به عنوان پروتکل تونل‌زنی ارائه میدن و اطلاعات کاربری رو با تمام کاربرهای این سرویس به اشتراک میذارن. مثل شرکت‌های خوشه اول، این اطلاعات کاربری به صورت hard-coded هستن.
1. زیرساخت متمرکز: فایل‌های پیکربندی داخلی شادوساکس، پارامترهای اتصال برای ۳۳ سرور رو دارن. نکته عجیب این بود که همه سرورها توسط یه شرکت واحد، GTHost (GlobalTeleHost Corp.)، یه شرکت میزبانی کانادایی، میزبانی میشن. معمولا شرکت‌های VPN سرورهاشون رو در طیف وسیعی از ارائه‌دهندگان ابری پیکربندی میکنن تا حضور شبکه‌شون رو افزایش بدن. استقرار سرورهای VPN در یه شرکت میزبانی واحد، یه نقطه شکست واحد ایجاد میکنه؛ اگه سانسورچی‌ها این سرویس میزبانی رو مسدود کنن، همه سرورهای شرکت VPN از کار میفتن.
2. پسوردهای مشترک (ولی متفاوت): این اپ‌ها از یکی از ۱۴ پسورد متمایز استفاده میکنن که به نظر میرسه به یکی از پورت‌های هر سرور اختصاص داده شده. خوشبختانه، این VPN‌ها از روش رمزنگاری aes-256-gcm شادوساکس استفاده میکنن، بنابراین در برابر حمله اوراکل رمزگشایی آسیب‌پذیر نیستن. اما شادوساکس خاصیت perfect forward secrecy رو نداره و استفاده از رمزنگاری متقارن این امکان رو به یه هکر شبکه میده که با استفاده از اطلاعات کاربری hard-coded، ترافیک کلاینت رو رمزگشایی کنه، چون این اطلاعات توسط همه کاربرهای سرویس به اشتراک گذاشته شده. این یافته‌ها، همراه با این واقعیت که این اپ‌ها در مجموع به بیش از ۴۰۰ میلیون نفر خدمات میدن که این اطلاعات کاربری رو به اشتراک میذارن، نگرانی‌های جدی حریم خصوصی برای اون کاربرها ایجاد میکنه.
تا جایی که میدونیم، قبلا کسی مشکلات شفافیت یا امنیتی این خوشه از شرکت‌ها رو شناسایی نکرده بود و این یکی از یافته‌های اصلی و جدید این گزارشه. با اینکه نمیشد به طور قطعی این شرکت‌ها رو به Qihoo 360 مرتبط کرد، بعضی از این شرکت‌ها به صراحت اعلام میکنن که از هنگ‌کنگ اداره میشن. بنابراین، منطقیه که نتیجه بگیریم چون همه این شرکت‌ها کد و زیرساخت سرور VPN مشترک دارن، احتمالا توسط یه تبعه چینی واحد اداره میشن و تحت قوانین کنترل اطلاعات چین قرار دارن.

این گروه از شرکت‌های قبلا بررسی نشده، چندین رویه فریبکارانه و مشکل امنیتی دارن و بر اساس شواهد، منطقیه که نتیجه بگیریم همه اونها توسط یه تبعه چینی واحد اداره میشن و تحت قوانین کنترل اطلاعات چین قرار دارن.

توصیه‌ها: حالا باید چیکار کنیم؟

اینکه مردم نباید از VPN‌های تجاری رایگان استفاده کنن اگه هدفشون ردیابی نشدنه، یه موضوع کاملا جا افتاده‌ست، چون این شرکت‌ها معمولا کتابخونه‌های تبلیغاتی دارن که اطلاعات دقیقی از کاربر برای تبلیغات هدفمند جمع‌آوری میکنن. یافته‌های این تحقیق هم همینو تایید میکنه.

در مورد پروتکل‌های تونل‌زنی در حال استفاده، شادوساکس برای دور زدن سانسور طراحی شده. این پروتکل تلاشی برای برآورده کردن محرمانگی یا سایر ویژگی‌های امنیتی نمیکنه. این طراحی و استفاده از رمزنگاری متقارن، زمینه رو برای اشتباهات برنامه‌نویسی مثل hard-code کردن پسورد شادوساکس در اپ، فراهم میکنه، همونطور که در این گزارش نشون داده شد.

توصیه‌هایی برای کاربرها
- VPN‌ها میتونن امنیت و حریم خصوصی رو افزایش بدن، مخصوصا وقتی کاربرها در کشورهایی با قوانین کنترل اطلاعات سرکوبگرانه قرار دارن. اما متاسفانه VPN‌ها میتونن یه حس امنیت دروغین هم بدن. در مورد شرکت‌های Innovative Connecting، Autumn Breeze، Lemon Clove، Matrix Mobile، ForeRaya Technologies، Wildlook Tech، Hong Kong Silence Technology و Yolo Mobile Technology Limited، هر کاربری که از اپلیکیشن‌های اونها استفاده میکنه، خودش رو در معرض خطر بزرگی قرار میده.
- با اینکه ممکنه استفاده از یه VPN تجاری رایگان مثل اینها وسوسه‌انگیز باشه، VPN‌های پولی به طور کلی میتونن قابل اعتمادتر و امن‌تر در نظر گرفته بشن. برای مثال، در این تحقیق هیچ مشکل جدی حریم خصوصی یا امنیتی با Lantern، Psiphon، ProtonVPN یا Mullvad پیدا نشد و به راحتی میشد فهمید کی صاحب و گرداننده اون شرکت‌هاست.
- کاربرها باید با دقت در نظر بگیرن که برای چه کاری از VPN استفاده میکنن. اگه قصد دارن برای اتصال به حساب بانکی یا کارگزاری‌شون روی یه وای‌فای ناامن از VPN استفاده کنن، باید از VPN‌هایی استفاده کنن که شفاف و امن عمل میکنن و اونها رو به سرویس‌های رایگان یا اونهایی که سعی در ناشناس کردن هویت و اطلاعات مالکیت خودشون دارن، ترجیح بدن.
- اگه قصد دارن از شادوساکس استفاده کنن، باید از استفاده از اپلیکیشن‌هایی که پسوردهای hard-coded رو که توسط همه کاربرهای اپلیکیشن به اشتراک گذاشته شده، توزیع میکنن، خودداری کنن. برای شادوساکس، اگه ممکنه، کاربرها باید از راهکارهایی مثل Project Jigsaw گوگل استفاده کنن، یا یه دوست فنی داشته باشن که بهش اعتماد دارن تا یه سرور پروکسی براشون راه‌اندازی کنه که بتونن بهش وصل بشن.
توصیه‌هایی برای محقق‌ها
- محقق‌های آینده باید تلاش خودشون رو روی مقایسه نام‌های تجاری و اطلاعات مشابه با OpenCorporates و سایر منابع سوابق تجاری متمرکز کنن.
- به شدت به محقق‌هایی که توانایی تحلیل دستی اپلیکیشن‌ها رو دارن، توصیه میشه که توجه ویژه‌ای به اونهایی داشته باشن که شادوساکس رو به عنوان پروتکل تونل‌زنی ارائه میدن، چون این احتمال وجود داره که پسورد در اپلیکیشن hard-coded شده باشه.
توصیه‌هایی برای شرکت‌های VPN
- شرکت‌های VPN باید در نظر بگیرن که تحت قوانین کدوم کشور فعالیت میکنن و با چه تهدیدهایی روبرو هستن. شرکت‌هایی که در کشورهایی با قوانین قوی حریم خصوصی فعالیت میکنن، ممکنه بخوان اطلاعات مالکیت واقعی خودشون رو فاش کنن.
- صرف نظر از انتخاب اپراتور برای فعالیت شفاف یا ناشناس، در دسترس قرار دادن کد برای محقق‌ها و اشخاص ثالث برای حسابرسی امنیتی، سطحی از باز بودن و ارزش‌گذاری برای حریم خصوصی و امنیت رو نشون میده، حتی اگه هویت شرکت فاش نشه.
- از نظر امنیتی، توسعه‌دهنده‌ها باید اقداماتی برای مقاوم‌سازی زیرساخت سرور VPN در برابر هر چه بیشتر حملات خاص VPN انجام بدن.
- اگه از شادوساکس برای انتقال استفاده میکنن، فایل‌های پیکربندی باید به صورت پویا به اپلیکیشن کلاینت VPN دانلود بشن، نه اینکه در اپلیکیشن‌ها hard-coded باشن. پسوردها هم نباید در کل پایگاه کاربری به اشتراک گذاشته بشن، چون به خطر افتادن اطلاعات کاربری یه کاربر، همه کاربرها رو به خطر میندازه.
توصیه‌هایی برای مدیران اپ استورها
- نشان VPN موجود در گوگل پلی ممکنه باعث ایجاد حس امنیت کاذب برای کاربرها بشه. اگه یه محقق یا حسابرسی هیچ مشکل امنیتی پیدا نکنه، به این معنی نیست که مشکلی وجود نداره.
- اپ استورها باید توسعه‌دهنده‌ها رو ملزم کنن که نام و آدرس قانونی خودشون رو لیست کنن، حداقل برای اپلیکیشن‌های VPN با توجه به ماهیت حیاتی امنیتی و پتانسیل سوءاستفاده از اونها.
- نتایج جستجو برای VPN‌ها باید اصلاح بشه، طوری که اپ‌های VPN و توسعه‌دهنده‌های اونها در بالای نتایج جستجو تبلیغ نشن. خیلی از نتایج برتر، مثل TurboVPN، نزدیک به بالای لیست ظاهر میشدن، در حالی که این توسعه‌دهنده بارها نشون داده که فریبکارانه عمل میکنه.
- باید بررسی سختگیرانه‌تری روی سیاست‌های حریم خصوصی و رفتار اپلیکیشن‌های VPN اعمال بشه. در مورد VPN Proxy Master، سیاست حریم خصوصی به صراحت میگه که اطلاعات جغرافیایی جمع‌آوری نمیکنه، اما اپلیکیشن با استفاده از یه API شخص ثالث این اطلاعات رو جمع‌آوری میکنه.
- این توسعه‌دهنده‌ها در حال نقض تعدادی از قوانین هم در گوگل پلی و هم در اپ استور اپل هستن، که اونها هم به نوبه خودشون در اجرای کافی قوانینشون کوتاهی میکنن. این موضوع مخصوصا با توجه به پیروی اونها از درخواست‌های اخیر برای حذف اپلیکیشن‌های VPN در کشورهایی مثل روسیه و چین، نگران‌کننده‌ست. پیروی گوگل و اپل این سوال رو به وجود میاره که واقعا چه چیزی انگیزه عدم اجرای قوانین حریم خصوصی اونهاست. چرا اونها به سرعت اپلیکیشن‌های VPN شفاف رو (به دستور دولت‌های خودکامه) از دسترس کاربرها در کشورهایی که به طور قابل توجهی حریم خصوصی و امنیت کاربر رو نقض میکنن، حذف میکنن، در حالی که همزمان به اپ‌های مشکوک اجازه میدن در فروشگاه‌هاشون باقی بمونن و کاربرها رو در آمریکا و خارج از اون در معرض خطر نقض امنیت دیجیتال و حریم خصوصی قرار میدن؟
- این به نفع عموم مردمه که مدیران اپ استورها امنیت و حریم خصوصی کاربر رو بالاتر از سود قرار بدن.
منبع۱ / منبع۲ (گزارش PDF)
مهر 1, 1404

افشای اسناد گیک نتورکس؛ مجری فیلترینگ چین

داستان از جایی شروع شد که یک منبع ناشناس تصمیم گرفت اسناد داخلی و سورس‌کدهای یک شرکت به اسم گیک نتورکس (Geedge Networks) رو در اختیار عموم قرار بده. این شرکت چینی سیستم‌های نظارت و سانسور اینترنت رو به کشورهایی مثل میانمار، اتیوپی، قزاقستان و پاکستان فروخته بود. این افشاگری، که بزرگترین درز اطلاعاتی در تاریخ «فایروال بزرگ چین» (GFW) به حساب میاد، پرده از فعالیت‌های شرکتی برداشت که یکی از بنیان‌گذارانش کسی نیست جز «فانگ بینگ‌شینگ» (Fang Binxing)، شخصیتی که به عنوان «پدر فایروال بزرگ چین» شناخته می‌شه.

این اسناد که حجمشون به بیشتر از ۶۰۰ گیگابایت می‌رسه و شامل بیش از ۱۰۰ هزار فایل از پلتفرم‌های داخلی شرکت مثل جیرا (Jira)، کانفلوئنس (Confluence) و گیت‌لب (GitLab) می‌شه، جزئیات دقیقی از تحقیق، توسعه و عملیات‌های این شرکت و همکارانش رو نشون می‌ده. بعد از این افشاگری، یک ائتلاف جهانی از رسانه‌ها و سازمان‌های جامعه مدنی حدود یک سال وقت گذاشتن تا این حجم عظیم از داده‌ها رو تحلیل کنن و نتایجش رو به شکلی که می‌خونید منتشر کنن.

ماجرای این افشاگری بزرگ چی بود؟

در تاریخ ۱۱ سپتامبر ۲۰۲۵، بزرگترین مجموعه اسناد داخلی مربوط به فایروال بزرگ چین لو رفت. این اسناد که بیشتر از ۵۰۰ گیگابایت سورس‌کد، گزارش‌های کاری و مکاتبات داخلی رو شامل می‌شد، از یکی از نیروهای فنی اصلی پشت این فایروال یعنی شرکت گیک نتورکس و آزمایشگاه MESA در آکادمی علوم چین درز کرد. این اطلاعات نشون می‌داد که گیک نتورکس نه تنها به دولت‌های محلی در استان‌های سین‌کیانگ، جیانگ‌سو و فوجیان خدمات می‌ده، بلکه تکنولوژی سانسور و نظارت خودش رو تحت چارچوب «یک کمربند یک راه» (Belt and Road) به کشورهای دیگه هم صادر می‌کنه.

گروهی به اسم Enlace Hacktivista دسترسی به این فایل‌های لو رفته رو فراهم کرد. حجم کل فایل‌ها حدود ۶۰۰ گیگابایت بود که یک فایل به تنهایی به اسم mirror/repo.tar که آرشیو سرور بسته‌های نرم‌افزاری بود، ۵۰۰ گیگابایت حجم داشت. لیست برخی از فایل‌های اصلی اینجوریه:

mirror/filelist.txt (حدود ۷ مگابایت)
mirror/repo.tar (حدود ۴۹۷ گیگابایت)
geedge_docs.tar.zst (حدود ۱۴ گیگابایت)
geedge_jira.tar.zst (حدود ۲.۷ گیگابایت)
mesalab_docs.tar.zst (حدود ۳۵ گیگابایت)
mesalab_git.tar.zst (حدود ۶۳ گیگابایت)

به دلیل حساسیت بالای این اطلاعات، به هر کسی که قصد دانلود و تحلیل اونها رو داره، توصیه شده که حتما اقدامات امنیتی لازم رو رعایت کنه. چون ممکنه این فایل‌ها محتوای پرخطری داشته باشن و بررسی اونها در یک محیط ناامن می‌تونه فرد رو در معرض نظارت یا بدافزار قرار بده. پیشنهاد شده که این فایل‌ها فقط در یک ماشین مجازی ایزوله و بدون دسترسی به اینترنت بررسی بشن.

بازیگران اصلی این پرونده کی هستن؟

برای اینکه بفهمیم دقیقا چه اتفاقی افتاده، باید با شرکت‌ها و آدم‌های اصلی این ماجرا آشنا بشیم.

گیک نتورکس (Geedge Networks) و پدرخوانده فایروال

شرکت گیک نتورکس (积至) یک شرکت چینیه که نقش کلیدی در توسعه فایروال بزرگ چین و ارائه قابلیت‌های مشابه به دولت‌های دیگه در سراسر جهان داشته. اما چیزی که این شرکت رو خاص می‌کنه، آدم‌های پشت پرده‌اش هستن.

فانگ بینگ‌شینگ (方滨兴): اون به عنوان «پدر فایروال بزرگ چین» شناخته می‌شه. اسمش با یک سیستم کنترل دیجیتال گره خورده. برای اینکه بفهمیم اون کیه و چه کارهایی کرده، باید خارج از فایروال چین دنبال اطلاعات بگردیم. در سال ۲۰۱۱، موقع یک سخنرانی در ووهان، یک فرد ناشناس به سمتش تخم‌مرغ و کفش پرتاب کرد که یک حرکت نمادین علیه کسی بود که اینترنت چین رو به یک دژ در برابر آزادی تبدیل کرده بود. البته دفتر آقای فانگ در اون زمان این اتفاق رو تکذیب کرد. در سال ۲۰۱۸، فانگ شرکت گیک نتورکس رو تاسیس کرد تا اختراع خودش، یعنی فایروال چین، رو به یک محصول صادراتی تبدیل کنه.

ژنگ چائو (郑超): مدیر ارشد فناوری (CTO) شرکت گیک نتورکس. اون یکی از هم‌بنیان‌گذاران آزمایشگاه MESA در ژانویه ۲۰۱۲ بوده و اسمش به عنوان همکار در چندین مقاله تحقیقاتی مرتبط با سانسور هم دیده می‌شه.

وانگ یوئاندی (Wang Yuandi): مدیرعامل شرکت گیک نتورکس که اون هم مثل بقیه مدیران ارشد، در مقالات و پتنت‌های مرتبط با سانسور اینترنت نقش داشته.

آزمایشگاه MESA: بازوی تحقیقاتی گیک نتورکس

فایروال بزرگ چین یک اصطلاح کلی برای مجموعه‌ای از سیستم‌های سانسور اینترنته. پشت این سیستم، تیم‌های مختلفی برای تحقیق و توسعه، عملیات، سخت‌افزار و مدیریت وجود دارن. یکی از شاخه‌های مهم تحقیق و توسعه این فایروال، آزمایشگاه MESA و شرکت گیک نتورکسه.

ریشه‌های این همکاری به زمانی برمی‌گرده که فانگ بینگ‌شینگ به پکن اومد. در اواخر سال ۲۰۰۸، اون آزمایشگاه ملی مهندسی برای امنیت محتوای اطلاعات (NELIST) رو تاسیس کرد. از سال ۲۰۱۲، این آزمایشگاه زیر نظر موسسه مهندسی اطلاعات آکادمی علوم چین قرار گرفت. در ژانویه ۲۰۱۲، بعضی از اعضای NELIST یک تیم جدید در این موسسه تشکیل دادن که در ژوئن همون سال رسما اسمش MESA (Massive Effective Stream Analysis) شد.

اسناد فاش شده نشون می‌ده که گیک نتورکس ارتباط خیلی نزدیکی با آزمایشگاه MESA داره و بین کارمندهای هر دو نهاد همکاری‌های منظمی وجود داشته. مثلا در جلسه‌ای که در جولای ۲۰۲۴ در سین‌کیانگ برگزار شد، یک محقق از آزمایشگاه MESA یادداشت‌برداری می‌کرد. در اون جلسه، شرکت‌کننده‌ها درباره استفاده از تکنولوژی برای «ضربه زدن به ابزارهای» دور زدن فایروال بزرگ صحبت می‌کردن.

نکته جالب اینه که داده‌های مشتریانی که در سیستم‌های گیک نتورکس جمع‌آوری می‌شه، در دسترس کارمندهای شرکت و حتی دانشجوها و محققان آزمایشگاه MESA هم قرار می‌گیره. اسناد نشون می‌ده که دانشجوهای مهندسی در MESA از اطلاعات واقعی مشتریان برای تحقیقاتی استفاده کردن که هدفش درک بهتر و مسدود کردن راه‌های دور زدن سانسور اینترنت بوده.

در ادامه، جدول زمانی از مهمترین اتفاقات آزمایشگاه MESA رو بر اساس اسناد لو رفته می‌بینید:

تاریخ	رویداد
ژانویه ۲۰۱۲	لیو چینگ‌یون، سان یونگ، ژنگ چائو، یانگ رونگ، چین پنگ، لیو یانگ و لی جیا تیمی را در IIE تشکیل دادند.
ژوئن ۲۰۱۲	تیم رسما به نام MESA (تحلیل جریان عظیم و موثر) نامگذاری شد.
۲۰۱۲	لیو چینگ‌یون برای برنامه استعدادی «ستاره نوظهور» IIE انتخاب شد.
۲۰۱۲	یانگ وی و ژو ژو به تیم پیوستند.
۲۰۱۲	تیم با موفقیت وظیفه تضمین امنیت سایبری برای هجدهمین کنگره ملی را به پایان رساند.
دسامبر ۲۰۱۳	تیم MESA جایزه پیشرفت علمی و فناوری بزرگ IIE در سال ۲۰۱۳ را دریافت کرد.
۲۰۱۴	پلتفرم SAPP، یکی از اجزای MESA، استقرار مهندسی در مقیاس بزرگ را آغاز کرد.
۲۰۱۵	ژنگ چائو برای برنامه «ستاره نوظهور» IIE و ژانگ پنگ برای برنامه «معرفی استعداد برجسته» IIE انتخاب شدند.
دسامبر ۲۰۱۶	تیم MESA در برنده شدن جایزه ملی پیشرفت علم و فناوری (جایزه دوم) شرکت کرد.
۲۰۱۸	سان یونگ و ژو ژو جایزه علم و فناوری اسرار دولتی ملی ۲۰۱۷ (جایزه دوم) را دریافت کردند.

تا سال ۲۰۱۸، فانگ بینگ‌شینگ شرکت گیک (هاینان) تکنولوژی اطلاعات رو تاسیس کرد که کارمندهای اصلی تحقیق و توسعه اون از دانشگاه‌ها و موسسات تحقیقاتی مثل آکادمی علوم چین، موسسه فناوری هاربین و دانشگاه پست و مخابرات پکن اومده بودن. خیلی از این استعدادها از آزمایشگاه MESA بودن.

جعبه‌ابزار گیک نتورکس: با چه محصولاتی اینترنت رو کنترل می‌کنن؟

اسناد فاش شده نشون می‌ده که گیک نتورکس یک مجموعه کامل از ابزارها رو برای نظارت و کنترل اینترنت ارائه می‌ده. این ابزارها می‌تونن به صورت یک بسته کامل یا جداگانه به مشتری‌ها فروخته بشن. بیایید با هم ببینیم هر کدوم از این محصولات چی هستن و چه کاری انجام می‌دن.

۱. دروازه امنیتی تیان‌گو (Tiangou Secure Gateway – TSG)

این محصول، گل سرسبد و محصول پرچمدار گیک نتورکس به حساب میاد. TSG در واقع یک واحد فایروال و نظارت چندمنظوره است که تمام کارهای اصلی مثل بازرسی عمیق بسته‌ها (DPI)، فیلتر کردن، ردیابی، کاهش سرعت عمدی اینترنت (Throttling) و حتی عملکردهای تهاجمی رو انجام می‌ده. هر داده‌ای که توسط TSG استخراج می‌شه، برای ذخیره‌سازی و تحلیل به محصول بعدی یعنی TSG Galaxy فرستاده می‌شه.

قابلیت‌های TSG خیلی گسترده است و شامل موارد زیر می‌شه:

نظارت و سانسور از طریق بازرسی عمیق بسته‌ها (DPI).
شناسایی و مسدود کردن وی‌پی‌ان‌ها و ابزارهای دور زدن سانسور.
کاهش سرعت ترافیک اینترنت برای سرویس‌های خاص.
نظارت، ردیابی، برچسب‌گذاری و مسدود کردن کاربران اینترنت به صورت فردی.
آلوده کردن کاربران به بدافزار.

TSG می‌تونه روی یک پلتفرم سخت‌افزاری یکپارچه به اسم TSGX نصب بشه یا با سخت‌افزارهای موجود مشتری کار کنه. مثلا در پاکستان، TSG روی تجهیزاتی که توسط شرکت Sandvine جا مونده بود نصب شد. سیستم‌عامل این دستگاه TSG-OS نام داره که بر پایه Red Hat Enterprise Linux و Docker ساخته شده.

یک سیستم به اسم Ether Fabric هم وجود داره که ترافیک رو بین چندین دستگاه TSG پخش می‌کنه تا بار کاری تقسیم بشه. برای مدیریت این مجموعه هم از یک سیستم به اسم Central Management یا 毕方 (Bifang) استفاده می‌شه. TSG برای کارایی بیشتر، به جای استفاده از هسته لینوکس، از یک سیستم شبکه در فضای کاربری به اسم MARSIO و تکنولوژی DPDK برای پردازش بسته‌ها استفاده می‌کنه.

۲. کهکشان تی‌اس‌جی (TSG Galaxy)

TSG Galaxy یک سیستم انبار داده (Data Warehouse) برای ذخیره و جمع‌آوری اطلاعاته. این سیستم برای نظارت گسترده در مقیاس اینترنت طراحی شده و حجم عظیمی از داده‌ها رو درباره تمام کاربران اینترنت در یک کشور جمع می‌کنه. TSG Galaxy بر پایه پلتفرم متن‌باز Apache Kafka ساخته شده که معمولا برای تحلیل رفتار مشتری در فروشگاه‌های آنلاین استفاده می‌شه.

داده‌های لو رفته نشون می‌ده که TSG Galaxy برای ذخیره اطلاعات زیر استفاده می‌شه:

سوابق تمام نشست‌های TCP و UDP.
اطلاعات پروتکل‌های انتقال که برای اینترنت پهن‌باند و موبایل استفاده می‌شن.
تمام نشست‌های SIP در کشور. SIP پروتکلیه که برای تماس‌های تلفنی اینترنتی (VoIP) استفاده می‌شه. این یعنی TSG Galaxy نه تنها ترافیک اینترنت، بلکه تماس‌های تلفنی رو هم می‌تونه نظارت کنه.

این سیستم از تکنیک‌هایی مثل IPFIX برای تحلیل جریان ترافیک و DPI برای استخراج متادیتا استفاده می‌کنه. با DPI می‌شه اطلاعات دقیقی مثل نام سرور در پروتکل‌های TLS و QUIC، کوئری‌های DNS و هدرهای ایمیل رو استخراج کرد. همچنین از تکنیک‌های انگشت‌نگاری اتصال مثل هش‌های JA3 استفاده می‌شه تا مشخص بشه کاربر از چه سیستم‌عاملی و چه برنامه‌هایی استفاده می‌کنه. این اطلاعات به شناسایی ابزارهای دور زدن سانسور مثل وی‌پی‌ان‌ها کمک می‌کنه.

در نهایت، تمام این اطلاعات با داده‌های ارائه‌دهنده خدمات اینترنت (ISP) ترکیب می‌شه تا به یک کاربر خاص از طریق شناسه‌هایی مثل آدرس IP، شناسه مشترک، IMEI و IMSI مرتبط بشه.

۳. راوی سایبری (Cyber Narrator)

Cyber Narrator یک رابط کاربریه که برای کاربران غیرفنی طراحی شده. این ابزار به مشتری‌ها (مثلا دولت‌ها) اجازه می‌ده اطلاعاتی که توسط TSG جمع‌آوری و در TSG Galaxy ذخیره شده رو به راحتی جستجو و مشاهده کنن. از طریق این داشبورد می‌شه سرویس‌ها و پروتکل‌ها رو مسدود کرد و حتی شناسه‌های کاربرانی که به محتوای خاصی دسترسی داشتن رو پیدا کرد.

این ابزار خیلی قدرتمنده و می‌تونه:

ترافیک شبکه رو در سطح تک تک مشتریان ردیابی کنه.
موقعیت جغرافیایی مشترکین موبایل رو به صورت زنده با مرتبط کردن فعالیت اونها به شناسه‌های سلولی (Cell ID) مشخص کنه.
به دولت‌ها کمک کنه تا کاربرانی که از ابزارهای دور زدن سانسور استفاده می‌کنن یا به وب‌سایت‌های خاصی دسترسی دارن رو شناسایی کنن.
افرادی که قبل از مسدود شدن یک محتوا به اون دسترسی داشتن رو شناسایی کنه.

۴. زودیاک شبکه (Network Zodiac)

Network Zodiac یا (Nezha)یک سیستم برای نظارت بر بقیه اجزای این پلتفرمه، چیزی شبیه به ابزار معروف Grafana. اما یک ویژگی قابل توجه داره که اون رو از بقیه متمایز می‌کنه: یک ترمینال وب یکپارچه که به مدیران شبکه اجازه می‌ده از راه دور با استفاده از SSH به هر دستگاهی (مثلا یک نود TSG) متصل بشن. این قابلیت دسترسی مستقیم برای عیب‌یابی و مدیریت رو فراهم می‌کنه، اما یک ریسک امنیتی بزرگ هم ایجاد می‌کنه. در بدترین حالت، یک هکر با دسترسی به این سیستم می‌تونه به تمام تجهیزات امنیتی مستقر در یک کشور دسترسی پیدا کنه.

۵. فهرست سلامت (Sanity Directory – SAN)

این سیستم که با اسم «سیستم مدیریت ترافیک اعتبار کاربر» هم شناخته می‌شه، طراحی شده تا TSG رو با پروتکل‌های احراز هویت و حسابداری ISPها مثل RADIUS، 3GPP و CGNAT یکپارچه کنه. این یکپارچگی باعث می‌شه که جریان‌های ترافیک به هویت‌های واقعی افراد نسبت داده بشه. یکی از ویژگی‌های اصلی این سیستم، نسبت دادن ترافیک به یک سیم‌کارت خاصه. این کار نه تنها نظارت گسترده، بلکه نظارت خیلی هدفمند روی افراد خاص رو ممکن می‌کنه.

۶. دفاع فعال دی‌ال‌ال (DLL Active Defence)

شاید عجیب‌ترین محصولی که در داده‌های لو رفته پیدا شده، همین باشه. در نگاه اول به نظر می‌رسه این یک سیستم برای محافظت در برابر حملات DDoS باشه، اما با بررسی دقیق‌تر مشخص می‌شه که در واقع پلتفرمی برای راه‌اندازی حملات DDoS علیه وب‌سایت‌ها و سرویس‌های اینترنتیه که از نظر سیاسی نامطلوب تلقی می‌شن. این محصول به نظر پیاده‌سازی خود گیک نتورکس از «توپ بزرگ چین» (Great Cannon) هست.

این سیستم با اسکن کردن اینترنت، نقاط تقویت ترافیک مثل سرورهای DNS بازگشتی رو پیدا می‌کنه و از اونها برای حملات استفاده می‌کنه. بعد با استفاده از قابلیت تزریق کد در TSG، کامپیوترهای کاربران بی‌خبر رو برای شرکت در حمله به کار می‌گیره و یک بات‌نت ایجاد می‌کنه. این اولین نمونه تایید شده از یک شرکت امنیت سایبریه که رسما یک سرویس DDoS-for-hire به مشتریانش ارائه می‌ده.

این تکنولوژی دقیقا چه کارهایی می‌تونه انجام بده؟

حالا که با محصولات گیک نتورکس آشنا شدیم، بیایید عمیق‌تر به قابلیت‌های فنی اونها نگاه کنیم. این سیستم‌ها کارهایی فراتر از فیلتر کردن ساده انجام می‌دن.

حالت‌های استقرار: آینه‌ای در مقابل درون‌خطی

سیستم گیک نتورکس به دو روش اصلی می‌تونه مستقر بشه: حالت آینه‌ای (Mirrored) و حالت درون‌خطی (In-line).

حالت آینه‌ای (Mirrored یا Passive): در این حالت، یک کپی از داده‌ها با استفاده از یک انشعاب‌گیر شبکه (Network Tap) به دستگاه گیک فرستاده می‌شه. بسته‌های اصلی منتظر پردازش نمی‌مونن و به مسیرشون ادامه می‌دن. مزیت این حالت اینه که اگه سیستم گیک از کار بیفته، اینترنت قطع نمی‌شه و تاخیری هم در شبکه ایجاد نمی‌کنه. اما در این حالت، مشتری نمی‌تونه جلوی عبور ترافیک خاصی رو بگیره و برای مسدودسازی باید به تزریق بسته (Packet Injection) تکیه کنه.
حالت درون‌خطی (In-line یا Active): در این حالت، ترافیک باید قبل از رسیدن به مقصد، از داخل دستگاه گیک عبور کنه. مزیت این روش اینه که می‌شه به طور کامل جلوی جریان‌های ترافیک خاصی رو گرفت. این حالت معمولا توسط مشتریانی انتخاب می‌شه که کنترل مطلق می‌خوان، حتی به قیمت کاهش قابلیت اطمینان و کیفیت شبکه.

یک مقام ارشد از یک ISP در پاکستان در سال ۲۰۲۴ گفته بود که فایروال جدید از یک «شبکه درون‌خطی» استفاده می‌کنه که مثل یک ایست بازرسی عمل می‌کنه و هر بسته داده باید بازرسی بشه. اون اضافه کرده بود که استفاده از این روش «به ناچار سرعت اینترنت رو کم می‌کنه».

بازرسی عمیق بسته‌ها (Deep Packet Inspection – DPI)

این گزارش به پروتکل‌های زیادی اشاره می‌کنه که TSG می‌تونه اونها رو بازرسی کنه، از جمله HTTP، DNS، ایمیل، TLS، QUIC و SIP. این سیستم می‌تونه نام سرور (SNI) رو از ترافیک رمزگذاری شده TLS و QUIC استخراج کنه و بر اساس اون فیلترینگ انجام بده.

مدیریت ترافیک رمزگذاری شده

TSG برای تحلیل ترافیک TLS دو روش اصلی داره:

رمزگشایی کامل: با استفاده از تکنیک Man-in-the-Middle (MITM) که نیاز به نصب یک گواهی ریشه (CA) توسط مشترک داره.
تحلیل ترافیک رمزگذاری شده: با استفاده از DPI و تکنیک‌های یادگیری ماشین برای استخراج متادیتا از ترافیک رمزگذاری شده. این روش دوم بیشتر استفاده می‌شه چون برای کاربر نامرئیه و نیازی به نصب چیزی نداره. بخشی که مسئول اجرای حملات MITM هست، Tiangou Frontend Engine (TFE) نامیده می‌شه.

کاهش سرعت ترافیک (Throttling)

TSG قابلیت شکل‌دهی ترافیک (Traffic Shaping) رو داره. این یعنی به جای مسدود کردن کامل یک سرویس، می‌تونه سرعت اون رو کم کنه تا کیفیتش پایین بیاد. این کار یا به صورت مستقیم یا با استفاده از علامت‌گذاری DSCP انجام می‌شه که یک استاندارد صنعتی برای اولویت‌بندی ترافیکه.

تزریق و دستکاری ترافیک

این یکی از قابلیت‌های جدی TSG هست. این سیستم می‌تونه ترافیک رو تزریق یا دستکاری کنه. این کار می‌تونه برای مسدود کردن، آلوده کردن کاربران به بدافزار یا وادار کردن اونها به شرکت در حمله DDoS به سبک «توپ بزرگ چین» استفاده بشه. TSG می‌تونه نشست‌های HTTP رو به صورت زنده با تکنیک‌هایی مثل جعل پاسخ‌های تغییر مسیر، تغییر هدرها، تزریق اسکریپت و جایگزینی محتوای صفحات دستکاری کنه. قابلیت تزریق درون‌خطی به TSG اجازه می‌ده که کد مخرب رو به فایل‌هایی که در شبکه منتقل می‌شن تزریق کنه. اسناد گیک نتورکس به وضوح میگن که این ویژگی برای تزریق بدافزار به ترافیک اینترنت طراحی شده. این سیستم می‌تونه به صورت هوشمندانه یک کاربر خاص رو هدف قرار بده و فایل‌های مختلفی رو در لحظه تغییر بده، از جمله:

فایل‌های وب: HTML، CSS، JavaScript
فایل‌های اجرایی: APK (اندروید)، EXE (ویندوز)، DMG (مک) و RPM (لینوکس)
فایل‌های تصویری: JPG، GIF، PNG، SVG
فایل‌های آرشیو: ZIP، RAR
اسناد: PDF، JSON، XML و فایل‌های آفیس

شناسایی و مسدودسازی ابزارهای دور زدن سانسور

گیک نتورکس روش‌های پیچیده‌ای برای مقابله با وی‌پی‌ان‌ها و ابزارهای مشابه داره.

مهندسی معکوس: کارمندهای شرکت ابزارهای محبوب رو مهندسی معکوس می‌کنن تا راه‌هایی برای مسدود کردنشون پیدا کنن. یک مجموعه از اسناد، ۹ وی‌پی‌ان تجاری رو به عنوان «حل شده» لیست کرده و روش‌های مختلفی برای شناسایی و فیلتر کردن ترافیک اونها ارائه می‌ده. برای این کار از تحلیل استاتیک (دی‌کامپایل کردن کد برنامه برای پیدا کردن لیست سرورها) و تحلیل دینامیک (اجرای برنامه و تحلیل ترافیک شبکه) استفاده می‌شه.
مزرعه دستگاه‌های موبایل: گیک نتورکس یک مزرعه از دستگاه‌های موبایل داره که برنامه‌های وی‌پی‌ان روشون نصب شده تا رفتار شبکه‌شون رو در یک محیط کنترل شده مطالعه کنن. اسناد نشون می‌ده که این شرکت حتی اکانت‌های پولی وی‌پی‌ان‌های محبوب رو خریداری می‌کنه تا بتونه اونها رو تحلیل و مسدود کنه.
پایگاه داده AppSketch: این یک پایگاه داده از انگشت‌نگاری‌های شبکه برنامه‌های مختلفه، مثل سرویس‌های وی‌پی‌ان خاص. برای استخراج این انگشت‌نگاری‌ها، گیک و دانشجوهای Mesalab از یک نسخه تغییر یافته از ابزار tcpdump به اسم tcpdump_mesa استفاده می‌کنن. بعد این انگشت‌نگاری‌ها با استفاده از یکی از چهار سیستم SAPP، Stellar یا Maat به یک مجموعه قانون تبدیل می‌شن.
ردیابی کاربران وی‌پی‌ان: یک قابلیت جالب و غافلگیرکننده اینه که سیستم می‌تونه افراد خاصی رو به عنوان کاربران شناخته شده وی‌پی‌ان شناسایی کنه. وقتی این کاربران به یک سرویس وی‌پی‌ان جدید که هنوز مسدود نشده میرن، گیک نتورکس می‌تونه ترافیک اونها رو زیر نظر بگیره و از ردی که به جا می‌ذارن برای شناسایی و مسدود کردن وی‌پی‌ان جدید در آینده استفاده کنه.
مسدود کردن ترافیک ناشناس: حتی اگه TSG نتونه برنامه یا سرویس خاصی رو شناسایی کنه، می‌تونه هر جریان ترافیک پرحجم و غیرعادی رو به عنوان مشکوک علامت‌گذاری کنه و بعد از یک دوره مشخص، مثلا ۲۴ ساعت، اون رو مسدود کنه. این رفتار مشابه چیزیه که در فایروال بزرگ چین هم دیده شده.
ابزارهای خاص: گزارش‌ها به ابزارهایی برای مقابله با Tor bridges، Snowflake و WebTunnel هم اشاره می‌کنن. گیک نتورکس یک ابزار تخصصی به اسم Psiphon3-SLOK برای شمارش سرورهای Psiphon داره. استفاده از این ابزار با تغییراتی که در اتصالات Psiphon در میانمار در ماه می ۲۰۲۴ (همزمان با ورود گیک به این کشور) مشاهده شد، همخوانی داره.

مشتریان گیک نتورکس: این تکنولوژی به چه کشورهایی فروخته شده؟

اسناد فاش شده نشون می‌ده که گیک نتورکس هم در داخل چین و هم در چندین کشور دیگه فعالیت داره. برای نصب تجهیزات، کارمندهای گیک به صورت فیزیکی به محل ISP مشتری سفر می‌کنن و مستقیما با پرسنل اونجا کار می‌کنن. در اسناد، کشورها با اسم‌های رمز مشخص شدن که معمولا حرف اول اسم کشور به علاوه یک عدد دو رقمی (که همیشه با سال شروع همکاری یکی نیست) هست.

قزاقستان (اسم رمز: K18, K24)

گیک نتورکس در سال ۲۰۱۸ تاسیس شد و به نظر می‌رسه دولت قزاقستان اولین مشتری اون بوده که از سال ۲۰۱۹ همکاری رو شروع کرده. استقرار این سیستم در قزاقستان با تلاش‌های قبلی این دولت برای پیاده‌سازی TLS MITM در سطح ملی بی‌ارتباط نیست. یک تصویر از تاریخ ۱۶ اکتبر ۲۰۲۰، آدرس‌های IP یک مرکز ملی و ۱۷ شهر دیگه رو نشون می‌ده که سه محصول مختلف گیک رو اجرا می‌کنن: Bifang (مدیریت مرکزی)، Galaxy (اسم قدیمی TSG-Galaxy) و Nezha (اسم قدیمی Network Zodiac).

اتیوپی (اسم رمز: E21)

گیک در سال ۲۰۲۱ کارش رو در اتیوپی شروع کرد. یک گزارش از دسامبر ۲۰۲۲ نشون می‌ده که ژنگ چائو، مدیر ارشد فناوری گیک، کارهای انجام شده در دو مرکز داده منطقه‌ای Safaricom در آدیس آبابا رو تایید کرده. گزارش‌ها نشون می‌دن که بین تغییر حالت سیستم از آینه‌ای به درون‌خطی و آماده شدن دولت‌ها برای قطع اینترنت ارتباط وجود داره. در اتیوپی، ۱۸ تغییر به حالت درون‌خطی ثبت شده که دو مورد از اونها درست قبل از مسدودسازی شبکه‌های اجتماعی در فوریه ۲۰۲۳ در مراکز داده Safaricom انجام شده. یک تیکت پشتیبانی گیک از همون ماه هم مربوط به حل مشکل در مسدود کردن پلتفرم‌هایی مثل یوتیوب و توییتر در اتیوپی بوده.

پاکستان (اسم رمز: P19)

گیک در سال ۲۰۲۳ وارد پاکستان شد، همون سالی که شرکت Sandvine از این کشور خارج شد. عفو بین‌الملل به فایروال جدیدی که توسط گیک اداره می‌شه اسم «WMS 2.0» (سیستم مدیریت/نظارت وب نسخه ۲) داده. حضور گیک در پاکستان با گزارش‌های قبلی درباره نقش چین در ساخت فایروال ملی این کشور مطابقت داره. حرف‌های یک مدیر ارشد ISP در پاکستان در مصاحبه با الجزیره، شباهت زیادی به متون بازاریابی گیک داره. اون گفته بود که سیستم جدید نه تنها در دروازه‌های ورودی اینترنت کشور، بلکه در مراکز داده محلی ارائه‌دهندگان خدمات موبایل و ISPها هم مستقر می‌شه تا بتونه ترافیک محلی رو هم نظارت کنه.

در پاکستان، از سال ۲۰۱۵ هر سیم‌کارت جدیدی که صادر می‌شه باید به نام یک کاربر خاص ثبت و به اطلاعات بیومتریک مثل اثر انگشت که در سازمان ملی ثبت و پایگاه داده (NADRA) ثبت شده، مرتبط بشه. سیستم Sanity Directory گیک هم دقیقا قابلیت نسبت دادن ترافیک شبکه به یک سیم‌کارت خاص رو داره. همچنین حداقل یک تیکت پشتیبانی جیرا نشون‌دهنده ضبط متن ایمیل‌های رد و بدل شده بین یک شرکت حمل و نقل جهانی و یک شرکت پاکستانیه.

میانمار (اسم رمز: M22)

میانمار از این جهت مهمه که اولین باری بود که کار گیک نتورکس در یک کشور خارجی به صورت عمومی فاش شد. اسناد لو رفته نشون می‌ده که تجهیزات گیک در مراکز داده تمام ISPهای دولتی و خصوصی این کشور نصب شده، از جمله چهار ISP بزرگ MyTel، Ooredoo، MPT و ATOM و همچنین شرکت‌های کوچکتری مثل Frontiir، Global Technology Group و Campana. این در حالیه که سخنگوی Frontiir قبلا گفته بود که این شرکت هرگز هیچ پروژه نظارتی رو روی شبکه‌اش «ساخته، برنامه‌ریزی یا طراحی» نکرده.

اسناد همچنین شامل لیست بلندبالایی از برنامه‌ها و وی‌پی‌ان‌هاییه که دولت میانمار قصد مسدود کردنشون رو داشته. این لیست از لیست‌های مشابه در کشورهای دیگه مثل اتیوپی یا قزاقستان طولانی‌تره و شامل ۵۵ برنامه با اولویت بالا برای مسدودسازی، از جمله اپ‌های پیام‌رسان Signal و WhatsApp می‌شه.

مشتری ناشناس (اسم رمز: A24)

یکی از مشتریان گیک فقط با اسم رمز A24 شناخته می‌شه. در زمان افشای اسناد، رابطه تجاری بین اونها در مراحل اولیه بوده. هیچ اطلاعاتی که هویت این مشتری رو مشخص کنه در اسناد وجود نداره و تنها سرنخ‌ها حرف اول A و سال ۲۰۲۴ هستن. به نظر می‌رسه در این مرحله، دو استقرار آزمایشی از تجهیزات گیک، یکی در حالت آینه‌ای و دیگری در حالت درون‌خطی، برای روشن شدن تفاوت این دو حالت برای مشتری انجام شده. بعضی‌ها در فروم‌های آنلاین حدس می‌زنن که این کشور ممکنه نپال باشه، چون چین به کنترل کشورهای همسایه‌اش علاقه داره و نپال هم اخیرا با ممنوع کردن شبکه‌های اجتماعی یک چرخش اقتدارگرایانه داشته. اما این فقط یک حدسه و در اسناد تایید نشده.

فایروال‌های منطقه‌ای در خود چین

علاوه بر مشتریان بین‌المللی، اسناد نشون می‌ده که گیک نتورکس در حال ساخت فایروال‌های استانی در خود چینه که فایروال بزرگ ملی رو تکمیل می‌کنن. این فایروال‌های منطقه‌ای در استان‌های سین‌کیانگ، فوجیان و جیانگ‌سو شناسایی شدن.

سین‌کیانگ (اسم رمز: J24)

اسناد به وضوح میگن که فایروال منطقه‌ای در سین‌کیانگ قراره به عنوان یک الگو برای استقرار در سطح ملی در چین عمل کنه. یادداشت‌هایی از یک سخنرانی در ۲۲ ژوئن ۲۰۲۴ در شعبه سین‌کیانگ آکادمی علوم چین وجود داره که در اون گفته شده پروژه گیک «قصد داره این مرکز منطقه‌ای رو به یک نیروی پیشگام ضد تروریسم، به ویژه در سرکوب دور زدن [سانسور]، تبدیل کنه». در این یادداشت‌ها ذکر شده که «فایروال ملی در حال تکامل از یک مدل متمرکز به یک مدل توزیع‌شده است» و مرکز منطقه‌ای سین‌کیانگ می‌خواد «به یک الگو برای ساخت فایروال‌های استانی تبدیل بشه که بشه از اون در جاهای دیگه الگوبرداری کرد».

نیازمندی‌های پروژه J24 در سین‌کیانگ نشون‌دهنده نظارت شدید و تهاجمیه:

تحلیل رفتار اینترنتی، الگوهای سبک زندگی و روابط کاربران.
ساختن نمودارهای روابط بر اساس افرادی که یک هدف با اونها در ارتباطه.
گروه‌بندی افراد بر اساس برنامه‌هایی که استفاده می‌کنن یا وب‌سایت‌هایی که بازدید می‌کنن.
بررسی اینکه چه کاربرانی به دکل‌های مخابراتی خاصی متصل هستن برای مثلث‌سازی موقعیت مکانی.
تشخیص زمانی که تعداد زیادی از مردم در یک منطقه خاص جمع می‌شن.
ایجاد حصارهای جغرافیایی (Geofences) که با ورود افراد خاص به یک منطقه مشخص، هشدار ایجاد می‌کنه.
شناسایی افرادی که به طور مکرر سیم‌کارت عوض می‌کنن، با شماره‌های بین‌المللی تماس می‌گیرن یا از ابزارهای دور زدن سانسور و شبکه‌های اجتماعی خارجی استفاده می‌کنن.

فوجیان و جیانگ‌سو

اسنادی وجود داره که نشون می‌ده گیک نتورکس یک پروژه آزمایشی مشابه برای یک فایروال استانی در فوجیان، استانی در سواحل تایوان، در سال ۲۰۲۲ شروع کرده. اطلاعات درباره این پروژه محدودتره و با اسم «پروژه فوجیان» به اون اشاره شده. چندین سند هم به پروژه‌ای در جیانگ‌سو، یک استان ساحلی در شرق چین، اشاره می‌کنن. انگیزه همکاری با مقامات محلی، یعنی اداره امنیت عمومی استان جیانگ‌سو (JPSB)، مبارزه با کلاهبرداری‌های اینترنتی اعلام شده. یک محیط تست اولیه به اسم Jiangsu Nanjing در فوریه ۲۰۲۳ عملیاتی شده و به نظر می‌رسه پروژه ضد کلاهبرداری جیانگ‌سو تا ۱۵ مارس ۲۰۲۴ وارد فاز تولید شده.

شبکه همکاری‌های بین‌المللی

فعالیت‌های گیک نتورکس فقط به فروش مستقیم محدود نمی‌شه. این شرکت با شرکت‌های دیگه‌ای هم در ارتباط بوده، چه به صورت مستقیم و چه غیرمستقیم.

Sandvine (اکنون Applogic Networks): این شرکت کانادایی قبلا به پاکستان سیستمی برای مسدود کردن وب‌سایت‌ها فروخته بود. در سال ۲۰۲۳، این شرکت که حالا Applogic Networks نامیده می‌شه، از پاکستان خارج شد اما ظاهرا حداقل بخشی از سخت‌افزارهای خودش رو در اونجا جا گذاشت. تحقیقات نشون می‌ده که گیک نتورکس از این سخت‌افزارها، حداقل در ابتدا، دوباره استفاده کرده. Applogic در بیانیه‌ای گفته که از این موضوع اطلاعی نداشته و سخت‌افزارهای باقی‌مونده تجهیزات معمولی بودن که قابلیت خاصی نداشتن.
Thales Group (فرانسه): این شرکت فرانسوی نرم‌افزاری برای مدیریت لایسنس می‌فروشه. گیک نتورکس از این نرم‌افزار برای کنترل محصولاتی که می‌فروخت استفاده می‌کرده. این بهشون اجازه می‌داده که کارایی نرم‌افزار رو برای یک دوره زمانی محدود کنن. گروه تالس تایید کرده که شرکت چینی یکی از مشتریانش بوده اما گفته نرم‌افزار گیک برای کار کردن به محصول فرانسوی وابسته نیست و اونها هیچ ارتباطی با نظارت ندارن.
سرور آلمانی: گیک نتورکس ظاهرا از یک سرور در آلمان برای توزیع نرم‌افزارش بین مشتریان از طریق لینک‌های دانلود استفاده می‌کرده. انگیزه‌های این کار مشخص نیست، اما گفته می‌شه که فایروال چین دسترسی به وب‌سایت‌های چینی از خارج رو به طور فزاینده‌ای سخت می‌کنه.
شرکت‌های غربی دیگر: گیک نتورکس اولین شرکتی نیست که چنین تکنولوژی‌هایی رو می‌فروشه. شرکت‌های غربی هم در این بازار فعال بودن. مثلا در سال ۲۰۱۵، سازمان Privacy International فاش کرد که پاکستان از تکنولوژی‌های نظارتی شرکت‌های آلمانی استفاده می‌کنه. طبق گزارش‌های رسانه‌ای، یکی از این شرکت‌ها به اسم Utimaco، در میانمار هم فعال بوده.

نگاهی به سورس‌کدها و آینده تحلیل‌ها

یکی از مهمترین بخش‌های این افشاگری، فایل mesalab_git.tar.zst به حجم ۶۴ گیگابایته که به نظر می‌رسه شامل مخازن سورس‌کد گیک و MESA همراه با تاریخچه کامل کامیت‌هاست. تا به امروز، هیچکدوم از گزارش‌ها به صورت عمیق این سورس‌کدها رو بررسی نکردن، پس هنوز چیزهای زیادی برای مطالعه و یادگیری وجود داره. این فایل‌ها به صورت بسته‌های گیت (Git bundles) هستن و می‌شه اونها رو مثل یک مخزن معمولی کلون کرد. نگاهی به لیست فایل‌های داخل این آرشیو، گستردگی پروژه‌ها رو نشون می‌ده. اسم‌هایی مثل vpn_access، quic-block، maat، tsg-deploy و obfs4_meek_snowflake فقط بخش کوچکی از این گنجینه اطلاعاتی هستن. تحلیل این کدها می‌تونه جزئیات فنی دقیق‌تری از نحوه کار این سیستم‌ها رو آشکار کنه.

این افشاگری تصویری از یک شرکت ارائه می‌ده که نه تنها در داخل مرزهای خودش به توسعه ابزارهای کنترل اینترنت مشغوله، بلکه این تکنولوژی رو به عنوان یک محصول صادراتی به کشورهای دیگه هم عرضه می‌کنه. اسناد نشون می‌ده که این شرکت چطور با همکاری نزدیک با یک آزمایشگاه تحقیقاتی، جدیدترین روش‌ها رو برای نظارت، سانسور و حتی حمله در فضای سایبری توسعه می‌ده و در اختیار مشتریان دولتی خودش قرار می‌ده.

منابع

[2] Index of /geedge/
[4] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
[6] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
[8] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs

[1] Two Major Leaks Illuminate Censorship and Surveillance Sales Into and From China
[3] Leak Shows How a Chinese Company Is Exporting the Great Firewall to the World | Hacker News
[5] Geedge & MESA Leak: Analyzing the Great Firewall’s Largest Document Leak
[7] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
[9] Geedge Networks – Enlace Hacktivista

شهریور 22, 1404

Oblivious DNS over HTTPS (ODoH)؛ حریم خصوصی بیشتر در DNS

وقتی شما می‌خواید یه سایتی مثل cloudflare.com رو باز کنید، کامپیوتر شما که آدرس عددی یا همون IP اون سایت رو بلد نیست. پس یه سوال از یه سرور مخصوص به اسم DNS Resolver می‌پرسه. این سوال اینه: «هی، آدرس cloudflare.com چنده؟». اون سرور هم جواب میده و کامپیوتر شما با اون آدرس به سایت وصل میشه.

حالا مشکل کجاست؟ در حالت عادی و قدیمی، این سوال و جواب‌ها بدون هیچ رمزنگاری و به صورت متن ساده فرستاده میشن. یعنی هر کسی وسط راه شما و اون سرور DNS باشه (مثلا شرکت اینترنتی شما یا همون ISP) می‌تونه ببینه شما دارید آدرس چه سایتی رو می‌پرسید. این یعنی هم می‌فهمن شما کی هستی (چون IP شما رو دارن) و هم می‌فهمن دنبال چه سایتی می‌گردی. این قضیه یه حفره بزرگ حریم خصوصی به حساب میاد.

برای حل این مشکل، پروتکل‌هایی مثل DNS over HTTPS (DoH) و DNS over TLS (DoT) به وجود اومدن. کار اینا اینه که همون سوال و جواب‌ها رو رمزنگاری می‌کنن. اینجوری دیگه کسی وسط راه نمی‌تونه بفهمه شما چی می‌پرسید. خیلی هم عالیه و الان مرورگرهایی مثل فایرفاکس و سیستم‌عامل iOS ازش پشتیبانی می‌کنن.

اما هنوز یه مسئله‌ای هست. با اینکه سوال شما رمزنگاری شده، ولی بالاخره به دست اون سرور DNS Resolver (مثلا سرور 1.1.1.1 کلاودفلر) می‌رسه. اون سرور برای اینکه بهتون جواب بده، باید سوال شما رو باز کنه. پس اون سرور هم IP شما رو می‌بینه و هم سوال شما رو. یعنی یه نهاد واحد (همون شرکت صاحب DNS Resolver) هنوز می‌تونه بفهمه که یک IP مشخص، دنبال چه سایت‌هایی بوده. درسته که شرکت‌هایی مثل کلاودفلر سیاست‌های حفظ حریم خصوصی سفت و سختی دارن و میگن این اطلاعات رو نگه نمی‌دارن، ولی بعضی‌ها ترجیح میدن به جای اعتماد به سیاست‌نامه‌ها، یه راهکار فنی داشته باشن که این امکان رو از پایه بگیره.

ورود ODoH: راهکاری برای جدا کردن سوال از هویت

اینجاست که Oblivious DNS over HTTPS (ODoH) وارد میدون میشه. ODoH یه استاندارد جدیده که مهندس‌هایی از شرکت‌های کلاودفلر، اپل و فستلی (Cloudflare, Apple, and Fastly) روی اون کار کردن. ایده اصلیش خیلی ساده‌ست: جدا کردن آدرس IP شما از سوالی که می‌پرسید، طوری که هیچ نهاد واحدی نتونه هر دو رو با هم ببینه.

این پروتکل از اواخر سال ۲۰۲۰ توسط سرویس 1.1.1.1 کلاودفلر پشتیبانی میشه. حتی سرویس iCloud Private Relay اپل هم بر پایه ODoH کار می‌کنه و کلاودفلر یکی از شرکای اون‌هاست.

ODoH چطوری کار می‌کنه؟

برای اینکه ODoH کار کنه، دو تا بازیگر جدید بین شما (کلاینت) و اون سرور اصلی DNS (که بهش میگیم Resolver) اضافه میشن: یه پراکسی (Proxy) و یه هدف (Target).

بذارید نقش هر کدوم رو توضیح بدم:

کلاینت (Client): این همون دستگاه شماست (کامپیوتر، موبایل). قبل از اینکه سوال DNS رو بفرسته، اون رو با استفاده از کلید عمومیِ «هدف» رمزنگاری می‌کنه.
پراکسی (Proxy): کلاینت شما اون بسته رمزنگاری شده رو مستقیم برای سرور DNS نمی‌فرسته. اول می‌فرستدش برای پراکسی. پراکسی مثل یه واسطه عمل می‌کنه. بسته رو از شما می‌گیره و برای «هدف» می‌فرسته. نکته مهم اینه که پراکسی هیچ دیدی به محتوای بسته شما نداره، چون رمزنگاری شده. پس نمی‌تونه سوال شما رو بخونه یا تغییرش بده. پراکسی فقط IP شما رو می‌بینه.
هدف (Target): این همون سروریه که قراره به سوال شما جواب بده. بسته رمزنگاری شده رو از پراکسی تحویل می‌گیره. چون کلید خصوصی رو داره، می‌تونه بسته رو باز کنه و سوال شما رو بخونه. اما نکته مهم اینه که «هدف» دیگه IP اصلی شما رو نمی‌بینه! فقط IP پراکسی رو می‌بینه. بعد از اینکه جواب رو پیدا کرد، جواب رو هم رمزنگاری می‌کنه و پس می‌فرسته برای پراکسی.
بازگشت جواب: پراکسی جواب رمزنگاری شده رو می‌گیره و برای شما می‌فرسته. شما هم با کلیدی که دارید، جواب رو باز می‌کنید.

پس نتیجه چی میشه؟

پراکسی می‌دونه شما (IP شما) یه درخواستی داشتید، ولی نمی‌دونه درخواستتون چی بوده.
هدف می‌دونه یه درخواستی برای یه سایت مشخص اومده، ولی نمی‌دونه این درخواست از طرف کی بوده (فقط IP پراکسی رو می‌بینه).

تا زمانی که پراکسی و هدف با هم تبانی نکنن و اطلاعاتشون رو به هم ندن، هیچ‌کس به تنهایی نمی‌تونه هم به هویت شما (IP) و هم به سوال DNS شما دسترسی داشته باشه. این یعنی حریم خصوصی شما با یه تضمین فنی حفظ میشه.

نکته جالب اینه که کلاینت‌ها کنترل کامل روی انتخاب پراکسی و هدف دارن. یعنی شما می‌تونید هر پراکسی و هدفی که دوست دارید رو انتخاب کنید و هر وقت خواستید تغییرشون بدید.

رمزنگاری اضافه و کلیدها از کجا میان؟

شاید بپرسید مگه DoH خودش رمزنگاری HTTPS/TLS نداشت؟ پس این رمزنگاری اضافه برای چیه؟ سوال خوبیه. ببینید، ما اینجا دو تا اتصال TLS جدا داریم: یکی بین شما و پراکسی، و یکی بین پراکسی و هدف. اگه فقط به همون TLS اکتفا می‌کردیم، پراکسی وقتی بسته رو از شما می‌گرفت و می‌خواست برای هدف بفرسته، محتوای DNS شما براش مشخص میشد.

برای همین ODoH یه لایه رمزنگاری اضافه از نوع کلید عمومی هیبریدی (Hybrid Public Key Encryption – HPKE) روی خود پیام DNS می‌کشه. این رمزنگاری سرتاسری بین شما و «هدف» انجام میشه و پراکسی رو کاملا دور می‌زنه.

حالا سوال بعدی: شما کلید عمومیِ «هدف» رو از کجا پیدا می‌کنید؟ این کلید از طریق خود DNS به دست میاد. در یک رکورد خاص به اسم HTTPS resource record قرار می‌گیره و با استفاده از DNSSEC هم امنیتش تضمین میشه که کسی نتونه یه کلید جعلی به شما بده.

شرکای ODoH چه کسانی هستن؟

کلاودفلر برای راه‌اندازی این سرویس با چند تا شرکت پیشرو که به حریم خصوصی اهمیت میدن همکاری کرده. چون یکی از اجزای اصلی ODoH، پراکسیه، این شرکت‌ها به عنوان شرکای پراکسی فعالیت می‌کنن. بعضی از این شرکا عبارتند از: PCCW، SURF و Equinix.

بیانیه‌هایی هم از طرف این شرکت‌ها منتشر شده:

مایکل گلین از PCCW Global گفته: «ODoH یه مفهوم انقلابی جدیده که برای قرار دادن حریم خصوصی کاربر در مرکز همه چیز طراحی شده… این مدل برای اولین بار پراکسی کلاینت رو به طور کامل از رزولورها جدا می‌کنه».

جوست ون دایک از SURF گفته: «ما با کلاودفلر برای پیاده‌سازی حریم خصوصی بهتر کاربر از طریق ODoH همکاری می‌کنیم. حرکت به سمت ODoH یک تغییر پارادایم واقعیه، جایی که حریم خصوصی یا آدرس IP کاربر در معرض دید هیچ ارائه‌دهنده‌ای قرار نمی‌گیره و منجر به حریم خصوصی واقعی میشه».

آیا ODoH سرعت اینترنت رو کم می‌کنه؟

خب هر وقت یه لایه رمزنگاری و یه واسطه (پراکسی) به یه فرآیندی اضافه میشه، اولین نگرانی بحث سرعته. کلاودفلر و همکارانش اندازه‌گیری‌های زیادی روی این موضوع انجام دادن.

هزینه رمزنگاری اضافه: بررسی‌ها نشون داده که خود فرآیند رمزنگاری و رمزگشایی اضافه با HPKE خیلی ناچیزه. برای ۱۰ هزار دامنه مختلف این تست انجام شده و هزینه اضافه در صدک ۹۹ کمتر از ۱ میلی‌ثانیه بوده.
تاثیر کلی روی سرعت: برای اینکه تاثیر کلی رو بسنجن، اومدن زمان پاسخ به کوئری‌های DNS رو در سه حالت مقایسه کردن:

DoH معمولی و مستقیم
ODoH (با پراکسی)
DoH روی شبکه Tor (به عنوان یه راهکار دیگه برای حفظ حریم خصوصی)

نتایج روی یه نمودار توزیع تجمعی نشون داده شد. اگه بخوایم ساده بگیم، نتایج این بود:

نوع اتصال	زمان پاسخ در ۵۰٪ مواقع (میانه)
DoH معمولی	کمتر از ۱۴۶ میلی‌ثانیه
ODoH	کمتر از ۲۲۸ میلی‌ثانیه
DoH روی Tor	خیلی بیشتر (در نمودار مشخصه که کندتره)

این اعداد میگن که در نصف مواقع، استفاده از ODoH باعث یه تاخیر کمتر از ۱۰۰ میلی‌ثانیه نسبت به DoH معمولی میشه. در مقایسه با راهکارهای حفظ حریم خصوصی دیگه مثل Tor، سرعت ODoH خیلی بهتره و زمان پاسخ رو تقریبا نصف می‌کنه. این خیلی نکته مهمیه، چون معمولا بین حریم خصوصی و سرعت یه بده‌بستان وجود داره، ولی اینجا بهبود قابل توجهی دیده میشه.

یه نکته جالب دیگه توی این اندازه‌گیری‌ها این بود که انتخاب پراکسی و هدف با کمترین تاخیر (latency)، همیشه بهترین نتیجه رو نمیده. حتی در مواردی انتخاب پراکسی با کمترین تاخیر، عملکرد رو بدتر کرده! البته این اندازه‌گیری‌ها بیشتر در آمریکای شمالی انجام شده و باید دید در سطح جهانی عملکرد چطور خواهد بود.

نظرات و بحث‌های مختلف در مورد ODoH

مثل هر تکنولوژی جدید دیگه‌ای، در مورد ODoH هم بحث‌ها و نظرات متفاوتی وجود داره. بعضی از کاربرها و متخصص‌ها توی فروم‌ها و شبکه‌های اجتماعی مثل ردیت (Reddit) دیدگاه‌های جالبی مطرح کردن:

نگرانی در مورد اعتماد: یه عده میگن که قبلا باید به ISP خودمون اعتماد می‌کردیم، بعد با DoH باید به یه شرکت سوم مثل کلاودفلر یا گوگل اعتماد می‌کردیم، و حالا با ODoH باید هم به کلاودفلر (به عنوان هدف) و هم به یه شرکت پراکسی مثل PCCW یا Equinix اعتماد کنیم که با هم تبانی نمی‌کنن. سوال اصلی اینه که «چه کسی از نگهبانان، نگهبانی می‌کنه؟» و چطور می‌تونیم مطمئن باشیم این شرکت‌ها با هم همکاری نمی‌کنن. یه کاربری گفته: «فکر کنم بیشتر به Quad9 اعتماد دارم تا به کلاودفلر به اضافه یه پراکسی از شرکتی که اسمش رو هم نشنیدم».
مشاهده ترافیک توسط ISP: یه دیدگاه خیلی مهم دیگه اینه که حتی اگه شما از ODoH استفاده کنید و سوال DNS شما مخفی بمونه، ISP شما هنوز می‌تونه ببینه که شما به چه آدرس IP وصل میشید. یعنی بعد از اینکه آدرس سایت رو به صورت مخفیانه گرفتید، برای وصل شدن به اون سایت، باید یه درخواست به IP اون بفرستید. این درخواست دیگه مخفی نیست و ISP شما می‌تونه با دیدن IP مقصد بفهمه شما دارید به کدوم سایت سر می‌زنید. پس ODoH جلوی جمع‌آوری اطلاعات توسط وب‌سایت مقصد یا ISP رو به طور کامل نمی‌گیره.
راهکار جایگزین: بعضی‌ها معتقدن یه راهکار خصوصی‌تر اینه که کلا شرکت‌های سوم رو حذف کنیم و خودمون یه Recursive Resolver راه‌اندازی کنیم (مثلا با استفاده از نرم‌افزارهایی مثل Unbound یا BIND). اینطوری دیگه اطلاعات DNS ما دست هیچ شرکتی نمیفته.
آیا می‌تونم پراکسی خودم رو داشته باشم؟ یه سوال جالب این بود که «آیا می‌تونم پراکسی ODoH خودم رو راه‌اندازی کنم؟». جواب این بود که از نظر فنی بله، ولی اگه فقط شما از اون پراکسی استفاده کنید، هدف اصلی که مخفی شدن بین کلی کاربر دیگه هست از بین میره و باز هم قابل ردیابی میشید.
ODoH به عنوان یک استاندارد نوظهور: بعضی کاربرها هم از دیدن گزینه ODoH در تنظیمات روترهای جدید مثل Flint 2 خوشحال و متعجب شدن، چون ODoH هنوز یه استاندارد خیلی جدیده و هنوز به صورت گسترده پیاده‌سازی نشده.

چطور می‌تونیم ODoH رو امتحان کنیم؟

کلاودفلر کدهای مربوط به ODoH رو به صورت متن‌باز (Open Source) منتشر کرده. هم پیاده‌سازی سمت سرور و هم سمت کلاینت در زبان‌های برنامه‌نویسی راست (Rust) و گو (Go) موجوده. این یعنی هر کسی می‌تونه خودش یه سرویس ODoH راه‌اندازی کنه یا با کلاینت‌های موجود اون رو تست کنه.

سرور 1.1.1.1 کلاودفلر هم آماده دریافت کوئری‌های ODoH روی آدرس odoh.cloudflare-dns.com هست.

حتی می‌تونید با یه دستور ساده مثل dig مشخصات و کلید عمومی سرویس ODoH کلاودفلر رو ببینید:

dig -t type65 +dnssec @ns1.cloudflare.com odoh.cloudflare-dns.com

علاوه بر این، ابزارهایی مثل dnscrypt-proxy هم از ODoH پشتیبانی می‌کنن و میشه از اون‌ها برای ارسال کوئری‌های ODoH استفاده کرد.

جزئیات فنی بیشتر برای کنجکاوها (بر اساس RFC 9230 و مستندات فنی)

اگه دوست دارید یه کم عمیق‌تر بشیم، بیاید به جزئیات فنی پروتکل نگاهی بندازیم. این بخش بر اساس سند رسمی RFC 9230 که ODoH رو تعریف می‌کنه و مستندات فنی دیگه هست.

ساختار پروتکل

سه بازیگر اصلی: همونطور که گفتیم، سه طرف داریم:
- Oblivious Client: کلاینتی که کوئری‌ها رو به هدف می‌فرسته، اما از طریق یه پراکسی.
- Oblivious Proxy: یه سرور HTTP که کوئری‌ها و جواب‌های رمزنگاری شده رو بین کلاینت و هدف رد و بدل می‌کنه.
- Oblivious Target: یه سرور HTTP که کوئری‌های رمزنگاری شده رو از پراکسی می‌گیره، اون‌ها رو باز می‌کنه و جواب‌های رمزنگاری شده رو برمی‌گردونه.
تبادل HTTP:
- درخواست (Request): کلاینت یه درخواست HTTP POST به آدرس پراکسی می‌فرسته. هدر Content-Type این درخواست باید application/oblivious-dns-message باشه. آدرس هدف هم توی URL درخواست به صورت متغیرهایی به اسم targethost و targetpath قرار می‌گیره.
- پاسخ (Response): هدف هم جواب رو با همین Content-Type برای پراکسی می‌فرسته و پراکسی هم بدون تغییر اون رو به کلاینت تحویل میده.
قالب پیام‌ها:
- پیام‌های ODoH (هم سوال و هم جواب) یه ساختار مشخص دارن. یه بخش اصلی به اسم dns_message دارن که خود پیام DNS توشه و یه بخش padding که برای سخت‌تر کردن تحلیل ترافیک استفاده میشه.
- این پیام بعد از رمزنگاری داخل یه ساختار دیگه قرار می‌گیره که شامل message_type (نوع پیام: سوال یا جواب)، key_id (شناسه کلید استفاده شده) و خود encrypted_message (پیام رمزنگاری شده) هست.

پیکربندی و مدیریت کلیدها در سیستم‌های پیشرفته (مثل BIG-IP)

شرکت‌هایی مثل F5 که تجهیزات شبکه تولید می‌کنن، امکان پیکربندی ODoH رو روی دستگاه‌هاشون فراهم کردن. مراحل کلی این پیکربندی به این صورته:

ساخت پروفایل HPKE: اول باید یه پروفایل برای رمزنگاری HPKE بسازید و الگوریتم‌های رمزنگاری (KEM, KDF, AEAD) رو مشخص کنید.
ساخت کلید HPKE: بعد یه کلید بر اساس اون پروفایل ساخته میشه. این کلیدها می‌تونن به صورت خودکار در بازه‌های زمانی مشخص (مثلا هر ۳۰ روز) عوض بشن (Rollover).
تعریف هدف ODoH: یه سرور مجازی به عنوان «هدف» تعریف میشه که به درخواست‌های ODoH گوش میده.
پیکربندی Listener و Wide IP: در نهایت Listener ها و رکوردهای DNS مربوطه (مثل SVCB/HTTPS) تنظیم میشن تا کلاینت‌ها بتونن کلید عمومی هدف رو پیدا کنن و درخواست‌هاشون رو بفرستن.

این سیستم‌ها حتی پیام‌های خطا و لاگ‌های مشخصی برای ODoH دارن. مثلا اگه کلیدها با هم نخونن، خطای HTTP 401 برگردونده میشه یا اگه پیام قابل رمزگشایی نباشه، خطای 400 اتفاق میفته.

پرسش و پاسخ

حالا بریم سراغ چند تا سوال که ممکنه براتون پیش اومده باشه.

سوال ۱: پس ODoH همون DoH هست که فقط یه واسطه (پراکسی) بهش اضافه شده؟

نه دقیقا. علاوه بر اضافه شدن پراکسی، یه لایه رمزنگاری اضافه هم روی خود پیام DNS کشیده میشه (با استفاده از HPKE). این رمزنگاری اضافه خیلی مهمه، چون باعث میشه خود پراکسی هم نتونه محتوای درخواست شما رو ببینه. اگه این لایه اضافه نبود، پراکسی می‌تونست هم IP شما رو ببینه و هم درخواست شما رو، و کل هدف پروتکل از بین می‌رفت.

سوال ۲: اگه ISP من هنوز می‌تونه ببینه به چه IP وصل میشم، پس فایده ODoH چیه؟

این نکته خیلی مهمیه. ODoH از این جلوگیری می‌کنه که یک نهاد واحد (مثل یه شرکت ارائه دهنده DNS) بتونه یه پروفایل کامل از تاریخچه وب‌گردی شما بر اساس درخواست‌های DNS بسازه. درسته که ISP شما هنوز می‌بینه به چه IP هایی وصل میشید، ولی دیگه نمی‌تونه به راحتی و با نگاه کردن به لاگ‌های DNS، لیست تمام سایت‌هایی که شما حتی فقط اسمشون رو چک کردید (ولی شاید بهشون سر نزدید) رو در بیاره. ODoH یه لایه مهم به حریم خصوصی اضافه می‌کنه، ولی یه راهکار کامل برای ناشناس بودن در اینترنت نیست.

سوال ۳: آیا ODoH کند نیست؟

طبق اندازه‌گیری‌های اولیه، ODoH یه مقدار کمی تاخیر نسبت به DoH معمولی داره (حدود ۸۰ تا ۱۰۰ میلی‌ثانیه در نصف مواقع). ولی در مقایسه با راهکارهای حفظ حریم خصوصی دیگه مثل استفاده از شبکه Tor برای ارسال کوئری‌های DNS، خیلی سریع‌تره. پس یه بده‌بستان منطقی بین افزایش حریم خصوصی و یه مقدار کاهش سرعت وجود داره.

سوال ۴: من باید به کی اعتماد کنم؟ به ISP خودم یا به کلاودفلر و یه شرکت پراکسی که نمی‌شناسم؟

این دقیقا سوال اصلیه. ایده ODoH اینه که شما مجبور نباشید به یک نفر به طور کامل اعتماد کنید. شما دارید اعتمادتون رو بین دو نهاد مجزا (پراکسی و هدف) تقسیم می‌کنید. فرض پروتکل اینه که این دو با هم همکاری و تبانی نمی‌کنن. انتخاب اینکه این مدل برای شما بهتره یا اعتماد به یک نهاد مثل ISP یا حتی راه‌اندازی سرور شخصی، یه تصمیم شخصیه و به سطح نگرانی شما از حریم خصوصی بستگی داره.

سوال ۵: آیا من می‌تونم همین الان از ODoH استفاده کنم؟

بله. شما می‌تونید از نرم‌افزارهایی مثل dnscrypt-proxy استفاده کنید که از ODoH پشتیبانی می‌کنن. همچنین اگه از سرویس iCloud Private Relay اپل استفاده می‌کنید، شما در حال حاضر دارید از یه تکنولوژی مبتنی بر ODoH بهره می‌برید. با گذشت زمان، انتظار میره پشتیبانی از این پروتکل در سیستم‌عامل‌ها و مرورگرهای بیشتری به صورت پیش‌فرض فعال بشه.

منابع

[2] Oblivious DNS over HTTPS · Cloudflare 1.1.1.1 docs
[4] RFC 9230 – Oblivious DNS over HTTPS
[6] Oblivious DNS: Plugging the Internet’s Biggest Privacy Hole – CITP Blog
[8] Oblivious DoH : Enhanced DNS Privacy
[10] Oblivious HTTP (OHTTP) explained | Mozilla Support

[1] Improving DNS Privacy with Oblivious DoH in 1.1.1.1
[3] Configuring Oblivious DNS Over HTTP (ODoH) protocol
[5] Cloudflare and Apple design a new privacy-friendly DNS protocol – Oblivious DNS-over-HTTPS (ODoH) : r/pihole
[7] Oblivious DNS | Proceedings of the 2019 Applied Networking Research Workshop
[9] Oblivious DNS (ODoH) – does it work? – Routers / VPN, DNS, Leaks – GL.iNet

مرداد 30, 1404

امنیت ابری یا کلاد، از مفاهیم تا کاربردها

وقتی میگیم امنیت ابری، منظورمون یه مجموعه بزرگ از استراتژی‌ها، تکنولوژی‌ها و سیاست‌هاست که برای محافظت از داده‌ها، برنامه‌ها و زیرساخت‌هایی که روی ابر (Cloud) میزبانی میشن، طراحی شده. امروز خیلی از سازمان‌ها برای ذخیره و مدیریت اطلاعات مهم کاریشون به رایانش ابری وابسته شدن و به همین دلیل، تامین امنیت این محیط‌ها یکی از اولویت‌های اصلیشون شده. امنیت ابری شامل ابزارها، سیاست‌ها و کنترل‌های مختلفیه که از سیستم‌های مبتنی بر ابر در برابر دسترسی‌های غیرمجاز، نشت اطلاعات و تهدیدهای سایبری جدید محافظت میکنه.

قبل از هر چیزی، بیاید خود «رایانش ابری» رو تعریف کنیم. رایانش ابری که معمولا بهش میگن «ابر»، یعنی ارائه خدمات کامپیوتری مثل سرور، فضای ذخیره‌سازی، پایگاه داده و نرم‌افزار از طریق اینترنت و بر اساس نیاز کاربر. این مدل به کسب‌وکارها اجازه میده که خیلی سریع رشد کنن، هزینه‌های فناوری اطلاعاتشون رو کم کنن و انعطاف‌پذیری بیشتری داشته باشن. اما خب، استفاده بیشتر از خدمات ابری، چالش‌های امنیتی جدیدی هم با خودش میاره؛ مثلا مدیریت دسترسی‌ها یا حفظ حریم خصوصی داده‌ها توی محیط‌های پیچیده چندابری یا ترکیبی.

اهداف اصلی امنیت ابری اینها هستن:

محافظت از حریم خصوصی داده‌ها: یعنی مطمئن بشیم که اطلاعات حساس، هم موقعی که دارن منتقل میشن و هم وقتی که ذخیره شدن، امن باقی میمونن.
مدیریت امنیت چندابری: رسیدگی به چالش‌های امنیتی خاصی که موقع استفاده از چند تا ارائه‌دهنده خدمات ابری (CSP) مختلف به وجود میاد.
کنترل دسترسی: محدود کردن دسترسی به محیط‌های ابری و اطمینان از اینکه فقط کاربرها، دستگاه‌ها و برنامه‌های مجاز میتونن با ابر تعامل داشته باشن.

سازمان‌ها با پیاده‌سازی اقدامات امنیتی قوی، میتونن با خیال راحت از مزایای رایانش ابری استفاده کنن و در عین حال، ریسک‌ها رو به حداقل برسونن و با استانداردها و مقررات صنعتی هم هماهنگ باشن.

مدل‌های مختلف پیاده‌سازی ابر و امنیتشون

رایانش ابری رو میشه به چند روش مختلف پیاده‌سازی کرد که هر کدوم نگرانی‌ها و بهترین روش‌های امنیتی خودشون رو دارن. شناختن این مدل‌های پیاده‌سازی، یعنی ابر عمومی، خصوصی، ترکیبی و چندابری، برای ساختن یه استراتژی امنیتی قوی خیلی مهمه.

ابر عمومی (Public Cloud)

ابر عمومی توسط ارائه‌دهنده‌های خدمات ابری شخص ثالث مثل Amazon Web Services (AWS)، Microsoft Azure و Google Cloud مدیریت و اداره میشه. توی این مدل، خدمات و منابع بین چندین سازمان از طریق اینترنت به اشتراک گذاشته میشن. محیط‌های ابر عمومی به خاطر مقیاس‌پذیری و به‌صرفه بودنشون خیلی محبوبن، اما چالش‌های امنیتی خاص خودشون رو هم دارن.

نگرانی‌های امنیتی: ماهیت اشتراکی ابر عمومی میتونه ریسک‌ها رو بیشتر کنه، مثلا خطر نشت داده یا تنظیمات امنیتی اشتباه. از اونجایی که ارائه‌دهنده ابر بخش زیادی از زیرساخت رو مدیریت میکنه، سازمان‌ها باید روی امن کردن داده‌ها و برنامه‌های خودشون توی این محیط تمرکز کنن.
بهترین روش‌ها: استفاده از رمزنگاری، مدیریت هویت و دسترسی (IAM) و احراز هویت چندعاملی (MFA) برای محافظت از داده‌های حساس و اطمینان از اینکه فقط کاربرهای مجاز دسترسی دارن.

ابر خصوصی (Private Cloud)

ابر خصوصی فقط به یه سازمان اختصاص داده شده و کنترل بیشتری روی داده‌ها، امنیت و انطباق با مقررات فراهم میکنه. این مدل میتونه به صورت محلی (On-premises) یا توسط یه ارائه‌دهنده شخص ثالث میزبانی بشه، ولی همیشه از بقیه کاربرها جداست. این مدل برای سازمان‌هایی که الزامات قانونی سختگیرانه‌ای دارن، مثل بخش‌های بهداشت و درمان یا مالی، ایده‌آله.

نگرانی‌های امنیتی: با اینکه ابرهای خصوصی امنیت و کنترل بیشتری دارن، ولی هزینه‌هاشون بالاتره و برای محافظت در برابر تهدیدهای داخلی، به مدیریت عمیق‌تری نیاز دارن.
بهترین روش‌ها: پیاده‌سازی کنترل‌های دسترسی قوی، ممیزی‌های امنیتی منظم و استفاده از تکنولوژی‌های جلوگیری از نشت داده (DLP) برای اطمینان از یکپارچگی داده‌ها و انطباق با استانداردهایی مثل HIPAA یا PCI DSS.

ابر ترکیبی (Hybrid Cloud)

ابر ترکیبی مزایای محیط‌های ابر عمومی و خصوصی رو با هم ترکیب میکنه و به سازمان‌ها اجازه میده که ضمن حفظ امنیت برای بارهای کاری حساس، عملیات خودشون رو مقیاس‌پذیر کنن. مثلا یه سازمان ممکنه برنامه‌هایی که با مشتری در ارتباطه رو روی ابر عمومی اجرا کنه، ولی داده‌های مالی رو توی یه ابر خصوصی نگه داره.

نگرانی‌های امنیتی: پیچیدگی مدیریت امنیت در هر دو محیط عمومی و خصوصی، ریسک آسیب‌پذیری‌ها رو بیشتر میکنه. انتقال داده بین این دو محیط هم باید امن باشه.
بهترین روش‌ها: استفاده از رمزنگاری قوی برای داده‌هایی که بین ابرها جابجا میشن، یکپارچه‌سازی نظارت امنیتی در هر دو محیط و اعمال سیاست‌های مدیریت دسترسی یکسان در تمام پلتفرم‌ها.

چندابری (Multi-cloud)

استراتژی چندابری یعنی استفاده از چندین سرویس ابر عمومی از ارائه‌دهنده‌های مختلف. این رویکرد به سازمان‌ها انعطاف‌پذیری میده و ریسک وابستگی به یک فروشنده خاص رو کم میکنه. اما مدیریت امنیت در پلتفرم‌های مختلف، چالش‌های بیشتری ایجاد میکنه.

نگرانی‌های امنیتی: مدیریت یکسان سیاست‌های امنیتی در چندین پلتفرم ابری میتونه باعث ایجاد شکاف‌هایی بشه که مهاجم‌ها از اونها سوءاستفاده کنن.
بهترین روش‌ها: پیاده‌سازی یه پلتفرم مدیریت امنیت یکپارچه که با تمام ارائه‌دهنده‌های ابری کار کنه و به طور مداوم تهدیدها رو رصد کنه. ابزارهایی مثل کارگزاران امنیت دسترسی به ابر (CASB) و مدیریت استحقاق زیرساخت ابری (CIEM) هم برای حفظ سیاست‌های یکسان و دیده‌بانی مفید هستن.

چرا امنیت ابری مهمه؟

بچه‌ها، قبلا یعنی مثلا توی دهه ۱۹۹۰، داده‌های کاری و شخصی ما به صورت محلی ذخیره میشدن و امنیت هم محلی بود. یعنی اطلاعات یا روی حافظه داخلی کامپیوتر شخصی شما بود یا اگه برای شرکتی کار میکردید، روی سرورهای همون شرکت. ولی با اومدن تکنولوژی ابر، همه مجبور شدیم نگاهمون به امنیت سایبری رو عوض کنیم.

امروز داده‌ها و برنامه‌های شما ممکنه بین سیستم‌های محلی و راه دور در رفت و آمد باشن و همیشه هم از طریق اینترنت در دسترس هستن. وقتی شما دارید از Google Docs روی گوشیتون استفاده میکنید یا با نرم‌افزار Salesforce مشتری‌هاتون رو مدیریت میکنید، اون اطلاعات میتونه هر جایی ذخیره شده باشه. برای همین، محافظت از اونها خیلی سخت‌تر از زمانیه که فقط باید جلوی ورود کاربرهای ناخواسته به شبکه داخلی رو میگرفتیم. امنیت ابری نیاز به تغییر بعضی از روش‌های قدیمی IT داره و به دو دلیل اصلی خیلی ضروری شده:

راحتی به جای امنیت: رایانش ابری به سرعت داره به روش اصلی هم برای محیط‌های کاری و هم برای استفاده شخصی تبدیل میشه. نوآوری‌ها باعث شدن تکنولوژی‌های جدید سریع‌تر از استانداردهای امنیتی صنعت پیاده‌سازی بشن و این مسئولیت بیشتری رو روی دوش کاربرها و ارائه‌دهنده‌ها میذاره که به ریسک‌های این دسترسی راحت فکر کنن.
متمرکز بودن و ذخیره‌سازی اشتراکی: الان همه چیز، از زیرساخت‌های اصلی گرفته تا داده‌های کوچیکی مثل ایمیل و اسناد، میتونه از راه دور و روی اتصالات ۲۴ ساعته مبتنی بر وب، پیدا و استفاده بشه. جمع شدن این همه داده روی سرورهای چند تا ارائه‌دهنده بزرگ، میتونه خیلی خطرناک باشه. الان دیگه مهاجم‌ها میتونن مراکز داده بزرگ و چند سازمانی رو هدف قرار بدن و باعث نشت‌های اطلاعاتی عظیمی بشن.

مدل مسئولیت مشترک: کی مسئول چی هست؟

توی امنیت ابری، یه مفهومی وجود داره به اسم «مدل مسئولیت مشترک» که مشخص میکنه مسئولیت‌های امنیتی چطوری بین ارائه‌دهنده خدمات ابری (CSP) و مشتری تقسیم میشه. این مدل خیلی مهمه، چون هر دو طرف نقش مهمی توی امن نگه داشتن داده‌ها و سیستم‌ها دارن.

این مدل چطوری کار میکنه؟

ارائه‌دهنده ابر مسئول امن کردن خود زیرساخت ابره؛ یعنی سخت‌افزار، نرم‌افزار و شبکه‌ای که خدمات ابری روی اون اجرا میشن. این شامل محافظت از مراکز داده فیزیکی و زیرساخت اصلی ابر در برابر حملات سایبری، تضمین پایداری سرویس و حفظ امنیت پلتفرمه.

از طرف دیگه، مشتری مسئول امن کردن داده‌ها، برنامه‌ها و هر نوع تنظیماتیه که داخل ابر انجام میده. این کارها شامل مدیریت هویت و کنترل‌های دسترسی، تنظیم درست گزینه‌های امنیتی و اطمینان از انطباق با استانداردهای صنعتی میشه.

مثلا، در حالی که ارائه‌دهنده ابر مطمئن میشه که سیستم‌های زیربنایی امن هستن، این وظیفه مشتریه که مطمئن بشه داده‌های حساس رمزنگاری شدن، مجوزهای دسترسی درست تنظیم شدن و آسیب‌پذیری‌های برنامه‌ها برطرف شدن.

مدل‌های مسئولیت مشترک بسته به ارائه‌دهنده خدمات و مدل سرویس رایانش ابری که استفاده میکنید، متفاوته. هر چی ارائه‌دهنده خدمات بیشتری رو مدیریت کنه، بیشتر هم میتونه از اونها محافظت کنه. بیاید این رو توی یه جدول ببینیم:

مدل سرویس رایانش ابری	مسئولیت شما	مسئولیت ارائه‌دهنده خدمات ابری (CSP)
زیرساخت به عنوان سرویس (IaaS)	شما مسئول امن کردن داده‌ها، برنامه‌ها، کنترل‌های شبکه مجازی، سیستم‌عامل و دسترسی کاربر هستید.	ارائه‌دهنده ابر مسئول امن کردن محاسبات، ذخیره‌سازی و شبکه فیزیکی، شامل همه وصله‌ها و تنظیمات است.
پلتفرم به عنوان سرویس (PaaS)	شما مسئول امن کردن داده‌ها، دسترسی کاربر و برنامه‌های خودتون هستید.	ارائه‌دهنده ابر مسئول امن کردن محاسبات، ذخیره‌سازی، شبکه فیزیکی، کنترل‌های شبکه مجازی و سیستم‌عامل است.
نرم‌افزار به عنوان سرویس (SaaS)	شما مسئول امن کردن داده‌ها و دسترسی کاربرهای خودتون هستید.	ارائه‌دهنده ابر مسئول امن کردن محاسبات، ذخیره‌سازی، شبکه فیزیکی، کنترل‌های شبکه مجازی، سیستم‌عامل، برنامه‌ها و میان‌افزارها است.

با درک و پیاده‌سازی این مدل، سازمان‌ها میتونن بهتر از داده‌هاشون محافظت کنن و محیط ابری امن‌تری داشته باشن.

چالش‌ها و ریسک‌های امنیت ابری

با اینکه امنیت ابری مزایای زیادی داره، ولی چالش‌های خاص خودش رو هم داره. خیلی از این ریسک‌ها شبیه همون‌هایی هستن که توی محیط‌های سنتی باهاشون روبرو میشیم، مثل تهدیدهای داخلی، نشت و از دست رفتن داده، فیشینگ، بدافزار، حملات DDoS و API های آسیب‌پذیر. اما چند تا چالش مشخصا مربوط به خود ابر هستن:

نبود دید کافی: منابع مبتنی بر ابر روی زیرساختی اجرا میشن که خارج از شبکه شرکت شما قرار داره و متعلق به یه شخص ثالثه. برای همین، ابزارهای سنتی نظارت بر شبکه برای محیط‌های ابری مناسب نیستن و این باعث میشه شما نتونید روی تمام دارایی‌های ابریتون، نحوه دسترسی به اونها و اینکه چه کسی بهشون دسترسی داره، نظارت کاملی داشته باشید.
تنظیمات امنیتی اشتباه: این یکی از دلایل اصلی نشت داده توی محیط‌های ابریه. خدمات مبتنی بر ابر طوری طراحی شدن که دسترسی و اشتراک‌گذاری داده راحت باشه، ولی خیلی از سازمان‌ها ممکنه درک کاملی از نحوه امن کردن زیرساخت ابری نداشته باشن. این میتونه منجر به تنظیمات اشتباه بشه، مثلا رها کردن رمزهای عبور پیش‌فرض، فعال نکردن رمزنگاری داده یا مدیریت نادرست کنترل‌های دسترسی.
کنترل دسترسی ضعیف: به استقرارهای ابری میشه مستقیما از طریق اینترنت عمومی دسترسی داشت که این کار رو برای کاربرها از هر مکان و دستگاهی راحت میکنه. ولی همزمان، این یعنی مهاجم‌ها هم میتونن راحت‌تر با استفاده از اعتبارنامه‌های دزدیده شده یا کنترل دسترسی نامناسب، به منابع شما دسترسی پیدا کنن.
محیط‌های پویا و در حال تغییر: منابع ابری رو میشه بر اساس نیاز بارهای کاری، به صورت پویا تامین و مقیاس‌بندی کرد. اما خیلی از ابزارهای امنیتی قدیمی نمیتونن سیاست‌ها رو توی محیط‌های انعطاف‌پذیری که بارهای کاری دائما در حال تغییر هستن و ممکنه در عرض چند ثانیه اضافه یا حذف بشن، اعمال کنن.
انطباق با مقررات: ابر یه لایه دیگه از الزامات قانونی و داخلی رو اضافه میکنه که ممکنه شما حتی بدون اینکه دچار نشت امنیتی بشید، اونها رو نقض کنید. مدیریت انطباق توی ابر یه فرآیند طاقت‌فرسا و مداومه. بر خلاف یه مرکز داده محلی که شما کنترل کاملی روی داده‌ها و نحوه دسترسی به اونها دارید، توی ابر برای شرکت‌ها خیلی سخت‌تره که به طور مداوم تمام دارایی‌ها و کنترل‌های ابری رو شناسایی کنن، اونها رو با الزامات مربوطه تطبیق بدن و همه چیز رو به درستی مستند کنن.

مفهوم کلیدی: «اعتماد صفر» (Zero Trust)

یکی از مدل‌های امنیتی خیلی مهم که باید بشناسید، «اعتماد صفر» هست. این مدل بر این اساسه که به هیچ کاربر یا دستگاهی، چه داخل شبکه باشه و چه خارج از اون، به طور خودکار اعتماد نمیشه. توی محیط‌های ابری که داده‌ها در پلتفرم‌های مختلف پخش شدن، این چارچوب برای محافظت از اطلاعات حساس خیلی ضروریه.

اصول کلیدی اعتماد صفر:

تایید مداوم: هر تلاش برای دسترسی، چه از طرف یه کاربر باشه، چه دستگاه یا برنامه، به طور مداوم تایید میشه تا از دسترسی غیرمجاز جلوگیری بشه.
اصل حداقل دسترسی: به کاربرها و دستگاه‌ها فقط حداقل مجوزهای لازم داده میشه که این کار ریسک‌های امنیتی رو کم میکنه.
تقسیم‌بندی خرد (Micro-Segmentation): ابر به بخش‌های کوچیک‌تری تقسیم میشه تا اگه یه مهاجم به یه بخش دسترسی پیدا کرد، حرکتش به بخش‌های دیگه محدود بشه.

توی محیط‌های ابری، تهدیدها میتونن از هر جایی بیان. مدل اعتماد صفر با اطمینان از اینکه هر اقدامی تایید و کنترل میشه، هم در برابر تهدیدهای داخلی و هم حملات خارجی محافظت میکنه. این مدل همچنین جلوی حرکت آزادانه هکرها رو میگیره، اگه اونها به یه بخش از سیستم نفوذ کنن.

ابزارها و تکنولوژی‌های امنیت ابری

برای امن کردن محیط‌های ابری، سازمان‌ها از ابزارهای مختلفی استفاده میکنن که برای محافظت از داده، مدیریت دسترسی و پاسخ به تهدیدها در لحظه طراحی شدن. بیاید با چند تا از مهم‌ترین‌هاشون آشنا بشیم.

نوع ابزار	کارش چیه؟	چرا مهمه؟
پلتفرم حفاظت از برنامه‌های بومی ابر (CNAPP)	این پلتفرم خیلی از راه‌حل‌های امنیت ابری رو توی یه جا جمع میکنه. کارش محافظت از برنامه‌های بومی ابر با اسکن آسیب‌پذیری‌ها، نظارت بر بارهای کاری ابری و امن کردن داده‌ها از کد تا ابره.	برای سازمان‌هایی که برنامه‌های بومی ابر توسعه میدن و مستقر میکنن خیلی مفیده و شیوه‌های توسعه امن رو تضمین میکنه.
پلتفرم حفاظت از بار کاری ابری (CWPP)	روی امن کردن بارهای کاری که توی ابر اجرا میشن، مثل ماشین‌های مجازی، کانتینرها و توابع بدون سرور، تمرکز داره. این ابزارها به طور مداوم بارهای کاری رو برای پیدا کردن آسیب‌پذیری و تنظیمات اشتباه نظارت میکنن.	برای شرکت‌هایی که محیط‌های ابری پیچیده با انواع مختلف بارهای کاری دارن، حیاتیه و تشخیص تهدید و مدیریت آسیب‌پذیری رو فراهم میکنه.
مدیریت استحقاق زیرساخت ابری (CIEM)	به مدیریت و کنترل اینکه چه کسی به چه بخش‌هایی از محیط ابر دسترسی داره، کمک میکنه. این ابزار مطمئن میشه که مجوزها و کنترل‌های دسترسی به درستی تنظیم شدن تا ریسک دسترسی غیرمجاز کم بشه.	برای کاهش حساب‌های کاربری با دسترسی بیش از حد و جلوگیری از نشت‌های ناشی از مجوزهای مدیریت نشده، کلیدیه.
تشخیص و پاسخ ابری (CDR)	این ابزارها راه‌حل‌های امنیتی لحظه‌ای هستن که تهدیدها رو داخل محیط‌های ابری شناسایی میکنن و بهشون پاسخ میدن. اونها به طور مداوم زیرساخت ابر رو نظارت میکنن و وقتی فعالیت مشکوکی شناسایی بشه، هشدار میدن.	به سازمان‌ها کمک میکنه تا به سرعت به تهدیدهای جدید پاسخ بدن و آسیب‌های احتمالی رو به حداقل برسونن.
مدیریت وضعیت امنیتی ابر (CSPM)	این ابزارها به طور خودکار محیط‌های ابری رو برای ریسک‌های امنیتی ارزیابی میکنن. اونها تنظیمات اشتباه، منابع غیرمنطبق و آسیب‌پذیری‌ها رو شناسایی میکنن و به سازمان‌ها کمک میکنن وضعیت امنیتی قوی خودشون رو حفظ کنن.	برای سازمان‌هایی که از محیط‌های چندابری استفاده میکنن، حیاتیه و انطباق مداوم با استانداردهای امنیتی و جلوگیری از تنظیمات اشتباه رو تضمین میکنه.
مدیریت وضعیت امنیتی برنامه (ASPM)	مطمئن میشه که برنامه‌هایی که توی ابر مستقر شدن، امن هستن. این ابزارها تنظیمات، وابستگی‌ها و کد برنامه‌ها رو برای شناسایی هرگونه آسیب‌پذیری یا ریسک نظارت میکنن.	برای کسب‌وکارهایی که برنامه‌های بومی ابر رو توسعه و مستقر میکنن مفیده و شیوه‌های توسعه امن رو تضمین میکنه.
مدیریت وضعیت امنیتی داده (DSPM)	به طور خاص روی مدیریت امنیت داده‌ها توی محیط‌های ابری تمرکز داره. این ابزارها مطمئن میشن که داده‌ها رمزنگاری شدن، دسترسی بهشون کنترل شده و اطلاعات حساس محافظت میشن.	برای سازمان‌هایی که با داده‌های حساس مثل اطلاعات شناسایی شخصی (PII) یا سوابق مالی سروکار دارن، ضروریه.
امنیت کانتینر (Container Security)	این ابزارها برای محافظت از برنامه‌های کانتینری طراحی شدن که یه تکنولوژی رایج بومی ابر هستن. این ابزارها زمان اجرای کانتینر رو امن میکنن، آسیب‌پذیری‌ها رو اسکن میکنن و مطمئن میشن که کانتینرها تنظیمات اشتباهی ندارن.	سازمان‌هایی که از Docker یا Kubernetes استفاده میکنن از راه‌حل‌های امنیت کانتینر که هم محیط توسعه و هم تولید رو محافظت میکنن، سود میبرن.

بهترین روش‌ها برای امنیت ابری

خب، حالا که با ابزارها و چالش‌ها آشنا شدیم، بیاید ببینیم بهترین کارهایی که میشه برای امن کردن محیط ابری انجام داد، چیا هستن.

رمزنگاری داده‌ها

رمزنگاری برای محافظت از داده‌ها، هم موقع انتقال و هم موقع ذخیره، ضروریه. این کار تضمین میکنه که حتی اگه داده‌ها دست کسی بیفتن، بدون کلید رمزگشایی مناسب، قابل خوندن نیستن. باید از الگوریتم‌های رمزنگاری قوی مثل AES-256 برای داده‌های حساس استفاده بشه و مدیریت کلیدها هم به طور منظم انجام بشه. همیشه داده‌های حساس رو قبل از آپلود کردن توی ابر رمزنگاری کنید.

مدیریت هویت و دسترسی (IAM)

پیاده‌سازی IAM کمک میکنه که کنترل کنید چه کسی به منابع ابری دسترسی داره. با راه‌اندازی کنترل دسترسی مبتنی بر نقش (RBAC) و احراز هویت چندعاملی (MFA)، سازمان‌ها میتونن دسترسی رو فقط به کاربرهای مجاز محدود کنن. سیاست‌های IAM رو به طور منظم بازبینی و به‌روزرسانی کنید تا مطمئن بشید کاربرها فقط به منابعی که نیاز دارن، دسترسی دارن.

نظارت مداوم و تشخیص تهدید

محیط‌های ابری باید به طور مداوم برای فعالیت‌های مشکوک و تهدیدهای احتمالی نظارت بشن. با استفاده از ابزارهای CSPM، سازمان‌ها میتونن تنظیمات اشتباه و آسیب‌پذیری‌ها رو در لحظه شناسایی کنن. هشدارهای خودکار برای رفتارهای غیرعادی تنظیم کنید و از ابزارهای مبتنی بر هوش مصنوعی برای تشخیص و پاسخ سریع‌تر استفاده کنید.

برنامه پاسخ به حوادث

داشتن یه برنامه پاسخ به حوادث برای به حداقل رسوندن تاثیر نشت‌های امنیتی ضروریه. این برنامه باید مراحل شناسایی، مهار و بازیابی از یه حمله توی محیط ابری رو مشخص کنه. برنامه پاسخ به حوادث خودتون رو به طور منظم تست و به‌روزرسانی کنید تا مطمئن بشید موقع یه حمله واقعی، موثر عمل میکنه.

استفاده از ابزارهای تخصصی

پیشگیری از نشت داده (DLP): این ابزارها به شما کمک میکنن تا مطمئن بشید داده‌های حساس و تنظیم‌شده، امن باقی میمونن. DLP از ترکیبی از هشدارهای اصلاحی، رمزنگاری داده و اقدامات پیشگیرانه دیگه برای محافظت از داده‌ها استفاده میکنه.
اطلاعات امنیتی و مدیریت رویداد (SIEM): این تکنولوژی یه راه‌حل جامع برای هماهنگ‌سازی امنیتی فراهم میکنه که نظارت، تشخیص و پاسخ به تهدیدها رو توی محیط‌های ابری خودکار میکنه. SIEM از هوش مصنوعی برای مرتبط کردن داده‌های لاگ از پلتفرم‌ها و دارایی‌های دیجیتال مختلف استفاده میکنه.
بازیابی از فاجعه (Disaster Recovery): با وجود تمام اقدامات پیشگیرانه، باز هم ممکنه نشت داده و قطعی‌های disruptکننده اتفاق بیفته. راه‌حل‌های بازیابی از فاجعه به سازمان‌ها ابزارها، خدمات و پروتکل‌های لازم رو میدن تا داده‌های از دست رفته رو سریع بازیابی کنن و عملیات عادی کسب‌وکار رو از سر بگیرن.

چارچوب حاکمیت امنیت ابری

یه چارچوب حاکمیت امنیت ابری تضمین میکنه که سیاست‌ها، نقش‌ها و مسئولیت‌های امنیتی به وضوح تعریف و در تمام محیط‌های ابری پیاده‌سازی بشن. این برای حفظ کنترل روی داده‌ها، کاهش ریسک‌ها و اطمینان از انطباق با مقررات صنعتی حیاتیه.

حاکمیت ابری چیه؟

حاکمیت ابری یعنی ایجاد یه مجموعه ساختاریافته از سیاست‌ها و کنترل‌ها برای مدیریت موثر امنیت ابری. این شامل حوزه‌های کلیدی مثل مدیریت داده، مدیریت ریسک و انطباقه. بدون یه چارچوب حاکمیتی قوی، سازمان‌ها ریسک از دست دادن دیده‌بانی روی زیرساخت ابریشون رو دارن که منجر به تنظیمات اشتباه و شکاف‌های امنیتی میشه.

یه چارچوب حاکمیت امنیت ابری سیاست‌هایی رو برای مدیریت امنیت داده، کنترل دسترسی، انطباق و نظارت در محیط‌های ابری ایجاد میکنه. این چارچوب تضمین میکنه که داده‌های حساس از طریق رمزنگاری و مدیریت دسترسی مناسب محافظت میشن و از ابزارهایی مثل DSPM و CIEM برای اعمال حریم خصوصی و اصل حداقل دسترسی استفاده میکنه. علاوه بر این، ممیزی‌های منظم برای حفظ انطباق با استانداردهایی مثل PCI DSS و ISO 27001 ضروریه.

امنیت ابری برای صنایع خاص

صنایعی مثل بهداشت و درمان، مالی و خرده‌فروشی با مقررات سختگیرانه‌ای روبرو هستن که نیاز به امنیت ابری پیشرفته برای محافظت از داده‌های حساس و تضمین انطباق دارن.

امنیت ابری برای بهداشت و درمان (انطباق با HIPAA): سازمان‌های بهداشتی باید با قانون HIPAA منطبق باشن که حفاظت از اطلاعات بهداشتی محافظت‌شده (PHI) رو تضمین میکنه. این شامل رمزنگاری داده، استفاده از احراز هویت قوی و ممیزی منظم محیط‌های ابریه. مدل‌های ابر خصوصی یا ترکیبی اغلب برای حفظ کنترل روی PHI و برآورده کردن الزامات HIPAA استفاده میشن.
امنیت ابری برای امور مالی (انطباق با PCI DSS): موسسات مالی باید استانداردهای PCI DSS رو برای مدیریت داده‌های پرداخت رعایت کنن که نیاز به رمزنگاری، کنترل‌های دسترسی و نظارت داره. شرکت‌های مالی اغلب از ابرهای ترکیبی برای ایجاد تعادل بین مقیاس‌پذیری و حفاظت سختگیرانه از داده‌ها استفاده میکنن.
امنیت ابری برای خرده‌فروشی (امن کردن تجارت الکترونیک): خرده‌فروش‌ها باید داده‌های پرداخت مشتریان رو امن کنن و با PCI DSS منطبق باشن تا از نشت داده در حین تراکنش‌ها جلوگیری کنن. خدمات ابر عمومی ترافیک رو مدیریت میکنن و رمزنگاری و CASB ها تضمین میکنن که داده‌های مشتریان امن هستن.

پرسش و پاسخ کلاسی

خب بچه‌ها، حالا که کلی در مورد امنیت ابری صحبت کردیم، چند تا سوال که ممکنه براتون پیش اومده باشه رو با هم مرور میکنیم.

سوال ۱: استاد، ابر امن‌تره یا سیستم‌های محلی (On-premises)؟

این سوال خوبیه. واقعیت اینه که ابر نه امن‌تره و نه ناامن‌تر از امنیت محلی. در واقع، امنیت رایانش ابری مزایای زیادی برای کسب‌وکارها داره که میتونه وضعیت امنیتی کلی شما رو بهبود ببخشه. ارائه‌دهنده‌های بزرگ ابری زیرساخت‌های امنی دارن و امنیت لایه‌لایه رو مستقیما توی پلتفرم و خدماتشون تعبیه کردن. این شامل همه چیز میشه، از معماری شبکه با اعتماد صفر گرفته تا مدیریت هویت و دسترسی، احراز هویت چندعاملی، رمزنگاری و نظارت مداوم. به علاوه، ابر به شما کمک میکنه که امنیت رو در مقیاس بسیار بزرگ خودکار و مدیریت کنید. پس همه چیز به این بستگی داره که چقدر درست از ابزارها و سیاست‌ها استفاده کنید.

سوال ۲: پس مسئولیت امنیت توی ابر کاملا با ماست یا با شرکتی که خدمات میده؟

این هم یه نکته کلیدیه. مسئولیت امنیت توی ابر «مشترکه». بهش میگن مدل مسئولیت مشترک. ارائه‌دهنده ابر مسئول امنیت «خود ابره»، یعنی سخت‌افزارها و زیرساخت اصلی. ولی شما به عنوان مشتری، مسئول امنیت هر چیزی هستید که «توی ابر» اجرا میکنید، مثل داده‌هاتون، برنامه‌هاتون، کنترل‌های شبکه و مدیریت دسترسی کاربرها. پس نمیشه گفت مسئولیت فقط با یک طرفه؛ هر دو طرف نقش مهمی دارن.

سوال ۳: بزرگ‌ترین عامل مشکلات امنیتی توی ابر چیه؟

یکی از بزرگ‌ترین و شایع‌ترین دلایل نشت داده توی محیط‌های ابری، «تنظیمات امنیتی اشتباه» هست. خیلی وقت‌ها سازمان‌ها به خاطر نداشتن درک کامل، تنظیمات پیش‌فرض رو تغییر نمیدن، رمزنگاری رو فعال نمیکنن یا کنترل‌های دسترسی رو درست مدیریت نمیکنن. این اشتباهات ساده میتونه درهای بزرگی رو برای مهاجم‌ها باز کنه. برای همین ابزارهایی مثل CSPM که این تنظیمات اشتباه رو پیدا میکنن، خیلی مهم هستن.

سوال ۴: تفاوت IaaS، PaaS و SaaS دقیقا چیه؟

IaaS (زیرساخت به عنوان سرویس): مثل اینه که شما یه زمین خالی اجاره کنید. ارائه‌دهنده زیرساخت اصلی (سرور، شبکه، ذخیره‌سازی) رو به شما میده، ولی شما خودتون باید سیستم‌عامل، برنامه‌ها و بقیه چیزها رو روش نصب و مدیریت کنید.
PaaS (پلتفرم به عنوان سرویس): مثل اینه که یه کارگاه آماده با ابزارهاش اجاره کنید. ارائه‌دهنده علاوه بر زیرساخت، پلتفرمی برای توسعه و اجرای برنامه‌ها (مثل سیستم‌عامل و میان‌افزار) هم در اختیارتون میذاره. شما فقط روی ساختن و مدیریت برنامه‌هاتون تمرکز میکنید.
SaaS (نرم‌افزار به عنوان سرویس): مثل اینه که یه ماشین آماده با راننده کرایه کنید. شما فقط از نرم‌افزار آماده (مثل Gmail یا Microsoft 365) استفاده میکنید و هیچ نگرانی در مورد زیرساخت، پلتفرم یا خود برنامه ندارید. همه چیز توسط ارائه‌دهنده مدیریت میشه.

منابع

[2] What is Cloud Security? Types, Risks, and Solutions
[4] Cloud Security – Amazon Web Services (AWS)
[6] What Is Cloud Security? – Cisco
[8] Home | CSA
[10] What Is Cloud Security? Key Benefits & Best Practices Explained

[1] What Is Cloud Security? | Google Cloud | Google Cloud
[3] What is Cloud Security? Understand The 6 Pillars – Check Point Software
[5] What is Cloud Security? | IBM
[7] Microsoft
[9] What Is Cloud Security? Best Practices and Strategies | CrowdStrike

مرداد 29, 1404

امنیت ایمیل؛ راهنمای محافظت از ارتباطات دیجیتال شما
شاید براتون جالب باشه که بدونین وقتی ایمیل برای اولین بار اختراع شد، اصلا به امنیت و حریم خصوصی فکر نکرده بودن. هدف فقط این بود که پیام‌ها سریع رد و بدل بشن. با اینکه الان ایمیل یکی از مهم‌ترین ابزارهای ارتباطی ماست، هنوزم این ضعف‌ها به صورت پیش‌فرض توش وجود داره. به همین خاطر، ایمیل تبدیل شده به یکی از اصلی‌ترین دروازه‌های ورود هکرها و مجرم‌های سایبری، چه برای شرکت‌های بزرگ و چه برای آدم‌های معمولی مثل من و شما.

دشمنان نامرئی: با انواع تهدیدهای ایمیلی آشنا بشیم

اول از همه، باید بدونیم که وقتی از «حمله ایمیلی» حرف می‌زنیم، دقیقا منظورمون چیه. این حمله‌ها شکل‌های مختلفی دارن و هر کدوم یه هدف خاص رو دنبال می‌کنن. مجرم‌های سایبری همیشه دنبال راه‌های جدیدی برای گول زدن ما هستن. بیایید چندتا از معروف‌ترین این روش‌ها رو با هم بررسی کنیم.

فیشینگ (Phishing): طعمه‌ای برای شکار اطلاعات شما

یکی از رایج‌ترین و شناخته‌شده‌ترین تهدیدها، فیشینگ هست. اسمش از کلمه انگلیسی «Fishing» به معنی ماهیگیری میاد، چون کاری که هکر می‌کنه دقیقا مثل ماهیگیریه. یه طعمه جذاب یا فوری جلوی شما می‌ندازه تا شما رو به دام بندازه و اطلاعات حساس‌تون رو بدزده. این اطلاعات می‌تونه هر چیزی باشه، از نام کاربری و رمز عبور گرفته تا اطلاعات حساب بانکی شما.

هکرها یا از این اطلاعات دزدیده شده برای مقاصد خودشون استفاده می‌کنن، مثلا کنترل حساب‌های شما رو به دست می‌گیرن، یا اینکه اونها رو تو بازارهای سیاه اینترنتی می‌فروشن.

مهاجم‌های فیشینگ خودشون رو جای یه منبع معتبر جا می‌زنن. مثلا ممکنه ایمیلی دریافت کنین که به نظر میاد از طرف بانک شما، یه فروشگاه آنلاین معروف یا حتی شبکه اجتماعی که توش عضو هستین، فرستاده شده. این ایمیل‌ها معمولا با یه درخواست وسوسه‌انگیز یا یه هشدار فوری، شما رو ترغیب می‌کنن که کاری رو انجام بدین. مثلا ممکنه بگن: «حساب شما در خطر است، برای تایید هویت فورا روی این لینک کلیک کنید».

وقتی شما روی لینک کلیک می‌کنین، به یه صفحه وب منتقل می‌شین که کاملا شبیه سایت اصلیه، اما در واقع یه نسخه تقلبی و تحت کنترل هکره. شما با خیال راحت اطلاعات ورودتون رو وارد می‌کنین و به این ترتیب، کلید ورود به حساب‌تون رو دو دستی تقدیم هکر می‌کنین. گاهی هم ازتون می‌خوان که اطلاعات‌تون رو مستقیما در جواب همون ایمیل بفرستین.

فیشینگ خودش انواع مختلفی داره که روز به روز هم پیچیده‌تر می‌شن:
- فیشینگ نیزه‌ای (Spear Phishing): این نوع فیشینگ مثل یه حمله تک‌تیراندازه. به جای اینکه یه ایمیل عمومی برای هزاران نفر فرستاده بشه، مهاجم یه فرد یا یه سازمان خاص رو هدف قرار می‌ده. اونها قبل از حمله، حسابی در مورد هدف تحقیق می‌کنن و ایمیل رو طوری طراحی می‌کنن که کاملا شخصی و معتبر به نظر برسه. مثلا ممکنه به اسم یکی از همکاران یا مدیر شما ایمیل بزنن و درخواستی بکنن که خیلی عادی به نظر میاد.
- نهنگ‌گیری (Whaling): این مدل، نسخه سنگین‌تر فیشینگ نیزه‌ایه. اینجا هدف، افراد خیلی مهم و رده‌بالای یه سازمانه، مثل مدیرعامل (CEO) یا مدیر مالی. چون این افراد دسترسی‌های خیلی مهمی دارن، موفقیت تو این نوع حمله می‌تونه خسارت‌های وحشتناکی به بار بیاره.
- ویشینگ (Vishing): این کلمه ترکیبی از «Voice» و «Phishing» هست و به فیشینگ از طریق تماس صوتی اشاره داره.
- کوئیشینگ (Quishing): این یکی از روش‌های جدیدتره که از کدهای QR استفاده می‌کنه. ایمیل حاوی یه تصویر از کد QR هست. مهاجم از شما می‌خواد که این کد رو با دوربین موبایل‌تون اسکن کنین. به محض اسکن کردن، شما به یه سایت فیشینگ هدایت می‌شین. نکته خطرناک اینجاست که این کار معمولا با گوشی شخصی انجام می‌شه که احتمالا مثل کامپیوترهای شرکت، تحت نظارت امنیتی نیست و اینطوری مهاجم می‌تونه کنترل‌های امنیتی سازمان رو دور بزنه.
جعل دامنه ایمیل (Email Domain Spoofing): وقتی ایمیل از یه آدرس آشنا میاد، اما فرستنده غریبه است

یکی از تکنیک‌های کلیدی که به موفقیت حمله‌های فیشینگ و بقیه کلاهبرداری‌ها کمک می‌کنه، جعل دامنه ایمیل هست. این تکنیک به مهاجم اجازه می‌ده یه ایمیل با آدرس فرستنده جعلی بفرسته. یعنی ایمیلی که شما دریافت می‌کنین، به نظر میاد از یه منبع معتبر و قانونی فرستاده شده، در حالی که اینطور نیست.

بذارین یه مثال بزنم. فرض کنین یه هکر به اسم «چاک» می‌خواد دوستش «باب» رو گول بزنه. چاک می‌تونه یه ایمیل از طرف دامنه «trustworthy-bank.com@» برای باب بفرسته، در حالی که چاک اصلا صاحب این دامنه نیست و هیچ ربطی به اون بانک نداره. این کار باعث می‌شه باب به ایمیل اعتماد کنه و کاری که ازش خواسته شده رو انجام بده.

بدافزار (Malware): مهمان ناخوانده‌ای در پیوست ایمیل

پیوست یا اتچمنت ایمیل، یکی از قابلیت‌های خیلی کاربردیه، اما متاسفانه مهاجم‌ها از همین قابلیت برای فرستادن محتوای مخرب، از جمله بدافزار (Malware)، به قربانی‌هاشون استفاده می‌کنن. بدافزار یه اصطلاح کلی برای هر نوع نرم‌افزار مخربه که هدفش آسیب زدن یا مختل کردن کامپیوترهاست. انواع مختلفی داره مثل ویروس‌ها، کرم‌ها، جاسوس‌افزارها و باج‌افزارها.

یکی از راه‌های ساده اینه که مهاجم یه فایل اجرایی با پسوند «.exe» رو مستقیما پیوست کنه و گیرنده رو گول بزنه که اون رو باز کنه. اما یه روش خیلی رایج‌تر و موذیانه‌تر، مخفی کردن کدهای مخرب داخل فایل‌های به ظاهر بی‌خطره. مثلا یه فایل PDF یا یه سند Word. هر دوی این فایل‌ها می‌تونن حاوی کدهایی مثل ماکرو (Macro) باشن. مهاجم‌ها از این قابلیت برای اجرای یه دستور مخرب روی کامپیوتر قربانی استفاده می‌کنن. مثلا به محض باز شدن فایل، یه بدافزار دیگه دانلود و اجرا می‌شه.

جالبه بدونین که ۹۴ درصد از بدافزارها از طریق ایمیل منتقل می‌شن. خیلی از آلودگی‌های باج‌افزار (Ransomware) در سال‌های اخیر با یه پیوست ایمیل شروع شدن. باج‌افزار نوعی بدافزاره که فایل‌های شما رو قفل (رمزگذاری) می‌کنه و برای باز کردنشون از شما باج می‌خواد.
- باج‌افزار Ryuk: معمولا از طریق یه پیوست Word که حاوی ماکروی مخربه، پخش می‌شه.
- باج‌افزار Petya: این یکی از طریق یه ایمیل فیشینگ که خودش رو یه متقاضی کار جا می‌زنه، منتشر می‌شه و یه لینک به یه فایل Dropbox آلوده می‌ده.
- بدافزار Emotet: این بدافزار که اولش یه تروجان بانکی بود، تکامل پیدا کرد و حالا از طریق پیوست‌های ایمیل آلوده، بدافزارهای دیگه‌ای رو هم پخش می‌کنه.
اسپم (Spam): پیام‌های ناخواسته و مزاحم

اسپم یه اصطلاح برای ایمیل‌های ناخواسته یا نامناسبیه که بدون اجازه گیرنده فرستاده می‌شن. تقریبا همه سرویس‌های ایمیل یه سری فیلتر برای جلوگیری از اسپم دارن، اما باز هم همیشه تعدادی از این ایمیل‌ها به اینباکس ما می‌رسن. اسپم‌ها می‌تونن برای اهداف مختلفی استفاده بشن، از تبلیغات شرکت‌های قانونی گرفته تا تلاش برای آلوده کردن کامپیوتر شما با بدافزار.

فرستنده‌های اسپم (Spammers) به مرور زمان «اعتبار فرستنده ایمیل» بدی پیدا می‌کنن. یعنی اگه درصد زیادی از ایمیل‌های یه فرستنده باز نشه یا توسط گیرنده‌ها به عنوان اسپم علامت‌گذاری بشه، یا اگه ایمیل‌هاش زیاد برگشت بخوره، سرویس‌های ایمیل اعتبار اون فرستنده رو کم می‌کنن. به همین دلیله که اسپمرها همیشه انگیزه دارن که کنترل حساب‌های کاربری دیگه رو به دست بگیرن، فضای آدرس IP بدزدن یا دامنه‌ها رو جعل کنن تا بتونن اسپم‌هایی بفرستن که به راحتی شناسایی نشن.

تسخیر حساب کاربری (Account Takeover): وقتی خونه شما دست دزد می‌افته

تصور کنین یکی کلید خونه شما رو بدزده و وارد بشه. تسخیر حساب کاربری ایمیل هم دقیقا همینه. مهاجم کنترل ایمیل شما رو به دست می‌گیره و می‌تونه ازش برای کارهای مختلفی استفاده کنه: فرستادن اسپم، شروع حمله‌های فیشینگ، پخش کردن بدافزار، دزدیدن لیست مخاطبین شما یا حتی استفاده از ایمیل شما برای دزدیدن بقیه حساب‌های آنلاینتون (مثلا با زدن دکمه «فراموشی رمز عبور» تو سایت‌های دیگه).

مهاجم‌ها برای نفوذ به یه حساب ایمیل از روش‌های مختلفی استفاده می‌کنن:
- حملات بروت فورس (Brute force): ابزارهای خودکار به طور سیستماتیک رمزهای عبور مختلف رو امتحان می‌کنن تا بالاخره رمز درست رو پیدا کنن. این روش روی حساب‌هایی با رمزهای ضعیف یا رایج بهتر جواب می‌ده.
- اسپری کردن رمز عبور (Password spraying): این روش شبیه بروت فورسه، اما برعکس عمل می‌کنه. به جای امتحان کردن هزاران رمز روی یک حساب، مهاجم تعداد کمی از رمزهای عبور خیلی رایج (مثلا Password123) رو روی تعداد زیادی از حساب‌ها امتحان می‌کنه تا شناسایی نشه.
- پر کردن اعتبارنامه (Credential stuffing): مهاجم‌ها از نام‌های کاربری و رمزهای عبوری که قبلا از نشت اطلاعاتی سایت‌های دیگه به دست آوردن، استفاده می‌کنن. اونها روی این حساب می‌کنن که خیلی از کاربرها از یه رمز عبور برای چندتا سایت مختلف استفاده می‌کنن.
- بدافزار مبتنی بر سرقت اعتبارنامه: نرم‌افزارهای مخربی که اطلاعات ذخیره شده از مرورگرها یا مدیران رمز عبور رو می‌دزدن یا کلیدهایی که شما موقع تایپ رمزتون فشار می‌دین رو ضبط می‌کنن (Keylogger).
- فیشینگ و مهندسی اجتماعی: همونطور که گفتیم، کاربر رو گول می‌زنن تا خودش اطلاعاتش رو لو بده.
مهندسی اجتماعی (Social Engineering): بازی با روان شما

این تکنیک بیشتر از اینکه به فناوری تکیه کنه، روی روانشناسی انسان حساب می‌کنه. مهاجم‌ها با استفاده از ترفندهای روانشناسی، شما رو فریب می‌دن تا اطلاعات محرمانه رو فاش کنین یا کاری رو انجام بدین که امنیت رو به خطر می‌ندازه. اونها ممکنه خودشون رو جای یه فرد قابل اعتماد یا یه مقام مسئول جا بزنن و با شیرین‌زبونی یا ترسوندن شما، به هدفشون برسن. این مثل یه کلاهبرداری سایبریه.

و چند تهدید دیگر…
- حمله مرد میانی (Man-in-the-Middle): تصور کنین یه نفر یواشکی داره به مکالمه شما گوش می‌ده. تو این حمله، مهاجم ارتباط بین دو نفر رو قطع می‌کنه و می‌تونه پیام‌ها رو بخونه، تغییر بده یا پیام‌های جدیدی به مکالمه تزریق کنه.
- نشت داده (Data Exfiltration): دزدهای حرفه‌ای به سیستم ایمیل یه سازمان نفوذ می‌کنن و داده‌های حساس مثل اسرار تجاری، اطلاعات مالی یا اطلاعات شخصی کارمندان و مشتریان رو می‌دزدن.
- حمله منع سرویس (Denial of Service): مهاجم‌ها با فرستادن حجم عظیمی از ایمیل‌ها، سرورهای ایمیل رو غرق می‌کنن. سرورها زیر این فشار از کار می‌افتن و ارتباطات ایمیلی مختل می‌شه.
سپر دفاعی ما: چطور از ایمیل‌هامون محافظت کنیم؟

خب، تا اینجا با انواع و اقسام خطرات آشنا شدیم. حالا وقتشه که یاد بگیریم چطوری قلعه دفاعی خودمون رو بسازیم و از خودمون محافظت کنیم. امنیت ایمیل یه کار تیمی بین کاربرها و تکنولوژیه. بیایید ببینیم چه ابزارها و روش‌هایی برای این کار وجود داره.

رمزگذاری (Encryption): نامه شما در یک پاکت مهر و موم شده

همونطور که اول گفتم، ایمیل به خودی خود امن نیست. فرستادن یه ایمیل بدون رمزگذاری، مثل فرستادن یه کارت پستا‌له که هر کسی تو مسیر می‌تونه محتواش رو بخونه. ایمیل شما مستقیما از کامپیوتر شما به کامپیوتر گیرنده نمی‌ره. در عوض، از شبکه‌ها و سرورهای مختلفی عبور می‌کنه تا به مقصد برسه. هر کسی در میانه این مسیر، از جمله خود سرویس‌دهنده ایمیل، می‌تونه ایمیل شما رو بخونه.

اینجاست که رمزگذاری (Encryption) وارد می‌شه. رمزگذاری مثل گذاشتن اون کارت پستال توی یه پاکت محکم و مهر و موم شده است. این فرآیند، داده‌های شما رو به هم می‌ریزه و به یه زبان کد شده تبدیل می‌کنه، طوری که فقط طرف‌های مجاز (یعنی شما و گیرنده) می‌تونن اون رو باز و رمزگشایی کنن.

اکثر روش‌های رمزگذاری ایمیل از رمزنگاری کلید عمومی استفاده می‌کنن. بعضی از این روش‌ها حتی سر به سر (end-to-end) هستن، یعنی حتی خود شرکت سرویس‌دهنده ایمیل هم نمی‌تونه محتوای پیام‌های شما رو بخونه.

انواع مختلفی از پروتکل‌های رمزگذاری وجود داره:
- PGP (Pretty Good Privacy): این یه پروتکل رمزگذاریه که به طور خاص برای ایمیل طراحی شده و چون یه استاندارد بازه، هر کسی می‌تونه ازش استفاده کنه.
- S/MIME (Secure Multi-purpose Internet Mail Extension): این هم مثل PGP برای امن کردن محتوای ایمیل طراحی شده، اما بیشتر در محیط‌های سازمانی و شرکتی استفاده می‌شه.
- TLS (Transport Layer Security): این پروتکل برای امن کردن کل ارتباطات شبکه استفاده می‌شه، نه فقط ایمیل. وب‌گردی، انتقال فایل و ایمیل همگی می‌تونن از TLS برای محافظت از داده‌ها در حین انتقال بین دو دستگاه استفاده کنن.
نگهبانان دامنه: SPF، DKIM و DMARC

یادتونه در مورد جعل دامنه صحبت کردیم؟ خب، برای مقابله با این مشکل، سه تا رکورد DNS خاص وجود داره که مثل سه تا نگهبان برای دامنه شما عمل می‌کنن و مطمئن می‌شن ایمیل‌ها واقعا از جایی که ادعا می‌کنن، اومدن. DNS یا «سیستم نام دامنه» مثل دفترچه تلفن اینترنته و رکوردهای عمومی یه دامنه رو ذخیره می‌کنه.

این سه نگهبان عبارتند از:
- SPF (Sender Policy Framework): این رکورد مثل یه لیست مهمان‌ها عمل می‌کنه. صاحب دامنه یه لیست از آدرس‌های IP مجاز که حق دارن از طرف اون دامنه ایمیل بفرستن رو تو رکورد DNS خودش اعلام می‌کنه. وقتی یه ایمیل دریافت می‌شه، سرور گیرنده چک می‌کنه که آیا IP فرستنده تو این لیست مجاز هست یا نه.
- DKIM (DomainKeys Identified Mail): این رکورد از امضای دیجیتال برای تایید اعتبار ایمیل استفاده می‌کنه. صاحب دامنه کلیدهای عمومی DKIM رو تو رکورد DNS خودش قرار می‌ده و ایمیل‌های خروجی رو به صورت دیجیتالی امضا می‌کنه. گیرنده می‌تونه با استفاده از اون کلید عمومی، امضا رو تایید کنه و مطمئن بشه که ایمیل در مسیر دستکاری نشده.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): این رکورد مثل یه مدیر یا ناظر عمل می‌کنه. DMARC به صاحب دامنه اجازه می‌ده که مشخص کنه اگه یه ایمیل در آزمون‌های SPF یا DKIM مردود شد، سرور گیرنده باید باهاش چیکار کنه (مثلا ردش کنه، قرینه‌اش کنه یا فقط گزارش بده). این پروتکل از دو پروتکل قبلی استفاده می‌کنه تا از جعل آدرس ایمیل جلوگیری کنه.
سرویس‌های ایمیل معتبر، ایمیل‌های دریافتی رو با این سه رکورد چک می‌کنن تا ببینن آیا قانونی هستن یا نه.

ابزارها و راهکارهای فنی: ارتش دیجیتال شما

علاوه بر موارد بالا، سازمان‌ها از مجموعه‌ای از ابزارها و خدمات برای تقویت امنیت ایمیل‌شون استفاده می‌کنن:
- دروازه‌های امن ایمیل (Secure Email Gateways – SEG): اینها مثل یه گارد امنیتی در ورودی شبکه شرکت مستقر می‌شن و ایمیل‌های ورودی و خروجی رو بازرسی و فیلتر می‌کنن. اونها از معیارهای مختلفی مثل امضای بدافزارها، فیلتر کردن URLهای مشکوک و الگوهای فیشینگ برای شناسایی و مسدود کردن ایمیل‌های مخرب استفاده می‌کنن.
- امنیت ایمیل ابری (Cloud Email Security): سرویس‌های ایمیل ابری مثل Google Workspace یا Microsoft 365 معمولا ویژگی‌های امنیتی داخلی دارن. مثلا ممکنه حفاظت در برابر تهدید، فیلتر اسپم و رمزگذاری ارائه بدن. اما با توجه به اینکه آفیس ۳۶۵ به یه هدف جذاب برای مجرم‌های سایبری تبدیل شده، خیلی از شرکت‌ها دنبال لایه‌های امنیتی اضافی هستن.
- محافظت از داده‌های ایمیل (Email Data Protection – EDP): این راهکارها برای جلوگیری از نشت داده‌های حساس و اطمینان از رعایت قوانین حفاظت از داده طراحی شدن. EDP معمولا از ترکیب رمزگذاری، DLP و SEG استفاده می‌کنه.
- جلوگیری از از دست رفتن داده (Data Loss Prevention – DLP): این سیستم‌ها محتوای ایمیل‌های خروجی رو بررسی می‌کنن و اگه اطلاعات حساسی (مثل شماره کارت اعتباری یا اطلاعات شخصی) پیدا کنن، جلوی ارسال اون رو می‌گیرن یا اون بخش از متن رو حذف می‌کنن.
- راهکارهای مبتنی بر API: این راهکارها به جای اینکه در مسیر ایمیل قرار بگیرن، از طریق API به سرویس ایمیل شما متصل می‌شن و ایمیل‌ها رو برای محتوای مخرب بازرسی می‌کنن.
- هوش مصنوعی (AI) در امنیت ایمیل: هوش مصنوعی داره به یه ابزار قدرتمند در این زمینه تبدیل می‌شه. مدل‌های زبان بزرگ (LLM) می‌تونن محتوای یه ایمیل رو بخونن و تحلیل کنن و علائم هشداردهنده فیشینگ مثل تلاش برای ایجاد حس فوریت یا دستکاری روانشناسی رو تشخیص بدن. همچنین AI می‌تونه الگوهای ترافیک ایمیل رو تحلیل کنه و هرگونه رفتار غیرعادی که ممکنه نشونه یه حمله باشه رو شناسایی کنه.
شما، اولین خط دفاع: بهترین روش‌های امنیتی برای کاربران

تکنولوژی به تنهایی کافی نیست. در نهایت، این شما هستین که روی لینک کلیک می‌کنین یا پیوست رو باز می‌کنین. شما مهم‌ترین بخش از سیستم دفاعی هستین. به همین خاطر به کارمندها میگن «دیوار آتش انسانی». بیایید ببینیم چه کارهایی رو باید به یه عادت روزمره تبدیل کنیم.
- یک رمز عبور قوی بسازید: رمز عبور ضعیف، تکراری یا لو رفته، شایع‌ترین دلیل هک شدن حساب‌های ایمیله. یه رمز عبور قوی باید حداقل ۱۲ کاراکتر طول داشته باشه و ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص (مثل @، #، $) باشه.
- احراز هویت دو عاملی (MFA) را فعال کنید: این کار یه لایه امنیتی اضافه به حساب شما اضافه می‌کنه. حتی اگه یه هکر رمز عبور شما رو به دست بیاره، برای ورود به حساب به یه عامل دوم هم احتیاج داره، مثلا یه کدی که به گوشی شما فرستاده می‌شه.
- مراقب کلاهبرداری‌های فیشینگ باشید: همیشه به ایمیل‌هایی که اطلاعات شخصی از شما می‌خوان یا لینک‌های مشکوک دارن، با دیده شک نگاه کنین. قبل از کلیک کردن، ماوس رو روی لینک نگه دارین تا ببینین واقعا شما رو به کجا می‌بره.
- نرم‌افزارهای خود را به‌روز نگه دارید: همیشه مطمئن بشین که سیستم عامل و برنامه ایمیل شما آخرین آپدیت‌های امنیتی رو دریافت کرده. هکرها از آسیب‌پذیری‌های نرم‌افزارهای قدیمی سوءاستفاده می‌کنن.
- یک ارائه‌دهنده خدمات ایمیل معتبر انتخاب کنید: دنبال سرویسی باشین که از رمزگذاری و اقدامات امنیتی دیگه برای محافظت از داده‌های شما استفاده می‌کنه.
- در آموزش‌های آگاهی‌بخشی امنیتی شرکت کنید: خیلی از سازمان‌ها برای کارمندانشون دوره‌های آموزشی برگزار می‌کنن تا یاد بگیرن چطور تهدیدها رو شناسایی کنن. این آموزش‌ها خیلی مهمن و به شما کمک می‌کنن که به جای اینکه یه نقطه ضعف باشین، به یه نقطه قوت در امنیت سازمان تبدیل بشین.
- از VPN استفاده کنید: استفاده از VPN می‌تونه با رمزگذاری اتصال اینترنت شما و مخفی کردن آدرس IP، به محافظت از ایمیل‌هاتون کمک کنه و کار رو برای هکرها سخت‌تر کنه.
- از حساب‌های خود خارج شوید (Log out): وقتی کارتون تموم شد، مخصوصا روی دستگاه‌های اشتراکی، از حساب ایمیل‌تون خارج بشین. فعال کردن خروج خودکار بعد از یه مدت بی‌فعالیتی هم ایده خوبیه.
سیاست‌های امنیتی ایمیل: قوانین بازی در یک سازمان

برای اینکه همه این موارد به درستی اجرا بشن، سازمان‌ها باید یه سری قوانین و استانداردها به اسم «سیاست امنیتی ایمیل» داشته باشن. این سیاست مثل یه دفترچه راهنماست که به همه میگه چطور باید از ایمیل به صورت امن استفاده کنن. یه سیاست خوب باید شامل این موارد باشه:
- استفاده مناسب: مشخص می‌کنه چه کسانی، برای چه اهدافی و چطور می‌تونن از ایمیل سازمانی استفاده کنن.
- رمز عبور و احراز هویت: قوانین مربوط به پیچیدگی رمز عبور و اجباری بودن MFA رو تعیین می‌کنه.
- رمزگذاری: مشخص می‌کنه چه نوع اطلاعات حساسی باید حتما قبل از ارسال، رمزگذاری بشن.
- محافظت در برابر ویروس: رویه‌های مربوط به اسکن ایمیل‌ها و پیوست‌ها رو مشخص می‌کنه.
- نگهداری و حذف: تعیین می‌کنه ایمیل‌ها و پیوست‌هاشون تا چه مدتی باید نگهداری بشن و کی باید حذف بشن.
- آموزش: همه کارمندان رو ملزم به گذروندن دوره‌های آموزشی امنیت ایمیل می‌کنه.
- گزارش‌دهی حوادث: رویه‌های مربوط به گزارش و بررسی مشکلات امنیتی ایمیل رو مشخص می‌کنه.
- نظارت: رویه‌های نظارت بر ارتباطات ایمیلی برای اطمینان از رعایت سیاست‌ها رو تعیین می‌کنه.
- انطباق با مقررات: اطمینان می‌ده که سازمان با قوانین حفاظت از داده مثل GDPR و HIPAA مطابقت داره.
- اجرا: عواقب نقض سیاست امنیتی ایمیل، از اقدامات انضباطی تا پیگردهای قانونی رو مشخص می‌کنه.
یه مثال کاربردی: حالت محرمانه در جیمیل

برای اینکه این مفاهیم رو بهتر درک کنین، بیایید یه نگاهی به یکی از ویژگی‌های امنیتی جیمیل به اسم «حالت محرمانه» (Confidential Mode) بندازیم. این ویژگی به شما اجازه می‌ده ایمیل‌هایی بفرستین که امنیت بیشتری دارن.
- قدم اول: وقتی دارین یه ایمیل جدید می‌نویسین، در پایین پنجره روی آیکون قفل و ساعت کلیک کنین تا حالت محرمانه فعال بشه.
- قدم دوم: حالا می‌تونین یه تاریخ انقضا برای ایمیل‌تون تعیین کنین. بعد از این تاریخ، گیرنده دیگه نمی‌تونه ایمیل رو ببینه. همچنین می‌تونین یه رمز عبور هم براش بذارین.
  - اگه گزینه «بدون رمز پیامکی» رو انتخاب کنین، کسانی که از اپ جیمیل استفاده می‌کنن، می‌تونن مستقیم ایمیل رو باز کنن و بقیه یه ایمیل حاوی رمز عبور دریافت می‌کنن.
  - اگه گزینه «رمز پیامکی» رو انتخاب کنین، گیرنده یه رمز عبور از طریق پیامک دریافت می‌کنه و شما باید شماره تلفن گیرنده رو وارد کنین.
- قدم سوم: روی دکمه ذخیره کلیک کنین.
- قدم چهارم: ایمیل‌تون رو بنویسین و ارسال کنین.
وقتی ایمیلی رو در این حالت می‌فرستین، گیرنده نمی‌تونه متن پیام یا پیوست‌ها رو کپی، دانلود، چاپ یا فوروارد کنه. البته این حالت جلوی اسکرین‌شات گرفتن رو نمی‌گیره، ولی باعث می‌شه به اشتراک‌گذاری تصادفی ایمیل شما سخت‌تر بشه. همچنین شما می‌تونین حتی قبل از رسیدن تاریخ انقضا، دسترسی گیرنده به ایمیل رو قطع کنین.

جلسه پرسش و پاسخ پروفسور

خب، حالا که یه دور کامل با دنیای امنیت ایمیل آشنا شدیم، وقتشه که به چندتا از سوال‌های رایج شما جواب بدم.

سوال: چرا امنیت ایمیل اینقدر مهمه؟

پاسخ: چون ایمیل یکی از اصلی‌ترین ابزارهای ارتباطی ماست و اغلب حاوی اطلاعات حساسه. از طرفی، ایمیل یکی از محبوب‌ترین اهداف برای مجرم‌های سایبریه. طبق گزارش‌ها، ۹۴ درصد حمله‌های فیشینگ از ایمیل شروع می‌شن و همینطور ۹۴ درصد بدافزارها از طریق ایمیل منتقل می‌شن. یه حمله ایمیلی موفق می‌تونه منجر به خسارت‌های مالی سنگین (مثل حملات BEC که بین سال‌های ۲۰۱۳ تا ۲۰۲۲ حدود ۵۰ میلیارد دلار خسارت زدن)، از دست رفتن داده‌های حیاتی، آسیب به اعتبار برند و مشکلات قانونی بشه. پس محافظت از ایمیل، یعنی محافظت از کل کسب و کار و زندگی دیجیتال ما.

سوال: رایج‌ترین تهدیدهای ایمیلی چی هستن؟

پاسخ: تهدیدها زیادن، اما چندتا از شایع‌ترین‌هاشون اینها هستن: فیشینگ (و انواعش مثل فیشینگ نیزه‌ای)، بدافزار و باج‌افزار (که معمولا از طریق پیوست‌ها میان)، اسپم، جعل ایمیل، تسخیر حساب کاربری و مهندسی اجتماعی.

سوال: «ایمیل رمزگذاری شده» یعنی چی؟

پاسخ: یعنی محتوای ایمیل شما از متن ساده و قابل خوندن، به یه متن به هم ریخته و کد شده تبدیل می‌شه. فقط گیرنده‌ای که «کلید» درست رو داشته باشه، می‌تونه این کد رو باز کنه و متن اصلی رو بخونه. این کار مثل گذاشتن نامه توی یه پاکت مهر و موم شده است و جلوی خوندن اطلاعات شما توسط افراد غیرمجاز در مسیر انتقال رو می‌گیره.

سوال: چطوری می‌تونم امنیت ایمیلم رو بیشتر کنم؟ پنج تا راهکار اصلی بگین.

پاسخ: حتما. این پنج کار رو همیشه انجام بدین:
1. از یه رمز عبور قوی و منحصر به فرد استفاده کنین. رمزی که ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها باشه و برای حساب‌های دیگه‌تون ازش استفاده نکرده باشین.
2. احراز هویت دو عاملی (MFA) رو حتما فعال کنین. این کار امنیت حساب شما رو به شدت بالا می‌بره.
3. به لینک‌ها و پیوست‌های مشکوک، مخصوصا از طرف فرستنده‌های ناشناس، به هیچ وجه اعتماد نکنین. همیشه قبل از کلیک کردن، فکر کنین.
4. نرم‌افزارها و سیستم عامل‌تون رو همیشه آپدیت نگه دارین. این آپدیت‌ها معمولا شامل اصلاحیه‌های امنیتی مهمی هستن.
5. در مورد روش‌های جدید کلاهبرداری مثل فیشینگ، اطلاعات خودتون رو به‌روز نگه دارین. آگاهی، بهترین سلاح شماست.
منابع
[2] What is Email Security? – GeeksforGeeks

[4] What Is Email Security? Definition & Best Practices | Proofpoint US

[6] Just a moment…

[8] What is Email Security? | Why Email Security is Important

[10] Gmail Email Security & Privacy Settings – Google Safety Center

[1] What is email security? | Cloudflare

[3] What Is Email Security? | Microsoft Security

[5] What is Email Security? Types of Services and Solutions – Check Point Software

[7] What is Email Security? Types, Tactics and Best Practices | Fortinet

[9] What Is Email Security? – Protect Against Email Threats – Cisco
مرداد 29, 1404

وی‌پی‌ان چیست؟ چطور امنیت وب را افزایش می‌دهد؟

بذارید از اسمش شروع کنیم. VPN مخفف عبارت Virtual Private Network هست. اگه بخوایم این سه کلمه رو از هم جدا کنیم و معنی کنیم، فهمیدنش خیلی ساده‌تر میشه:

Virtual (مجازی): یعنی فیزیکی نیست. شما برای وصل شدن بهش نیاز به هیچ سیم یا کابل خاصی ندارید. همه چیز دیجیتالی و روی هوا اتفاق میفته.
Private (خصوصی): این مهمترین بخششه. یعنی این شبکه مال شماست و کسی نمیتونه سرک بکشه ببینه دارید چیکار میکنید. اطلاعاتتون در امان هست.
Network (شبکه): چون چند تا دستگاه رو به هم وصل میکنه. حداقلش دستگاه شما (لپ‌تاپ، گوشی، تبلت) و سرور وی‌پی‌ان. این دوتا با هم کار میکنن تا یک ارتباط برقرار کنن.

پس وقتی این سه تا رو میذاریم کنار هم، وی‌پی‌ان میشه یک «شبکه خصوصی مجازی». در واقع یک سرویسه که بین دستگاه شما و اینترنت یک ارتباط رمزنگاری شده و امن ایجاد میکنه. فکر کنید اینترنت یک اتوبان شلوغ و پر سر و صداست که همه ماشین‌ها (اطلاعات شما) دارن توش حرکت میکنن و هر کسی میتونه پلاک ماشین شما رو بخونه یا ببینه از کجا به کجا میرید. حالا وی‌پی‌ان مثل اینه که شما یک تونل شخصی و سرپوشیده برای خودتون توی این اتوبان درست کنید. ماشین شما وارد این تونل میشه، از دید بقیه پنهان میمونه و امن و امان به مقصد میرسه. اطلاعات شما اول از این تونل خصوصی و رمزنگاری شده رد میشه، میره به سرور وی‌پی‌ان و بعد از اونجا وارد اینترنت جهانی میشه. این لایه امنیتی اضافه باعث میشه ردگیری کارهایی که آنلاین انجام میدید خیلی سخت‌تر بشه.

وی‌پی‌ان چطوری کار میکنه؟ یک نگاه به پشت صحنه

خب، حالا که فهمیدیم وی‌پی‌ان چیه، بیاید یکم فنی‌تر به ماجرا نگاه کنیم ولی بازم به زبون ساده. وقتی شما دکمه «اتصال» یا Connect رو توی برنامه وی‌پی‌ان میزنید، چند تا اتفاق جالب پشت سر هم میفته:

احراز هویت (Authentication): اول از همه، برنامه وی‌پی‌ان شما با سرور وی‌پی‌ان ارتباط برقرار میکنه. مثل یک دست دادن یا معرفی کردنه. سرور چک میکنه که شما واقعا همون کسی هستید که اجازه استفاده از سرویس رو دارید. این پروسه که بهش «هندشیک» یا handshake هم میگن، خیلی سریع اتفاق میفته و کلیدهای رمزنگاری بین دستگاه شما و سرور رد و بدل میشه.
ساخت تونل (Tunneling): بعد از اینکه هویت شما تایید شد، وی‌پی‌ان یک «تونل» رمزنگاری شده روی بستر اینترنت ایجاد میکنه. این تونل امن، مسیر حرکت اطلاعات شما بین دستگاهتون و سرور وی‌پی‌ان هست.
رمزنگاری (Encryption): حالا هر اطلاعاتی که شما میفرستید یا دریافت میکنید، قبل از اینکه از دستگاهتون خارج بشه، توسط برنامه وی‌پی‌ان رمزنگاری میشه. یعنی چی؟ یعنی تبدیل میشه به یک سری کدها و حروف درهم و برهم که اگه کسی وسط راه بهش دسترسی پیدا کنه، هیچی ازش نمیفهمه. مثل اینکه دارید به یک زبون رمزی حرف میزنید که فقط شما و سرور وی‌پی‌ان بلدید. فقط سرور وی‌پی‌ان کلید باز کردن این قفل و خوندن اطلاعات رو داره.
کپسوله‌سازی (Encapsulation): برای اینکه امنیت بسته‌های اطلاعاتی شما بیشتر هم بشه، وی‌پی‌ان هر بسته اطلاعاتی رو داخل یک بسته دیگه قرار میده و اون بسته بیرونی رو رمزنگاری میکنه. مثل اینه که نامه‌تون رو بذارید توی یک پاکت، بعد اون پاکت رو هم بذارید توی یک صندوقچه قفل‌دار. این کار هسته اصلی تونل وی‌پی‌ان رو تشکیل میده و باعث میشه اطلاعات موقع جابجایی امن بمونن.
ارسال و رمزگشایی (Decryption): اطلاعات رمزنگاری شده شما از طریق اون تونل امن به سرور وی‌پی‌ان میرسه. سرور با استفاده از کلید خصوصی خودش، قفل رو باز میکنه، اطلاعات رو از حالت رمز خارج میکنه (رمزگشایی) و به شکل قابل فهم درمیاره.
ارسال به مقصد نهایی: حالا سرور وی‌پی‌ان، درخواست شما رو (مثلا باز کردن یک سایت) به اینترنت میفرسته. اما با یک تفاوت بزرگ: این درخواست دیگه با آدرس IP شما فرستاده نمیشه، بلکه با آدرس IP خود سرور وی‌پی‌ان فرستاده میشه. اینجاست که هویت شما مخفی میمونه.

وقتی اون سایت به درخواست شما جواب میده، جوابش رو برای سرور وی‌پی‌ان میفرسته. سرور دوباره اون جواب رو رمزنگاری میکنه و از طریق همون تونل امن برای شما میفرسته. وقتی به دستگاه شما رسید، برنامه وی‌پی‌ان اون رو رمزگشایی میکنه تا شما بتونید ببینیدش.

به طور خلاصه، سه تا کار اصلی و مهم انجام میده:

رمزنگاری: ترافیک اینترنت شما رو به کد تبدیل میکنه تا خوندنش برای دیگران خیلی سخت بشه.
امنیت انتقال داده: حتی وقتی از وای‌فای‌های عمومی و ناامن استفاده میکنید، وی‌پی‌ان یک لایه امنیتی اضافه میکنه تا اطلاعاتتون راحت دزدیده نشن.
پنهان کردن آدرس IP (IP Address Masking): وقتی به وی‌پی‌ان وصل میشید، آدرس IP واقعی شما مخفی میشه و آدرس IP سرور وی‌پی‌ان جایگزینش میشه. اینطوری به نظر میرسه که شما از یک شهر یا کشور دیگه به اینترنت وصل شدید و این کار حریم خصوصی شما رو موقع وب‌گردی خیلی بیشتر میکنه.

چرا اصلا باید از وی‌پی‌ان استفاده کنیم؟ (کاربردها و مزایا)

خب حالا میرسیم به سوال اصلی: این همه پیچیدگی برای چی؟ چرا باید از وی‌پی‌ان استفاده کنیم؟ دلایل زیادی وجود داره که بسته به نیازهای هر فرد، میتونه متفاوت باشه. بیاید چند تا از مهمترین‌هاش رو با هم بررسی کنیم.

۱. حفظ حریم خصوصی

این اولین و مهمترین دلیل استفاده از وی‌پی‌انه. شرکت ارائه‌دهنده اینترنت شما (ISP)، میتونه تمام فعالیت‌های آنلاین شما رو ببینه و ثبت کنه. اونها میدونن شما به چه سایت‌هایی سر میزنید، چه فایل‌هایی دانلود میکنید و چقدر آنلاین هستید. این اطلاعات میتونه به شرکت‌های تبلیغاتی فروخته بشه، به دولت داده بشه یا در صورت هک شدن سرورهای ISP، در معرض خطر قرار بگیره. وقتی از وی‌پی‌ان استفاده میکنید، ترافیک شما رمزنگاری میشه. ISP شما فقط میبینه که شما به یک سرور وی‌پی‌ان وصل شدید، اما دیگه نمیتونه ببینه داخل اون تونل چه خبره و شما دارید چیکار میکنید. وی‌پی‌ان عملا فعالیت شما رو از چشم ISP مخفی میکنه.

۲. امنیت در شبکه‌های وای‌فای عمومی

وای‌فای‌های عمومی مثل وای‌فای کافه، فرودگاه یا کتابخونه خیلی وسوسه‌انگیزن، اما به همون اندازه هم میتونن خطرناک باشن. این شبکه‌ها معمولا امنیت پایینی دارن و پسورد ندارن. این یعنی هکرها و افراد سودجو میتونن راحت به این شبکه وصل بشن و اطلاعاتی که بین دستگاه شما و اینترنت رد و بدل میشه رو شنود کنن. به این کار میگن «داده‌ربایی» یا data sniffing. اگه شما توی یک شبکه عمومی به حساب بانکی‌تون سر بزنید یا یک خرید آنلاین انجام بدید، اطلاعات حساس شما مثل رمز عبور یا شماره کارت بانکی در معرض خطر جدی قرار میگیره.

وی‌پی‌ان اینجا نقش یک محافظ رو بازی میکنه. با رمزنگاری کردن تمام اطلاعات شما، حتی اگه یک هکر بتونه به اطلاعات شما دسترسی پیدا کنه، فقط یک سری کد درهم و برهم میبینه و نمیتونه ازش استفاده کنه. اینطوری شما با خیال راحت‌تری میتونید از وای‌فای عمومی استفاده کنید.

۳. دور زدن محدودیت‌های جغرافیایی (Geo-restriction)

بعضی از سایت‌ها و سرویس‌های آنلاین، محتوای خودشون رو بر اساس موقعیت جغرافیایی شما محدود میکنن. مثلا ممکنه یک سرویس استریم فیلم، یک سری فیلم‌ها رو فقط برای کاربران یک کشور خاص نمایش بده. یا شاید شما به یک کشور دیگه سفر کردید و میخواید به محتوای محلی کشور خودتون دسترسی داشته باشید.

وی‌پی‌ان با تغییر دادن آدرس IP شما این مشکل رو حل میکنه. شما میتونید به یک سرور در کشور مورد نظرتون وصل بشید و اون سایت فکر میکنه شما واقعا در همون کشور هستید. اینطوری میتونید به محتوایی که قبلا براتون قفل بود دسترسی پیدا کنید.

۴. جلوگیری از سرقت هویت

سرقت هویت یک مشکل رو به رشده که هکرها اطلاعات شخصی شما رو میدزدن تا از کارت‌های بانکی شما استفاده کنن، به حساب‌هاتون دسترسی پیدا کنن یا حتی به اسم شما کارهای غیرقانونی انجام بدن. وی‌پی‌ان با رمزنگاری اطلاعات شما در تونل امن، کار رو برای کلاهبردارها سخت میکنه که به اطلاعات شما دسترسی پیدا کنن، مخصوصا در شبکه‌های ناامن. همینطور با مخفی کردن IP، شما رو در برابر حملات سایبری مثل حملات DDoS (Distributed Denial of Service) محافظت میکنه. اگه کسی IP واقعی شما رو ندونه، نمیتونه علیه شما حمله‌ای رو شروع کنه.

۵. دسترسی به اطلاعات حساس

برای بعضی افراد مثل روزنامه‌نگارها، فعالان اجتماعی یا کسانی که در کشورهای با محدودیت اینترنت زندگی میکنن، دسترسی امن به اطلاعات خیلی حیاتیه. وی‌پی‌ان اون لایه امنیتی اضافه رو براشون فراهم میکنه تا بتونن با خیال راحت‌تر به اطلاعات دسترسی پیدا کنن و هویتشون مخفی بمونه.

۶. جلوگیری از محدودیت سرعت اینترنت (Bandwidth Throttling)

گاهی وقت‌ها، ارائه‌دهنده اینترنت (ISP) شما ممکنه سرعت اینترنتتون رو بسته به فعالیت‌هایی که انجام میدید، عمدا کم کنه. مثلا وقتی دارید فیلم استریم میکنید یا فایل‌های حجیم دانلود میکنید، چون این کارها پهنای باند زیادی مصرف میکنه، ISP ممکنه سرعت شما رو محدود کنه تا فشار روی شبکه کمتر بشه. به این کار میگن Throttling.

از اونجایی که وی‌پی‌ان فعالیت شما رو از چشم ISP مخفی میکنه، اونها نمیدونن شما دارید چیکار میکنید و در نتیجه نمیتونن ترافیک خاصی رو هدف قرار بدن و سرعتش رو کم کنن. البته این به این معنی نیست که وی‌پی‌ان سرعت اینترنت شما رو بیشتر میکنه؛ معمولا به خاطر فرایند رمزنگاری و فاصله تا سرور، یک مقدار سرعت کم میشه. اما میتونه جلوی کم شدن عمدی سرعت توسط ISP رو بگیره.

۷. کار از راه دور (Remote Work)

امروزه کار کردن از خونه خیلی رایج شده. کارمندها برای اینکه بتونن به فایل‌ها و منابع داخلی شرکت دسترسی پیدا کنن، نیاز به یک راه امن دارن. وی‌پی‌ان به کارمندهای دورکار اجازه میده از هر جایی که به اینترنت دسترسی دارن، به شبکه خصوصی شرکت وصل بشن. این کار هم به کارمندها انعطاف بیشتری میده و هم تضمین میکنه که اطلاعات حساس شرکت، حتی روی یک شبکه وای‌فای عمومی، امن و خصوصی باقی بمونه.

انواع مختلف وی‌پی‌ان‌ها: هر کدوم به چه دردی میخورن؟

وی‌پی‌ان‌ها مدل‌های مختلفی دارن که هر کدوم برای یک کار خاص طراحی شدن. اگه بخوایم اونها رو دسته‌بندی کنیم، به چند گروه اصلی میرسیم:

اسم	نوع	روش اتصال	کاربرد
وی‌پی‌ان دسترسی از راه دور (Remote Access VPN)	خانگی/شخصی	اتصال به یک شبکه خصوصی یا سرور شخص ثالث از طریق SSL/TLS	برای کارمندهای دورکار و کاربران عادی که دنبال حریم خصوصی هستن
وی‌پی‌ان سایت به سایت (Site-to-site VPN)	خصوصی	یک شبکه از طریق LAN یا WAN به شبکه دیگری وصل میشه	برای اتصال دفترهای مختلف یک شرکت بزرگ به هم
اپلیکیشن‌های وی‌پی‌ان (VPN Applications)	موبایل	اتصال به شبکه خصوصی از طریق اپلیکیشن روی گوشی هوشمند	برای کاربرانی که در حال حرکت هستن و امنیت روی موبایل براشون مهمه

حالا بیاید هر کدوم از اینها رو یکم بیشتر باز کنیم:

۱. وی‌پی‌ان دسترسی از راه دور (Remote Access VPN)

این مدل که بهش Client-to-Site یا Host-to-Network هم میگن، رایج‌ترین نوع وی‌پی‌انه که اکثر ماها باهاش سر و کار داریم. در این حالت، یک کاربر (یا یک دستگاه) از راه دور به یک شبکه خصوصی وصل میشه. این میتونه شبکه شرکت شما باشه یا سرورهای یک شرکت ارائه‌دهنده وی‌پی‌ان تجاری.

شما معمولا با وارد کردن نام کاربری و رمز عبور در یک صفحه ورود یا از طریق یک برنامه (کلاینت) مخصوص روی کامپیوتر یا گوشی‌تون، به این شبکه وصل میشید. این نوع وی‌پی‌ان هم برای مصارف کاری (دسترسی به فایل‌های شرکت از خونه) و هم برای مصارف شخصی (حفظ حریم خصوصی موقع وب‌گردی) استفاده میشه و به همین دلیل خیلی محبوبه.

۲. وی‌پی‌ان سایت به سایت (Site-to-site VPN)

این نوع وی‌پی‌ان برای سازمان‌ها و شرکت‌های بزرگ طراحی شده که چندین شعبه در مکان‌های جغرافیایی مختلف دارن. به جای اینکه هر کارمند جداگانه به شبکه مرکزی وصل بشه، وی‌پی‌ان سایت به سایت، کل شبکه یک شعبه (مثلا دفتر تهران) رو به کل شبکه شعبه دیگه (مثلا دفتر اصفهان) از طریق اینترنت وصل میکنه.

این کار از طریق دستگاه‌های خاصی به اسم «دروازه» یا Gateway در هر دو طرف انجام میشه. در واقع این یک تونل دائمی و پایدار بین دو تا شبکه ایجاد میکنه. به این مدل، Network-to-Network هم میگن. وی‌پی‌ان‌های سایت به سایت خودشون دو نوع دارن:

اینترانت (Intranet): وقتی شعبه‌های مختلف یک سازمان به هم وصل میشن. مثلا دفترهای مختلف یک شرکت در شهرهای مختلف با هم در ارتباط هستن.
اکسترانت (Extranet): وقتی شبکه‌های چند سازمان مختلف به هم وصل میشن. مثلا یک شرکت برای همکاری با شرکای تجاری یا تامین‌کننده‌هاش، یک شبکه امن مشترک درست میکنه. در این حالت میشه سطح دسترسی‌ها رو هم مدیریت کرد تا هر سازمان فقط به منابع مشخصی دسترسی داشته باشه.

۳. وی‌پی‌ان موبایل (Mobile VPN)

با زیاد شدن استفاده از گوشی‌های هوشمند، وی‌پی‌ان‌های مخصوص موبایل هم خیلی مهم شدن. وی‌پی‌ان موبایل نه تنها تمام مزایای یک وی‌پی‌ان معمولی رو داره، بلکه برای شرایط خاص موبایل هم بهینه شده.

یک ویژگی کلیدی وی‌پی‌ان موبایل اینه که حتی وقتی اتصال اینترنت شما قطع و وصل میشه یا بین شبکه‌های مختلف جابجا میشید (مثلا از وای‌فای خونه به اینترنت سیم‌کارت)، ارتباط امن وی‌پی‌ان قطع نمیشه. این برای کسانی که زیاد در حال حرکت هستن یا به اینترنت پایداری دسترسی ندارن، ایده‌آل هست. تا زمانی که برنامه وی‌پی‌ان در حال اجرا باشه، دستگاه شما امن باقی میمونه.

پروتکل‌های وی‌پی‌ان: موتورهای پشت پرده

تا اینجا فهمیدیم وی‌پی‌ان چیه و چیکار میکنه. اما چیزی که قدرت و امنیت یک وی‌پی‌ان رو تعیین میکنه، «پروتکل» اونه. پروتکل مثل یک مجموعه از قوانین و دستورالعمل‌هاست که مشخص میکنه تونل امن چطوری ساخته بشه و اطلاعات چطوری رمزنگاری بشن. یک وی‌پی‌ان فقط وقتی میتونه امنیت شما رو تضمین کنه که از یک پروتکل قوی استفاده کنه. بیاید با چند تا از معروف‌ترین پروتکل‌ها آشنا بشیم:

اسم پروتکل	رمزنگاری	مسیریابی	بهترین کاربرد
OpenVPN	256-bit AES با OpenSSL	TCP و UDP, SSL/TLS	بهترین گزینه برای استفاده عمومی (ترکیب خوب سرعت و امنیت)
SSTP	256-bit AES	TCP, SSL/TLS	بهترین گزینه برای ویندوز (چون مایکروسافت ساختتش)
IKEv2 / IPSec	256-bit AES	UDP	بهترین گزینه برای موبایل (به خاطر پایداری در جابجایی)
L2TP / IPSec	256-bit AES	UDP	گزینه خوب برای راه‌اندازی‌های اولیه و ساده
PPTP	128-bit	TCP	هیچ؛ منسوخ شده و ناامن
WireGuard	256-bit AES	UDP	بهترین گزینه برای کسانی که دنبال تکنولوژی جدید و سرعت بالا هستن

یک توضیح کوتاه در مورد هر پروتکل:

OpenVPN: این پروتکل به نوعی استاندارد صنعتی حساب میشه. منبع باز (Open-source) هست، یعنی کدهاش در دسترس همه قرار داره تا کارشناس‌های امنیتی اون رو بررسی کنن و ایرادهاش رو پیدا کنن. این شفافیت باعث میشه خیلی قابل اعتماد باشه. هم امنه، هم سریع و هم خیلی انعطاف‌پذیر.
SSTP (Secure Socket Tunneling Protocol): این پروتکل توسط مایکروسافت ساخته شده و به صورت پیش‌فرض روی سیستم‌عامل ویندوز وجود داره. امنیت خوبی داره و چون مایکروسافت ازش پشتیبانی میکنه، برای کاربرهای ویندوز گزینه خیلی خوبیه.
IKEv2/IPsec: اسم کاملش هست Internet Key Exchange version 2. این پروتکل معمولا با IPsec (Internet Protocol Security) ترکیب میشه تا امنیت و سرعت بهینه‌ای داشته باشه. بزرگترین مزیتش اینه که در شرایط اینترنت ناپایدار خیلی خوب کار میکنه و برای موبایل ایده‌آله. مثلا وقتی از وای‌فای به اینترنت 4G سوییچ میکنید، اتصالش قطع نمیشه.
L2TP/IPsec: این پروتکل هم مثل قبلی، با IPsec ترکیب میشه تا امن‌تر بشه. راه‌اندازیش نسبتا ساده است اما امروزه خیلی از ارائه‌دهنده‌ها دیگه ازش پشتیبانی نمیکنن چون گزینه‌های بهتری مثل OpenVPN و WireGuard وجود داره.
PPTP (Point-to-Point Tunneling Protocol): این یکی از قدیمی‌ترین پروتکل‌هاست و امروزه دیگه منسوخ شده حساب میشه. مشکلات امنیتی زیادی داره و دیگه به عنوان یک گزینه امن شناخته نمیشه. بعضی از وی‌پی‌ان‌های رایگان ممکنه هنوز ازش استفاده کنن که باید خیلی مراقب بود.
WireGuard: این یک پروتکل نسبتا جدیده که خیلی سر و صدا کرده. کدنویسیش خیلی سبک‌تر و مدرن‌تره، سرعتش خیلی بالاست و با موبایل هم سازگاری عالی داره. مثل OpenVPN، این هم یک پروژه منبع بازه. در سال ۲۰۲۰، پشتیبانی از وایرگارد به هسته لینوکس و اندروید اضافه شد که این موضوع راه رو برای استفاده گسترده‌تر ازش باز کرد.

علاوه بر اینها، پروتکل‌های دیگه‌ای هم وجود دارن که کمتر رایج هستن مثل:

DTLS (Datagram Transport Layer Security): در وی‌پی‌ان‌هایی مثل Cisco AnyConnect و OpenConnect استفاده میشه تا مشکلاتی که TLS با تونل‌زنی روی TCP داره رو حل کنه.
MPPE (Microsoft Point-to-Point Encryption): با پروتکل PPTP کار میکنه.
SSH VPN: ابزار OpenSSH قابلیت تونل‌زنی وی‌پی‌ان رو فراهم میکنه اما بیشتر برای اتصال از راه دور به ماشین‌ها استفاده میشه تا یک اتصال سایت به سایت.

موقع انتخاب یک وی‌پی‌ان خوب، به چه چیزهایی دقت کنیم؟

حالا که اطلاعاتتون کامل شد، اگه تصمیم گرفتید از یک وی‌پی‌ان استفاده کنید، باید بدونید که چطور یک سرویس خوب رو انتخاب کنید. بازار پر از گزینه‌های مختلفه، اما شما باید دنبال یک شرکت معتبر با سابقه خوب و ارزش‌های قابل اعتماد باشید. این ویژگی‌ها رو در نظر بگیرید:

پروتکل‌های قوی: مهمترین ویژگی یک وی‌پی‌ان، امنیته. پس دنبال سرویسی باشید که از پروتکل‌های استاندارد صنعتی با رمزنگاری 256-bit AES استفاده میکنه. این همون سطح از رمزنگاریه که بانک‌ها و ارتش ازش استفاده میکنن. امروزه این یعنی باید سراغ سرویس‌هایی برید که از OpenVPN، IKEv2/IPsec یا WireGuard پشتیبانی میکنن و از پروتکل‌های منسوخ شده مثل PPTP دوری میکنن. بهترین ارائه‌دهنده‌ها به شما اجازه میدن بین چند پروتکل مختلف انتخاب کنید.
سیاست عدم ثبت گزارش (Zero-log Policy): شما از وی‌پی‌ان استفاده میکنید تا از چشم دیگران مخفی بمونید، اما خود شرکت وی‌پی‌ان از نظر تئوری میتونه تمام کارهای شما رو ببینه. برای همین خیلی مهمه شرکتی رو انتخاب کنید که در مورد سیاست ثبت گزارش‌هاش شفاف باشه. یک وی‌پی‌ان no-log یا zero-log یعنی اون شرکت هیچ‌کدوم از فعالیت‌های شما رو ثبت و ذخیره نمیکنه. این شامل گزارش‌های استفاده، گزارش‌های اتصال، داده‌های جلسات یا حتی آدرس IP واقعی شما میشه. اونها فقط اطلاعات اولیه مثل ایمیل و اطلاعات پرداخت شما رو نگه میدارن.
تعداد و پراکندگی سرورها: اگه یک ارائه‌دهنده فقط تعداد کمی سرور در چند جای محدود داشته باشه، ممکنه با کاهش سرعت مواجه بشید. هر چی تعداد سرورها در سراسر جهان بیشتر باشه، هم کاربران بین سرورها پخش میشن و عملکرد بهتر میشه، و هم شما گزینه‌های بیشتری برای انتخاب موقعیت جغرافیایی دارید. اگه سرورها به شما نزدیک‌تر باشن، داده‌های شما مسافت کمتری رو طی میکنن و سرعت بهتر میشه.
کیل سوییچ (Kill Switch): این یک ویژگی امنیتی خیلی مهمه. اگه به هر دلیلی اتصال وی‌پی‌ان شما قطع بشه، دستگاه شما به صورت خودکار به آدرس IP واقعی‌تون برمیگرده و هویت شما لو میره. کیل سوییچ جلوی این اتفاق رو میگیره. به محض اینکه اتصال وی‌پی‌ان قطع بشه، کیل سوییچ کل اتصال اینترنت شما رو قطع میکنه تا هیچ داده‌ای بدون محافظت ارسال نشه.
محافظت از آدرس IP: یک ارائه‌دهنده خوب باید به شما گزینه‌هایی برای مسیریابی مجدد IP بده. مثلا IP اشتراکی (Shared IP) که چندین کاربر رو زیر یک IP گروه‌بندی میکنه و باعث میشه تشخیص فعالیت یک فرد خاص سخت‌تر بشه. همچنین قابلیت تعویض سریع و راحت سرورها به شما این امکان رو میده که موقعیت خودتون رو به راحتی تغییر بدید.
سازگاری با موبایل: اگه امنیت روی موبایل براتون مهمه، دنبال سرویسی باشید که اپلیکیشن‌های موبایل خوبی داشته باشه و از پروتکل IKEv2/IPsec برای پایداری در جابجایی پشتیبانی کنه.
قیمت (پولی در برابر رایگان): به طور کلی، بهتره از وی‌پی‌ان‌های رایگان دوری کنید. یک شرکت پولی، یک شرکت معتبر و واقعیه که از تکنولوژی و زیرساخت باکیفیت پشتیبانی میکنه. یک ارائه‌دهنده پولی احتمال خیلی کمتری داره که فعالیت‌های شما رو ثبت کنه و به شرکت‌های تبلیغاتی بفروشه. درسته که وی‌پی‌ان‌های پرمیوم هزینه ماهانه دارن، اما ارزش امنیت و آرامش خیالی که به دست میارید، خیلی بیشتر از اون هزینه است.
پشتیبانی مشتری: مثل هر شرکت نرم‌افزاری دیگه‌ای، یک ارائه‌دهنده وی‌پی‌ان باید یک تیم پشتیبانی قابل اعتماد داشته باشه که در صورت بروز مشکل، بتونید باهاشون تماس بگیرید.

محدودیت‌ها و تصورات اشتباه در مورد وی‌پی‌ان

وی‌پی‌ان یک ابزار فوق‌العاده برای حفظ حریم خصوصی و امنیته، اما جادو نمیکنه. مهمه که بدونیم یک وی‌پی‌ان چه کارهایی رو نمیتونه انجام بده تا یک حس امنیت کاذب بهمون دست نده.

وی‌پی‌ان شما رو ۱۰۰ درصد ناشناس نمیکنه: رسیدن به ناشناس بودن کامل در اینترنت تقریبا غیرممکنه. وی‌پی‌ان یک ابزار عالی برای محافظت از حریم خصوصیه، اما ردپای دیجیتالی که شما موقع استفاده از اینترنت به جا میذارید رو نمیشه به طور کامل پاک کرد.
وی‌پی‌ان جلوی ویروس‌ها و بدافزارها رو نمیگیره: اگه شما روی یک لینک فیشینگ کلیک کنید یا یک فایل آلوده رو دانلود کنید، دستگاه شما ممکنه آلوده بشه، حتی اگه به وی‌پی‌ان وصل باشید. برای این کار شما به یک برنامه آنتی‌ویروس خوب نیاز دارید. بعضی وی‌پی‌ان‌ها قابلیت‌های اولیه بلاک کردن بدافزار رو دارن اما جایگزین آنتی‌ویروس نیستن.
وی‌پی‌ان جلوی کوکی‌ها (Cookies) رو نمیگیره: وی‌پی‌ان میتونه جلوی تبلیغ‌کننده‌ها رو بگیره که از کوکی‌ها برای هدف قرار دادن شما بر اساس IP استفاده کنن، اما خود کوکی‌ها همچنان روی مرورگر شما ذخیره میشن.
هنوز هم ممکنه هک بشید: اگه شما اصول اولیه امنیت سایبری رو رعایت نکنید، حتی با وجود وی‌پی‌ان هم در خطر هستید. وی‌پی‌ان از شما در برابر بی‌احتیاطی خودتون محافظت نمیکنه.
وی‌پی‌ان معمولا سرعت اینترنت رو کم میکنه: فرایند رمزنگاری و فرستادن اطلاعات به یک سرور دور، زمان‌بره و به طور طبیعی مقداری از سرعت شما رو کم میکنه. این یک نتیجه اجتناب‌ناپذیره. البته اگه از یک وی‌پی‌ان باکیفیت استفاده کنید، این کاهش سرعت به سختی قابل تشخیصه.

آیا استفاده از وی‌پی‌ان قانونیه؟

در اکثر کشورهای دنیا، استفاده از وی‌پی‌ان کاملا قانونیه. هیچ اشکالی نداره که شما برای محافظت از حریم خصوصی خودتون قدم بردارید. اما کشورهایی هم هستن که استفاده از وی‌پی‌ان در اونها ممنوع یا غیرقانونیه. کشورهایی مثل چین، ایران، عمان، روسیه، بلاروس، ترکمنستان و امارات متحده عربی (و چند کشور دیگه) محدودیت‌هایی برای استفاده از وی‌پی‌ان دارن.

نکته مهم اینه که انجام فعالیت‌های غیرقانونی آنلاین، چه با وی‌پی‌ان و چه بدون اون، همچنان غیرقانونیه.

پرسش و پاسخ‌های متداول

خب، این هم از درس امروز ما. امیدوارم همه چیز رو خوب یاد گرفته باشید. حالا بیاید چند تا از سوال‌هایی که معمولا برای بچه‌ها پیش میاد رو با هم مرور کنیم.

سوال: به طور خلاصه وی‌پی‌ان چیکار میکنه؟
یک وی‌پی‌ان (شبکه خصوصی مجازی) با رمزنگاری کردن داده‌های شما و مخفی کردن آدرس IP شما، از کاربرهاش محافظت میکنه. این کار باعث میشه فعالیت وب‌گردی، هویت و موقعیت مکانی شما مخفی بمونه و حریم خصوصی و استقلال بیشتری به شما میده.

سوال: آیا وی‌پی‌ان من رو از ردیابی ISP محافظت میکنه؟
بله. وی‌پی‌ان با مسیریابی اتصال شما به یک سرور وی‌پی‌ان از راه دور، آدرس IP شما رو مخفی میکنه و موقعیت مکانی شما رو پنهان میکنه. با مخفی شدن این اطلاعات، هویت شما خصوصی باقی میمونه و ارائه‌دهنده اینترنت (ISP)، شرکت‌های تبلیغاتی و مجرمان سایبری نمیتونن شما رو ردیابی کنن.

سوال: آیا باید وی‌پی‌انم رو همیشه روشن بذارم؟
این به خودتون بستگی داره. قطعا هر وقت به یک وای‌فای عمومی وصل میشید، باید وی‌پی‌ان رو روشن کنید. فراتر از اون، اگه میخواید به طور مداوم تحت پوشش امنیتی آنلاین باشید، میتونید همیشه روشنش بذارید. فقط یادتون باشه که استفاده مداوم از وی‌پی‌ان ممکنه کمی سرعت اینترنت شما رو کم کنه.

سوال: وی‌پی‌ان روی گوشی چیه؟
وی‌پی‌ان روی گوشی آیفون یا اندروید یک اپلیکیشن موبایله که ترافیک اینترنت رو رمزنگاری میکنه، آدرس IP دستگاه رو مخفی میکنه و یک وب‌گردی امن‌تر و خصوصی‌تر رو از طریق یک شبکه خصوصی مجازی فراهم میکنه.

سوال: چطوری یک وی‌پی‌ان نصب کنم؟
برای نصب یک وی‌پی‌ان، اپلیکیشن ارائه‌دهنده مورد نظرتون رو دانلود کنید، اجراش کنید و وارد حساب کاربری‌تون بشید. بعد از اون، میتونید به سرور دلخواهتون وصل بشید تا اتصال اینترنتتون امن بشه.

منابع

[2] Virtual private network – Wikipedia
[4] What is a VPN – Meaning and all you need to know – Surfshark
[6] Everything You Need to Know About VPNs and How They Work – CNET
[8] What is a VPN and what does it do? – Norton

[1] What is a VPN and why it’s important : r/VPN
[3] What is a VPN? Why Should I Use a VPN? | Microsoft Azure
[5] What is a VPN? Virtual private network meaning | NordVPN
[7] Is a VPN actually worth it? : r/VPN
[9] What Is a Virtual Private Network (VPN)? – Cisco

مرداد 29, 1404

اعتماد صفر یا Zero Trust، رویکرد نوین به امنیت سایبری

بذارین اول از یه روش قدیمی شروع کنیم که بفهمیم چرا اصلا به یه چیز جدید مثل اعتماد صفر نیاز پیدا کردیم. تا همین چند سال پیش، شرکت‌ها و سازمان‌ها به امنیت شبکه مثل یه قلعه نگاه می‌کردن. یه قلعه محکم با دیوارهای بلند و یه خندق دورش. هر چیزی که بیرون این قلعه بود، «غیرقابل اعتماد» و «بد» حساب میشد و هر کسی یا هر چیزی که داخل قلعه بود، «قابل اعتماد» و «خوب» بود.

فکر کنین شما کارمند یه شرکتین. وقتی وارد ساختمون شرکت میشین و به شبکه داخلی وصل میشین، انگار از پل متحرک قلعه رد شدین و وارد شدین. از اون لحظه به بعد، سیستم امنیتی شرکت به شما اعتماد کامل داشت. میگفت: «خب، این دیگه خودیه! بذار هر کاری میخواد بکنه.» شما میتونستین به همه فایل‌ها، پرینترها و سرورهای داخلی راحت دسترسی داشته باشین. این روش بهش میگن امنیت مبتنی بر محیط (Perimeter-based security).

چرا دیگه مدل قلعه و خندق جواب نمیده؟

این مدل تا وقتی خوب بود که همه کارمندها توی یه ساختمون بودن و همه اطلاعات شرکت روی سرورهای همون ساختمون بود. اما دنیای امروز خیلی فرق کرده:

دورکاری و کار هیبریدی: الان خیلی‌ها از خونه کار میکنن. دیگه کسی داخل قلعه نیست.
سرویس‌های ابری (Cloud): اطلاعات شرکت‌ها دیگه فقط روی سرورهای خودشون نیست. کلی از اطلاعات و نرم‌افزارها روی سرویس‌های ابری مثل مایکروسافت، آمازون و گوگل پخش شدن.
دستگاه‌های شخصی (BYOD): خیلی‌ها با لپ‌تاپ یا گوشی شخصی خودشون به شبکه شرکت وصل میشن.
اینترنت اشیا (IoT): کلی دستگاه مثل پرینترهای هوشمند، دوربین‌ها و سنسورها به شبکه وصلن که امنیت‌شون همیشه عالی نیست.

با این همه تغییر، دیگه چیزی به اسم «محیط شبکه» یا همون دیوار قلعه وجود نداره. همه چیز پخش و پلاست. حالا اگه یه هکر بتونه یه جوری خودش رو برسونه داخل این شبکه گسترده (مثلا با دزدیدن رمز عبور یه کارمند دورکار)، اون وقت چی میشه؟ سیستم امنیتی قدیمی میگه: «اینم خودیه!» و هکر مثل شما میتونه به همه جا سرک بکشه. این حرکت هکر در داخل شبکه رو بهش میگن حرکت جانبی (Lateral Movement). اینجاست که فاجعه اتفاق می‌افته.

تولد یک ایده جدید: اعتماد صفر (Zero Trust)

حدود سال ۲۰۱۰، یه تحلیل‌گر از شرکت تحقیقاتی فارستر (Forrester Research) به اسم جان کیندرواگ (John Kindervag) اومد و گفت این مدل قلعه و خندق دیگه فایده نداره. اون یه ایده جدید مطرح کرد که اسمش رو گذاشت «اعتماد صفر».

فلسفه اعتماد صفر خیلی ساده‌ست. میگه: «هرگز اعتماد نکن، همیشه بررسی کن» (Never trust, always verify).

این یعنی چی؟ یعنی دیگه فرقی نمیکنه شما داخل شبکه شرکت باشین یا بیرونش. روی مبل خونه‌تون نشستین یا پشت میزتون توی اداره. هر بار که بخواین به یه فایل، یه نرم‌افزار یا هر منبع دیگه‌ای دسترسی پیدا کنین، سیستم باید هویت شما و سلامت دستگاه شما رو از اول بررسی کنه. انگار که یه نگهبان فوق‌العاده وسواسی دم در هر اتاق شرکت ایستاده و هر بار که میخواین وارد یه اتاق جدید بشین، کارت شناسایی شما رو چک میکنه، حتی اگه ده ثانیه پیش شما رو دیده باشه!

پس اعتماد صفر یه محصول یا یه سرویس خاص نیست که بریم بخریم و نصب کنیم. این یه استراتژی و یه مدل فکری برای طراحی سیستم‌های امنیتیه. این مدل فرض میکنه که هکرها هم داخل شبکه هستن هم بیرونش. پس به هیچ‌کس و هیچ‌چیز به طور پیش‌فرض اعتماد نمیکنه.

سه اصل اساسی در دنیای اعتماد صفر

کل این مدل فکری روی سه تا پایه اصلی بنا شده. بیاید این سه تا اصل رو با هم مرور کنیم:

اصل	توضیح ساده و خودمونی
بررسی صریح (Verify explicitly)	همیشه هویت و مجوز دسترسی رو بر اساس تمام اطلاعات موجود چک کن. یعنی فقط به یه رمز عبور قانع نشو. ببین این کاربر کیه، از کجا وصل شده، دستگاهش چیه، وضعیت سلامت دستگاهش چطوره و… بعد اجازه بده.
استفاده از دسترسی با حداقل امتیاز (Use least privilege access)	به هر کاربر فقط و فقط به اندازه‌ای که برای انجام کارش نیاز داره دسترسی بده، نه بیشتر. مثل ارتش که به هر سرباز اطلاعات رو بر اساس نیاز به دانستن (need-to-know) میدن. وقتی هم کارش تموم شد، دسترسی رو ازش بگیر.
فرض کردن رخنه امنیتی (Assume breach)	همیشه فرض کن که هکرها همین الان داخل شبکه هستن. با این فرض، باید کاری کنی که اگه یه بخش از شبکه هک شد، هکر نتونه به بخش‌های دیگه بره و کل سیستم رو نابود کنه. باید محدوده خسارت یا اون «شعاع انفجار» (Blast Radius) رو به حداقل برسونی.

این سه تا اصل، قلب تپنده مدل اعتماد صفر هستن. به جای اینکه فکر کنیم هر چیزی پشت فایروال شرکت امنه، مدل اعتماد صفر هر درخواست رو طوری بررسی میکنه که انگار از یه شبکه کنترل‌نشده و ناامن اومده.

اعتماد صفر چطوری کار میکنه؟ ستون‌های اصلی

خب، حالا که با فلسفه‌اش آشنا شدیم، ببینیم در عمل چطوری پیاده‌سازی میشه. سازمان‌های مختلفی مثل موسسه ملی استاندارد و فناوری آمریکا (NIST) و آژانس امنیت سایبری و زیرساخت آمریکا (CISA) اومدن و مدل‌هایی برای پیاده‌سازی اعتماد صفر ارائه دادن. یکی از معروف‌ترین مدل‌ها، مدل CISA هست که پنج تا ستون اصلی داره. بیاید این ستون‌ها رو بشناسیم:

۱. هویت (Identity)

این ستون مربوط به آدم‌ها و حتی سرویس‌های نرم‌افزاری میشه. در مدل اعتماد صفر، هویت هر کسی که میخواد به چیزی دسترسی پیدا کنه باید به شدت کنترل بشه.

احراز هویت چندعاملی (MFA): دیگه وارد کردن یه رمز عبور کافی نیست. سیستم باید حداقل دو تا مدرک از شما بخواد تا مطمئن بشه خودتون هستین. مثلا بعد از وارد کردن رمز، یه کد هم به گوشی شما میفرسته. این روش باید در مقابل حملات فیشینگ هم مقاوم باشه.
کنترل مداوم: فقط اول کار هویت رو چک نمیکنیم. در تمام مدتی که به سیستم وصل هستین، رفتار شما زیر نظر گرفته میشه.
حداقل امتیاز: همونطور که گفتیم، هر کاربر فقط به منابعی که برای کارش ضروریه دسترسی داره.

۲. دستگاه (Device)

هر دستگاهی که به شبکه وصل میشه (لپ‌تاپ، گوشی، سرور، پرینتر و…) یه نقطه ضعف بالقوه‌ست. پس باید حواس‌مون به دستگاه‌ها هم باشه.

لیست موجودی: سازمان باید یه لیست کامل و به‌روز از تمام دستگاه‌های مجاز داشته باشه. هر دستگاهی که تو این لیست نیست، حق ورود نداره.
بررسی سلامت دستگاه: قبل از اینکه به یه دستگاه اجازه اتصال داده بشه، سیستم باید سلامت اون رو چک کنه. مثلا ببینه آنتی‌ویروسش آپدیته؟ سیستم‌عاملش نسخه جدیده؟ برنامه مشکوکی روش نصب نیست؟
نظارت دائمی: وضعیت دستگاه‌ها به طور مداوم کنترل میشه تا اگه مشکلی پیش اومد، سریعا دسترسی اون دستگاه قطع بشه.

۳. شبکه/محیط (Network/Environment)

تو مدل اعتماد صفر، کل شبکه به منطقه‌های خیلی کوچیک و ایزوله تقسیم میشه. این کار باعث میشه اگه هکری وارد یه منطقه شد، نتونه به راحتی به مناطق دیگه بره.

میکروسگمنتیشن (Microsegmentation): به جای تقسیم‌بندی سنتی شبکه، از این روش استفاده میشه که شبکه‌ها رو به بخش‌های خیلی ریزتر و امن‌تر تقسیم میکنه. اینطوری جلوی حرکت جانبی هکرها گرفته میشه. حتی منابعی که یه کاربر بهشون دسترسی نداره، اصلا براش قابل دیدن نیستن.
رمزنگاری ترافیک: تمام اطلاعاتی که در شبکه جابجا میشن، باید رمزنگاری بشن تا اگه کسی تونست اونها رو شنود کنه، چیزی ازشون نفهمه.
کنترل جریان داده: باید روی تمام داده‌هایی که وارد و خارج میشن نظارت دقیق وجود داشته باشه.

۴. اپلیکیشن و بار کاری (Application and Workload)

نرم‌افزارها و سرویس‌هایی که روی سرورها (چه داخلی و چه ابری) اجرا میشن هم باید طبق اصول اعتماد صفر کنترل بشن.

مجوزدهی پویا: به جای اینکه یه بار به یه نرم‌افزار دسترسی بدیم و خلاص، دسترسی‌ها به صورت پویا و مداوم چک میشن.
نظارت بر ارتباطات: ارتباط بین نرم‌افزارهای مختلف هم زیر نظر گرفته میشه تا اگه رفتار غیرعادی دیده شد، سریعا جلوی اون گرفته بشه.
امنیت در فرآیند توسعه: اصول امنیتی باید از همون اول در فرآیند ساخت و توسعه نرم‌افزارها لحاظ بشه.

۵. داده (Data)

و در نهایت، مهم‌ترین دارایی هر سازمانی، یعنی داده‌ها. هدف نهایی همه این کارها، محافظت از داده‌هاست.

دسته‌بندی و برچسب‌گذاری: داده‌ها باید بر اساس میزان حساسیت‌شون دسته‌بندی و برچسب‌گذاری بشن تا بشه سیاست‌های امنیتی مناسب رو براشون اعمال کرد.
رمزنگاری داده‌ها: همه داده‌ها، چه اونایی که روی هارد ذخیره شدن (at rest)، چه اونایی که در حال انتقال در شبکه هستن (in transit) و چه اونایی که دارن پردازش میشن (in use)، باید رمزنگاری بشن.
جلوگیری از نشت داده (Data Exfiltration): باید مکانیزم‌هایی وجود داشته باشه که جلوی خروج غیرمجاز داده‌های حساس از سازمان رو بگیره.

دو ستون اضافه برای حرفه‌ای‌ها

بعضی مدل‌های پیشرفته‌تر مثل مدل وزارت دفاع آمریکا (DoD)، دو تا ستون دیگه هم به این پنج تا اضافه میکنن:

مشاهده و تحلیل (Visibility and Analytics): باید ابزارهایی داشته باشیم که به طور مداوم همه اتفاقات شبکه رو ثبت و تحلیل کنن. اینطوری میشه رفتارهای مشکوک رو شناسایی کرد و به صورت هوشمندانه تصمیم‌های امنیتی گرفت.
اتوماسیون و هماهنگی (Automation and Orchestration): خیلی از این فرآیندها باید به صورت خودکار انجام بشن. سیستم باید بتونه به صورت اتوماتیک به تهدیدها واکنش نشون بده و سیاست‌های امنیتی رو بین سیستم‌های مختلف هماهنگ کنه.

پیاده‌سازی اعتماد صفر: از کجا شروع کنیم؟

پیاده‌سازی این مدل یه پروژه بزرگ و طولانیه و نمیشه یه شبه انجامش داد. اما سازمان‌ها میتونن قدم به قدم این مسیر رو طی کنن. این چند تا مرحله میتونه یه نقشه راه خوب باشه:

شناسایی و ارزیابی دارایی‌ها: اول از همه باید بدونیم چه چیزهای باارزشی داریم که باید ازشون محافظت کنیم. داده‌های حساس، نرم‌افزارهای مهم و…
تایید هویت کاربر و دستگاه: باید مطمئن بشیم هر کسی و هر دستگاهی همونیه که ادعا میکنه. استفاده از احراز هویت چندعاملی برای کاربرها و روش‌های تایید هویت برای دستگاه‌ها در این مرحله ضروریه.
تعریف سیاست‌های دسترسی: باید مشخص کنیم چه کسی، کی، چرا و چطور باید به منابع مختلف دسترسی داشته باشه. این سیاست‌ها باید خیلی دقیق و جزئی باشن.
نظارت و تست مداوم: بعد از پیاده‌سازی، باید به طور مداوم همه چیز رو زیر نظر داشته باشیم تا رفتارهای غیرعادی رو پیدا کنیم و سیاست‌هامون رو بر اساس تهدیدهای جدید به‌روز کنیم.

یه فناوری کلیدی که برای پیاده‌سازی این مدل استفاده میشه ZTNA (Zero Trust Network Access) هست. ZTNA یه جور جایگزین مدرن برای VPN های قدیمیه. VPN شما رو به کل شبکه وصل میکرد، اما ZTNA فقط و فقط شما رو به همون نرم‌افزار یا منبعی که بهش نیاز دارین وصل میکنه و بقیه شبکه رو از شما مخفی نگه میداره.

چرا دولت‌ها و شرکت‌های بزرگ به سمت اعتماد صفر میرن؟

این موضوع انقدر جدی شده که حتی دولت‌ها هم وارد عمل شدن.

در سال ۲۰۲۱، رئیس جمهور آمریکا، جو بایدن، با فرمان اجرایی ۱۴۰۲۸، همه آژانس‌های فدرال دولت آمریکا رو موظف کرد که معماری اعتماد صفر رو پیاده‌سازی کنن. بعد از اون در ژانویه ۲۰۲۲، دفتر مدیریت و بودجه (OMB) هم استراتژی فدرال اعتماد صفر رو در یادداشت ۲۲-۰۹ منتشر کرد.
شرکت مایکروسافت هم در نوامبر ۲۰۲۳ ابتکاری به اسم Secure Future Initiative (SFI) رو شروع کرد که تعهدی چند ساله برای امن‌تر کردن محصولاتش هست. بخش بزرگی از این ابتکار، پیاده‌سازی سفت و سخت مدل اعتماد صفر در زیرساخت‌های خود مایکروسافته.

این نشون میده که اعتماد صفر دیگه یه ایده تئوری نیست و به یه استاندارد مهم در دنیای امنیت تبدیل شده.

مزایای اعتماد صفر چیه؟

خب این همه دردسر برای چی؟ پیاده‌سازی این مدل چه فایده‌هایی داره؟

کاهش سطح حمله (Attack Surface): چون دسترسی‌ها خیلی محدود میشن و خیلی از منابع از دید کاربرهای غیرمجاز مخفی هستن، هکرها نقاط کمتری برای نفوذ پیدا میکنن.
جلوگیری از حرکت جانبی: حتی اگه یه هکر بتونه یه حساب کاربری یا یه دستگاه رو هک کنه، به خاطر میکروسگمنتیشن نمیتونه به راحتی در شبکه حرکت کنه و خسارت زیادی بزنه.
محافظت بهتر از داده‌ها: با رمزنگاری و کنترل دسترسی دقیق، داده‌ها در هر حالتی امن‌تر هستن.
پشتیبانی امن از دورکاری: این مدل برای دنیای امروز که پر از کارمندهای دورکار و سرویس‌های ابریه، کاملا طراحی شده و امنیت رو در این محیط‌های پراکنده فراهم میکنه.
افزایش دید و کنترل: چون همه چیز به طور مداوم ثبت و تحلیل میشه، مدیران شبکه دید خیلی بهتری روی اتفاقات دارن و میتونن سریع‌تر به تهدیدها واکنش نشون بدن.
ساده‌سازی زیرساخت: در بلندمدت، این مدل میتونه با حذف ابزارهای امنیتی قدیمی و پیچیده مثل VPN های سنتی، به ساده‌تر شدن زیرساخت IT کمک کنه.

چالش‌های مسیر اعتماد صفر

البته این مسیر گل و بلبل هم نیست و چالش‌هایی داره:

پیچیدگی و زمان‌بر بودن: تعریف و پیاده‌سازی سیاست‌های دقیق برای هر کاربر، دستگاه و منبع، کار فنی و مدیریتی خیلی زیادی میطلبه و ممکنه سال‌ها طول بکشه.
نیاز به تعهد سازمانی: این یه پروژه بزرگه که نیاز به هماهنگی بین بخش‌های مختلف IT و تعهد مدیران ارشد داره.
تجربه کاربری: اگه احراز هویت‌های مداوم خیلی اذیت‌کننده باشن، ممکنه کارمندها رو کلافه کنه. برای همین باید یه تعادل بین امنیت و راحتی کاربر برقرار کرد.
وابستگی به فروشنده‌ها: چون اعتماد صفر یه استاندارد صنعتی دقیق نیست، ممکنه سازمان‌ها به راه‌حل‌های اختصاصی یه شرکت خاص وابسته بشن و این در آینده مشکل‌ساز بشه.

پرسش و پاسخ‌های متداول (یه جورایی امتحان آخر ترم!)

خب، حالا که کل درس رو با هم مرور کردیم، بذارین چند تا سوال کلیدی که ممکنه تو ذهن‌تون باشه رو جواب بدیم.

سوال ۱: پس اعتماد صفر یه نرم‌افزاره که باید بخریم؟

نه دقیقا. اعتماد صفر یه استراتژی و یه چارچوب فکریه. البته برای پیاده‌سازی این استراتژی، شما به ابزارها و فناوری‌های مختلفی مثل ZTNA، سیستم‌های مدیریت هویت (IAM)، احراز هویت چندعاملی (MFA) و ابزارهای نظارتی نیاز دارین. اما نمیتونین برین تو مغازه و بگین «یه اعتماد صفر بدین»!

سوال ۲: فرق اصلی اعتماد صفر با VPN چیه؟

یه VPN سنتی شما رو به کل شبکه شرکت وصل میکنه و بهتون یه آدرس IP داخلی میده. از اون به بعد، انگار شما داخل «قلعه» هستین و به خیلی چیزها دسترسی دارین. اما ZTNA که بر اساس مدل اعتماد صفر کار میکنه، شما رو به شبکه وصل نمیکنه. بلکه یه تونل امن و مستقیم فقط بین شما و همون نرم‌افزاری که لازمش دارین ایجاد میکنه. اینطوری هم امنیت بالاتره و هم تجربه کاربری معمولا بهتر و سریع‌تره.

سوال ۳: این مدل فقط برای شرکت‌های خیلی بزرگه؟

نه. اصول اعتماد صفر برای هر سازمانی، حتی کسب‌وکارهای کوچیک، مفیده. هر جایی که داده‌های دیجیتال و شبکه وجود داشته باشه، این مدل میتونه امنیت رو به شکل قابل توجهی افزایش بده. البته روش پیاده‌سازی برای یه شرکت کوچیک ممکنه ساده‌تر از یه سازمان دولتی بزرگ باشه.

سوال ۴: آیا اعتماد صفر امنیت رو صد در صد تضمین میکنه؟

در دنیای امنیت هیچ چیز صد در صد نیست. همیشه تهدیدهای جدیدی به وجود میان. اما اعتماد صفر یه رویکرد خیلی موثر برای بالا بردن سطح امنیت و کاهش شدید ریسک حملات سایبری در دنیای دیجیتال امروزه. این مدل با فرض کردن اینکه حمله اتفاق افتاده، سازمان رو برای بدترین سناریوها آماده میکنه.

سوال ۵: SASE که این روزها زیاد میشنویم، چه ربطی به اعتماد صفر داره؟

سوال خوبیه! SASE (Secure Access Service Edge) یه مدل معماری دیگه‌ست که خدمات شبکه (مثل SD-WAN) و خدمات امنیتی (مثل ZTNA، فایروال ابری و…) رو در قالب یه سرویس یکپارچه ابری ارائه میده. اعتماد صفر، فلسفه و چارچوب اصلی دسترسی در مدل SASE هست. به عبارت دیگه، SASE زیرساخت و سرویس‌ها رو فراهم میکنه و اعتماد صفر قوانین و مدل فکری حاکم بر اون زیرساخت رو تعیین میکنه. این دوتا مفهوم مکمل همدیگه هستن.

منابع

[2] What Is Zero Trust? Zero Trust Security Model | Akamai
[4] Zero Trust security model – ITSAP.10.008 – Canadian Centre for Cyber Security
[6] What is Zero Trust Architecture? – Palo Alto Networks
[8] What is Zero-Trust outside of the marketing bs? : r/AskNetsec
[10] What Is Zero Trust? | Benefits & Core Principles – Zscaler

[1] What is Zero Trust? | Microsoft Learn
[3] Zero Trust security | What is a Zero Trust network? | Cloudflare
[5] What is Zero Trust? – Guide to Zero Trust Security | CrowdStrike
[7] What Is Zero Trust? | IBM
[9] What Is Zero-Trust Networking? – Cisco

مرداد 29, 1404

حملات DDoS چی هستن و هدفشون چیه

حمله‌های DDoS. شاید اسمش رو شنیده باشید، به خصوص وقتی که سرورهای بازی مورد علاقه‌تون از کار میفته یا یه سایت مهم یهو از دسترس خارج میشه. خیلی‌ها فکر میکنن این یه جور هک پیچیده‌اس که یه نابغه کامپیوتر انجامش میده، اما داستان یه کم فرق میکنه. بیایید با هم قدم به قدم بریم جلو و ببینیم این حمله‌ها دقیقن چی هستن، چطوری کار میکنن و چرا مقابله باهاشون اینقدر سخته.

فکر کنین یه بزرگراه شلوغ رو در نظر بگیرید که ماشین‌ها دارن به آرامی به سمت مقصدشون میرن. حالا یهو هزاران ماشین الکی و خالی وارد این بزرگراه میشن و کل مسیر رو میبندن. نتیجه چی میشه؟ یه ترافیک وحشتناک که اجازه نمیده ماشین‌های واقعی و مسافرهای اصلی به مقصدشون برسن. حمله DDoS دقیقن همینه، اما توی دنیای اینترنت.

یه عده با نیت خرابکارانه، یه حجم عظیمی از ترافیک اینترنتی الکی رو به سمت یه سرور، سرویس یا شبکه سرازیر میکنن. این حجم از ترافیک اونقدر زیاده که هدف مورد نظر یا زیرساخت‌های اطرافش نمیتونن از پسش بربیان و در نهایت از کار میفتن. اینجوری، کاربرهای واقعی و معمولی دیگه نمیتونن به اون سرویس دسترسی داشته باشن.

حمله DDoS چطوری اجرا میشه؟ ارتش زامبی‌ها وارد میشود

برای اینکه بفهمیم این حجم از ترافیک از کجا میاد، باید با چند تا مفهوم کلیدی آشنا بشیم. حمله‌های DDoS با استفاده از شبکه‌ای از کامپیوترها و دستگاه‌های متصل به اینترنت اجرا میشن.

بات (Bot) یا زامبی (Zombie): اینها دستگاه‌های معمولی مثل کامپیوتر من و شما، یا حتی دستگاه‌های هوشمند مثل دوربین‌های مداربسته و یخچال‌های هوشمند (همون دستگاه‌های IoT) هستن که به بدافزار آلوده شدن. صاحب این دستگاه‌ها معمولن روحش هم خبر نداره که دستگاهش آلوده شده و داره ازش سوءاستفاده میشه.
بات‌نت (Botnet): وقتی یه تعداد زیادی از این بات‌ها یا زامبی‌ها تحت کنترل یک نفر (مهاجم) قرار میگیرن، یه شبکه به اسم «بات‌نت» تشکیل میدن. این بات‌نت مثل یه ارتش از دستگاه‌های آلوده‌اس که منتظر دستور فرمانده‌شون هستن.

حالا مهاجم چیکار میکنه؟ خیلی ساده. وقتی یه بات‌نت آماده شد، مهاجم میتونه از راه دور به همه این بات‌ها دستور بده. فرض کنید هدف، سرور یه بازی آنلاینه. مهاجم به کل ارتش بات‌نتش دستور میده که همزمان شروع کنن به فرستادن درخواست به آدرس IP اون سرور.

هر بات یه درخواست میفرسته. حالا تصور کنین صدها هزار یا حتی میلیون‌ها بات همزمان این کار رو بکنن. سرور هدف با سیلی از درخواست‌ها روبرو میشه که نمیتونه به همشون جواب بده. منابعش تموم میشه، پردازنده‌اش درگیر میشه و در نهایت یا خیلی کند میشه یا کاملن از کار میفته. اینجوری، بازیکن‌های واقعی که میخوان وارد بازی بشن، با قطعی سرویس مواجه میشن.

یکی از بزرگترین چالش‌ها اینه که هر کدوم از این بات‌ها یه دستگاه اینترنتی واقعی و قانونیه. برای همین، تشخیص دادن ترافیک حمله از ترافیک کاربرهای واقعی خیلی سخته. انگار که توی اون مثال ترافیک، همه ماشین‌های الکی، ظاهری شبیه ماشین‌های واقعی داشته باشن.

از کجا بفهمیم داریم مورد حمله قرار میگیریم؟

واضح‌ترین نشونه یه حمله DDoS اینه که یه سایت یا سرویس یهویی خیلی کند میشه یا کاملن از دسترس خارج میشه. اما خب، این مشکل میتونه دلایل دیگه‌ای هم داشته باشه، مثلن اینکه یه محصول جدید عرضه شده و یه عالمه کاربر واقعی همزمان هجوم آوردن به سایت. برای همین، برای تشخیص قطعی، باید بیشتر تحقیق کرد.

ابزارهای تحلیل ترافیک میتونن به ما کمک کنن تا بعضی از علائم کلیدی یه حمله DDoS رو تشخیص بدیم:

حجم ترافیک غیرعادی که به سمت یک نقطه یا آدرس IP خاص هدایت شده.
یه الگوی ترافیکی عجیب، مثلن ترافیک زیاد از طرف کاربرهایی که پروفایل مشابهی دارن (مثلن همه از یک منطقه جغرافیایی خاص، یا از یک نوع دستگاه خاص هستن).
افزایش ناگهانی و شدید ترافیک در ساعت‌های غیرمعمول روز.
افزایش عجیب در درخواست‌ها برای یک صفحه یا یک نقطه پایانی خاص.
کند شدن غیرعادی عملکرد شبکه برای مدت طولانی.

البته علائم دیگه‌ای هم وجود داره که بسته به نوع حمله میتونن متفاوت باشن. برای اینکه انواع حمله رو بهتر بفهمیم، اول باید ببینیم یه اتصال اینترنتی چطوری کار میکنه.

لایه‌های اتصال اینترنتی: ساختمون ۷ طبقه ما

یه اتصال اینترنتی از چندین لایه مختلف تشکیل شده. مثل ساختن یه خونه که از پی شروع میشه و طبقه به طبقه بالا میره، هر لایه توی شبکه هم یه وظیفه خاص داره. یه مدل مفهومی برای توصیف این لایه‌ها وجود داره به اسم مدل OSI که ۷ تا لایه داره. حمله‌های DDoS میتونن لایه‌های مختلفی از این ساختمون رو هدف قرار بدن.

حالا که با این مفهوم آشنا شدیم، بریم سراغ سه دسته اصلی حمله‌های DDoS.

انواع حمله‌های DDoS: سه تفنگدار خرابکار

تقریبن همه حمله‌های DDoS هدفشون یکیه‌: غرق کردن هدف با ترافیک. اما روش‌هاشون متفاوته. مهاجم‌ها میتونن از یه روش یا ترکیبی از چند روش استفاده کنن.

۱. حمله‌های لایه اپلیکیشن (Application Layer Attacks)

این حمله‌ها که بهشون حمله‌های لایه ۷ هم میگن (چون لایه هفتم مدل OSI رو هدف میگیرن)، مستقیمن سراغ خود اپلیکیشن یا وبسایت میرن. هدفشون اینه که منابع سرور رو تموم کنن.

چطوری؟ این حمله‌ها لایه‌ای رو هدف میگیرن که توش صفحات وب ساخته میشن و به درخواست‌های HTTP جواب داده میشه. برای یه کاربر، فرستادن یه درخواست HTTP (مثلن باز کردن یه صفحه وب) کار ساده و کم‌هزینه‌ایه. اما برای سرور، جواب دادن به اون درخواست میتونه پرهزینه باشه. سرور باید کلی فایل رو بارگذاری کنه، از دیتابیس اطلاعات بگیره و در نهایت یه صفحه وب کامل رو بسازه.

حمله HTTP Flood: این یکی از رایج‌ترین حمله‌های لایه ۷ هست. مثل این میمونه که شما و هزاران نفر از دوستاتون روی کامپیوترهای مختلف، دکمه رفرش یه مرورگر رو پشت سر هم فشار بدید. سرور با سیلی از درخواست‌های HTTP مواجه میشه و در نهایت از کار میفته.

نسخه‌های ساده: ممکنه مهاجم با یه سری آدرس IP محدود، یه آدرس URL خاص رو هدف قرار بده.
نسخه‌های پیچیده: مهاجم از تعداد زیادی آدرس IP استفاده میکنه و آدرس‌های URL تصادفی رو با اطلاعات ارجاع‌دهنده (Referrer) و عامل کاربر (User Agent) تصادفی هدف قرار میده تا شناسایی‌اش سخت‌تر بشه.

مقابله با حمله‌های لایه ۷ سخته، چون ترافیک حمله خیلی شبیه ترافیک کاربرهای واقعیه. این حمله‌ها میتونن شامل نقض پروتکل HTTP، حملات SQL Injection و Cross-Site Scripting هم باشن.

۲. حمله‌های پروتکلی (Protocol Attacks)

این حمله‌ها که بهشون حمله‌های State-Exhaustion هم میگن، با مصرف بیش از حد منابع سرور یا تجهیزات شبکه مثل فایروال‌ها و لود بالانسرها، باعث قطعی سرویس میشن. این حمله‌ها از ضعف‌های لایه ۳ و ۴ پشته پروتکل استفاده میکنن تا هدف رو غیرقابل دسترس کنن.

حمله SYN Flood: این یه مثال کلاسیک از حمله پروتکلیه. برای درکش، یه کارگر توی انبار رو تصور کنین که از جلوی فروشگاه سفارش میگیره.

کارگر سفارش رو میگیره، میره بسته رو پیدا میکنه و منتظر تایید نهایی میمونه تا بسته رو بیاره جلو. حالا تصور کنین این کارگر کلی سفارش دیگه بدون تایید نهایی دریافت میکنه. دست‌هاش پر میشه، گیج میشه و دیگه نمیتونه بسته‌های بیشتری رو حمل کنه و سفارش‌های جدید بی‌پاسخ میمونن.

این حمله از فرآیندی به اسم دست‌دهی سه‌مرحله‌ای (Three-way Handshake) در پروتکل TCP سوءاستفاده میکنه. وقتی دو تا کامپیوتر میخوان با هم ارتباط برقرار کنن، این فرآیند انجام میشه. مهاجم تعداد زیادی بسته TCP SYN (درخواست اولیه اتصال) با آدرس IP جعلی (Spoofed IP) به سمت هدف میفرسته.

دستگاه هدف به هر کدوم از این درخواست‌ها جواب میده و منتظر مرحله نهایی دست‌دهی میمونه؛ مرحله‌ای که هیچوقت اتفاق نمیفته. این کار باعث میشه تمام پورت‌های سرور در حالت نیمه‌باز و اشغال‌شده باقی بمونن و منابع سرور تموم بشه. در نتیجه، کاربرهای واقعی نمیتونن به سرور وصل بشن.

۳. حمله‌های حجمی (Volumetric Attacks)

هدف این دسته از حمله‌ها اینه که با مصرف کردن تمام پهنای باند موجود بین هدف و اینترنت، یه ترافیک سنگین ایجاد کنن. مقادیر عظیمی از داده با استفاده از روش‌هایی مثل تقویت (Amplification) یا با کمک یه بات‌نت به سمت هدف ارسال میشه.

حمله DNS Amplification: این حمله مثل اینه که یه نفر به یه رستوران زنگ بزنه و بگه: «من از همه چی یکی میخوام، لطفن با من تماس بگیرید و کل سفارشم رو تکرار کنید». اما شماره‌ای که برای تماس مجدد میده، شماره تلفن قربانیه! اینجوری با یه تلاش خیلی کم، یه پاسخ خیلی طولانی و حجیم تولید میشه و برای قربانی فرستاده میشه.

توی این حمله، مهاجم یه درخواست به یه سرور DNS باز (Open DNS Server) با یه آدرس IP جعلی (آدرس IP قربانی) میفرسته. سرور DNS هم یه پاسخ حجیم به اون آدرس IP جعلی (یعنی قربانی) میفرسته. اینجوری، مهاجم با فرستادن یه درخواست کوچیک، باعث میشه یه جواب خیلی بزرگتر به سمت قربانی ارسال بشه و پهنای باندش رو اشغال کنه.

نگاهی عمیق‌تر به برخی از حملات خاص

دنیای حملات DDoS خیلی متنوعه و روز به روز هم روش‌های جدیدی به وجود میاد. بیایید چند تا از این روش‌های خاص رو که اسم‌های جالبی هم دارن، با هم مرور کنیم.

Smurf Attack (حمله اسمورف): توی این روش، مهاجم بسته‌هایی رو به تعداد زیادی کامپیوتر توی یه شبکه میفرسته، اما آدرس فرستنده رو آدرس IP قربانی جا میزنه. همه اون کامپیوترها به اون بسته جواب میدن، اما جوابشون رو برای قربانی میفرستن. اینجوری قربانی با سیلی از جواب‌ها غرق میشه.
حملات Low and Slow (کم و آهسته): این حملات خیلی موذیانه هستن. به جای اینکه یهو حجم زیادی ترافیک بفرستن، ترافیک رو با سرعت خیلی کم ارسال میکنن تا توسط سیستم‌های امنیتی شناسایی نشن. حملاتی مثل Slowloris یا RUDY از این دسته‌ان. Slowloris با باز نگه داشتن تعداد زیادی اتصال HTTP و فرستادن ناقص درخواست‌ها، منابع سرور رو اشغال میکنه.
حمله Yo-Yo: این حمله مخصوصن سرویس‌های ابری رو هدف میگیره که از قابلیت مقیاس‌پذیری خودکار (Autoscaling) استفاده میکنن. مهاجم به طور متناوب حجم زیادی ترافیک میفرسته (که باعث میشه سرویس منابعش رو افزایش بده) و بعد ترافیک رو قطع میکنه (که باعث میشه منابع کاهش پیدا کنن). این بالا و پایین رفتن مداوم، میتونه سیستم رو مختل کنه و هزینه‌های زیادی به صاحب سرویس تحمیل کنه.
حمله دائمی از کار انداختن سرویس (PDoS – Permanent Denial-of-Service): این یکی از خطرناک‌ترین انواع حمله‌اس و بهش Phlashing هم میگن. هدفش اینه که به سیستم اونقدر آسیب بزنه که نیاز به تعویض یا نصب مجدد سخت‌افزار داشته باشه. مهاجم از آسیب‌پذیری‌های امنیتی دستگاه‌هایی مثل روترها یا پرینترها استفاده میکنه تا فریمور (Firmware) دستگاه رو با یه نسخه خراب یا معیوب جایگزین کنه. این کار دستگاه رو «آجر» یا Brick میکنه و کاملن غیرقابل استفاده میشه.
حملات چندوجهی (Multi-vector Attacks): مهاجم‌ها معمولن خیلی باهوش‌تر از این حرف‌ها هستن که فقط از یه روش استفاده کنن. توی یه حمله چندوجهی، از چندین مسیر و روش مختلف به طور همزمان برای حمله استفاده میشه. مثلن ممکنه یه حمله DNS Amplification (لایه ۳/۴) رو با یه حمله HTTP Flood (لایه ۷) ترکیب کنن. این کار تلاش‌های تیم امنیتی برای مقابله با حمله رو خیلی سخت‌تر میکنه، چون باید همزمان با چند جبهه بجنگن.
حمله پایدار و پیشرفته (APDoS – Advanced Persistent DoS): این نوع حمله با تهدیدهای پایدار و پیشرفته (APT) مرتبطه و خیلی پیچیده‌اس. این حملات میتونن هفته‌ها طول بکشن (طولانی‌ترین مورد ثبت شده ۳۸ روز بوده!). مهاجم‌ها در این سناریو به منابع محاسباتی و پهنای باند عظیمی دسترسی دارن و به طور تاکتیکی بین اهداف مختلف جابجا میشن تا تیم دفاعی رو گیج کنن، اما در نهایت تمرکزشون روی یه قربانی اصلیه.

چرا کسی باید حمله DDoS انجام بده؟ انگیزه‌ها

انگیزه‌های پشت این حملات خیلی متفاوته و میتونه از سرگرمی‌های بچه‌گانه تا جنگ‌های سایبری دولتی رو شامل بشه.

هکتیویسم (Hacktivism): بعضی افراد یا گروه‌ها برای بیان اعتراضشون به یه شرکت، سازمان یا دولت، به سرورهاشون حمله میکنن. هدفشون اینه که پیامی رو منتقل کنن یا توجه‌ها رو به یه موضوع خاص جلب کنن.
اخاذی و باج‌گیری (Extortion): این یکی از رایج‌ترین انگیزه‌هاست. مهاجم‌ها یه حمله کوچیک انجام میدن و بعد به شرکت قربانی پیام میدن که اگه مبلغی (معمولن به صورت ارز دیجیتال) پرداخت نکنن، با یه حمله خیلی بزرگتر برمیگردن. به این نوع حمله Ransom DDoS (RDoS) هم میگن.
رقابت تجاری: بعضی وقت‌ها یه شرکت برای اینکه رقیبش رو از میدون به در کنه، به سرویس‌های آنلاینش حمله میکنه تا در زمان‌های حساس مثل جمعه سیاه، مشتری‌ها نتونن ازش خرید کنن و به سراغ شرکت مهاجم برن.
انتقام شخصی: یه کارمند ناراضی یا یه مشتری عصبانی ممکنه برای انتقام گرفتن از یه شرکت، یه حمله DDoS ترتیب بده.
جنگ سایبری (Cyber Warfare): دولت‌ها ممکنه از حملات DDoS برای مختل کردن زیرساخت‌های حیاتی یه کشور دیگه (مثل بانک‌ها، سازمان‌های دولتی و…) استفاده کنن. این اتفاق به خصوص در زمان تنش‌های سیاسی، مثل جنگ روسیه و اوکراین، به شدت افزایش پیدا کرد.
سرگرمی و خرابکاری: بعضی مهاجم‌ها، به خصوص افراد کم‌سن‌وسال‌تر، صرفن برای تفریح، خودنمایی یا دیدن اینکه میتونن یه سیستم رو از کار بندازن، این کار رو میکنن.
پوششی برای حملات دیگه: گاهی اوقات یه حمله DDoS فقط یه ابزار برای پرت کردن حواس تیم امنیتیه. در حالی که همه دارن سعی میکنن جلوی حمله DDoS رو بگیرن، مهاجم اصلی از یه در پشتی وارد میشه و اطلاعات حساس رو میدزده یا بدافزار نصب میکنه.

تاریخچه و رکوردهای دنیای DDoS: حمله‌هایی که فراموش نمیشن

حمله‌های DDoS چیز جدیدی نیستن. اولین حمله شناخته‌شده در سال ۱۹۹۶ به Panix، یکی از قدیمی‌ترین ارائه‌دهندگان خدمات اینترنتی، انجام شد و اونها رو برای چند روز از کار انداخت. از اون موقع تا حالا، این حمله‌ها بزرگتر، پیچیده‌تر و پرتعدادتر شدن.

بیایید چند تا از معروف‌ترین و بزرگترین حمله‌های تاریخ رو با هم مرور کنیم:

سال	هدف	حجم/نرخ حمله	نکات مهم
۲۰۱۳	Spamhaus	۳۰۰ گیگابیت بر ثانیه	یکی از بزرگترین حملات زمان خودش که علیه یک سازمان ضد اسپم انجام شد.
۲۰۱۶	وبلاگ Krebs و شرکت OVH	۶۲۰ گیگابیت و ۱.۱ ترابیت بر ثانیه	اولین نمایش قدرت بات‌نت Mirai که از دستگاه‌های IoT آلوده تشکیل شده بود.
۲۰۱۶	شرکت Dyn (ارائه‌دهنده DNS)	۱.۲ ترابیت بر ثانیه	بزرگترین حمله بات‌نت Mirai که باعث شد سایت‌های بزرگی مثل توییتر، نتفلیکس و پی‌پال برای ساعاتی از دسترس خارج بشن.
۲۰۱۷	گوگل	۲.۵۴ ترابیت بر ثانیه	این حمله برای مدتی بزرگترین حمله ثبت‌شده در تاریخ بود که گوگل در سال ۲۰۲۰ اون رو فاش کرد.
۲۰۱۸	GitHub	۱.۳۵ ترابیت بر ثانیه	یک حمله بزرگ که با استفاده از تکنیک تقویت Memcached انجام شد و نشون داد که دیگه برای حملات بزرگ لزومن به بات‌نت نیازی نیست.
۲۰۲۰	Amazon Web Services (AWS)	۲.۳ ترابیت بر ثانیه	یکی از بزرگترین حملات حجمی که با استفاده از تکنیک تقویت CLDAP انجام شد.
۲۰۲۱	یک مشتری Cloudflare	۱۷.۲ میلیون درخواست بر ثانیه	این حمله از نوع لایه اپلیکیشن بود و توسط بات‌نت Mirai انجام شد.
۲۰۲۳	چندین شرکت بزرگ	۷۱ میلیون و ۳۹۸ میلیون درخواست بر ثانیه	این حملات با استفاده از یک آسیب‌پذیری جدید در پروتکل HTTP/2 به نام Rapid Reset انجام شد و رکوردهای حملات لایه اپلیکیشن رو شکست.
۲۰۲۴	سرورهای غیررسمی Minecraft	۳.۱۵ میلیارد بسته بر ثانیه	یک حمله حجمی رکوردشکن از نظر تعداد بسته‌ها در ثانیه.

این آمارها نشون میدن که مقیاس حملات DDoS به طور مداوم در حال افزایشه و مهاجم‌ها همیشه دنبال راه‌های جدیدی برای دور زدن سیستم‌های دفاعی هستن.

چطوری با DDoS مقابله کنیم؟ استراتژی‌های دفاعی

مهم‌ترین چالش در مقابله با یه حمله DDoS، جدا کردن ترافیک حمله از ترافیک کاربرهای واقعی هست. اگه یه فروشگاه آنلاین به خاطر عرضه یه محصول جدید کلی مشتری واقعی داشته باشه، قطع کردن کل ترافیک یه اشتباه بزرگه. اما اگه همون فروشگاه با ترافیک زیادی از طرف مهاجم‌های شناخته‌شده روبرو بشه، باید سریع اقدام کنه.

روش‌های مختلفی برای مقابله با این حملات وجود داره:

Blackhole Routing (مسیریابی به سمت سیاه‌چاله): این ساده‌ترین راهه. وقتی حمله‌ای شناسایی میشه، ارائه‌دهنده سرویس اینترنت (ISP) میتونه کل ترافیک اون آدرس IP رو به یه مسیر پوچ یا «سیاه‌چاله» هدایت کنه. این کار باعث میشه هم ترافیک مخرب و هم ترافیک قانونی دور ریخته بشن. در واقع این روش به مهاجم چیزی رو میده که میخواسته: غیرقابل دسترس کردن سرویس. پس یه راه‌حل ایده‌آل نیست.
Rate Limiting (محدود کردن نرخ درخواست‌ها): این روش تعداد درخواست‌هایی که یه سرور در یه بازه زمانی مشخص قبول میکنه رو محدود میکنه. این کار برای کند کردن ربات‌های وب‌اسکرپر یا حملات brute-force خوبه، اما به تنهایی برای مقابله با یه حمله DDoS پیچیده کافی نیست. با این حال، یه جزء مفید در یه استراتژی دفاعی کامله.
Web Application Firewall (WAF – فایروال اپلیکیشن وب): یه WAF بین اینترنت و سرور اصلی قرار میگیره و مثل یه پروکسی معکوس عمل میکنه. WAF میتونه با فیلتر کردن درخواست‌ها بر اساس یه سری قوانین، جلوی حملات لایه ۷ رو بگیره. یکی از مزیت‌های کلیدی WAF اینه که میشه به سرعت قوانین جدیدی رو در پاسخ به یه حمله در حال وقوع، روی اون پیاده کرد.
Anycast Network Diffusion (پخش کردن ترافیک در شبکه Anycast): این یکی از موثرترین روش‌ها برای مقابله با حملات حجمی بزرگه. توی این روش، ترافیک حمله به جای اینکه به یه نقطه برسه، در سراسر یه شبکه بزرگ از سرورهای توزیع‌شده پخش میشه.

مثل این میمونه که یه رودخونه خروشان رو به چندین کانال کوچیک‌تر تقسیم کنیم. این کار باعث میشه فشار آب پخش بشه و دیگه قدرت تخریب نداشته باشه.

این روش، تاثیر ترافیک حمله رو اونقدر پخش و کم میکنه که قابل مدیریت بشه. شرکت‌های بزرگی مثل Cloudflare از این روش استفاده میکنن. برای مثال، شبکه Cloudflare ظرفیتی معادل ۴۰۵ ترابیت بر ثانیه داره که چندین برابر بزرگترین حمله DDoS ثبت‌شده تا به امروزه.

مراکز پاک‌سازی یا Scrubbing Centers: توی این روش، کل ترافیک به سمت یه مرکز تخصصی هدایت میشه. این مرکز ترافیک بد (DDoS) رو از ترافیک خوب (کاربران واقعی) جدا میکنه و فقط ترافیک تمیز رو به سمت سرور قربانی میفرسته.

هیچ‌کدوم از این روش‌ها به تنهایی کافی نیستن. بهترین رویکرد، یه دفاع لایه‌لایه (Defense in Depth) هست که ترکیبی از راه‌حل‌های ابری و محلی (On-premise) رو برای شناسایی و مسدود کردن انواع مختلف حملات به کار میگیره.

چطور از اینکه بخشی از مشکل باشیم، جلوگیری کنیم؟

یادتونه گفتیم حملات DDoS از دستگاه‌های آلوده مردم عادی استفاده میکنن؟ خب، خیلی مهمه که ما خودمون بخشی از این ارتش زامبی نباشیم. برای این کار باید امنیت دستگاه‌های متصل به اینترنتمون رو جدی بگیریم:

نصب و به‌روزرسانی آنتی‌ویروس: این اولین و مهم‌ترین قدمه.
استفاده از فایروال: فایروال رو فعال و درست تنظیم کنید تا ترافیک ورودی و خروجی رو کنترل کنه.
تغییر رمزهای عبور پیش‌فرض: این نکته به خصوص برای دستگاه‌های IoT مثل روتر، دوربین و… خیلی حیاتیه. اکثر این دستگاه‌ها با رمزهای عبور ساده و پیش‌فرض عرضه میشن که هکرها عاشقشونن.
رعایت عادات امنیتی خوب: روی لینک‌های مشکوک کلیک نکنید و نرم‌افزارها رو فقط از منابع معتبر دانلود کنید.

پرسش و پاسخ: سوالات شما در مورد DDoS

سوال: فرق بین حمله DoS و DDoS چیه؟
جواب: خیلی ساده‌اس. توی حمله DoS (Denial of Service)، ترافیک مخرب فقط از یک منبع یا یه کامپیوتر میاد. این نوع حمله ساده‌تره و راحت‌تر هم میشه جلوش رو گرفت (کافیه اون یه منبع رو مسدود کنی). اما توی حمله DDoS (Distributed Denial of Service)، ترافیک از صدها، هزاران یا حتی میلیون‌ها منبع مختلف (بات‌نت) میاد. این توزیع‌شده بودن، شناسایی و مسدود کردن حمله رو خیلی خیلی سخت‌تر میکنه.

سوال: آیا یه فایروال معمولی میتونه جلوی حمله DDoS رو بگیره؟
جواب: به تنهایی، نه. یه فایروال مثل یه نگهبان دم در عمل میکنه و میتونه جلوی بعضی ویروس‌ها و ترافیک‌های مخرب مشخص رو بگیره. اما فایروال‌ها برای مقابله با حجم عظیم ترافیک حملات DDoS طراحی نشدن و خودشون هم میتونن تحت فشار از کار بیفتن. برای مقابله با DDoS به راه‌حل‌های تخصصی‌تری مثل WAF، مراکز پاک‌سازی و شبکه‌های Anycast نیاز داریم.

سوال: یه حمله DDoS چقدر طول میکشه؟
جواب: هیچ قانون مشخصی وجود نداره. یه حمله میتونه از چند ساعت تا چند روز یا حتی چند هفته طول بکشه. بعضی حملات به صورت انفجارهای کوتاه و متناوب هستن و بعضی دیگه به صورت پایدار و طولانی‌مدت ادامه پیدا میکنن.

سوال: چرا شرکت‌های بزرگی مثل بلیزارد یا گوگل نمیتونن «فقط درستش کنن»؟
جواب: این یه تصور اشتباه رایجه. حمله DDoS مثل یه باگ یا یه حفره امنیتی نیست که بشه با یه پچ نرم‌افزاری «درستش کرد». این یه مشکل زیرساختیه. فکر کنین یه نفر تصمیم بگیره کل خیابون‌های منتهی به دفتر شرکت شما رو با کامیون مسدود کنه. شما نمیتونید با یه «دکمه» اون کامیون‌ها رو غیب کنید. باید با پلیس و شهرداری هماهنگ کنید تا مسیرها رو باز کنن. مقابله با DDoS هم همینطوره. نیاز به زیرساخت‌های عظیم، قراردادهای گران‌قیمت با شرکت‌های امنیتی و نظارت ۲۴ ساعته داره. این یه جنگ دائمیه، نه یه مشکل که یه بار برای همیشه حل بشه.

سوال: آیا انجام حمله DDoS غیرقانونیه؟
جواب: بله، قطعن. در اکثر کشورهای دنیا، از جمله آمریکا و کشورهای اروپایی، انجام حملات DDoS یه جرم فدرال محسوب میشه و مجازات‌های سنگینی مثل زندان و جریمه‌های نقدی بالا داره. حتی استفاده از سرویس‌های «استرس‌تستر» یا «بوتر» برای حمله به دیگران هم غیرقانونیه.

سوال: آیا DDoS میتونه به عنوان یه شکل از اعتراض قانونی شناخته بشه؟
جواب: این یه بحث پیچیده‌اس. بعضی‌ها معتقدن که DDoS میتونه یه شکل از نافرمانی مدنی دیجیتال باشه، شبیه تحصن یا تظاهرات. در سال ۲۰۱۳، گروه انانیموس حتی یه دادخواست به کاخ سفید ارائه داد تا DDoS به عنوان یه شکل قانونی از اعتراض شناخته بشه. اما از نظر قانونی، چون این کار به اموال و سرویس‌های دیگران آسیب میزنه و دسترسی کاربرهای قانونی رو مختل میکنه، تقریبن در همه جای دنیا به عنوان یه فعالیت مجرمانه در نظر گرفته میشه.

منابع

[2] What Is a DDoS Attack? | Microsoft Security
[4] What Is a DDoS Attack? How It Works, Trends, Types & Mitigation | Radware
[6] What Is a DDoS Attack? | Akamai
[8] What is a DDoS attack and why can’t Blizzard just “fix it”? : r/wowhardcore
[10] Five Most Famous DDoS Attacks and Then Some | A10 Networks

[1] What is a distributed denial-of-service (DDoS) attack? | Cloudflare
[3] Denial-of-service attack – Wikipedia
[5] What is a DDoS Attack? DDoS Meaning, Definition & Types | Fortinet
[7] Understanding Denial-of-Service Attacks | CISA
[9] What is DDoS Attack? – Types of DDoS Attacks – Check Point Software

مرداد 29, 1404

دسته: امنیت وب و شبکه

بیایید با اصول اولیه آشنا بشیم: DNS و 1.1.1.1 چی هستن؟

مشکل DNS قدیمی: چرا به امنیت بیشتری نیاز داشتیم؟

نقش کلیدی گواهی‌های TLS در امنیت

بازگشت به مشکل اصلی: وقتی یک گواهی غیرمجاز صادر می‌شود

سابقه مشکلات مشابه و راه‌حل: شفافیت گواهی (Certificate Transparency)

بررسی احتمال سو استفاده خرابکارانه

نگاهی دقیق‌تر به مشخصات گواهی‌های غیرمجاز

جدول زمانی اتفاقات: از اولین صدور تا باطل شدن

اقدامات اصلاحی و قدم‌های بعدی کلادفلر

شما چه کاری می‌توانید انجام دهید؟

پرسش و پاسخ

منابع

داستان سرور DNS شرکت اینترنت شما چیه؟

آیا DNS رمزنگاری شده واقعا جلوی ISP رو می‌گیره؟

چرا بعضی‌ها بازم DNS رو عوض می‌کنن؟

گزینه‌های جایگزین: سرویس‌های DNS عمومی

برای حرفه‌ای‌ها: راه‌اندازی سرور DNS شخصی

چطور می‌شه DNS پیش‌فرض ISP رو نادیده گرفت؟

پرسش و پاسخ‌های رایج

منابع

پشت پرده شرکت‌های VPN چه خبره؟

میلیون‌ها کاربر در خطر

کدوم اپ‌های VPN مشکل دارن؟

فاجعه‌ای برای امنیت کاربر

درخواست از مدیران اپ استورها

آخرین راه حل: مرورگر Tor

گزارش شفافیت VPN سال ۲۰۲۵: چه کسی صاحب VPN شماست؟

چرا شفافیت موقع انتخاب VPN مهمه؟

وقتی VPN رو روشن میکنی چه اتفاقی میفته؟

به کی داری اعتماد میکنی؟

سیستم امتیازدهی شفافیت (CTSS)

۱. شفافیت عملیات تجاری

۲. شفافیت کد

۳. شفافیت شبکه‌های اجتماعی

۴. شفافیت شبکه/دامنه

۵. تحلیل دستی

نتایج نگران‌کننده: دو گروه از VPN‌های خطرناک

خوشه اول: Innovative Connecting، Autumn Breeze و Lemon Clove

خوشه دوم: MATRIX MOBILE، ForeRaya Technologies، WILDLOOK TECH، Hong Kong Silence Technology و Yolo Mobile Technology

توصیه‌ها: حالا باید چیکار کنیم؟

توصیه‌هایی برای کاربرها

توصیه‌هایی برای محقق‌ها

توصیه‌هایی برای شرکت‌های VPN

توصیه‌هایی برای مدیران اپ استورها

ماجرای این افشاگری بزرگ چی بود؟

بازیگران اصلی این پرونده کی هستن؟

گیک نتورکس (Geedge Networks) و پدرخوانده فایروال

آزمایشگاه MESA: بازوی تحقیقاتی گیک نتورکس

جعبه‌ابزار گیک نتورکس: با چه محصولاتی اینترنت رو کنترل می‌کنن؟

۱. دروازه امنیتی تیان‌گو (Tiangou Secure Gateway – TSG)

۲. کهکشان تی‌اس‌جی (TSG Galaxy)

۳. راوی سایبری (Cyber Narrator)

۴. زودیاک شبکه (Network Zodiac)

۵. فهرست سلامت (Sanity Directory – SAN)

۶. دفاع فعال دی‌ال‌ال (DLL Active Defence)

این تکنولوژی دقیقا چه کارهایی می‌تونه انجام بده؟

حالت‌های استقرار: آینه‌ای در مقابل درون‌خطی

بازرسی عمیق بسته‌ها (Deep Packet Inspection – DPI)

مدیریت ترافیک رمزگذاری شده

کاهش سرعت ترافیک (Throttling)

تزریق و دستکاری ترافیک

شناسایی و مسدودسازی ابزارهای دور زدن سانسور

مشتریان گیک نتورکس: این تکنولوژی به چه کشورهایی فروخته شده؟

قزاقستان (اسم رمز: K18, K24)

اتیوپی (اسم رمز: E21)

پاکستان (اسم رمز: P19)

میانمار (اسم رمز: M22)

مشتری ناشناس (اسم رمز: A24)

فایروال‌های منطقه‌ای در خود چین

سین‌کیانگ (اسم رمز: J24)

فوجیان و جیانگ‌سو

شبکه همکاری‌های بین‌المللی

نگاهی به سورس‌کدها و آینده تحلیل‌ها

منابع

ورود ODoH: راهکاری برای جدا کردن سوال از هویت

ODoH چطوری کار می‌کنه؟

رمزنگاری اضافه و کلیدها از کجا میان؟

شرکای ODoH چه کسانی هستن؟

آیا ODoH سرعت اینترنت رو کم می‌کنه؟