دسته: امنیت وب و شبکه

افشای اسناد گیک نتورکس؛ مجری فیلترینگ چین

داستان از جایی شروع شد که یک منبع ناشناس تصمیم گرفت اسناد داخلی و سورس‌کدهای یک شرکت به اسم گیک نتورکس (Geedge Networks) رو در اختیار عموم قرار بده. این شرکت چینی سیستم‌های نظارت و سانسور اینترنت رو به کشورهایی مثل میانمار، اتیوپی، قزاقستان و پاکستان فروخته بود. این افشاگری، که بزرگترین درز اطلاعاتی در تاریخ «فایروال بزرگ چین» (GFW) به حساب میاد، پرده از فعالیت‌های شرکتی برداشت که یکی از بنیان‌گذارانش کسی نیست جز «فانگ بینگ‌شینگ» (Fang Binxing)، شخصیتی که به عنوان «پدر فایروال بزرگ چین» شناخته می‌شه.

این اسناد که حجمشون به بیشتر از ۶۰۰ گیگابایت می‌رسه و شامل بیش از ۱۰۰ هزار فایل از پلتفرم‌های داخلی شرکت مثل جیرا (Jira)، کانفلوئنس (Confluence) و گیت‌لب (GitLab) می‌شه، جزئیات دقیقی از تحقیق، توسعه و عملیات‌های این شرکت و همکارانش رو نشون می‌ده. بعد از این افشاگری، یک ائتلاف جهانی از رسانه‌ها و سازمان‌های جامعه مدنی حدود یک سال وقت گذاشتن تا این حجم عظیم از داده‌ها رو تحلیل کنن و نتایجش رو به شکلی که می‌خونید منتشر کنن.

ماجرای این افشاگری بزرگ چی بود؟

در تاریخ ۱۱ سپتامبر ۲۰۲۵، بزرگترین مجموعه اسناد داخلی مربوط به فایروال بزرگ چین لو رفت. این اسناد که بیشتر از ۵۰۰ گیگابایت سورس‌کد، گزارش‌های کاری و مکاتبات داخلی رو شامل می‌شد، از یکی از نیروهای فنی اصلی پشت این فایروال یعنی شرکت گیک نتورکس و آزمایشگاه MESA در آکادمی علوم چین درز کرد. این اطلاعات نشون می‌داد که گیک نتورکس نه تنها به دولت‌های محلی در استان‌های سین‌کیانگ، جیانگ‌سو و فوجیان خدمات می‌ده، بلکه تکنولوژی سانسور و نظارت خودش رو تحت چارچوب «یک کمربند یک راه» (Belt and Road) به کشورهای دیگه هم صادر می‌کنه.

گروهی به اسم Enlace Hacktivista دسترسی به این فایل‌های لو رفته رو فراهم کرد. حجم کل فایل‌ها حدود ۶۰۰ گیگابایت بود که یک فایل به تنهایی به اسم mirror/repo.tar که آرشیو سرور بسته‌های نرم‌افزاری بود، ۵۰۰ گیگابایت حجم داشت. لیست برخی از فایل‌های اصلی اینجوریه:

mirror/filelist.txt (حدود ۷ مگابایت)
mirror/repo.tar (حدود ۴۹۷ گیگابایت)
geedge_docs.tar.zst (حدود ۱۴ گیگابایت)
geedge_jira.tar.zst (حدود ۲.۷ گیگابایت)
mesalab_docs.tar.zst (حدود ۳۵ گیگابایت)
mesalab_git.tar.zst (حدود ۶۳ گیگابایت)

به دلیل حساسیت بالای این اطلاعات، به هر کسی که قصد دانلود و تحلیل اونها رو داره، توصیه شده که حتما اقدامات امنیتی لازم رو رعایت کنه. چون ممکنه این فایل‌ها محتوای پرخطری داشته باشن و بررسی اونها در یک محیط ناامن می‌تونه فرد رو در معرض نظارت یا بدافزار قرار بده. پیشنهاد شده که این فایل‌ها فقط در یک ماشین مجازی ایزوله و بدون دسترسی به اینترنت بررسی بشن.

بازیگران اصلی این پرونده کی هستن؟

برای اینکه بفهمیم دقیقا چه اتفاقی افتاده، باید با شرکت‌ها و آدم‌های اصلی این ماجرا آشنا بشیم.

گیک نتورکس (Geedge Networks) و پدرخوانده فایروال

شرکت گیک نتورکس (积至) یک شرکت چینیه که نقش کلیدی در توسعه فایروال بزرگ چین و ارائه قابلیت‌های مشابه به دولت‌های دیگه در سراسر جهان داشته. اما چیزی که این شرکت رو خاص می‌کنه، آدم‌های پشت پرده‌اش هستن.

فانگ بینگ‌شینگ (方滨兴): اون به عنوان «پدر فایروال بزرگ چین» شناخته می‌شه. اسمش با یک سیستم کنترل دیجیتال گره خورده. برای اینکه بفهمیم اون کیه و چه کارهایی کرده، باید خارج از فایروال چین دنبال اطلاعات بگردیم. در سال ۲۰۱۱، موقع یک سخنرانی در ووهان، یک فرد ناشناس به سمتش تخم‌مرغ و کفش پرتاب کرد که یک حرکت نمادین علیه کسی بود که اینترنت چین رو به یک دژ در برابر آزادی تبدیل کرده بود. البته دفتر آقای فانگ در اون زمان این اتفاق رو تکذیب کرد. در سال ۲۰۱۸، فانگ شرکت گیک نتورکس رو تاسیس کرد تا اختراع خودش، یعنی فایروال چین، رو به یک محصول صادراتی تبدیل کنه.

ژنگ چائو (郑超): مدیر ارشد فناوری (CTO) شرکت گیک نتورکس. اون یکی از هم‌بنیان‌گذاران آزمایشگاه MESA در ژانویه ۲۰۱۲ بوده و اسمش به عنوان همکار در چندین مقاله تحقیقاتی مرتبط با سانسور هم دیده می‌شه.

وانگ یوئاندی (Wang Yuandi): مدیرعامل شرکت گیک نتورکس که اون هم مثل بقیه مدیران ارشد، در مقالات و پتنت‌های مرتبط با سانسور اینترنت نقش داشته.

آزمایشگاه MESA: بازوی تحقیقاتی گیک نتورکس

فایروال بزرگ چین یک اصطلاح کلی برای مجموعه‌ای از سیستم‌های سانسور اینترنته. پشت این سیستم، تیم‌های مختلفی برای تحقیق و توسعه، عملیات، سخت‌افزار و مدیریت وجود دارن. یکی از شاخه‌های مهم تحقیق و توسعه این فایروال، آزمایشگاه MESA و شرکت گیک نتورکسه.

ریشه‌های این همکاری به زمانی برمی‌گرده که فانگ بینگ‌شینگ به پکن اومد. در اواخر سال ۲۰۰۸، اون آزمایشگاه ملی مهندسی برای امنیت محتوای اطلاعات (NELIST) رو تاسیس کرد. از سال ۲۰۱۲، این آزمایشگاه زیر نظر موسسه مهندسی اطلاعات آکادمی علوم چین قرار گرفت. در ژانویه ۲۰۱۲، بعضی از اعضای NELIST یک تیم جدید در این موسسه تشکیل دادن که در ژوئن همون سال رسما اسمش MESA (Massive Effective Stream Analysis) شد.

اسناد فاش شده نشون می‌ده که گیک نتورکس ارتباط خیلی نزدیکی با آزمایشگاه MESA داره و بین کارمندهای هر دو نهاد همکاری‌های منظمی وجود داشته. مثلا در جلسه‌ای که در جولای ۲۰۲۴ در سین‌کیانگ برگزار شد، یک محقق از آزمایشگاه MESA یادداشت‌برداری می‌کرد. در اون جلسه، شرکت‌کننده‌ها درباره استفاده از تکنولوژی برای «ضربه زدن به ابزارهای» دور زدن فایروال بزرگ صحبت می‌کردن.

نکته جالب اینه که داده‌های مشتریانی که در سیستم‌های گیک نتورکس جمع‌آوری می‌شه، در دسترس کارمندهای شرکت و حتی دانشجوها و محققان آزمایشگاه MESA هم قرار می‌گیره. اسناد نشون می‌ده که دانشجوهای مهندسی در MESA از اطلاعات واقعی مشتریان برای تحقیقاتی استفاده کردن که هدفش درک بهتر و مسدود کردن راه‌های دور زدن سانسور اینترنت بوده.

در ادامه، جدول زمانی از مهمترین اتفاقات آزمایشگاه MESA رو بر اساس اسناد لو رفته می‌بینید:

تاریخ	رویداد
ژانویه ۲۰۱۲	لیو چینگ‌یون، سان یونگ، ژنگ چائو، یانگ رونگ، چین پنگ، لیو یانگ و لی جیا تیمی را در IIE تشکیل دادند.
ژوئن ۲۰۱۲	تیم رسما به نام MESA (تحلیل جریان عظیم و موثر) نامگذاری شد.
۲۰۱۲	لیو چینگ‌یون برای برنامه استعدادی «ستاره نوظهور» IIE انتخاب شد.
۲۰۱۲	یانگ وی و ژو ژو به تیم پیوستند.
۲۰۱۲	تیم با موفقیت وظیفه تضمین امنیت سایبری برای هجدهمین کنگره ملی را به پایان رساند.
دسامبر ۲۰۱۳	تیم MESA جایزه پیشرفت علمی و فناوری بزرگ IIE در سال ۲۰۱۳ را دریافت کرد.
۲۰۱۴	پلتفرم SAPP، یکی از اجزای MESA، استقرار مهندسی در مقیاس بزرگ را آغاز کرد.
۲۰۱۵	ژنگ چائو برای برنامه «ستاره نوظهور» IIE و ژانگ پنگ برای برنامه «معرفی استعداد برجسته» IIE انتخاب شدند.
دسامبر ۲۰۱۶	تیم MESA در برنده شدن جایزه ملی پیشرفت علم و فناوری (جایزه دوم) شرکت کرد.
۲۰۱۸	سان یونگ و ژو ژو جایزه علم و فناوری اسرار دولتی ملی ۲۰۱۷ (جایزه دوم) را دریافت کردند.

تا سال ۲۰۱۸، فانگ بینگ‌شینگ شرکت گیک (هاینان) تکنولوژی اطلاعات رو تاسیس کرد که کارمندهای اصلی تحقیق و توسعه اون از دانشگاه‌ها و موسسات تحقیقاتی مثل آکادمی علوم چین، موسسه فناوری هاربین و دانشگاه پست و مخابرات پکن اومده بودن. خیلی از این استعدادها از آزمایشگاه MESA بودن.

جعبه‌ابزار گیک نتورکس: با چه محصولاتی اینترنت رو کنترل می‌کنن؟

اسناد فاش شده نشون می‌ده که گیک نتورکس یک مجموعه کامل از ابزارها رو برای نظارت و کنترل اینترنت ارائه می‌ده. این ابزارها می‌تونن به صورت یک بسته کامل یا جداگانه به مشتری‌ها فروخته بشن. بیایید با هم ببینیم هر کدوم از این محصولات چی هستن و چه کاری انجام می‌دن.

۱. دروازه امنیتی تیان‌گو (Tiangou Secure Gateway – TSG)

این محصول، گل سرسبد و محصول پرچمدار گیک نتورکس به حساب میاد. TSG در واقع یک واحد فایروال و نظارت چندمنظوره است که تمام کارهای اصلی مثل بازرسی عمیق بسته‌ها (DPI)، فیلتر کردن، ردیابی، کاهش سرعت عمدی اینترنت (Throttling) و حتی عملکردهای تهاجمی رو انجام می‌ده. هر داده‌ای که توسط TSG استخراج می‌شه، برای ذخیره‌سازی و تحلیل به محصول بعدی یعنی TSG Galaxy فرستاده می‌شه.

قابلیت‌های TSG خیلی گسترده است و شامل موارد زیر می‌شه:

نظارت و سانسور از طریق بازرسی عمیق بسته‌ها (DPI).
شناسایی و مسدود کردن وی‌پی‌ان‌ها و ابزارهای دور زدن سانسور.
کاهش سرعت ترافیک اینترنت برای سرویس‌های خاص.
نظارت، ردیابی، برچسب‌گذاری و مسدود کردن کاربران اینترنت به صورت فردی.
آلوده کردن کاربران به بدافزار.

TSG می‌تونه روی یک پلتفرم سخت‌افزاری یکپارچه به اسم TSGX نصب بشه یا با سخت‌افزارهای موجود مشتری کار کنه. مثلا در پاکستان، TSG روی تجهیزاتی که توسط شرکت Sandvine جا مونده بود نصب شد. سیستم‌عامل این دستگاه TSG-OS نام داره که بر پایه Red Hat Enterprise Linux و Docker ساخته شده.

یک سیستم به اسم Ether Fabric هم وجود داره که ترافیک رو بین چندین دستگاه TSG پخش می‌کنه تا بار کاری تقسیم بشه. برای مدیریت این مجموعه هم از یک سیستم به اسم Central Management یا 毕方 (Bifang) استفاده می‌شه. TSG برای کارایی بیشتر، به جای استفاده از هسته لینوکس، از یک سیستم شبکه در فضای کاربری به اسم MARSIO و تکنولوژی DPDK برای پردازش بسته‌ها استفاده می‌کنه.

۲. کهکشان تی‌اس‌جی (TSG Galaxy)

TSG Galaxy یک سیستم انبار داده (Data Warehouse) برای ذخیره و جمع‌آوری اطلاعاته. این سیستم برای نظارت گسترده در مقیاس اینترنت طراحی شده و حجم عظیمی از داده‌ها رو درباره تمام کاربران اینترنت در یک کشور جمع می‌کنه. TSG Galaxy بر پایه پلتفرم متن‌باز Apache Kafka ساخته شده که معمولا برای تحلیل رفتار مشتری در فروشگاه‌های آنلاین استفاده می‌شه.

داده‌های لو رفته نشون می‌ده که TSG Galaxy برای ذخیره اطلاعات زیر استفاده می‌شه:

سوابق تمام نشست‌های TCP و UDP.
اطلاعات پروتکل‌های انتقال که برای اینترنت پهن‌باند و موبایل استفاده می‌شن.
تمام نشست‌های SIP در کشور. SIP پروتکلیه که برای تماس‌های تلفنی اینترنتی (VoIP) استفاده می‌شه. این یعنی TSG Galaxy نه تنها ترافیک اینترنت، بلکه تماس‌های تلفنی رو هم می‌تونه نظارت کنه.

این سیستم از تکنیک‌هایی مثل IPFIX برای تحلیل جریان ترافیک و DPI برای استخراج متادیتا استفاده می‌کنه. با DPI می‌شه اطلاعات دقیقی مثل نام سرور در پروتکل‌های TLS و QUIC، کوئری‌های DNS و هدرهای ایمیل رو استخراج کرد. همچنین از تکنیک‌های انگشت‌نگاری اتصال مثل هش‌های JA3 استفاده می‌شه تا مشخص بشه کاربر از چه سیستم‌عاملی و چه برنامه‌هایی استفاده می‌کنه. این اطلاعات به شناسایی ابزارهای دور زدن سانسور مثل وی‌پی‌ان‌ها کمک می‌کنه.

در نهایت، تمام این اطلاعات با داده‌های ارائه‌دهنده خدمات اینترنت (ISP) ترکیب می‌شه تا به یک کاربر خاص از طریق شناسه‌هایی مثل آدرس IP، شناسه مشترک، IMEI و IMSI مرتبط بشه.

۳. راوی سایبری (Cyber Narrator)

Cyber Narrator یک رابط کاربریه که برای کاربران غیرفنی طراحی شده. این ابزار به مشتری‌ها (مثلا دولت‌ها) اجازه می‌ده اطلاعاتی که توسط TSG جمع‌آوری و در TSG Galaxy ذخیره شده رو به راحتی جستجو و مشاهده کنن. از طریق این داشبورد می‌شه سرویس‌ها و پروتکل‌ها رو مسدود کرد و حتی شناسه‌های کاربرانی که به محتوای خاصی دسترسی داشتن رو پیدا کرد.

این ابزار خیلی قدرتمنده و می‌تونه:

ترافیک شبکه رو در سطح تک تک مشتریان ردیابی کنه.
موقعیت جغرافیایی مشترکین موبایل رو به صورت زنده با مرتبط کردن فعالیت اونها به شناسه‌های سلولی (Cell ID) مشخص کنه.
به دولت‌ها کمک کنه تا کاربرانی که از ابزارهای دور زدن سانسور استفاده می‌کنن یا به وب‌سایت‌های خاصی دسترسی دارن رو شناسایی کنن.
افرادی که قبل از مسدود شدن یک محتوا به اون دسترسی داشتن رو شناسایی کنه.

۴. زودیاک شبکه (Network Zodiac)

Network Zodiac یا (Nezha)یک سیستم برای نظارت بر بقیه اجزای این پلتفرمه، چیزی شبیه به ابزار معروف Grafana. اما یک ویژگی قابل توجه داره که اون رو از بقیه متمایز می‌کنه: یک ترمینال وب یکپارچه که به مدیران شبکه اجازه می‌ده از راه دور با استفاده از SSH به هر دستگاهی (مثلا یک نود TSG) متصل بشن. این قابلیت دسترسی مستقیم برای عیب‌یابی و مدیریت رو فراهم می‌کنه، اما یک ریسک امنیتی بزرگ هم ایجاد می‌کنه. در بدترین حالت، یک هکر با دسترسی به این سیستم می‌تونه به تمام تجهیزات امنیتی مستقر در یک کشور دسترسی پیدا کنه.

۵. فهرست سلامت (Sanity Directory – SAN)

این سیستم که با اسم «سیستم مدیریت ترافیک اعتبار کاربر» هم شناخته می‌شه، طراحی شده تا TSG رو با پروتکل‌های احراز هویت و حسابداری ISPها مثل RADIUS، 3GPP و CGNAT یکپارچه کنه. این یکپارچگی باعث می‌شه که جریان‌های ترافیک به هویت‌های واقعی افراد نسبت داده بشه. یکی از ویژگی‌های اصلی این سیستم، نسبت دادن ترافیک به یک سیم‌کارت خاصه. این کار نه تنها نظارت گسترده، بلکه نظارت خیلی هدفمند روی افراد خاص رو ممکن می‌کنه.

۶. دفاع فعال دی‌ال‌ال (DLL Active Defence)

شاید عجیب‌ترین محصولی که در داده‌های لو رفته پیدا شده، همین باشه. در نگاه اول به نظر می‌رسه این یک سیستم برای محافظت در برابر حملات DDoS باشه، اما با بررسی دقیق‌تر مشخص می‌شه که در واقع پلتفرمی برای راه‌اندازی حملات DDoS علیه وب‌سایت‌ها و سرویس‌های اینترنتیه که از نظر سیاسی نامطلوب تلقی می‌شن. این محصول به نظر پیاده‌سازی خود گیک نتورکس از «توپ بزرگ چین» (Great Cannon) هست.

این سیستم با اسکن کردن اینترنت، نقاط تقویت ترافیک مثل سرورهای DNS بازگشتی رو پیدا می‌کنه و از اونها برای حملات استفاده می‌کنه. بعد با استفاده از قابلیت تزریق کد در TSG، کامپیوترهای کاربران بی‌خبر رو برای شرکت در حمله به کار می‌گیره و یک بات‌نت ایجاد می‌کنه. این اولین نمونه تایید شده از یک شرکت امنیت سایبریه که رسما یک سرویس DDoS-for-hire به مشتریانش ارائه می‌ده.

این تکنولوژی دقیقا چه کارهایی می‌تونه انجام بده؟

حالا که با محصولات گیک نتورکس آشنا شدیم، بیایید عمیق‌تر به قابلیت‌های فنی اونها نگاه کنیم. این سیستم‌ها کارهایی فراتر از فیلتر کردن ساده انجام می‌دن.

حالت‌های استقرار: آینه‌ای در مقابل درون‌خطی

سیستم گیک نتورکس به دو روش اصلی می‌تونه مستقر بشه: حالت آینه‌ای (Mirrored) و حالت درون‌خطی (In-line).

حالت آینه‌ای (Mirrored یا Passive): در این حالت، یک کپی از داده‌ها با استفاده از یک انشعاب‌گیر شبکه (Network Tap) به دستگاه گیک فرستاده می‌شه. بسته‌های اصلی منتظر پردازش نمی‌مونن و به مسیرشون ادامه می‌دن. مزیت این حالت اینه که اگه سیستم گیک از کار بیفته، اینترنت قطع نمی‌شه و تاخیری هم در شبکه ایجاد نمی‌کنه. اما در این حالت، مشتری نمی‌تونه جلوی عبور ترافیک خاصی رو بگیره و برای مسدودسازی باید به تزریق بسته (Packet Injection) تکیه کنه.
حالت درون‌خطی (In-line یا Active): در این حالت، ترافیک باید قبل از رسیدن به مقصد، از داخل دستگاه گیک عبور کنه. مزیت این روش اینه که می‌شه به طور کامل جلوی جریان‌های ترافیک خاصی رو گرفت. این حالت معمولا توسط مشتریانی انتخاب می‌شه که کنترل مطلق می‌خوان، حتی به قیمت کاهش قابلیت اطمینان و کیفیت شبکه.

یک مقام ارشد از یک ISP در پاکستان در سال ۲۰۲۴ گفته بود که فایروال جدید از یک «شبکه درون‌خطی» استفاده می‌کنه که مثل یک ایست بازرسی عمل می‌کنه و هر بسته داده باید بازرسی بشه. اون اضافه کرده بود که استفاده از این روش «به ناچار سرعت اینترنت رو کم می‌کنه».

بازرسی عمیق بسته‌ها (Deep Packet Inspection – DPI)

این گزارش به پروتکل‌های زیادی اشاره می‌کنه که TSG می‌تونه اونها رو بازرسی کنه، از جمله HTTP، DNS، ایمیل، TLS، QUIC و SIP. این سیستم می‌تونه نام سرور (SNI) رو از ترافیک رمزگذاری شده TLS و QUIC استخراج کنه و بر اساس اون فیلترینگ انجام بده.

مدیریت ترافیک رمزگذاری شده

TSG برای تحلیل ترافیک TLS دو روش اصلی داره:

رمزگشایی کامل: با استفاده از تکنیک Man-in-the-Middle (MITM) که نیاز به نصب یک گواهی ریشه (CA) توسط مشترک داره.
تحلیل ترافیک رمزگذاری شده: با استفاده از DPI و تکنیک‌های یادگیری ماشین برای استخراج متادیتا از ترافیک رمزگذاری شده. این روش دوم بیشتر استفاده می‌شه چون برای کاربر نامرئیه و نیازی به نصب چیزی نداره. بخشی که مسئول اجرای حملات MITM هست، Tiangou Frontend Engine (TFE) نامیده می‌شه.

کاهش سرعت ترافیک (Throttling)

TSG قابلیت شکل‌دهی ترافیک (Traffic Shaping) رو داره. این یعنی به جای مسدود کردن کامل یک سرویس، می‌تونه سرعت اون رو کم کنه تا کیفیتش پایین بیاد. این کار یا به صورت مستقیم یا با استفاده از علامت‌گذاری DSCP انجام می‌شه که یک استاندارد صنعتی برای اولویت‌بندی ترافیکه.

تزریق و دستکاری ترافیک

این یکی از قابلیت‌های جدی TSG هست. این سیستم می‌تونه ترافیک رو تزریق یا دستکاری کنه. این کار می‌تونه برای مسدود کردن، آلوده کردن کاربران به بدافزار یا وادار کردن اونها به شرکت در حمله DDoS به سبک «توپ بزرگ چین» استفاده بشه. TSG می‌تونه نشست‌های HTTP رو به صورت زنده با تکنیک‌هایی مثل جعل پاسخ‌های تغییر مسیر، تغییر هدرها، تزریق اسکریپت و جایگزینی محتوای صفحات دستکاری کنه. قابلیت تزریق درون‌خطی به TSG اجازه می‌ده که کد مخرب رو به فایل‌هایی که در شبکه منتقل می‌شن تزریق کنه. اسناد گیک نتورکس به وضوح میگن که این ویژگی برای تزریق بدافزار به ترافیک اینترنت طراحی شده. این سیستم می‌تونه به صورت هوشمندانه یک کاربر خاص رو هدف قرار بده و فایل‌های مختلفی رو در لحظه تغییر بده، از جمله:

فایل‌های وب: HTML، CSS، JavaScript
فایل‌های اجرایی: APK (اندروید)، EXE (ویندوز)، DMG (مک) و RPM (لینوکس)
فایل‌های تصویری: JPG، GIF، PNG، SVG
فایل‌های آرشیو: ZIP، RAR
اسناد: PDF، JSON، XML و فایل‌های آفیس

شناسایی و مسدودسازی ابزارهای دور زدن سانسور

گیک نتورکس روش‌های پیچیده‌ای برای مقابله با وی‌پی‌ان‌ها و ابزارهای مشابه داره.

مهندسی معکوس: کارمندهای شرکت ابزارهای محبوب رو مهندسی معکوس می‌کنن تا راه‌هایی برای مسدود کردنشون پیدا کنن. یک مجموعه از اسناد، ۹ وی‌پی‌ان تجاری رو به عنوان «حل شده» لیست کرده و روش‌های مختلفی برای شناسایی و فیلتر کردن ترافیک اونها ارائه می‌ده. برای این کار از تحلیل استاتیک (دی‌کامپایل کردن کد برنامه برای پیدا کردن لیست سرورها) و تحلیل دینامیک (اجرای برنامه و تحلیل ترافیک شبکه) استفاده می‌شه.
مزرعه دستگاه‌های موبایل: گیک نتورکس یک مزرعه از دستگاه‌های موبایل داره که برنامه‌های وی‌پی‌ان روشون نصب شده تا رفتار شبکه‌شون رو در یک محیط کنترل شده مطالعه کنن. اسناد نشون می‌ده که این شرکت حتی اکانت‌های پولی وی‌پی‌ان‌های محبوب رو خریداری می‌کنه تا بتونه اونها رو تحلیل و مسدود کنه.
پایگاه داده AppSketch: این یک پایگاه داده از انگشت‌نگاری‌های شبکه برنامه‌های مختلفه، مثل سرویس‌های وی‌پی‌ان خاص. برای استخراج این انگشت‌نگاری‌ها، گیک و دانشجوهای Mesalab از یک نسخه تغییر یافته از ابزار tcpdump به اسم tcpdump_mesa استفاده می‌کنن. بعد این انگشت‌نگاری‌ها با استفاده از یکی از چهار سیستم SAPP، Stellar یا Maat به یک مجموعه قانون تبدیل می‌شن.
ردیابی کاربران وی‌پی‌ان: یک قابلیت جالب و غافلگیرکننده اینه که سیستم می‌تونه افراد خاصی رو به عنوان کاربران شناخته شده وی‌پی‌ان شناسایی کنه. وقتی این کاربران به یک سرویس وی‌پی‌ان جدید که هنوز مسدود نشده میرن، گیک نتورکس می‌تونه ترافیک اونها رو زیر نظر بگیره و از ردی که به جا می‌ذارن برای شناسایی و مسدود کردن وی‌پی‌ان جدید در آینده استفاده کنه.
مسدود کردن ترافیک ناشناس: حتی اگه TSG نتونه برنامه یا سرویس خاصی رو شناسایی کنه، می‌تونه هر جریان ترافیک پرحجم و غیرعادی رو به عنوان مشکوک علامت‌گذاری کنه و بعد از یک دوره مشخص، مثلا ۲۴ ساعت، اون رو مسدود کنه. این رفتار مشابه چیزیه که در فایروال بزرگ چین هم دیده شده.
ابزارهای خاص: گزارش‌ها به ابزارهایی برای مقابله با Tor bridges، Snowflake و WebTunnel هم اشاره می‌کنن. گیک نتورکس یک ابزار تخصصی به اسم Psiphon3-SLOK برای شمارش سرورهای Psiphon داره. استفاده از این ابزار با تغییراتی که در اتصالات Psiphon در میانمار در ماه می ۲۰۲۴ (همزمان با ورود گیک به این کشور) مشاهده شد، همخوانی داره.

مشتریان گیک نتورکس: این تکنولوژی به چه کشورهایی فروخته شده؟

اسناد فاش شده نشون می‌ده که گیک نتورکس هم در داخل چین و هم در چندین کشور دیگه فعالیت داره. برای نصب تجهیزات، کارمندهای گیک به صورت فیزیکی به محل ISP مشتری سفر می‌کنن و مستقیما با پرسنل اونجا کار می‌کنن. در اسناد، کشورها با اسم‌های رمز مشخص شدن که معمولا حرف اول اسم کشور به علاوه یک عدد دو رقمی (که همیشه با سال شروع همکاری یکی نیست) هست.

قزاقستان (اسم رمز: K18, K24)

گیک نتورکس در سال ۲۰۱۸ تاسیس شد و به نظر می‌رسه دولت قزاقستان اولین مشتری اون بوده که از سال ۲۰۱۹ همکاری رو شروع کرده. استقرار این سیستم در قزاقستان با تلاش‌های قبلی این دولت برای پیاده‌سازی TLS MITM در سطح ملی بی‌ارتباط نیست. یک تصویر از تاریخ ۱۶ اکتبر ۲۰۲۰، آدرس‌های IP یک مرکز ملی و ۱۷ شهر دیگه رو نشون می‌ده که سه محصول مختلف گیک رو اجرا می‌کنن: Bifang (مدیریت مرکزی)، Galaxy (اسم قدیمی TSG-Galaxy) و Nezha (اسم قدیمی Network Zodiac).

اتیوپی (اسم رمز: E21)

گیک در سال ۲۰۲۱ کارش رو در اتیوپی شروع کرد. یک گزارش از دسامبر ۲۰۲۲ نشون می‌ده که ژنگ چائو، مدیر ارشد فناوری گیک، کارهای انجام شده در دو مرکز داده منطقه‌ای Safaricom در آدیس آبابا رو تایید کرده. گزارش‌ها نشون می‌دن که بین تغییر حالت سیستم از آینه‌ای به درون‌خطی و آماده شدن دولت‌ها برای قطع اینترنت ارتباط وجود داره. در اتیوپی، ۱۸ تغییر به حالت درون‌خطی ثبت شده که دو مورد از اونها درست قبل از مسدودسازی شبکه‌های اجتماعی در فوریه ۲۰۲۳ در مراکز داده Safaricom انجام شده. یک تیکت پشتیبانی گیک از همون ماه هم مربوط به حل مشکل در مسدود کردن پلتفرم‌هایی مثل یوتیوب و توییتر در اتیوپی بوده.

پاکستان (اسم رمز: P19)

گیک در سال ۲۰۲۳ وارد پاکستان شد، همون سالی که شرکت Sandvine از این کشور خارج شد. عفو بین‌الملل به فایروال جدیدی که توسط گیک اداره می‌شه اسم «WMS 2.0» (سیستم مدیریت/نظارت وب نسخه ۲) داده. حضور گیک در پاکستان با گزارش‌های قبلی درباره نقش چین در ساخت فایروال ملی این کشور مطابقت داره. حرف‌های یک مدیر ارشد ISP در پاکستان در مصاحبه با الجزیره، شباهت زیادی به متون بازاریابی گیک داره. اون گفته بود که سیستم جدید نه تنها در دروازه‌های ورودی اینترنت کشور، بلکه در مراکز داده محلی ارائه‌دهندگان خدمات موبایل و ISPها هم مستقر می‌شه تا بتونه ترافیک محلی رو هم نظارت کنه.

در پاکستان، از سال ۲۰۱۵ هر سیم‌کارت جدیدی که صادر می‌شه باید به نام یک کاربر خاص ثبت و به اطلاعات بیومتریک مثل اثر انگشت که در سازمان ملی ثبت و پایگاه داده (NADRA) ثبت شده، مرتبط بشه. سیستم Sanity Directory گیک هم دقیقا قابلیت نسبت دادن ترافیک شبکه به یک سیم‌کارت خاص رو داره. همچنین حداقل یک تیکت پشتیبانی جیرا نشون‌دهنده ضبط متن ایمیل‌های رد و بدل شده بین یک شرکت حمل و نقل جهانی و یک شرکت پاکستانیه.

میانمار (اسم رمز: M22)

میانمار از این جهت مهمه که اولین باری بود که کار گیک نتورکس در یک کشور خارجی به صورت عمومی فاش شد. اسناد لو رفته نشون می‌ده که تجهیزات گیک در مراکز داده تمام ISPهای دولتی و خصوصی این کشور نصب شده، از جمله چهار ISP بزرگ MyTel، Ooredoo، MPT و ATOM و همچنین شرکت‌های کوچکتری مثل Frontiir، Global Technology Group و Campana. این در حالیه که سخنگوی Frontiir قبلا گفته بود که این شرکت هرگز هیچ پروژه نظارتی رو روی شبکه‌اش «ساخته، برنامه‌ریزی یا طراحی» نکرده.

اسناد همچنین شامل لیست بلندبالایی از برنامه‌ها و وی‌پی‌ان‌هاییه که دولت میانمار قصد مسدود کردنشون رو داشته. این لیست از لیست‌های مشابه در کشورهای دیگه مثل اتیوپی یا قزاقستان طولانی‌تره و شامل ۵۵ برنامه با اولویت بالا برای مسدودسازی، از جمله اپ‌های پیام‌رسان Signal و WhatsApp می‌شه.

مشتری ناشناس (اسم رمز: A24)

یکی از مشتریان گیک فقط با اسم رمز A24 شناخته می‌شه. در زمان افشای اسناد، رابطه تجاری بین اونها در مراحل اولیه بوده. هیچ اطلاعاتی که هویت این مشتری رو مشخص کنه در اسناد وجود نداره و تنها سرنخ‌ها حرف اول A و سال ۲۰۲۴ هستن. به نظر می‌رسه در این مرحله، دو استقرار آزمایشی از تجهیزات گیک، یکی در حالت آینه‌ای و دیگری در حالت درون‌خطی، برای روشن شدن تفاوت این دو حالت برای مشتری انجام شده. بعضی‌ها در فروم‌های آنلاین حدس می‌زنن که این کشور ممکنه نپال باشه، چون چین به کنترل کشورهای همسایه‌اش علاقه داره و نپال هم اخیرا با ممنوع کردن شبکه‌های اجتماعی یک چرخش اقتدارگرایانه داشته. اما این فقط یک حدسه و در اسناد تایید نشده.

فایروال‌های منطقه‌ای در خود چین

علاوه بر مشتریان بین‌المللی، اسناد نشون می‌ده که گیک نتورکس در حال ساخت فایروال‌های استانی در خود چینه که فایروال بزرگ ملی رو تکمیل می‌کنن. این فایروال‌های منطقه‌ای در استان‌های سین‌کیانگ، فوجیان و جیانگ‌سو شناسایی شدن.

سین‌کیانگ (اسم رمز: J24)

اسناد به وضوح میگن که فایروال منطقه‌ای در سین‌کیانگ قراره به عنوان یک الگو برای استقرار در سطح ملی در چین عمل کنه. یادداشت‌هایی از یک سخنرانی در ۲۲ ژوئن ۲۰۲۴ در شعبه سین‌کیانگ آکادمی علوم چین وجود داره که در اون گفته شده پروژه گیک «قصد داره این مرکز منطقه‌ای رو به یک نیروی پیشگام ضد تروریسم، به ویژه در سرکوب دور زدن [سانسور]، تبدیل کنه». در این یادداشت‌ها ذکر شده که «فایروال ملی در حال تکامل از یک مدل متمرکز به یک مدل توزیع‌شده است» و مرکز منطقه‌ای سین‌کیانگ می‌خواد «به یک الگو برای ساخت فایروال‌های استانی تبدیل بشه که بشه از اون در جاهای دیگه الگوبرداری کرد».

نیازمندی‌های پروژه J24 در سین‌کیانگ نشون‌دهنده نظارت شدید و تهاجمیه:

تحلیل رفتار اینترنتی، الگوهای سبک زندگی و روابط کاربران.
ساختن نمودارهای روابط بر اساس افرادی که یک هدف با اونها در ارتباطه.
گروه‌بندی افراد بر اساس برنامه‌هایی که استفاده می‌کنن یا وب‌سایت‌هایی که بازدید می‌کنن.
بررسی اینکه چه کاربرانی به دکل‌های مخابراتی خاصی متصل هستن برای مثلث‌سازی موقعیت مکانی.
تشخیص زمانی که تعداد زیادی از مردم در یک منطقه خاص جمع می‌شن.
ایجاد حصارهای جغرافیایی (Geofences) که با ورود افراد خاص به یک منطقه مشخص، هشدار ایجاد می‌کنه.
شناسایی افرادی که به طور مکرر سیم‌کارت عوض می‌کنن، با شماره‌های بین‌المللی تماس می‌گیرن یا از ابزارهای دور زدن سانسور و شبکه‌های اجتماعی خارجی استفاده می‌کنن.

فوجیان و جیانگ‌سو

اسنادی وجود داره که نشون می‌ده گیک نتورکس یک پروژه آزمایشی مشابه برای یک فایروال استانی در فوجیان، استانی در سواحل تایوان، در سال ۲۰۲۲ شروع کرده. اطلاعات درباره این پروژه محدودتره و با اسم «پروژه فوجیان» به اون اشاره شده. چندین سند هم به پروژه‌ای در جیانگ‌سو، یک استان ساحلی در شرق چین، اشاره می‌کنن. انگیزه همکاری با مقامات محلی، یعنی اداره امنیت عمومی استان جیانگ‌سو (JPSB)، مبارزه با کلاهبرداری‌های اینترنتی اعلام شده. یک محیط تست اولیه به اسم Jiangsu Nanjing در فوریه ۲۰۲۳ عملیاتی شده و به نظر می‌رسه پروژه ضد کلاهبرداری جیانگ‌سو تا ۱۵ مارس ۲۰۲۴ وارد فاز تولید شده.

شبکه همکاری‌های بین‌المللی

فعالیت‌های گیک نتورکس فقط به فروش مستقیم محدود نمی‌شه. این شرکت با شرکت‌های دیگه‌ای هم در ارتباط بوده، چه به صورت مستقیم و چه غیرمستقیم.

Sandvine (اکنون Applogic Networks): این شرکت کانادایی قبلا به پاکستان سیستمی برای مسدود کردن وب‌سایت‌ها فروخته بود. در سال ۲۰۲۳، این شرکت که حالا Applogic Networks نامیده می‌شه، از پاکستان خارج شد اما ظاهرا حداقل بخشی از سخت‌افزارهای خودش رو در اونجا جا گذاشت. تحقیقات نشون می‌ده که گیک نتورکس از این سخت‌افزارها، حداقل در ابتدا، دوباره استفاده کرده. Applogic در بیانیه‌ای گفته که از این موضوع اطلاعی نداشته و سخت‌افزارهای باقی‌مونده تجهیزات معمولی بودن که قابلیت خاصی نداشتن.
Thales Group (فرانسه): این شرکت فرانسوی نرم‌افزاری برای مدیریت لایسنس می‌فروشه. گیک نتورکس از این نرم‌افزار برای کنترل محصولاتی که می‌فروخت استفاده می‌کرده. این بهشون اجازه می‌داده که کارایی نرم‌افزار رو برای یک دوره زمانی محدود کنن. گروه تالس تایید کرده که شرکت چینی یکی از مشتریانش بوده اما گفته نرم‌افزار گیک برای کار کردن به محصول فرانسوی وابسته نیست و اونها هیچ ارتباطی با نظارت ندارن.
سرور آلمانی: گیک نتورکس ظاهرا از یک سرور در آلمان برای توزیع نرم‌افزارش بین مشتریان از طریق لینک‌های دانلود استفاده می‌کرده. انگیزه‌های این کار مشخص نیست، اما گفته می‌شه که فایروال چین دسترسی به وب‌سایت‌های چینی از خارج رو به طور فزاینده‌ای سخت می‌کنه.
شرکت‌های غربی دیگر: گیک نتورکس اولین شرکتی نیست که چنین تکنولوژی‌هایی رو می‌فروشه. شرکت‌های غربی هم در این بازار فعال بودن. مثلا در سال ۲۰۱۵، سازمان Privacy International فاش کرد که پاکستان از تکنولوژی‌های نظارتی شرکت‌های آلمانی استفاده می‌کنه. طبق گزارش‌های رسانه‌ای، یکی از این شرکت‌ها به اسم Utimaco، در میانمار هم فعال بوده.

نگاهی به سورس‌کدها و آینده تحلیل‌ها

یکی از مهمترین بخش‌های این افشاگری، فایل mesalab_git.tar.zst به حجم ۶۴ گیگابایته که به نظر می‌رسه شامل مخازن سورس‌کد گیک و MESA همراه با تاریخچه کامل کامیت‌هاست. تا به امروز، هیچکدوم از گزارش‌ها به صورت عمیق این سورس‌کدها رو بررسی نکردن، پس هنوز چیزهای زیادی برای مطالعه و یادگیری وجود داره. این فایل‌ها به صورت بسته‌های گیت (Git bundles) هستن و می‌شه اونها رو مثل یک مخزن معمولی کلون کرد. نگاهی به لیست فایل‌های داخل این آرشیو، گستردگی پروژه‌ها رو نشون می‌ده. اسم‌هایی مثل vpn_access، quic-block، maat، tsg-deploy و obfs4_meek_snowflake فقط بخش کوچکی از این گنجینه اطلاعاتی هستن. تحلیل این کدها می‌تونه جزئیات فنی دقیق‌تری از نحوه کار این سیستم‌ها رو آشکار کنه.

این افشاگری تصویری از یک شرکت ارائه می‌ده که نه تنها در داخل مرزهای خودش به توسعه ابزارهای کنترل اینترنت مشغوله، بلکه این تکنولوژی رو به عنوان یک محصول صادراتی به کشورهای دیگه هم عرضه می‌کنه. اسناد نشون می‌ده که این شرکت چطور با همکاری نزدیک با یک آزمایشگاه تحقیقاتی، جدیدترین روش‌ها رو برای نظارت، سانسور و حتی حمله در فضای سایبری توسعه می‌ده و در اختیار مشتریان دولتی خودش قرار می‌ده.

منابع

[2] Index of /geedge/
[4] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
[6] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
[8] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs

[1] Two Major Leaks Illuminate Censorship and Surveillance Sales Into and From China
[3] Leak Shows How a Chinese Company Is Exporting the Great Firewall to the World | Hacker News
[5] Geedge & MESA Leak: Analyzing the Great Firewall’s Largest Document Leak
[7] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
[9] Geedge Networks – Enlace Hacktivista

شهریور 22, 1404

Oblivious DNS over HTTPS (ODoH)؛ حریم خصوصی بیشتر در DNS

وقتی شما می‌خواید یه سایتی مثل cloudflare.com رو باز کنید، کامپیوتر شما که آدرس عددی یا همون IP اون سایت رو بلد نیست. پس یه سوال از یه سرور مخصوص به اسم DNS Resolver می‌پرسه. این سوال اینه: «هی، آدرس cloudflare.com چنده؟». اون سرور هم جواب میده و کامپیوتر شما با اون آدرس به سایت وصل میشه.

حالا مشکل کجاست؟ در حالت عادی و قدیمی، این سوال و جواب‌ها بدون هیچ رمزنگاری و به صورت متن ساده فرستاده میشن. یعنی هر کسی وسط راه شما و اون سرور DNS باشه (مثلا شرکت اینترنتی شما یا همون ISP) می‌تونه ببینه شما دارید آدرس چه سایتی رو می‌پرسید. این یعنی هم می‌فهمن شما کی هستی (چون IP شما رو دارن) و هم می‌فهمن دنبال چه سایتی می‌گردی. این قضیه یه حفره بزرگ حریم خصوصی به حساب میاد.

برای حل این مشکل، پروتکل‌هایی مثل DNS over HTTPS (DoH) و DNS over TLS (DoT) به وجود اومدن. کار اینا اینه که همون سوال و جواب‌ها رو رمزنگاری می‌کنن. اینجوری دیگه کسی وسط راه نمی‌تونه بفهمه شما چی می‌پرسید. خیلی هم عالیه و الان مرورگرهایی مثل فایرفاکس و سیستم‌عامل iOS ازش پشتیبانی می‌کنن.

اما هنوز یه مسئله‌ای هست. با اینکه سوال شما رمزنگاری شده، ولی بالاخره به دست اون سرور DNS Resolver (مثلا سرور 1.1.1.1 کلاودفلر) می‌رسه. اون سرور برای اینکه بهتون جواب بده، باید سوال شما رو باز کنه. پس اون سرور هم IP شما رو می‌بینه و هم سوال شما رو. یعنی یه نهاد واحد (همون شرکت صاحب DNS Resolver) هنوز می‌تونه بفهمه که یک IP مشخص، دنبال چه سایت‌هایی بوده. درسته که شرکت‌هایی مثل کلاودفلر سیاست‌های حفظ حریم خصوصی سفت و سختی دارن و میگن این اطلاعات رو نگه نمی‌دارن، ولی بعضی‌ها ترجیح میدن به جای اعتماد به سیاست‌نامه‌ها، یه راهکار فنی داشته باشن که این امکان رو از پایه بگیره.

ورود ODoH: راهکاری برای جدا کردن سوال از هویت

اینجاست که Oblivious DNS over HTTPS (ODoH) وارد میدون میشه. ODoH یه استاندارد جدیده که مهندس‌هایی از شرکت‌های کلاودفلر، اپل و فستلی (Cloudflare, Apple, and Fastly) روی اون کار کردن. ایده اصلیش خیلی ساده‌ست: جدا کردن آدرس IP شما از سوالی که می‌پرسید، طوری که هیچ نهاد واحدی نتونه هر دو رو با هم ببینه.

این پروتکل از اواخر سال ۲۰۲۰ توسط سرویس 1.1.1.1 کلاودفلر پشتیبانی میشه. حتی سرویس iCloud Private Relay اپل هم بر پایه ODoH کار می‌کنه و کلاودفلر یکی از شرکای اون‌هاست.

ODoH چطوری کار می‌کنه؟

برای اینکه ODoH کار کنه، دو تا بازیگر جدید بین شما (کلاینت) و اون سرور اصلی DNS (که بهش میگیم Resolver) اضافه میشن: یه پراکسی (Proxy) و یه هدف (Target).

بذارید نقش هر کدوم رو توضیح بدم:

کلاینت (Client): این همون دستگاه شماست (کامپیوتر، موبایل). قبل از اینکه سوال DNS رو بفرسته، اون رو با استفاده از کلید عمومیِ «هدف» رمزنگاری می‌کنه.
پراکسی (Proxy): کلاینت شما اون بسته رمزنگاری شده رو مستقیم برای سرور DNS نمی‌فرسته. اول می‌فرستدش برای پراکسی. پراکسی مثل یه واسطه عمل می‌کنه. بسته رو از شما می‌گیره و برای «هدف» می‌فرسته. نکته مهم اینه که پراکسی هیچ دیدی به محتوای بسته شما نداره، چون رمزنگاری شده. پس نمی‌تونه سوال شما رو بخونه یا تغییرش بده. پراکسی فقط IP شما رو می‌بینه.
هدف (Target): این همون سروریه که قراره به سوال شما جواب بده. بسته رمزنگاری شده رو از پراکسی تحویل می‌گیره. چون کلید خصوصی رو داره، می‌تونه بسته رو باز کنه و سوال شما رو بخونه. اما نکته مهم اینه که «هدف» دیگه IP اصلی شما رو نمی‌بینه! فقط IP پراکسی رو می‌بینه. بعد از اینکه جواب رو پیدا کرد، جواب رو هم رمزنگاری می‌کنه و پس می‌فرسته برای پراکسی.
بازگشت جواب: پراکسی جواب رمزنگاری شده رو می‌گیره و برای شما می‌فرسته. شما هم با کلیدی که دارید، جواب رو باز می‌کنید.

پس نتیجه چی میشه؟

پراکسی می‌دونه شما (IP شما) یه درخواستی داشتید، ولی نمی‌دونه درخواستتون چی بوده.
هدف می‌دونه یه درخواستی برای یه سایت مشخص اومده، ولی نمی‌دونه این درخواست از طرف کی بوده (فقط IP پراکسی رو می‌بینه).

تا زمانی که پراکسی و هدف با هم تبانی نکنن و اطلاعاتشون رو به هم ندن، هیچ‌کس به تنهایی نمی‌تونه هم به هویت شما (IP) و هم به سوال DNS شما دسترسی داشته باشه. این یعنی حریم خصوصی شما با یه تضمین فنی حفظ میشه.

نکته جالب اینه که کلاینت‌ها کنترل کامل روی انتخاب پراکسی و هدف دارن. یعنی شما می‌تونید هر پراکسی و هدفی که دوست دارید رو انتخاب کنید و هر وقت خواستید تغییرشون بدید.

رمزنگاری اضافه و کلیدها از کجا میان؟

شاید بپرسید مگه DoH خودش رمزنگاری HTTPS/TLS نداشت؟ پس این رمزنگاری اضافه برای چیه؟ سوال خوبیه. ببینید، ما اینجا دو تا اتصال TLS جدا داریم: یکی بین شما و پراکسی، و یکی بین پراکسی و هدف. اگه فقط به همون TLS اکتفا می‌کردیم، پراکسی وقتی بسته رو از شما می‌گرفت و می‌خواست برای هدف بفرسته، محتوای DNS شما براش مشخص میشد.

برای همین ODoH یه لایه رمزنگاری اضافه از نوع کلید عمومی هیبریدی (Hybrid Public Key Encryption – HPKE) روی خود پیام DNS می‌کشه. این رمزنگاری سرتاسری بین شما و «هدف» انجام میشه و پراکسی رو کاملا دور می‌زنه.

حالا سوال بعدی: شما کلید عمومیِ «هدف» رو از کجا پیدا می‌کنید؟ این کلید از طریق خود DNS به دست میاد. در یک رکورد خاص به اسم HTTPS resource record قرار می‌گیره و با استفاده از DNSSEC هم امنیتش تضمین میشه که کسی نتونه یه کلید جعلی به شما بده.

شرکای ODoH چه کسانی هستن؟

کلاودفلر برای راه‌اندازی این سرویس با چند تا شرکت پیشرو که به حریم خصوصی اهمیت میدن همکاری کرده. چون یکی از اجزای اصلی ODoH، پراکسیه، این شرکت‌ها به عنوان شرکای پراکسی فعالیت می‌کنن. بعضی از این شرکا عبارتند از: PCCW، SURF و Equinix.

بیانیه‌هایی هم از طرف این شرکت‌ها منتشر شده:

مایکل گلین از PCCW Global گفته: «ODoH یه مفهوم انقلابی جدیده که برای قرار دادن حریم خصوصی کاربر در مرکز همه چیز طراحی شده… این مدل برای اولین بار پراکسی کلاینت رو به طور کامل از رزولورها جدا می‌کنه».

جوست ون دایک از SURF گفته: «ما با کلاودفلر برای پیاده‌سازی حریم خصوصی بهتر کاربر از طریق ODoH همکاری می‌کنیم. حرکت به سمت ODoH یک تغییر پارادایم واقعیه، جایی که حریم خصوصی یا آدرس IP کاربر در معرض دید هیچ ارائه‌دهنده‌ای قرار نمی‌گیره و منجر به حریم خصوصی واقعی میشه».

آیا ODoH سرعت اینترنت رو کم می‌کنه؟

خب هر وقت یه لایه رمزنگاری و یه واسطه (پراکسی) به یه فرآیندی اضافه میشه، اولین نگرانی بحث سرعته. کلاودفلر و همکارانش اندازه‌گیری‌های زیادی روی این موضوع انجام دادن.

هزینه رمزنگاری اضافه: بررسی‌ها نشون داده که خود فرآیند رمزنگاری و رمزگشایی اضافه با HPKE خیلی ناچیزه. برای ۱۰ هزار دامنه مختلف این تست انجام شده و هزینه اضافه در صدک ۹۹ کمتر از ۱ میلی‌ثانیه بوده.
تاثیر کلی روی سرعت: برای اینکه تاثیر کلی رو بسنجن، اومدن زمان پاسخ به کوئری‌های DNS رو در سه حالت مقایسه کردن:

DoH معمولی و مستقیم
ODoH (با پراکسی)
DoH روی شبکه Tor (به عنوان یه راهکار دیگه برای حفظ حریم خصوصی)

نتایج روی یه نمودار توزیع تجمعی نشون داده شد. اگه بخوایم ساده بگیم، نتایج این بود:

نوع اتصال	زمان پاسخ در ۵۰٪ مواقع (میانه)
DoH معمولی	کمتر از ۱۴۶ میلی‌ثانیه
ODoH	کمتر از ۲۲۸ میلی‌ثانیه
DoH روی Tor	خیلی بیشتر (در نمودار مشخصه که کندتره)

این اعداد میگن که در نصف مواقع، استفاده از ODoH باعث یه تاخیر کمتر از ۱۰۰ میلی‌ثانیه نسبت به DoH معمولی میشه. در مقایسه با راهکارهای حفظ حریم خصوصی دیگه مثل Tor، سرعت ODoH خیلی بهتره و زمان پاسخ رو تقریبا نصف می‌کنه. این خیلی نکته مهمیه، چون معمولا بین حریم خصوصی و سرعت یه بده‌بستان وجود داره، ولی اینجا بهبود قابل توجهی دیده میشه.

یه نکته جالب دیگه توی این اندازه‌گیری‌ها این بود که انتخاب پراکسی و هدف با کمترین تاخیر (latency)، همیشه بهترین نتیجه رو نمیده. حتی در مواردی انتخاب پراکسی با کمترین تاخیر، عملکرد رو بدتر کرده! البته این اندازه‌گیری‌ها بیشتر در آمریکای شمالی انجام شده و باید دید در سطح جهانی عملکرد چطور خواهد بود.

نظرات و بحث‌های مختلف در مورد ODoH

مثل هر تکنولوژی جدید دیگه‌ای، در مورد ODoH هم بحث‌ها و نظرات متفاوتی وجود داره. بعضی از کاربرها و متخصص‌ها توی فروم‌ها و شبکه‌های اجتماعی مثل ردیت (Reddit) دیدگاه‌های جالبی مطرح کردن:

نگرانی در مورد اعتماد: یه عده میگن که قبلا باید به ISP خودمون اعتماد می‌کردیم، بعد با DoH باید به یه شرکت سوم مثل کلاودفلر یا گوگل اعتماد می‌کردیم، و حالا با ODoH باید هم به کلاودفلر (به عنوان هدف) و هم به یه شرکت پراکسی مثل PCCW یا Equinix اعتماد کنیم که با هم تبانی نمی‌کنن. سوال اصلی اینه که «چه کسی از نگهبانان، نگهبانی می‌کنه؟» و چطور می‌تونیم مطمئن باشیم این شرکت‌ها با هم همکاری نمی‌کنن. یه کاربری گفته: «فکر کنم بیشتر به Quad9 اعتماد دارم تا به کلاودفلر به اضافه یه پراکسی از شرکتی که اسمش رو هم نشنیدم».
مشاهده ترافیک توسط ISP: یه دیدگاه خیلی مهم دیگه اینه که حتی اگه شما از ODoH استفاده کنید و سوال DNS شما مخفی بمونه، ISP شما هنوز می‌تونه ببینه که شما به چه آدرس IP وصل میشید. یعنی بعد از اینکه آدرس سایت رو به صورت مخفیانه گرفتید، برای وصل شدن به اون سایت، باید یه درخواست به IP اون بفرستید. این درخواست دیگه مخفی نیست و ISP شما می‌تونه با دیدن IP مقصد بفهمه شما دارید به کدوم سایت سر می‌زنید. پس ODoH جلوی جمع‌آوری اطلاعات توسط وب‌سایت مقصد یا ISP رو به طور کامل نمی‌گیره.
راهکار جایگزین: بعضی‌ها معتقدن یه راهکار خصوصی‌تر اینه که کلا شرکت‌های سوم رو حذف کنیم و خودمون یه Recursive Resolver راه‌اندازی کنیم (مثلا با استفاده از نرم‌افزارهایی مثل Unbound یا BIND). اینطوری دیگه اطلاعات DNS ما دست هیچ شرکتی نمیفته.
آیا می‌تونم پراکسی خودم رو داشته باشم؟ یه سوال جالب این بود که «آیا می‌تونم پراکسی ODoH خودم رو راه‌اندازی کنم؟». جواب این بود که از نظر فنی بله، ولی اگه فقط شما از اون پراکسی استفاده کنید، هدف اصلی که مخفی شدن بین کلی کاربر دیگه هست از بین میره و باز هم قابل ردیابی میشید.
ODoH به عنوان یک استاندارد نوظهور: بعضی کاربرها هم از دیدن گزینه ODoH در تنظیمات روترهای جدید مثل Flint 2 خوشحال و متعجب شدن، چون ODoH هنوز یه استاندارد خیلی جدیده و هنوز به صورت گسترده پیاده‌سازی نشده.

چطور می‌تونیم ODoH رو امتحان کنیم؟

کلاودفلر کدهای مربوط به ODoH رو به صورت متن‌باز (Open Source) منتشر کرده. هم پیاده‌سازی سمت سرور و هم سمت کلاینت در زبان‌های برنامه‌نویسی راست (Rust) و گو (Go) موجوده. این یعنی هر کسی می‌تونه خودش یه سرویس ODoH راه‌اندازی کنه یا با کلاینت‌های موجود اون رو تست کنه.

سرور 1.1.1.1 کلاودفلر هم آماده دریافت کوئری‌های ODoH روی آدرس odoh.cloudflare-dns.com هست.

حتی می‌تونید با یه دستور ساده مثل dig مشخصات و کلید عمومی سرویس ODoH کلاودفلر رو ببینید:

dig -t type65 +dnssec @ns1.cloudflare.com odoh.cloudflare-dns.com

علاوه بر این، ابزارهایی مثل dnscrypt-proxy هم از ODoH پشتیبانی می‌کنن و میشه از اون‌ها برای ارسال کوئری‌های ODoH استفاده کرد.

جزئیات فنی بیشتر برای کنجکاوها (بر اساس RFC 9230 و مستندات فنی)

اگه دوست دارید یه کم عمیق‌تر بشیم، بیاید به جزئیات فنی پروتکل نگاهی بندازیم. این بخش بر اساس سند رسمی RFC 9230 که ODoH رو تعریف می‌کنه و مستندات فنی دیگه هست.

ساختار پروتکل

سه بازیگر اصلی: همونطور که گفتیم، سه طرف داریم:
- Oblivious Client: کلاینتی که کوئری‌ها رو به هدف می‌فرسته، اما از طریق یه پراکسی.
- Oblivious Proxy: یه سرور HTTP که کوئری‌ها و جواب‌های رمزنگاری شده رو بین کلاینت و هدف رد و بدل می‌کنه.
- Oblivious Target: یه سرور HTTP که کوئری‌های رمزنگاری شده رو از پراکسی می‌گیره، اون‌ها رو باز می‌کنه و جواب‌های رمزنگاری شده رو برمی‌گردونه.
تبادل HTTP:
- درخواست (Request): کلاینت یه درخواست HTTP POST به آدرس پراکسی می‌فرسته. هدر Content-Type این درخواست باید application/oblivious-dns-message باشه. آدرس هدف هم توی URL درخواست به صورت متغیرهایی به اسم targethost و targetpath قرار می‌گیره.
- پاسخ (Response): هدف هم جواب رو با همین Content-Type برای پراکسی می‌فرسته و پراکسی هم بدون تغییر اون رو به کلاینت تحویل میده.
قالب پیام‌ها:
- پیام‌های ODoH (هم سوال و هم جواب) یه ساختار مشخص دارن. یه بخش اصلی به اسم dns_message دارن که خود پیام DNS توشه و یه بخش padding که برای سخت‌تر کردن تحلیل ترافیک استفاده میشه.
- این پیام بعد از رمزنگاری داخل یه ساختار دیگه قرار می‌گیره که شامل message_type (نوع پیام: سوال یا جواب)، key_id (شناسه کلید استفاده شده) و خود encrypted_message (پیام رمزنگاری شده) هست.

پیکربندی و مدیریت کلیدها در سیستم‌های پیشرفته (مثل BIG-IP)

شرکت‌هایی مثل F5 که تجهیزات شبکه تولید می‌کنن، امکان پیکربندی ODoH رو روی دستگاه‌هاشون فراهم کردن. مراحل کلی این پیکربندی به این صورته:

ساخت پروفایل HPKE: اول باید یه پروفایل برای رمزنگاری HPKE بسازید و الگوریتم‌های رمزنگاری (KEM, KDF, AEAD) رو مشخص کنید.
ساخت کلید HPKE: بعد یه کلید بر اساس اون پروفایل ساخته میشه. این کلیدها می‌تونن به صورت خودکار در بازه‌های زمانی مشخص (مثلا هر ۳۰ روز) عوض بشن (Rollover).
تعریف هدف ODoH: یه سرور مجازی به عنوان «هدف» تعریف میشه که به درخواست‌های ODoH گوش میده.
پیکربندی Listener و Wide IP: در نهایت Listener ها و رکوردهای DNS مربوطه (مثل SVCB/HTTPS) تنظیم میشن تا کلاینت‌ها بتونن کلید عمومی هدف رو پیدا کنن و درخواست‌هاشون رو بفرستن.

این سیستم‌ها حتی پیام‌های خطا و لاگ‌های مشخصی برای ODoH دارن. مثلا اگه کلیدها با هم نخونن، خطای HTTP 401 برگردونده میشه یا اگه پیام قابل رمزگشایی نباشه، خطای 400 اتفاق میفته.

پرسش و پاسخ

حالا بریم سراغ چند تا سوال که ممکنه براتون پیش اومده باشه.

سوال ۱: پس ODoH همون DoH هست که فقط یه واسطه (پراکسی) بهش اضافه شده؟

نه دقیقا. علاوه بر اضافه شدن پراکسی، یه لایه رمزنگاری اضافه هم روی خود پیام DNS کشیده میشه (با استفاده از HPKE). این رمزنگاری اضافه خیلی مهمه، چون باعث میشه خود پراکسی هم نتونه محتوای درخواست شما رو ببینه. اگه این لایه اضافه نبود، پراکسی می‌تونست هم IP شما رو ببینه و هم درخواست شما رو، و کل هدف پروتکل از بین می‌رفت.

سوال ۲: اگه ISP من هنوز می‌تونه ببینه به چه IP وصل میشم، پس فایده ODoH چیه؟

این نکته خیلی مهمیه. ODoH از این جلوگیری می‌کنه که یک نهاد واحد (مثل یه شرکت ارائه دهنده DNS) بتونه یه پروفایل کامل از تاریخچه وب‌گردی شما بر اساس درخواست‌های DNS بسازه. درسته که ISP شما هنوز می‌بینه به چه IP هایی وصل میشید، ولی دیگه نمی‌تونه به راحتی و با نگاه کردن به لاگ‌های DNS، لیست تمام سایت‌هایی که شما حتی فقط اسمشون رو چک کردید (ولی شاید بهشون سر نزدید) رو در بیاره. ODoH یه لایه مهم به حریم خصوصی اضافه می‌کنه، ولی یه راهکار کامل برای ناشناس بودن در اینترنت نیست.

سوال ۳: آیا ODoH کند نیست؟

طبق اندازه‌گیری‌های اولیه، ODoH یه مقدار کمی تاخیر نسبت به DoH معمولی داره (حدود ۸۰ تا ۱۰۰ میلی‌ثانیه در نصف مواقع). ولی در مقایسه با راهکارهای حفظ حریم خصوصی دیگه مثل استفاده از شبکه Tor برای ارسال کوئری‌های DNS، خیلی سریع‌تره. پس یه بده‌بستان منطقی بین افزایش حریم خصوصی و یه مقدار کاهش سرعت وجود داره.

سوال ۴: من باید به کی اعتماد کنم؟ به ISP خودم یا به کلاودفلر و یه شرکت پراکسی که نمی‌شناسم؟

این دقیقا سوال اصلیه. ایده ODoH اینه که شما مجبور نباشید به یک نفر به طور کامل اعتماد کنید. شما دارید اعتمادتون رو بین دو نهاد مجزا (پراکسی و هدف) تقسیم می‌کنید. فرض پروتکل اینه که این دو با هم همکاری و تبانی نمی‌کنن. انتخاب اینکه این مدل برای شما بهتره یا اعتماد به یک نهاد مثل ISP یا حتی راه‌اندازی سرور شخصی، یه تصمیم شخصیه و به سطح نگرانی شما از حریم خصوصی بستگی داره.

سوال ۵: آیا من می‌تونم همین الان از ODoH استفاده کنم؟

بله. شما می‌تونید از نرم‌افزارهایی مثل dnscrypt-proxy استفاده کنید که از ODoH پشتیبانی می‌کنن. همچنین اگه از سرویس iCloud Private Relay اپل استفاده می‌کنید، شما در حال حاضر دارید از یه تکنولوژی مبتنی بر ODoH بهره می‌برید. با گذشت زمان، انتظار میره پشتیبانی از این پروتکل در سیستم‌عامل‌ها و مرورگرهای بیشتری به صورت پیش‌فرض فعال بشه.

منابع

[2] Oblivious DNS over HTTPS · Cloudflare 1.1.1.1 docs
[4] RFC 9230 – Oblivious DNS over HTTPS
[6] Oblivious DNS: Plugging the Internet’s Biggest Privacy Hole – CITP Blog
[8] Oblivious DoH : Enhanced DNS Privacy
[10] Oblivious HTTP (OHTTP) explained | Mozilla Support

[1] Improving DNS Privacy with Oblivious DoH in 1.1.1.1
[3] Configuring Oblivious DNS Over HTTP (ODoH) protocol
[5] Cloudflare and Apple design a new privacy-friendly DNS protocol – Oblivious DNS-over-HTTPS (ODoH) : r/pihole
[7] Oblivious DNS | Proceedings of the 2019 Applied Networking Research Workshop
[9] Oblivious DNS (ODoH) – does it work? – Routers / VPN, DNS, Leaks – GL.iNet

مرداد 30, 1404

امنیت ابری یا کلاد، از مفاهیم تا کاربردها

وقتی میگیم امنیت ابری، منظورمون یه مجموعه بزرگ از استراتژی‌ها، تکنولوژی‌ها و سیاست‌هاست که برای محافظت از داده‌ها، برنامه‌ها و زیرساخت‌هایی که روی ابر (Cloud) میزبانی میشن، طراحی شده. امروز خیلی از سازمان‌ها برای ذخیره و مدیریت اطلاعات مهم کاریشون به رایانش ابری وابسته شدن و به همین دلیل، تامین امنیت این محیط‌ها یکی از اولویت‌های اصلیشون شده. امنیت ابری شامل ابزارها، سیاست‌ها و کنترل‌های مختلفیه که از سیستم‌های مبتنی بر ابر در برابر دسترسی‌های غیرمجاز، نشت اطلاعات و تهدیدهای سایبری جدید محافظت میکنه.

قبل از هر چیزی، بیاید خود «رایانش ابری» رو تعریف کنیم. رایانش ابری که معمولا بهش میگن «ابر»، یعنی ارائه خدمات کامپیوتری مثل سرور، فضای ذخیره‌سازی، پایگاه داده و نرم‌افزار از طریق اینترنت و بر اساس نیاز کاربر. این مدل به کسب‌وکارها اجازه میده که خیلی سریع رشد کنن، هزینه‌های فناوری اطلاعاتشون رو کم کنن و انعطاف‌پذیری بیشتری داشته باشن. اما خب، استفاده بیشتر از خدمات ابری، چالش‌های امنیتی جدیدی هم با خودش میاره؛ مثلا مدیریت دسترسی‌ها یا حفظ حریم خصوصی داده‌ها توی محیط‌های پیچیده چندابری یا ترکیبی.

اهداف اصلی امنیت ابری اینها هستن:

محافظت از حریم خصوصی داده‌ها: یعنی مطمئن بشیم که اطلاعات حساس، هم موقعی که دارن منتقل میشن و هم وقتی که ذخیره شدن، امن باقی میمونن.
مدیریت امنیت چندابری: رسیدگی به چالش‌های امنیتی خاصی که موقع استفاده از چند تا ارائه‌دهنده خدمات ابری (CSP) مختلف به وجود میاد.
کنترل دسترسی: محدود کردن دسترسی به محیط‌های ابری و اطمینان از اینکه فقط کاربرها، دستگاه‌ها و برنامه‌های مجاز میتونن با ابر تعامل داشته باشن.

سازمان‌ها با پیاده‌سازی اقدامات امنیتی قوی، میتونن با خیال راحت از مزایای رایانش ابری استفاده کنن و در عین حال، ریسک‌ها رو به حداقل برسونن و با استانداردها و مقررات صنعتی هم هماهنگ باشن.

مدل‌های مختلف پیاده‌سازی ابر و امنیتشون

رایانش ابری رو میشه به چند روش مختلف پیاده‌سازی کرد که هر کدوم نگرانی‌ها و بهترین روش‌های امنیتی خودشون رو دارن. شناختن این مدل‌های پیاده‌سازی، یعنی ابر عمومی، خصوصی، ترکیبی و چندابری، برای ساختن یه استراتژی امنیتی قوی خیلی مهمه.

ابر عمومی (Public Cloud)

ابر عمومی توسط ارائه‌دهنده‌های خدمات ابری شخص ثالث مثل Amazon Web Services (AWS)، Microsoft Azure و Google Cloud مدیریت و اداره میشه. توی این مدل، خدمات و منابع بین چندین سازمان از طریق اینترنت به اشتراک گذاشته میشن. محیط‌های ابر عمومی به خاطر مقیاس‌پذیری و به‌صرفه بودنشون خیلی محبوبن، اما چالش‌های امنیتی خاص خودشون رو هم دارن.

نگرانی‌های امنیتی: ماهیت اشتراکی ابر عمومی میتونه ریسک‌ها رو بیشتر کنه، مثلا خطر نشت داده یا تنظیمات امنیتی اشتباه. از اونجایی که ارائه‌دهنده ابر بخش زیادی از زیرساخت رو مدیریت میکنه، سازمان‌ها باید روی امن کردن داده‌ها و برنامه‌های خودشون توی این محیط تمرکز کنن.
بهترین روش‌ها: استفاده از رمزنگاری، مدیریت هویت و دسترسی (IAM) و احراز هویت چندعاملی (MFA) برای محافظت از داده‌های حساس و اطمینان از اینکه فقط کاربرهای مجاز دسترسی دارن.

ابر خصوصی (Private Cloud)

ابر خصوصی فقط به یه سازمان اختصاص داده شده و کنترل بیشتری روی داده‌ها، امنیت و انطباق با مقررات فراهم میکنه. این مدل میتونه به صورت محلی (On-premises) یا توسط یه ارائه‌دهنده شخص ثالث میزبانی بشه، ولی همیشه از بقیه کاربرها جداست. این مدل برای سازمان‌هایی که الزامات قانونی سختگیرانه‌ای دارن، مثل بخش‌های بهداشت و درمان یا مالی، ایده‌آله.

نگرانی‌های امنیتی: با اینکه ابرهای خصوصی امنیت و کنترل بیشتری دارن، ولی هزینه‌هاشون بالاتره و برای محافظت در برابر تهدیدهای داخلی، به مدیریت عمیق‌تری نیاز دارن.
بهترین روش‌ها: پیاده‌سازی کنترل‌های دسترسی قوی، ممیزی‌های امنیتی منظم و استفاده از تکنولوژی‌های جلوگیری از نشت داده (DLP) برای اطمینان از یکپارچگی داده‌ها و انطباق با استانداردهایی مثل HIPAA یا PCI DSS.

ابر ترکیبی (Hybrid Cloud)

ابر ترکیبی مزایای محیط‌های ابر عمومی و خصوصی رو با هم ترکیب میکنه و به سازمان‌ها اجازه میده که ضمن حفظ امنیت برای بارهای کاری حساس، عملیات خودشون رو مقیاس‌پذیر کنن. مثلا یه سازمان ممکنه برنامه‌هایی که با مشتری در ارتباطه رو روی ابر عمومی اجرا کنه، ولی داده‌های مالی رو توی یه ابر خصوصی نگه داره.

نگرانی‌های امنیتی: پیچیدگی مدیریت امنیت در هر دو محیط عمومی و خصوصی، ریسک آسیب‌پذیری‌ها رو بیشتر میکنه. انتقال داده بین این دو محیط هم باید امن باشه.
بهترین روش‌ها: استفاده از رمزنگاری قوی برای داده‌هایی که بین ابرها جابجا میشن، یکپارچه‌سازی نظارت امنیتی در هر دو محیط و اعمال سیاست‌های مدیریت دسترسی یکسان در تمام پلتفرم‌ها.

چندابری (Multi-cloud)

استراتژی چندابری یعنی استفاده از چندین سرویس ابر عمومی از ارائه‌دهنده‌های مختلف. این رویکرد به سازمان‌ها انعطاف‌پذیری میده و ریسک وابستگی به یک فروشنده خاص رو کم میکنه. اما مدیریت امنیت در پلتفرم‌های مختلف، چالش‌های بیشتری ایجاد میکنه.

نگرانی‌های امنیتی: مدیریت یکسان سیاست‌های امنیتی در چندین پلتفرم ابری میتونه باعث ایجاد شکاف‌هایی بشه که مهاجم‌ها از اونها سوءاستفاده کنن.
بهترین روش‌ها: پیاده‌سازی یه پلتفرم مدیریت امنیت یکپارچه که با تمام ارائه‌دهنده‌های ابری کار کنه و به طور مداوم تهدیدها رو رصد کنه. ابزارهایی مثل کارگزاران امنیت دسترسی به ابر (CASB) و مدیریت استحقاق زیرساخت ابری (CIEM) هم برای حفظ سیاست‌های یکسان و دیده‌بانی مفید هستن.

چرا امنیت ابری مهمه؟

بچه‌ها، قبلا یعنی مثلا توی دهه ۱۹۹۰، داده‌های کاری و شخصی ما به صورت محلی ذخیره میشدن و امنیت هم محلی بود. یعنی اطلاعات یا روی حافظه داخلی کامپیوتر شخصی شما بود یا اگه برای شرکتی کار میکردید، روی سرورهای همون شرکت. ولی با اومدن تکنولوژی ابر، همه مجبور شدیم نگاهمون به امنیت سایبری رو عوض کنیم.

امروز داده‌ها و برنامه‌های شما ممکنه بین سیستم‌های محلی و راه دور در رفت و آمد باشن و همیشه هم از طریق اینترنت در دسترس هستن. وقتی شما دارید از Google Docs روی گوشیتون استفاده میکنید یا با نرم‌افزار Salesforce مشتری‌هاتون رو مدیریت میکنید، اون اطلاعات میتونه هر جایی ذخیره شده باشه. برای همین، محافظت از اونها خیلی سخت‌تر از زمانیه که فقط باید جلوی ورود کاربرهای ناخواسته به شبکه داخلی رو میگرفتیم. امنیت ابری نیاز به تغییر بعضی از روش‌های قدیمی IT داره و به دو دلیل اصلی خیلی ضروری شده:

راحتی به جای امنیت: رایانش ابری به سرعت داره به روش اصلی هم برای محیط‌های کاری و هم برای استفاده شخصی تبدیل میشه. نوآوری‌ها باعث شدن تکنولوژی‌های جدید سریع‌تر از استانداردهای امنیتی صنعت پیاده‌سازی بشن و این مسئولیت بیشتری رو روی دوش کاربرها و ارائه‌دهنده‌ها میذاره که به ریسک‌های این دسترسی راحت فکر کنن.
متمرکز بودن و ذخیره‌سازی اشتراکی: الان همه چیز، از زیرساخت‌های اصلی گرفته تا داده‌های کوچیکی مثل ایمیل و اسناد، میتونه از راه دور و روی اتصالات ۲۴ ساعته مبتنی بر وب، پیدا و استفاده بشه. جمع شدن این همه داده روی سرورهای چند تا ارائه‌دهنده بزرگ، میتونه خیلی خطرناک باشه. الان دیگه مهاجم‌ها میتونن مراکز داده بزرگ و چند سازمانی رو هدف قرار بدن و باعث نشت‌های اطلاعاتی عظیمی بشن.

مدل مسئولیت مشترک: کی مسئول چی هست؟

توی امنیت ابری، یه مفهومی وجود داره به اسم «مدل مسئولیت مشترک» که مشخص میکنه مسئولیت‌های امنیتی چطوری بین ارائه‌دهنده خدمات ابری (CSP) و مشتری تقسیم میشه. این مدل خیلی مهمه، چون هر دو طرف نقش مهمی توی امن نگه داشتن داده‌ها و سیستم‌ها دارن.

این مدل چطوری کار میکنه؟

ارائه‌دهنده ابر مسئول امن کردن خود زیرساخت ابره؛ یعنی سخت‌افزار، نرم‌افزار و شبکه‌ای که خدمات ابری روی اون اجرا میشن. این شامل محافظت از مراکز داده فیزیکی و زیرساخت اصلی ابر در برابر حملات سایبری، تضمین پایداری سرویس و حفظ امنیت پلتفرمه.

از طرف دیگه، مشتری مسئول امن کردن داده‌ها، برنامه‌ها و هر نوع تنظیماتیه که داخل ابر انجام میده. این کارها شامل مدیریت هویت و کنترل‌های دسترسی، تنظیم درست گزینه‌های امنیتی و اطمینان از انطباق با استانداردهای صنعتی میشه.

مثلا، در حالی که ارائه‌دهنده ابر مطمئن میشه که سیستم‌های زیربنایی امن هستن، این وظیفه مشتریه که مطمئن بشه داده‌های حساس رمزنگاری شدن، مجوزهای دسترسی درست تنظیم شدن و آسیب‌پذیری‌های برنامه‌ها برطرف شدن.

مدل‌های مسئولیت مشترک بسته به ارائه‌دهنده خدمات و مدل سرویس رایانش ابری که استفاده میکنید، متفاوته. هر چی ارائه‌دهنده خدمات بیشتری رو مدیریت کنه، بیشتر هم میتونه از اونها محافظت کنه. بیاید این رو توی یه جدول ببینیم:

مدل سرویس رایانش ابری	مسئولیت شما	مسئولیت ارائه‌دهنده خدمات ابری (CSP)
زیرساخت به عنوان سرویس (IaaS)	شما مسئول امن کردن داده‌ها، برنامه‌ها، کنترل‌های شبکه مجازی، سیستم‌عامل و دسترسی کاربر هستید.	ارائه‌دهنده ابر مسئول امن کردن محاسبات، ذخیره‌سازی و شبکه فیزیکی، شامل همه وصله‌ها و تنظیمات است.
پلتفرم به عنوان سرویس (PaaS)	شما مسئول امن کردن داده‌ها، دسترسی کاربر و برنامه‌های خودتون هستید.	ارائه‌دهنده ابر مسئول امن کردن محاسبات، ذخیره‌سازی، شبکه فیزیکی، کنترل‌های شبکه مجازی و سیستم‌عامل است.
نرم‌افزار به عنوان سرویس (SaaS)	شما مسئول امن کردن داده‌ها و دسترسی کاربرهای خودتون هستید.	ارائه‌دهنده ابر مسئول امن کردن محاسبات، ذخیره‌سازی، شبکه فیزیکی، کنترل‌های شبکه مجازی، سیستم‌عامل، برنامه‌ها و میان‌افزارها است.

با درک و پیاده‌سازی این مدل، سازمان‌ها میتونن بهتر از داده‌هاشون محافظت کنن و محیط ابری امن‌تری داشته باشن.

چالش‌ها و ریسک‌های امنیت ابری

با اینکه امنیت ابری مزایای زیادی داره، ولی چالش‌های خاص خودش رو هم داره. خیلی از این ریسک‌ها شبیه همون‌هایی هستن که توی محیط‌های سنتی باهاشون روبرو میشیم، مثل تهدیدهای داخلی، نشت و از دست رفتن داده، فیشینگ، بدافزار، حملات DDoS و API های آسیب‌پذیر. اما چند تا چالش مشخصا مربوط به خود ابر هستن:

نبود دید کافی: منابع مبتنی بر ابر روی زیرساختی اجرا میشن که خارج از شبکه شرکت شما قرار داره و متعلق به یه شخص ثالثه. برای همین، ابزارهای سنتی نظارت بر شبکه برای محیط‌های ابری مناسب نیستن و این باعث میشه شما نتونید روی تمام دارایی‌های ابریتون، نحوه دسترسی به اونها و اینکه چه کسی بهشون دسترسی داره، نظارت کاملی داشته باشید.
تنظیمات امنیتی اشتباه: این یکی از دلایل اصلی نشت داده توی محیط‌های ابریه. خدمات مبتنی بر ابر طوری طراحی شدن که دسترسی و اشتراک‌گذاری داده راحت باشه، ولی خیلی از سازمان‌ها ممکنه درک کاملی از نحوه امن کردن زیرساخت ابری نداشته باشن. این میتونه منجر به تنظیمات اشتباه بشه، مثلا رها کردن رمزهای عبور پیش‌فرض، فعال نکردن رمزنگاری داده یا مدیریت نادرست کنترل‌های دسترسی.
کنترل دسترسی ضعیف: به استقرارهای ابری میشه مستقیما از طریق اینترنت عمومی دسترسی داشت که این کار رو برای کاربرها از هر مکان و دستگاهی راحت میکنه. ولی همزمان، این یعنی مهاجم‌ها هم میتونن راحت‌تر با استفاده از اعتبارنامه‌های دزدیده شده یا کنترل دسترسی نامناسب، به منابع شما دسترسی پیدا کنن.
محیط‌های پویا و در حال تغییر: منابع ابری رو میشه بر اساس نیاز بارهای کاری، به صورت پویا تامین و مقیاس‌بندی کرد. اما خیلی از ابزارهای امنیتی قدیمی نمیتونن سیاست‌ها رو توی محیط‌های انعطاف‌پذیری که بارهای کاری دائما در حال تغییر هستن و ممکنه در عرض چند ثانیه اضافه یا حذف بشن، اعمال کنن.
انطباق با مقررات: ابر یه لایه دیگه از الزامات قانونی و داخلی رو اضافه میکنه که ممکنه شما حتی بدون اینکه دچار نشت امنیتی بشید، اونها رو نقض کنید. مدیریت انطباق توی ابر یه فرآیند طاقت‌فرسا و مداومه. بر خلاف یه مرکز داده محلی که شما کنترل کاملی روی داده‌ها و نحوه دسترسی به اونها دارید، توی ابر برای شرکت‌ها خیلی سخت‌تره که به طور مداوم تمام دارایی‌ها و کنترل‌های ابری رو شناسایی کنن، اونها رو با الزامات مربوطه تطبیق بدن و همه چیز رو به درستی مستند کنن.

مفهوم کلیدی: «اعتماد صفر» (Zero Trust)

یکی از مدل‌های امنیتی خیلی مهم که باید بشناسید، «اعتماد صفر» هست. این مدل بر این اساسه که به هیچ کاربر یا دستگاهی، چه داخل شبکه باشه و چه خارج از اون، به طور خودکار اعتماد نمیشه. توی محیط‌های ابری که داده‌ها در پلتفرم‌های مختلف پخش شدن، این چارچوب برای محافظت از اطلاعات حساس خیلی ضروریه.

اصول کلیدی اعتماد صفر:

تایید مداوم: هر تلاش برای دسترسی، چه از طرف یه کاربر باشه، چه دستگاه یا برنامه، به طور مداوم تایید میشه تا از دسترسی غیرمجاز جلوگیری بشه.
اصل حداقل دسترسی: به کاربرها و دستگاه‌ها فقط حداقل مجوزهای لازم داده میشه که این کار ریسک‌های امنیتی رو کم میکنه.
تقسیم‌بندی خرد (Micro-Segmentation): ابر به بخش‌های کوچیک‌تری تقسیم میشه تا اگه یه مهاجم به یه بخش دسترسی پیدا کرد، حرکتش به بخش‌های دیگه محدود بشه.

توی محیط‌های ابری، تهدیدها میتونن از هر جایی بیان. مدل اعتماد صفر با اطمینان از اینکه هر اقدامی تایید و کنترل میشه، هم در برابر تهدیدهای داخلی و هم حملات خارجی محافظت میکنه. این مدل همچنین جلوی حرکت آزادانه هکرها رو میگیره، اگه اونها به یه بخش از سیستم نفوذ کنن.

ابزارها و تکنولوژی‌های امنیت ابری

برای امن کردن محیط‌های ابری، سازمان‌ها از ابزارهای مختلفی استفاده میکنن که برای محافظت از داده، مدیریت دسترسی و پاسخ به تهدیدها در لحظه طراحی شدن. بیاید با چند تا از مهم‌ترین‌هاشون آشنا بشیم.

نوع ابزار	کارش چیه؟	چرا مهمه؟
پلتفرم حفاظت از برنامه‌های بومی ابر (CNAPP)	این پلتفرم خیلی از راه‌حل‌های امنیت ابری رو توی یه جا جمع میکنه. کارش محافظت از برنامه‌های بومی ابر با اسکن آسیب‌پذیری‌ها، نظارت بر بارهای کاری ابری و امن کردن داده‌ها از کد تا ابره.	برای سازمان‌هایی که برنامه‌های بومی ابر توسعه میدن و مستقر میکنن خیلی مفیده و شیوه‌های توسعه امن رو تضمین میکنه.
پلتفرم حفاظت از بار کاری ابری (CWPP)	روی امن کردن بارهای کاری که توی ابر اجرا میشن، مثل ماشین‌های مجازی، کانتینرها و توابع بدون سرور، تمرکز داره. این ابزارها به طور مداوم بارهای کاری رو برای پیدا کردن آسیب‌پذیری و تنظیمات اشتباه نظارت میکنن.	برای شرکت‌هایی که محیط‌های ابری پیچیده با انواع مختلف بارهای کاری دارن، حیاتیه و تشخیص تهدید و مدیریت آسیب‌پذیری رو فراهم میکنه.
مدیریت استحقاق زیرساخت ابری (CIEM)	به مدیریت و کنترل اینکه چه کسی به چه بخش‌هایی از محیط ابر دسترسی داره، کمک میکنه. این ابزار مطمئن میشه که مجوزها و کنترل‌های دسترسی به درستی تنظیم شدن تا ریسک دسترسی غیرمجاز کم بشه.	برای کاهش حساب‌های کاربری با دسترسی بیش از حد و جلوگیری از نشت‌های ناشی از مجوزهای مدیریت نشده، کلیدیه.
تشخیص و پاسخ ابری (CDR)	این ابزارها راه‌حل‌های امنیتی لحظه‌ای هستن که تهدیدها رو داخل محیط‌های ابری شناسایی میکنن و بهشون پاسخ میدن. اونها به طور مداوم زیرساخت ابر رو نظارت میکنن و وقتی فعالیت مشکوکی شناسایی بشه، هشدار میدن.	به سازمان‌ها کمک میکنه تا به سرعت به تهدیدهای جدید پاسخ بدن و آسیب‌های احتمالی رو به حداقل برسونن.
مدیریت وضعیت امنیتی ابر (CSPM)	این ابزارها به طور خودکار محیط‌های ابری رو برای ریسک‌های امنیتی ارزیابی میکنن. اونها تنظیمات اشتباه، منابع غیرمنطبق و آسیب‌پذیری‌ها رو شناسایی میکنن و به سازمان‌ها کمک میکنن وضعیت امنیتی قوی خودشون رو حفظ کنن.	برای سازمان‌هایی که از محیط‌های چندابری استفاده میکنن، حیاتیه و انطباق مداوم با استانداردهای امنیتی و جلوگیری از تنظیمات اشتباه رو تضمین میکنه.
مدیریت وضعیت امنیتی برنامه (ASPM)	مطمئن میشه که برنامه‌هایی که توی ابر مستقر شدن، امن هستن. این ابزارها تنظیمات، وابستگی‌ها و کد برنامه‌ها رو برای شناسایی هرگونه آسیب‌پذیری یا ریسک نظارت میکنن.	برای کسب‌وکارهایی که برنامه‌های بومی ابر رو توسعه و مستقر میکنن مفیده و شیوه‌های توسعه امن رو تضمین میکنه.
مدیریت وضعیت امنیتی داده (DSPM)	به طور خاص روی مدیریت امنیت داده‌ها توی محیط‌های ابری تمرکز داره. این ابزارها مطمئن میشن که داده‌ها رمزنگاری شدن، دسترسی بهشون کنترل شده و اطلاعات حساس محافظت میشن.	برای سازمان‌هایی که با داده‌های حساس مثل اطلاعات شناسایی شخصی (PII) یا سوابق مالی سروکار دارن، ضروریه.
امنیت کانتینر (Container Security)	این ابزارها برای محافظت از برنامه‌های کانتینری طراحی شدن که یه تکنولوژی رایج بومی ابر هستن. این ابزارها زمان اجرای کانتینر رو امن میکنن، آسیب‌پذیری‌ها رو اسکن میکنن و مطمئن میشن که کانتینرها تنظیمات اشتباهی ندارن.	سازمان‌هایی که از Docker یا Kubernetes استفاده میکنن از راه‌حل‌های امنیت کانتینر که هم محیط توسعه و هم تولید رو محافظت میکنن، سود میبرن.

بهترین روش‌ها برای امنیت ابری

خب، حالا که با ابزارها و چالش‌ها آشنا شدیم، بیاید ببینیم بهترین کارهایی که میشه برای امن کردن محیط ابری انجام داد، چیا هستن.

رمزنگاری داده‌ها

رمزنگاری برای محافظت از داده‌ها، هم موقع انتقال و هم موقع ذخیره، ضروریه. این کار تضمین میکنه که حتی اگه داده‌ها دست کسی بیفتن، بدون کلید رمزگشایی مناسب، قابل خوندن نیستن. باید از الگوریتم‌های رمزنگاری قوی مثل AES-256 برای داده‌های حساس استفاده بشه و مدیریت کلیدها هم به طور منظم انجام بشه. همیشه داده‌های حساس رو قبل از آپلود کردن توی ابر رمزنگاری کنید.

مدیریت هویت و دسترسی (IAM)

پیاده‌سازی IAM کمک میکنه که کنترل کنید چه کسی به منابع ابری دسترسی داره. با راه‌اندازی کنترل دسترسی مبتنی بر نقش (RBAC) و احراز هویت چندعاملی (MFA)، سازمان‌ها میتونن دسترسی رو فقط به کاربرهای مجاز محدود کنن. سیاست‌های IAM رو به طور منظم بازبینی و به‌روزرسانی کنید تا مطمئن بشید کاربرها فقط به منابعی که نیاز دارن، دسترسی دارن.

نظارت مداوم و تشخیص تهدید

محیط‌های ابری باید به طور مداوم برای فعالیت‌های مشکوک و تهدیدهای احتمالی نظارت بشن. با استفاده از ابزارهای CSPM، سازمان‌ها میتونن تنظیمات اشتباه و آسیب‌پذیری‌ها رو در لحظه شناسایی کنن. هشدارهای خودکار برای رفتارهای غیرعادی تنظیم کنید و از ابزارهای مبتنی بر هوش مصنوعی برای تشخیص و پاسخ سریع‌تر استفاده کنید.

برنامه پاسخ به حوادث

داشتن یه برنامه پاسخ به حوادث برای به حداقل رسوندن تاثیر نشت‌های امنیتی ضروریه. این برنامه باید مراحل شناسایی، مهار و بازیابی از یه حمله توی محیط ابری رو مشخص کنه. برنامه پاسخ به حوادث خودتون رو به طور منظم تست و به‌روزرسانی کنید تا مطمئن بشید موقع یه حمله واقعی، موثر عمل میکنه.

استفاده از ابزارهای تخصصی

پیشگیری از نشت داده (DLP): این ابزارها به شما کمک میکنن تا مطمئن بشید داده‌های حساس و تنظیم‌شده، امن باقی میمونن. DLP از ترکیبی از هشدارهای اصلاحی، رمزنگاری داده و اقدامات پیشگیرانه دیگه برای محافظت از داده‌ها استفاده میکنه.
اطلاعات امنیتی و مدیریت رویداد (SIEM): این تکنولوژی یه راه‌حل جامع برای هماهنگ‌سازی امنیتی فراهم میکنه که نظارت، تشخیص و پاسخ به تهدیدها رو توی محیط‌های ابری خودکار میکنه. SIEM از هوش مصنوعی برای مرتبط کردن داده‌های لاگ از پلتفرم‌ها و دارایی‌های دیجیتال مختلف استفاده میکنه.
بازیابی از فاجعه (Disaster Recovery): با وجود تمام اقدامات پیشگیرانه، باز هم ممکنه نشت داده و قطعی‌های disruptکننده اتفاق بیفته. راه‌حل‌های بازیابی از فاجعه به سازمان‌ها ابزارها، خدمات و پروتکل‌های لازم رو میدن تا داده‌های از دست رفته رو سریع بازیابی کنن و عملیات عادی کسب‌وکار رو از سر بگیرن.

چارچوب حاکمیت امنیت ابری

یه چارچوب حاکمیت امنیت ابری تضمین میکنه که سیاست‌ها، نقش‌ها و مسئولیت‌های امنیتی به وضوح تعریف و در تمام محیط‌های ابری پیاده‌سازی بشن. این برای حفظ کنترل روی داده‌ها، کاهش ریسک‌ها و اطمینان از انطباق با مقررات صنعتی حیاتیه.

حاکمیت ابری چیه؟

حاکمیت ابری یعنی ایجاد یه مجموعه ساختاریافته از سیاست‌ها و کنترل‌ها برای مدیریت موثر امنیت ابری. این شامل حوزه‌های کلیدی مثل مدیریت داده، مدیریت ریسک و انطباقه. بدون یه چارچوب حاکمیتی قوی، سازمان‌ها ریسک از دست دادن دیده‌بانی روی زیرساخت ابریشون رو دارن که منجر به تنظیمات اشتباه و شکاف‌های امنیتی میشه.

یه چارچوب حاکمیت امنیت ابری سیاست‌هایی رو برای مدیریت امنیت داده، کنترل دسترسی، انطباق و نظارت در محیط‌های ابری ایجاد میکنه. این چارچوب تضمین میکنه که داده‌های حساس از طریق رمزنگاری و مدیریت دسترسی مناسب محافظت میشن و از ابزارهایی مثل DSPM و CIEM برای اعمال حریم خصوصی و اصل حداقل دسترسی استفاده میکنه. علاوه بر این، ممیزی‌های منظم برای حفظ انطباق با استانداردهایی مثل PCI DSS و ISO 27001 ضروریه.

امنیت ابری برای صنایع خاص

صنایعی مثل بهداشت و درمان، مالی و خرده‌فروشی با مقررات سختگیرانه‌ای روبرو هستن که نیاز به امنیت ابری پیشرفته برای محافظت از داده‌های حساس و تضمین انطباق دارن.

امنیت ابری برای بهداشت و درمان (انطباق با HIPAA): سازمان‌های بهداشتی باید با قانون HIPAA منطبق باشن که حفاظت از اطلاعات بهداشتی محافظت‌شده (PHI) رو تضمین میکنه. این شامل رمزنگاری داده، استفاده از احراز هویت قوی و ممیزی منظم محیط‌های ابریه. مدل‌های ابر خصوصی یا ترکیبی اغلب برای حفظ کنترل روی PHI و برآورده کردن الزامات HIPAA استفاده میشن.
امنیت ابری برای امور مالی (انطباق با PCI DSS): موسسات مالی باید استانداردهای PCI DSS رو برای مدیریت داده‌های پرداخت رعایت کنن که نیاز به رمزنگاری، کنترل‌های دسترسی و نظارت داره. شرکت‌های مالی اغلب از ابرهای ترکیبی برای ایجاد تعادل بین مقیاس‌پذیری و حفاظت سختگیرانه از داده‌ها استفاده میکنن.
امنیت ابری برای خرده‌فروشی (امن کردن تجارت الکترونیک): خرده‌فروش‌ها باید داده‌های پرداخت مشتریان رو امن کنن و با PCI DSS منطبق باشن تا از نشت داده در حین تراکنش‌ها جلوگیری کنن. خدمات ابر عمومی ترافیک رو مدیریت میکنن و رمزنگاری و CASB ها تضمین میکنن که داده‌های مشتریان امن هستن.

پرسش و پاسخ کلاسی

خب بچه‌ها، حالا که کلی در مورد امنیت ابری صحبت کردیم، چند تا سوال که ممکنه براتون پیش اومده باشه رو با هم مرور میکنیم.

سوال ۱: استاد، ابر امن‌تره یا سیستم‌های محلی (On-premises)؟

این سوال خوبیه. واقعیت اینه که ابر نه امن‌تره و نه ناامن‌تر از امنیت محلی. در واقع، امنیت رایانش ابری مزایای زیادی برای کسب‌وکارها داره که میتونه وضعیت امنیتی کلی شما رو بهبود ببخشه. ارائه‌دهنده‌های بزرگ ابری زیرساخت‌های امنی دارن و امنیت لایه‌لایه رو مستقیما توی پلتفرم و خدماتشون تعبیه کردن. این شامل همه چیز میشه، از معماری شبکه با اعتماد صفر گرفته تا مدیریت هویت و دسترسی، احراز هویت چندعاملی، رمزنگاری و نظارت مداوم. به علاوه، ابر به شما کمک میکنه که امنیت رو در مقیاس بسیار بزرگ خودکار و مدیریت کنید. پس همه چیز به این بستگی داره که چقدر درست از ابزارها و سیاست‌ها استفاده کنید.

سوال ۲: پس مسئولیت امنیت توی ابر کاملا با ماست یا با شرکتی که خدمات میده؟

این هم یه نکته کلیدیه. مسئولیت امنیت توی ابر «مشترکه». بهش میگن مدل مسئولیت مشترک. ارائه‌دهنده ابر مسئول امنیت «خود ابره»، یعنی سخت‌افزارها و زیرساخت اصلی. ولی شما به عنوان مشتری، مسئول امنیت هر چیزی هستید که «توی ابر» اجرا میکنید، مثل داده‌هاتون، برنامه‌هاتون، کنترل‌های شبکه و مدیریت دسترسی کاربرها. پس نمیشه گفت مسئولیت فقط با یک طرفه؛ هر دو طرف نقش مهمی دارن.

سوال ۳: بزرگ‌ترین عامل مشکلات امنیتی توی ابر چیه؟

یکی از بزرگ‌ترین و شایع‌ترین دلایل نشت داده توی محیط‌های ابری، «تنظیمات امنیتی اشتباه» هست. خیلی وقت‌ها سازمان‌ها به خاطر نداشتن درک کامل، تنظیمات پیش‌فرض رو تغییر نمیدن، رمزنگاری رو فعال نمیکنن یا کنترل‌های دسترسی رو درست مدیریت نمیکنن. این اشتباهات ساده میتونه درهای بزرگی رو برای مهاجم‌ها باز کنه. برای همین ابزارهایی مثل CSPM که این تنظیمات اشتباه رو پیدا میکنن، خیلی مهم هستن.

سوال ۴: تفاوت IaaS، PaaS و SaaS دقیقا چیه؟

IaaS (زیرساخت به عنوان سرویس): مثل اینه که شما یه زمین خالی اجاره کنید. ارائه‌دهنده زیرساخت اصلی (سرور، شبکه، ذخیره‌سازی) رو به شما میده، ولی شما خودتون باید سیستم‌عامل، برنامه‌ها و بقیه چیزها رو روش نصب و مدیریت کنید.
PaaS (پلتفرم به عنوان سرویس): مثل اینه که یه کارگاه آماده با ابزارهاش اجاره کنید. ارائه‌دهنده علاوه بر زیرساخت، پلتفرمی برای توسعه و اجرای برنامه‌ها (مثل سیستم‌عامل و میان‌افزار) هم در اختیارتون میذاره. شما فقط روی ساختن و مدیریت برنامه‌هاتون تمرکز میکنید.
SaaS (نرم‌افزار به عنوان سرویس): مثل اینه که یه ماشین آماده با راننده کرایه کنید. شما فقط از نرم‌افزار آماده (مثل Gmail یا Microsoft 365) استفاده میکنید و هیچ نگرانی در مورد زیرساخت، پلتفرم یا خود برنامه ندارید. همه چیز توسط ارائه‌دهنده مدیریت میشه.

منابع

[2] What is Cloud Security? Types, Risks, and Solutions
[4] Cloud Security – Amazon Web Services (AWS)
[6] What Is Cloud Security? – Cisco
[8] Home | CSA
[10] What Is Cloud Security? Key Benefits & Best Practices Explained

[1] What Is Cloud Security? | Google Cloud | Google Cloud
[3] What is Cloud Security? Understand The 6 Pillars – Check Point Software
[5] What is Cloud Security? | IBM
[7] Microsoft
[9] What Is Cloud Security? Best Practices and Strategies | CrowdStrike

مرداد 29, 1404

امنیت ایمیل؛ راهنمای محافظت از ارتباطات دیجیتال شما
شاید براتون جالب باشه که بدونین وقتی ایمیل برای اولین بار اختراع شد، اصلا به امنیت و حریم خصوصی فکر نکرده بودن. هدف فقط این بود که پیام‌ها سریع رد و بدل بشن. با اینکه الان ایمیل یکی از مهم‌ترین ابزارهای ارتباطی ماست، هنوزم این ضعف‌ها به صورت پیش‌فرض توش وجود داره. به همین خاطر، ایمیل تبدیل شده به یکی از اصلی‌ترین دروازه‌های ورود هکرها و مجرم‌های سایبری، چه برای شرکت‌های بزرگ و چه برای آدم‌های معمولی مثل من و شما.

دشمنان نامرئی: با انواع تهدیدهای ایمیلی آشنا بشیم

اول از همه، باید بدونیم که وقتی از «حمله ایمیلی» حرف می‌زنیم، دقیقا منظورمون چیه. این حمله‌ها شکل‌های مختلفی دارن و هر کدوم یه هدف خاص رو دنبال می‌کنن. مجرم‌های سایبری همیشه دنبال راه‌های جدیدی برای گول زدن ما هستن. بیایید چندتا از معروف‌ترین این روش‌ها رو با هم بررسی کنیم.

فیشینگ (Phishing): طعمه‌ای برای شکار اطلاعات شما

یکی از رایج‌ترین و شناخته‌شده‌ترین تهدیدها، فیشینگ هست. اسمش از کلمه انگلیسی «Fishing» به معنی ماهیگیری میاد، چون کاری که هکر می‌کنه دقیقا مثل ماهیگیریه. یه طعمه جذاب یا فوری جلوی شما می‌ندازه تا شما رو به دام بندازه و اطلاعات حساس‌تون رو بدزده. این اطلاعات می‌تونه هر چیزی باشه، از نام کاربری و رمز عبور گرفته تا اطلاعات حساب بانکی شما.

هکرها یا از این اطلاعات دزدیده شده برای مقاصد خودشون استفاده می‌کنن، مثلا کنترل حساب‌های شما رو به دست می‌گیرن، یا اینکه اونها رو تو بازارهای سیاه اینترنتی می‌فروشن.

مهاجم‌های فیشینگ خودشون رو جای یه منبع معتبر جا می‌زنن. مثلا ممکنه ایمیلی دریافت کنین که به نظر میاد از طرف بانک شما، یه فروشگاه آنلاین معروف یا حتی شبکه اجتماعی که توش عضو هستین، فرستاده شده. این ایمیل‌ها معمولا با یه درخواست وسوسه‌انگیز یا یه هشدار فوری، شما رو ترغیب می‌کنن که کاری رو انجام بدین. مثلا ممکنه بگن: «حساب شما در خطر است، برای تایید هویت فورا روی این لینک کلیک کنید».

وقتی شما روی لینک کلیک می‌کنین، به یه صفحه وب منتقل می‌شین که کاملا شبیه سایت اصلیه، اما در واقع یه نسخه تقلبی و تحت کنترل هکره. شما با خیال راحت اطلاعات ورودتون رو وارد می‌کنین و به این ترتیب، کلید ورود به حساب‌تون رو دو دستی تقدیم هکر می‌کنین. گاهی هم ازتون می‌خوان که اطلاعات‌تون رو مستقیما در جواب همون ایمیل بفرستین.

فیشینگ خودش انواع مختلفی داره که روز به روز هم پیچیده‌تر می‌شن:
- فیشینگ نیزه‌ای (Spear Phishing): این نوع فیشینگ مثل یه حمله تک‌تیراندازه. به جای اینکه یه ایمیل عمومی برای هزاران نفر فرستاده بشه، مهاجم یه فرد یا یه سازمان خاص رو هدف قرار می‌ده. اونها قبل از حمله، حسابی در مورد هدف تحقیق می‌کنن و ایمیل رو طوری طراحی می‌کنن که کاملا شخصی و معتبر به نظر برسه. مثلا ممکنه به اسم یکی از همکاران یا مدیر شما ایمیل بزنن و درخواستی بکنن که خیلی عادی به نظر میاد.
- نهنگ‌گیری (Whaling): این مدل، نسخه سنگین‌تر فیشینگ نیزه‌ایه. اینجا هدف، افراد خیلی مهم و رده‌بالای یه سازمانه، مثل مدیرعامل (CEO) یا مدیر مالی. چون این افراد دسترسی‌های خیلی مهمی دارن، موفقیت تو این نوع حمله می‌تونه خسارت‌های وحشتناکی به بار بیاره.
- ویشینگ (Vishing): این کلمه ترکیبی از «Voice» و «Phishing» هست و به فیشینگ از طریق تماس صوتی اشاره داره.
- کوئیشینگ (Quishing): این یکی از روش‌های جدیدتره که از کدهای QR استفاده می‌کنه. ایمیل حاوی یه تصویر از کد QR هست. مهاجم از شما می‌خواد که این کد رو با دوربین موبایل‌تون اسکن کنین. به محض اسکن کردن، شما به یه سایت فیشینگ هدایت می‌شین. نکته خطرناک اینجاست که این کار معمولا با گوشی شخصی انجام می‌شه که احتمالا مثل کامپیوترهای شرکت، تحت نظارت امنیتی نیست و اینطوری مهاجم می‌تونه کنترل‌های امنیتی سازمان رو دور بزنه.
جعل دامنه ایمیل (Email Domain Spoofing): وقتی ایمیل از یه آدرس آشنا میاد، اما فرستنده غریبه است

یکی از تکنیک‌های کلیدی که به موفقیت حمله‌های فیشینگ و بقیه کلاهبرداری‌ها کمک می‌کنه، جعل دامنه ایمیل هست. این تکنیک به مهاجم اجازه می‌ده یه ایمیل با آدرس فرستنده جعلی بفرسته. یعنی ایمیلی که شما دریافت می‌کنین، به نظر میاد از یه منبع معتبر و قانونی فرستاده شده، در حالی که اینطور نیست.

بذارین یه مثال بزنم. فرض کنین یه هکر به اسم «چاک» می‌خواد دوستش «باب» رو گول بزنه. چاک می‌تونه یه ایمیل از طرف دامنه «trustworthy-bank.com@» برای باب بفرسته، در حالی که چاک اصلا صاحب این دامنه نیست و هیچ ربطی به اون بانک نداره. این کار باعث می‌شه باب به ایمیل اعتماد کنه و کاری که ازش خواسته شده رو انجام بده.

بدافزار (Malware): مهمان ناخوانده‌ای در پیوست ایمیل

پیوست یا اتچمنت ایمیل، یکی از قابلیت‌های خیلی کاربردیه، اما متاسفانه مهاجم‌ها از همین قابلیت برای فرستادن محتوای مخرب، از جمله بدافزار (Malware)، به قربانی‌هاشون استفاده می‌کنن. بدافزار یه اصطلاح کلی برای هر نوع نرم‌افزار مخربه که هدفش آسیب زدن یا مختل کردن کامپیوترهاست. انواع مختلفی داره مثل ویروس‌ها، کرم‌ها، جاسوس‌افزارها و باج‌افزارها.

یکی از راه‌های ساده اینه که مهاجم یه فایل اجرایی با پسوند «.exe» رو مستقیما پیوست کنه و گیرنده رو گول بزنه که اون رو باز کنه. اما یه روش خیلی رایج‌تر و موذیانه‌تر، مخفی کردن کدهای مخرب داخل فایل‌های به ظاهر بی‌خطره. مثلا یه فایل PDF یا یه سند Word. هر دوی این فایل‌ها می‌تونن حاوی کدهایی مثل ماکرو (Macro) باشن. مهاجم‌ها از این قابلیت برای اجرای یه دستور مخرب روی کامپیوتر قربانی استفاده می‌کنن. مثلا به محض باز شدن فایل، یه بدافزار دیگه دانلود و اجرا می‌شه.

جالبه بدونین که ۹۴ درصد از بدافزارها از طریق ایمیل منتقل می‌شن. خیلی از آلودگی‌های باج‌افزار (Ransomware) در سال‌های اخیر با یه پیوست ایمیل شروع شدن. باج‌افزار نوعی بدافزاره که فایل‌های شما رو قفل (رمزگذاری) می‌کنه و برای باز کردنشون از شما باج می‌خواد.
- باج‌افزار Ryuk: معمولا از طریق یه پیوست Word که حاوی ماکروی مخربه، پخش می‌شه.
- باج‌افزار Petya: این یکی از طریق یه ایمیل فیشینگ که خودش رو یه متقاضی کار جا می‌زنه، منتشر می‌شه و یه لینک به یه فایل Dropbox آلوده می‌ده.
- بدافزار Emotet: این بدافزار که اولش یه تروجان بانکی بود، تکامل پیدا کرد و حالا از طریق پیوست‌های ایمیل آلوده، بدافزارهای دیگه‌ای رو هم پخش می‌کنه.
اسپم (Spam): پیام‌های ناخواسته و مزاحم

اسپم یه اصطلاح برای ایمیل‌های ناخواسته یا نامناسبیه که بدون اجازه گیرنده فرستاده می‌شن. تقریبا همه سرویس‌های ایمیل یه سری فیلتر برای جلوگیری از اسپم دارن، اما باز هم همیشه تعدادی از این ایمیل‌ها به اینباکس ما می‌رسن. اسپم‌ها می‌تونن برای اهداف مختلفی استفاده بشن، از تبلیغات شرکت‌های قانونی گرفته تا تلاش برای آلوده کردن کامپیوتر شما با بدافزار.

فرستنده‌های اسپم (Spammers) به مرور زمان «اعتبار فرستنده ایمیل» بدی پیدا می‌کنن. یعنی اگه درصد زیادی از ایمیل‌های یه فرستنده باز نشه یا توسط گیرنده‌ها به عنوان اسپم علامت‌گذاری بشه، یا اگه ایمیل‌هاش زیاد برگشت بخوره، سرویس‌های ایمیل اعتبار اون فرستنده رو کم می‌کنن. به همین دلیله که اسپمرها همیشه انگیزه دارن که کنترل حساب‌های کاربری دیگه رو به دست بگیرن، فضای آدرس IP بدزدن یا دامنه‌ها رو جعل کنن تا بتونن اسپم‌هایی بفرستن که به راحتی شناسایی نشن.

تسخیر حساب کاربری (Account Takeover): وقتی خونه شما دست دزد می‌افته

تصور کنین یکی کلید خونه شما رو بدزده و وارد بشه. تسخیر حساب کاربری ایمیل هم دقیقا همینه. مهاجم کنترل ایمیل شما رو به دست می‌گیره و می‌تونه ازش برای کارهای مختلفی استفاده کنه: فرستادن اسپم، شروع حمله‌های فیشینگ، پخش کردن بدافزار، دزدیدن لیست مخاطبین شما یا حتی استفاده از ایمیل شما برای دزدیدن بقیه حساب‌های آنلاینتون (مثلا با زدن دکمه «فراموشی رمز عبور» تو سایت‌های دیگه).

مهاجم‌ها برای نفوذ به یه حساب ایمیل از روش‌های مختلفی استفاده می‌کنن:
- حملات بروت فورس (Brute force): ابزارهای خودکار به طور سیستماتیک رمزهای عبور مختلف رو امتحان می‌کنن تا بالاخره رمز درست رو پیدا کنن. این روش روی حساب‌هایی با رمزهای ضعیف یا رایج بهتر جواب می‌ده.
- اسپری کردن رمز عبور (Password spraying): این روش شبیه بروت فورسه، اما برعکس عمل می‌کنه. به جای امتحان کردن هزاران رمز روی یک حساب، مهاجم تعداد کمی از رمزهای عبور خیلی رایج (مثلا Password123) رو روی تعداد زیادی از حساب‌ها امتحان می‌کنه تا شناسایی نشه.
- پر کردن اعتبارنامه (Credential stuffing): مهاجم‌ها از نام‌های کاربری و رمزهای عبوری که قبلا از نشت اطلاعاتی سایت‌های دیگه به دست آوردن، استفاده می‌کنن. اونها روی این حساب می‌کنن که خیلی از کاربرها از یه رمز عبور برای چندتا سایت مختلف استفاده می‌کنن.
- بدافزار مبتنی بر سرقت اعتبارنامه: نرم‌افزارهای مخربی که اطلاعات ذخیره شده از مرورگرها یا مدیران رمز عبور رو می‌دزدن یا کلیدهایی که شما موقع تایپ رمزتون فشار می‌دین رو ضبط می‌کنن (Keylogger).
- فیشینگ و مهندسی اجتماعی: همونطور که گفتیم، کاربر رو گول می‌زنن تا خودش اطلاعاتش رو لو بده.
مهندسی اجتماعی (Social Engineering): بازی با روان شما

این تکنیک بیشتر از اینکه به فناوری تکیه کنه، روی روانشناسی انسان حساب می‌کنه. مهاجم‌ها با استفاده از ترفندهای روانشناسی، شما رو فریب می‌دن تا اطلاعات محرمانه رو فاش کنین یا کاری رو انجام بدین که امنیت رو به خطر می‌ندازه. اونها ممکنه خودشون رو جای یه فرد قابل اعتماد یا یه مقام مسئول جا بزنن و با شیرین‌زبونی یا ترسوندن شما، به هدفشون برسن. این مثل یه کلاهبرداری سایبریه.

و چند تهدید دیگر…
- حمله مرد میانی (Man-in-the-Middle): تصور کنین یه نفر یواشکی داره به مکالمه شما گوش می‌ده. تو این حمله، مهاجم ارتباط بین دو نفر رو قطع می‌کنه و می‌تونه پیام‌ها رو بخونه، تغییر بده یا پیام‌های جدیدی به مکالمه تزریق کنه.
- نشت داده (Data Exfiltration): دزدهای حرفه‌ای به سیستم ایمیل یه سازمان نفوذ می‌کنن و داده‌های حساس مثل اسرار تجاری، اطلاعات مالی یا اطلاعات شخصی کارمندان و مشتریان رو می‌دزدن.
- حمله منع سرویس (Denial of Service): مهاجم‌ها با فرستادن حجم عظیمی از ایمیل‌ها، سرورهای ایمیل رو غرق می‌کنن. سرورها زیر این فشار از کار می‌افتن و ارتباطات ایمیلی مختل می‌شه.
سپر دفاعی ما: چطور از ایمیل‌هامون محافظت کنیم؟

خب، تا اینجا با انواع و اقسام خطرات آشنا شدیم. حالا وقتشه که یاد بگیریم چطوری قلعه دفاعی خودمون رو بسازیم و از خودمون محافظت کنیم. امنیت ایمیل یه کار تیمی بین کاربرها و تکنولوژیه. بیایید ببینیم چه ابزارها و روش‌هایی برای این کار وجود داره.

رمزگذاری (Encryption): نامه شما در یک پاکت مهر و موم شده

همونطور که اول گفتم، ایمیل به خودی خود امن نیست. فرستادن یه ایمیل بدون رمزگذاری، مثل فرستادن یه کارت پستا‌له که هر کسی تو مسیر می‌تونه محتواش رو بخونه. ایمیل شما مستقیما از کامپیوتر شما به کامپیوتر گیرنده نمی‌ره. در عوض، از شبکه‌ها و سرورهای مختلفی عبور می‌کنه تا به مقصد برسه. هر کسی در میانه این مسیر، از جمله خود سرویس‌دهنده ایمیل، می‌تونه ایمیل شما رو بخونه.

اینجاست که رمزگذاری (Encryption) وارد می‌شه. رمزگذاری مثل گذاشتن اون کارت پستال توی یه پاکت محکم و مهر و موم شده است. این فرآیند، داده‌های شما رو به هم می‌ریزه و به یه زبان کد شده تبدیل می‌کنه، طوری که فقط طرف‌های مجاز (یعنی شما و گیرنده) می‌تونن اون رو باز و رمزگشایی کنن.

اکثر روش‌های رمزگذاری ایمیل از رمزنگاری کلید عمومی استفاده می‌کنن. بعضی از این روش‌ها حتی سر به سر (end-to-end) هستن، یعنی حتی خود شرکت سرویس‌دهنده ایمیل هم نمی‌تونه محتوای پیام‌های شما رو بخونه.

انواع مختلفی از پروتکل‌های رمزگذاری وجود داره:
- PGP (Pretty Good Privacy): این یه پروتکل رمزگذاریه که به طور خاص برای ایمیل طراحی شده و چون یه استاندارد بازه، هر کسی می‌تونه ازش استفاده کنه.
- S/MIME (Secure Multi-purpose Internet Mail Extension): این هم مثل PGP برای امن کردن محتوای ایمیل طراحی شده، اما بیشتر در محیط‌های سازمانی و شرکتی استفاده می‌شه.
- TLS (Transport Layer Security): این پروتکل برای امن کردن کل ارتباطات شبکه استفاده می‌شه، نه فقط ایمیل. وب‌گردی، انتقال فایل و ایمیل همگی می‌تونن از TLS برای محافظت از داده‌ها در حین انتقال بین دو دستگاه استفاده کنن.
نگهبانان دامنه: SPF، DKIM و DMARC

یادتونه در مورد جعل دامنه صحبت کردیم؟ خب، برای مقابله با این مشکل، سه تا رکورد DNS خاص وجود داره که مثل سه تا نگهبان برای دامنه شما عمل می‌کنن و مطمئن می‌شن ایمیل‌ها واقعا از جایی که ادعا می‌کنن، اومدن. DNS یا «سیستم نام دامنه» مثل دفترچه تلفن اینترنته و رکوردهای عمومی یه دامنه رو ذخیره می‌کنه.

این سه نگهبان عبارتند از:
- SPF (Sender Policy Framework): این رکورد مثل یه لیست مهمان‌ها عمل می‌کنه. صاحب دامنه یه لیست از آدرس‌های IP مجاز که حق دارن از طرف اون دامنه ایمیل بفرستن رو تو رکورد DNS خودش اعلام می‌کنه. وقتی یه ایمیل دریافت می‌شه، سرور گیرنده چک می‌کنه که آیا IP فرستنده تو این لیست مجاز هست یا نه.
- DKIM (DomainKeys Identified Mail): این رکورد از امضای دیجیتال برای تایید اعتبار ایمیل استفاده می‌کنه. صاحب دامنه کلیدهای عمومی DKIM رو تو رکورد DNS خودش قرار می‌ده و ایمیل‌های خروجی رو به صورت دیجیتالی امضا می‌کنه. گیرنده می‌تونه با استفاده از اون کلید عمومی، امضا رو تایید کنه و مطمئن بشه که ایمیل در مسیر دستکاری نشده.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): این رکورد مثل یه مدیر یا ناظر عمل می‌کنه. DMARC به صاحب دامنه اجازه می‌ده که مشخص کنه اگه یه ایمیل در آزمون‌های SPF یا DKIM مردود شد، سرور گیرنده باید باهاش چیکار کنه (مثلا ردش کنه، قرینه‌اش کنه یا فقط گزارش بده). این پروتکل از دو پروتکل قبلی استفاده می‌کنه تا از جعل آدرس ایمیل جلوگیری کنه.
سرویس‌های ایمیل معتبر، ایمیل‌های دریافتی رو با این سه رکورد چک می‌کنن تا ببینن آیا قانونی هستن یا نه.

ابزارها و راهکارهای فنی: ارتش دیجیتال شما

علاوه بر موارد بالا، سازمان‌ها از مجموعه‌ای از ابزارها و خدمات برای تقویت امنیت ایمیل‌شون استفاده می‌کنن:
- دروازه‌های امن ایمیل (Secure Email Gateways – SEG): اینها مثل یه گارد امنیتی در ورودی شبکه شرکت مستقر می‌شن و ایمیل‌های ورودی و خروجی رو بازرسی و فیلتر می‌کنن. اونها از معیارهای مختلفی مثل امضای بدافزارها، فیلتر کردن URLهای مشکوک و الگوهای فیشینگ برای شناسایی و مسدود کردن ایمیل‌های مخرب استفاده می‌کنن.
- امنیت ایمیل ابری (Cloud Email Security): سرویس‌های ایمیل ابری مثل Google Workspace یا Microsoft 365 معمولا ویژگی‌های امنیتی داخلی دارن. مثلا ممکنه حفاظت در برابر تهدید، فیلتر اسپم و رمزگذاری ارائه بدن. اما با توجه به اینکه آفیس ۳۶۵ به یه هدف جذاب برای مجرم‌های سایبری تبدیل شده، خیلی از شرکت‌ها دنبال لایه‌های امنیتی اضافی هستن.
- محافظت از داده‌های ایمیل (Email Data Protection – EDP): این راهکارها برای جلوگیری از نشت داده‌های حساس و اطمینان از رعایت قوانین حفاظت از داده طراحی شدن. EDP معمولا از ترکیب رمزگذاری، DLP و SEG استفاده می‌کنه.
- جلوگیری از از دست رفتن داده (Data Loss Prevention – DLP): این سیستم‌ها محتوای ایمیل‌های خروجی رو بررسی می‌کنن و اگه اطلاعات حساسی (مثل شماره کارت اعتباری یا اطلاعات شخصی) پیدا کنن، جلوی ارسال اون رو می‌گیرن یا اون بخش از متن رو حذف می‌کنن.
- راهکارهای مبتنی بر API: این راهکارها به جای اینکه در مسیر ایمیل قرار بگیرن، از طریق API به سرویس ایمیل شما متصل می‌شن و ایمیل‌ها رو برای محتوای مخرب بازرسی می‌کنن.
- هوش مصنوعی (AI) در امنیت ایمیل: هوش مصنوعی داره به یه ابزار قدرتمند در این زمینه تبدیل می‌شه. مدل‌های زبان بزرگ (LLM) می‌تونن محتوای یه ایمیل رو بخونن و تحلیل کنن و علائم هشداردهنده فیشینگ مثل تلاش برای ایجاد حس فوریت یا دستکاری روانشناسی رو تشخیص بدن. همچنین AI می‌تونه الگوهای ترافیک ایمیل رو تحلیل کنه و هرگونه رفتار غیرعادی که ممکنه نشونه یه حمله باشه رو شناسایی کنه.
شما، اولین خط دفاع: بهترین روش‌های امنیتی برای کاربران

تکنولوژی به تنهایی کافی نیست. در نهایت، این شما هستین که روی لینک کلیک می‌کنین یا پیوست رو باز می‌کنین. شما مهم‌ترین بخش از سیستم دفاعی هستین. به همین خاطر به کارمندها میگن «دیوار آتش انسانی». بیایید ببینیم چه کارهایی رو باید به یه عادت روزمره تبدیل کنیم.
- یک رمز عبور قوی بسازید: رمز عبور ضعیف، تکراری یا لو رفته، شایع‌ترین دلیل هک شدن حساب‌های ایمیله. یه رمز عبور قوی باید حداقل ۱۲ کاراکتر طول داشته باشه و ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص (مثل @، #، $) باشه.
- احراز هویت دو عاملی (MFA) را فعال کنید: این کار یه لایه امنیتی اضافه به حساب شما اضافه می‌کنه. حتی اگه یه هکر رمز عبور شما رو به دست بیاره، برای ورود به حساب به یه عامل دوم هم احتیاج داره، مثلا یه کدی که به گوشی شما فرستاده می‌شه.
- مراقب کلاهبرداری‌های فیشینگ باشید: همیشه به ایمیل‌هایی که اطلاعات شخصی از شما می‌خوان یا لینک‌های مشکوک دارن، با دیده شک نگاه کنین. قبل از کلیک کردن، ماوس رو روی لینک نگه دارین تا ببینین واقعا شما رو به کجا می‌بره.
- نرم‌افزارهای خود را به‌روز نگه دارید: همیشه مطمئن بشین که سیستم عامل و برنامه ایمیل شما آخرین آپدیت‌های امنیتی رو دریافت کرده. هکرها از آسیب‌پذیری‌های نرم‌افزارهای قدیمی سوءاستفاده می‌کنن.
- یک ارائه‌دهنده خدمات ایمیل معتبر انتخاب کنید: دنبال سرویسی باشین که از رمزگذاری و اقدامات امنیتی دیگه برای محافظت از داده‌های شما استفاده می‌کنه.
- در آموزش‌های آگاهی‌بخشی امنیتی شرکت کنید: خیلی از سازمان‌ها برای کارمندانشون دوره‌های آموزشی برگزار می‌کنن تا یاد بگیرن چطور تهدیدها رو شناسایی کنن. این آموزش‌ها خیلی مهمن و به شما کمک می‌کنن که به جای اینکه یه نقطه ضعف باشین، به یه نقطه قوت در امنیت سازمان تبدیل بشین.
- از VPN استفاده کنید: استفاده از VPN می‌تونه با رمزگذاری اتصال اینترنت شما و مخفی کردن آدرس IP، به محافظت از ایمیل‌هاتون کمک کنه و کار رو برای هکرها سخت‌تر کنه.
- از حساب‌های خود خارج شوید (Log out): وقتی کارتون تموم شد، مخصوصا روی دستگاه‌های اشتراکی، از حساب ایمیل‌تون خارج بشین. فعال کردن خروج خودکار بعد از یه مدت بی‌فعالیتی هم ایده خوبیه.
سیاست‌های امنیتی ایمیل: قوانین بازی در یک سازمان

برای اینکه همه این موارد به درستی اجرا بشن، سازمان‌ها باید یه سری قوانین و استانداردها به اسم «سیاست امنیتی ایمیل» داشته باشن. این سیاست مثل یه دفترچه راهنماست که به همه میگه چطور باید از ایمیل به صورت امن استفاده کنن. یه سیاست خوب باید شامل این موارد باشه:
- استفاده مناسب: مشخص می‌کنه چه کسانی، برای چه اهدافی و چطور می‌تونن از ایمیل سازمانی استفاده کنن.
- رمز عبور و احراز هویت: قوانین مربوط به پیچیدگی رمز عبور و اجباری بودن MFA رو تعیین می‌کنه.
- رمزگذاری: مشخص می‌کنه چه نوع اطلاعات حساسی باید حتما قبل از ارسال، رمزگذاری بشن.
- محافظت در برابر ویروس: رویه‌های مربوط به اسکن ایمیل‌ها و پیوست‌ها رو مشخص می‌کنه.
- نگهداری و حذف: تعیین می‌کنه ایمیل‌ها و پیوست‌هاشون تا چه مدتی باید نگهداری بشن و کی باید حذف بشن.
- آموزش: همه کارمندان رو ملزم به گذروندن دوره‌های آموزشی امنیت ایمیل می‌کنه.
- گزارش‌دهی حوادث: رویه‌های مربوط به گزارش و بررسی مشکلات امنیتی ایمیل رو مشخص می‌کنه.
- نظارت: رویه‌های نظارت بر ارتباطات ایمیلی برای اطمینان از رعایت سیاست‌ها رو تعیین می‌کنه.
- انطباق با مقررات: اطمینان می‌ده که سازمان با قوانین حفاظت از داده مثل GDPR و HIPAA مطابقت داره.
- اجرا: عواقب نقض سیاست امنیتی ایمیل، از اقدامات انضباطی تا پیگردهای قانونی رو مشخص می‌کنه.
یه مثال کاربردی: حالت محرمانه در جیمیل

برای اینکه این مفاهیم رو بهتر درک کنین، بیایید یه نگاهی به یکی از ویژگی‌های امنیتی جیمیل به اسم «حالت محرمانه» (Confidential Mode) بندازیم. این ویژگی به شما اجازه می‌ده ایمیل‌هایی بفرستین که امنیت بیشتری دارن.
- قدم اول: وقتی دارین یه ایمیل جدید می‌نویسین، در پایین پنجره روی آیکون قفل و ساعت کلیک کنین تا حالت محرمانه فعال بشه.
- قدم دوم: حالا می‌تونین یه تاریخ انقضا برای ایمیل‌تون تعیین کنین. بعد از این تاریخ، گیرنده دیگه نمی‌تونه ایمیل رو ببینه. همچنین می‌تونین یه رمز عبور هم براش بذارین.
  - اگه گزینه «بدون رمز پیامکی» رو انتخاب کنین، کسانی که از اپ جیمیل استفاده می‌کنن، می‌تونن مستقیم ایمیل رو باز کنن و بقیه یه ایمیل حاوی رمز عبور دریافت می‌کنن.
  - اگه گزینه «رمز پیامکی» رو انتخاب کنین، گیرنده یه رمز عبور از طریق پیامک دریافت می‌کنه و شما باید شماره تلفن گیرنده رو وارد کنین.
- قدم سوم: روی دکمه ذخیره کلیک کنین.
- قدم چهارم: ایمیل‌تون رو بنویسین و ارسال کنین.
وقتی ایمیلی رو در این حالت می‌فرستین، گیرنده نمی‌تونه متن پیام یا پیوست‌ها رو کپی، دانلود، چاپ یا فوروارد کنه. البته این حالت جلوی اسکرین‌شات گرفتن رو نمی‌گیره، ولی باعث می‌شه به اشتراک‌گذاری تصادفی ایمیل شما سخت‌تر بشه. همچنین شما می‌تونین حتی قبل از رسیدن تاریخ انقضا، دسترسی گیرنده به ایمیل رو قطع کنین.

جلسه پرسش و پاسخ پروفسور

خب، حالا که یه دور کامل با دنیای امنیت ایمیل آشنا شدیم، وقتشه که به چندتا از سوال‌های رایج شما جواب بدم.

سوال: چرا امنیت ایمیل اینقدر مهمه؟

پاسخ: چون ایمیل یکی از اصلی‌ترین ابزارهای ارتباطی ماست و اغلب حاوی اطلاعات حساسه. از طرفی، ایمیل یکی از محبوب‌ترین اهداف برای مجرم‌های سایبریه. طبق گزارش‌ها، ۹۴ درصد حمله‌های فیشینگ از ایمیل شروع می‌شن و همینطور ۹۴ درصد بدافزارها از طریق ایمیل منتقل می‌شن. یه حمله ایمیلی موفق می‌تونه منجر به خسارت‌های مالی سنگین (مثل حملات BEC که بین سال‌های ۲۰۱۳ تا ۲۰۲۲ حدود ۵۰ میلیارد دلار خسارت زدن)، از دست رفتن داده‌های حیاتی، آسیب به اعتبار برند و مشکلات قانونی بشه. پس محافظت از ایمیل، یعنی محافظت از کل کسب و کار و زندگی دیجیتال ما.

سوال: رایج‌ترین تهدیدهای ایمیلی چی هستن؟

پاسخ: تهدیدها زیادن، اما چندتا از شایع‌ترین‌هاشون اینها هستن: فیشینگ (و انواعش مثل فیشینگ نیزه‌ای)، بدافزار و باج‌افزار (که معمولا از طریق پیوست‌ها میان)، اسپم، جعل ایمیل، تسخیر حساب کاربری و مهندسی اجتماعی.

سوال: «ایمیل رمزگذاری شده» یعنی چی؟

پاسخ: یعنی محتوای ایمیل شما از متن ساده و قابل خوندن، به یه متن به هم ریخته و کد شده تبدیل می‌شه. فقط گیرنده‌ای که «کلید» درست رو داشته باشه، می‌تونه این کد رو باز کنه و متن اصلی رو بخونه. این کار مثل گذاشتن نامه توی یه پاکت مهر و موم شده است و جلوی خوندن اطلاعات شما توسط افراد غیرمجاز در مسیر انتقال رو می‌گیره.

سوال: چطوری می‌تونم امنیت ایمیلم رو بیشتر کنم؟ پنج تا راهکار اصلی بگین.

پاسخ: حتما. این پنج کار رو همیشه انجام بدین:
1. از یه رمز عبور قوی و منحصر به فرد استفاده کنین. رمزی که ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها باشه و برای حساب‌های دیگه‌تون ازش استفاده نکرده باشین.
2. احراز هویت دو عاملی (MFA) رو حتما فعال کنین. این کار امنیت حساب شما رو به شدت بالا می‌بره.
3. به لینک‌ها و پیوست‌های مشکوک، مخصوصا از طرف فرستنده‌های ناشناس، به هیچ وجه اعتماد نکنین. همیشه قبل از کلیک کردن، فکر کنین.
4. نرم‌افزارها و سیستم عامل‌تون رو همیشه آپدیت نگه دارین. این آپدیت‌ها معمولا شامل اصلاحیه‌های امنیتی مهمی هستن.
5. در مورد روش‌های جدید کلاهبرداری مثل فیشینگ، اطلاعات خودتون رو به‌روز نگه دارین. آگاهی، بهترین سلاح شماست.
منابع
[2] What is Email Security? – GeeksforGeeks

[4] What Is Email Security? Definition & Best Practices | Proofpoint US

[6] Just a moment…

[8] What is Email Security? | Why Email Security is Important

[10] Gmail Email Security & Privacy Settings – Google Safety Center

[1] What is email security? | Cloudflare

[3] What Is Email Security? | Microsoft Security

[5] What is Email Security? Types of Services and Solutions – Check Point Software

[7] What is Email Security? Types, Tactics and Best Practices | Fortinet

[9] What Is Email Security? – Protect Against Email Threats – Cisco
مرداد 29, 1404

وی‌پی‌ان چیست؟ چطور امنیت وب را افزایش می‌دهد؟

بذارید از اسمش شروع کنیم. VPN مخفف عبارت Virtual Private Network هست. اگه بخوایم این سه کلمه رو از هم جدا کنیم و معنی کنیم، فهمیدنش خیلی ساده‌تر میشه:

Virtual (مجازی): یعنی فیزیکی نیست. شما برای وصل شدن بهش نیاز به هیچ سیم یا کابل خاصی ندارید. همه چیز دیجیتالی و روی هوا اتفاق میفته.
Private (خصوصی): این مهمترین بخششه. یعنی این شبکه مال شماست و کسی نمیتونه سرک بکشه ببینه دارید چیکار میکنید. اطلاعاتتون در امان هست.
Network (شبکه): چون چند تا دستگاه رو به هم وصل میکنه. حداقلش دستگاه شما (لپ‌تاپ، گوشی، تبلت) و سرور وی‌پی‌ان. این دوتا با هم کار میکنن تا یک ارتباط برقرار کنن.

پس وقتی این سه تا رو میذاریم کنار هم، وی‌پی‌ان میشه یک «شبکه خصوصی مجازی». در واقع یک سرویسه که بین دستگاه شما و اینترنت یک ارتباط رمزنگاری شده و امن ایجاد میکنه. فکر کنید اینترنت یک اتوبان شلوغ و پر سر و صداست که همه ماشین‌ها (اطلاعات شما) دارن توش حرکت میکنن و هر کسی میتونه پلاک ماشین شما رو بخونه یا ببینه از کجا به کجا میرید. حالا وی‌پی‌ان مثل اینه که شما یک تونل شخصی و سرپوشیده برای خودتون توی این اتوبان درست کنید. ماشین شما وارد این تونل میشه، از دید بقیه پنهان میمونه و امن و امان به مقصد میرسه. اطلاعات شما اول از این تونل خصوصی و رمزنگاری شده رد میشه، میره به سرور وی‌پی‌ان و بعد از اونجا وارد اینترنت جهانی میشه. این لایه امنیتی اضافه باعث میشه ردگیری کارهایی که آنلاین انجام میدید خیلی سخت‌تر بشه.

وی‌پی‌ان چطوری کار میکنه؟ یک نگاه به پشت صحنه

خب، حالا که فهمیدیم وی‌پی‌ان چیه، بیاید یکم فنی‌تر به ماجرا نگاه کنیم ولی بازم به زبون ساده. وقتی شما دکمه «اتصال» یا Connect رو توی برنامه وی‌پی‌ان میزنید، چند تا اتفاق جالب پشت سر هم میفته:

احراز هویت (Authentication): اول از همه، برنامه وی‌پی‌ان شما با سرور وی‌پی‌ان ارتباط برقرار میکنه. مثل یک دست دادن یا معرفی کردنه. سرور چک میکنه که شما واقعا همون کسی هستید که اجازه استفاده از سرویس رو دارید. این پروسه که بهش «هندشیک» یا handshake هم میگن، خیلی سریع اتفاق میفته و کلیدهای رمزنگاری بین دستگاه شما و سرور رد و بدل میشه.
ساخت تونل (Tunneling): بعد از اینکه هویت شما تایید شد، وی‌پی‌ان یک «تونل» رمزنگاری شده روی بستر اینترنت ایجاد میکنه. این تونل امن، مسیر حرکت اطلاعات شما بین دستگاهتون و سرور وی‌پی‌ان هست.
رمزنگاری (Encryption): حالا هر اطلاعاتی که شما میفرستید یا دریافت میکنید، قبل از اینکه از دستگاهتون خارج بشه، توسط برنامه وی‌پی‌ان رمزنگاری میشه. یعنی چی؟ یعنی تبدیل میشه به یک سری کدها و حروف درهم و برهم که اگه کسی وسط راه بهش دسترسی پیدا کنه، هیچی ازش نمیفهمه. مثل اینکه دارید به یک زبون رمزی حرف میزنید که فقط شما و سرور وی‌پی‌ان بلدید. فقط سرور وی‌پی‌ان کلید باز کردن این قفل و خوندن اطلاعات رو داره.
کپسوله‌سازی (Encapsulation): برای اینکه امنیت بسته‌های اطلاعاتی شما بیشتر هم بشه، وی‌پی‌ان هر بسته اطلاعاتی رو داخل یک بسته دیگه قرار میده و اون بسته بیرونی رو رمزنگاری میکنه. مثل اینه که نامه‌تون رو بذارید توی یک پاکت، بعد اون پاکت رو هم بذارید توی یک صندوقچه قفل‌دار. این کار هسته اصلی تونل وی‌پی‌ان رو تشکیل میده و باعث میشه اطلاعات موقع جابجایی امن بمونن.
ارسال و رمزگشایی (Decryption): اطلاعات رمزنگاری شده شما از طریق اون تونل امن به سرور وی‌پی‌ان میرسه. سرور با استفاده از کلید خصوصی خودش، قفل رو باز میکنه، اطلاعات رو از حالت رمز خارج میکنه (رمزگشایی) و به شکل قابل فهم درمیاره.
ارسال به مقصد نهایی: حالا سرور وی‌پی‌ان، درخواست شما رو (مثلا باز کردن یک سایت) به اینترنت میفرسته. اما با یک تفاوت بزرگ: این درخواست دیگه با آدرس IP شما فرستاده نمیشه، بلکه با آدرس IP خود سرور وی‌پی‌ان فرستاده میشه. اینجاست که هویت شما مخفی میمونه.

وقتی اون سایت به درخواست شما جواب میده، جوابش رو برای سرور وی‌پی‌ان میفرسته. سرور دوباره اون جواب رو رمزنگاری میکنه و از طریق همون تونل امن برای شما میفرسته. وقتی به دستگاه شما رسید، برنامه وی‌پی‌ان اون رو رمزگشایی میکنه تا شما بتونید ببینیدش.

به طور خلاصه، سه تا کار اصلی و مهم انجام میده:

رمزنگاری: ترافیک اینترنت شما رو به کد تبدیل میکنه تا خوندنش برای دیگران خیلی سخت بشه.
امنیت انتقال داده: حتی وقتی از وای‌فای‌های عمومی و ناامن استفاده میکنید، وی‌پی‌ان یک لایه امنیتی اضافه میکنه تا اطلاعاتتون راحت دزدیده نشن.
پنهان کردن آدرس IP (IP Address Masking): وقتی به وی‌پی‌ان وصل میشید، آدرس IP واقعی شما مخفی میشه و آدرس IP سرور وی‌پی‌ان جایگزینش میشه. اینطوری به نظر میرسه که شما از یک شهر یا کشور دیگه به اینترنت وصل شدید و این کار حریم خصوصی شما رو موقع وب‌گردی خیلی بیشتر میکنه.

چرا اصلا باید از وی‌پی‌ان استفاده کنیم؟ (کاربردها و مزایا)

خب حالا میرسیم به سوال اصلی: این همه پیچیدگی برای چی؟ چرا باید از وی‌پی‌ان استفاده کنیم؟ دلایل زیادی وجود داره که بسته به نیازهای هر فرد، میتونه متفاوت باشه. بیاید چند تا از مهمترین‌هاش رو با هم بررسی کنیم.

۱. حفظ حریم خصوصی

این اولین و مهمترین دلیل استفاده از وی‌پی‌انه. شرکت ارائه‌دهنده اینترنت شما (ISP)، میتونه تمام فعالیت‌های آنلاین شما رو ببینه و ثبت کنه. اونها میدونن شما به چه سایت‌هایی سر میزنید، چه فایل‌هایی دانلود میکنید و چقدر آنلاین هستید. این اطلاعات میتونه به شرکت‌های تبلیغاتی فروخته بشه، به دولت داده بشه یا در صورت هک شدن سرورهای ISP، در معرض خطر قرار بگیره. وقتی از وی‌پی‌ان استفاده میکنید، ترافیک شما رمزنگاری میشه. ISP شما فقط میبینه که شما به یک سرور وی‌پی‌ان وصل شدید، اما دیگه نمیتونه ببینه داخل اون تونل چه خبره و شما دارید چیکار میکنید. وی‌پی‌ان عملا فعالیت شما رو از چشم ISP مخفی میکنه.

۲. امنیت در شبکه‌های وای‌فای عمومی

وای‌فای‌های عمومی مثل وای‌فای کافه، فرودگاه یا کتابخونه خیلی وسوسه‌انگیزن، اما به همون اندازه هم میتونن خطرناک باشن. این شبکه‌ها معمولا امنیت پایینی دارن و پسورد ندارن. این یعنی هکرها و افراد سودجو میتونن راحت به این شبکه وصل بشن و اطلاعاتی که بین دستگاه شما و اینترنت رد و بدل میشه رو شنود کنن. به این کار میگن «داده‌ربایی» یا data sniffing. اگه شما توی یک شبکه عمومی به حساب بانکی‌تون سر بزنید یا یک خرید آنلاین انجام بدید، اطلاعات حساس شما مثل رمز عبور یا شماره کارت بانکی در معرض خطر جدی قرار میگیره.

وی‌پی‌ان اینجا نقش یک محافظ رو بازی میکنه. با رمزنگاری کردن تمام اطلاعات شما، حتی اگه یک هکر بتونه به اطلاعات شما دسترسی پیدا کنه، فقط یک سری کد درهم و برهم میبینه و نمیتونه ازش استفاده کنه. اینطوری شما با خیال راحت‌تری میتونید از وای‌فای عمومی استفاده کنید.

۳. دور زدن محدودیت‌های جغرافیایی (Geo-restriction)

بعضی از سایت‌ها و سرویس‌های آنلاین، محتوای خودشون رو بر اساس موقعیت جغرافیایی شما محدود میکنن. مثلا ممکنه یک سرویس استریم فیلم، یک سری فیلم‌ها رو فقط برای کاربران یک کشور خاص نمایش بده. یا شاید شما به یک کشور دیگه سفر کردید و میخواید به محتوای محلی کشور خودتون دسترسی داشته باشید.

وی‌پی‌ان با تغییر دادن آدرس IP شما این مشکل رو حل میکنه. شما میتونید به یک سرور در کشور مورد نظرتون وصل بشید و اون سایت فکر میکنه شما واقعا در همون کشور هستید. اینطوری میتونید به محتوایی که قبلا براتون قفل بود دسترسی پیدا کنید.

۴. جلوگیری از سرقت هویت

سرقت هویت یک مشکل رو به رشده که هکرها اطلاعات شخصی شما رو میدزدن تا از کارت‌های بانکی شما استفاده کنن، به حساب‌هاتون دسترسی پیدا کنن یا حتی به اسم شما کارهای غیرقانونی انجام بدن. وی‌پی‌ان با رمزنگاری اطلاعات شما در تونل امن، کار رو برای کلاهبردارها سخت میکنه که به اطلاعات شما دسترسی پیدا کنن، مخصوصا در شبکه‌های ناامن. همینطور با مخفی کردن IP، شما رو در برابر حملات سایبری مثل حملات DDoS (Distributed Denial of Service) محافظت میکنه. اگه کسی IP واقعی شما رو ندونه، نمیتونه علیه شما حمله‌ای رو شروع کنه.

۵. دسترسی به اطلاعات حساس

برای بعضی افراد مثل روزنامه‌نگارها، فعالان اجتماعی یا کسانی که در کشورهای با محدودیت اینترنت زندگی میکنن، دسترسی امن به اطلاعات خیلی حیاتیه. وی‌پی‌ان اون لایه امنیتی اضافه رو براشون فراهم میکنه تا بتونن با خیال راحت‌تر به اطلاعات دسترسی پیدا کنن و هویتشون مخفی بمونه.

۶. جلوگیری از محدودیت سرعت اینترنت (Bandwidth Throttling)

گاهی وقت‌ها، ارائه‌دهنده اینترنت (ISP) شما ممکنه سرعت اینترنتتون رو بسته به فعالیت‌هایی که انجام میدید، عمدا کم کنه. مثلا وقتی دارید فیلم استریم میکنید یا فایل‌های حجیم دانلود میکنید، چون این کارها پهنای باند زیادی مصرف میکنه، ISP ممکنه سرعت شما رو محدود کنه تا فشار روی شبکه کمتر بشه. به این کار میگن Throttling.

از اونجایی که وی‌پی‌ان فعالیت شما رو از چشم ISP مخفی میکنه، اونها نمیدونن شما دارید چیکار میکنید و در نتیجه نمیتونن ترافیک خاصی رو هدف قرار بدن و سرعتش رو کم کنن. البته این به این معنی نیست که وی‌پی‌ان سرعت اینترنت شما رو بیشتر میکنه؛ معمولا به خاطر فرایند رمزنگاری و فاصله تا سرور، یک مقدار سرعت کم میشه. اما میتونه جلوی کم شدن عمدی سرعت توسط ISP رو بگیره.

۷. کار از راه دور (Remote Work)

امروزه کار کردن از خونه خیلی رایج شده. کارمندها برای اینکه بتونن به فایل‌ها و منابع داخلی شرکت دسترسی پیدا کنن، نیاز به یک راه امن دارن. وی‌پی‌ان به کارمندهای دورکار اجازه میده از هر جایی که به اینترنت دسترسی دارن، به شبکه خصوصی شرکت وصل بشن. این کار هم به کارمندها انعطاف بیشتری میده و هم تضمین میکنه که اطلاعات حساس شرکت، حتی روی یک شبکه وای‌فای عمومی، امن و خصوصی باقی بمونه.

انواع مختلف وی‌پی‌ان‌ها: هر کدوم به چه دردی میخورن؟

وی‌پی‌ان‌ها مدل‌های مختلفی دارن که هر کدوم برای یک کار خاص طراحی شدن. اگه بخوایم اونها رو دسته‌بندی کنیم، به چند گروه اصلی میرسیم:

اسم	نوع	روش اتصال	کاربرد
وی‌پی‌ان دسترسی از راه دور (Remote Access VPN)	خانگی/شخصی	اتصال به یک شبکه خصوصی یا سرور شخص ثالث از طریق SSL/TLS	برای کارمندهای دورکار و کاربران عادی که دنبال حریم خصوصی هستن
وی‌پی‌ان سایت به سایت (Site-to-site VPN)	خصوصی	یک شبکه از طریق LAN یا WAN به شبکه دیگری وصل میشه	برای اتصال دفترهای مختلف یک شرکت بزرگ به هم
اپلیکیشن‌های وی‌پی‌ان (VPN Applications)	موبایل	اتصال به شبکه خصوصی از طریق اپلیکیشن روی گوشی هوشمند	برای کاربرانی که در حال حرکت هستن و امنیت روی موبایل براشون مهمه

حالا بیاید هر کدوم از اینها رو یکم بیشتر باز کنیم:

۱. وی‌پی‌ان دسترسی از راه دور (Remote Access VPN)

این مدل که بهش Client-to-Site یا Host-to-Network هم میگن، رایج‌ترین نوع وی‌پی‌انه که اکثر ماها باهاش سر و کار داریم. در این حالت، یک کاربر (یا یک دستگاه) از راه دور به یک شبکه خصوصی وصل میشه. این میتونه شبکه شرکت شما باشه یا سرورهای یک شرکت ارائه‌دهنده وی‌پی‌ان تجاری.

شما معمولا با وارد کردن نام کاربری و رمز عبور در یک صفحه ورود یا از طریق یک برنامه (کلاینت) مخصوص روی کامپیوتر یا گوشی‌تون، به این شبکه وصل میشید. این نوع وی‌پی‌ان هم برای مصارف کاری (دسترسی به فایل‌های شرکت از خونه) و هم برای مصارف شخصی (حفظ حریم خصوصی موقع وب‌گردی) استفاده میشه و به همین دلیل خیلی محبوبه.

۲. وی‌پی‌ان سایت به سایت (Site-to-site VPN)

این نوع وی‌پی‌ان برای سازمان‌ها و شرکت‌های بزرگ طراحی شده که چندین شعبه در مکان‌های جغرافیایی مختلف دارن. به جای اینکه هر کارمند جداگانه به شبکه مرکزی وصل بشه، وی‌پی‌ان سایت به سایت، کل شبکه یک شعبه (مثلا دفتر تهران) رو به کل شبکه شعبه دیگه (مثلا دفتر اصفهان) از طریق اینترنت وصل میکنه.

این کار از طریق دستگاه‌های خاصی به اسم «دروازه» یا Gateway در هر دو طرف انجام میشه. در واقع این یک تونل دائمی و پایدار بین دو تا شبکه ایجاد میکنه. به این مدل، Network-to-Network هم میگن. وی‌پی‌ان‌های سایت به سایت خودشون دو نوع دارن:

اینترانت (Intranet): وقتی شعبه‌های مختلف یک سازمان به هم وصل میشن. مثلا دفترهای مختلف یک شرکت در شهرهای مختلف با هم در ارتباط هستن.
اکسترانت (Extranet): وقتی شبکه‌های چند سازمان مختلف به هم وصل میشن. مثلا یک شرکت برای همکاری با شرکای تجاری یا تامین‌کننده‌هاش، یک شبکه امن مشترک درست میکنه. در این حالت میشه سطح دسترسی‌ها رو هم مدیریت کرد تا هر سازمان فقط به منابع مشخصی دسترسی داشته باشه.

۳. وی‌پی‌ان موبایل (Mobile VPN)

با زیاد شدن استفاده از گوشی‌های هوشمند، وی‌پی‌ان‌های مخصوص موبایل هم خیلی مهم شدن. وی‌پی‌ان موبایل نه تنها تمام مزایای یک وی‌پی‌ان معمولی رو داره، بلکه برای شرایط خاص موبایل هم بهینه شده.

یک ویژگی کلیدی وی‌پی‌ان موبایل اینه که حتی وقتی اتصال اینترنت شما قطع و وصل میشه یا بین شبکه‌های مختلف جابجا میشید (مثلا از وای‌فای خونه به اینترنت سیم‌کارت)، ارتباط امن وی‌پی‌ان قطع نمیشه. این برای کسانی که زیاد در حال حرکت هستن یا به اینترنت پایداری دسترسی ندارن، ایده‌آل هست. تا زمانی که برنامه وی‌پی‌ان در حال اجرا باشه، دستگاه شما امن باقی میمونه.

پروتکل‌های وی‌پی‌ان: موتورهای پشت پرده

تا اینجا فهمیدیم وی‌پی‌ان چیه و چیکار میکنه. اما چیزی که قدرت و امنیت یک وی‌پی‌ان رو تعیین میکنه، «پروتکل» اونه. پروتکل مثل یک مجموعه از قوانین و دستورالعمل‌هاست که مشخص میکنه تونل امن چطوری ساخته بشه و اطلاعات چطوری رمزنگاری بشن. یک وی‌پی‌ان فقط وقتی میتونه امنیت شما رو تضمین کنه که از یک پروتکل قوی استفاده کنه. بیاید با چند تا از معروف‌ترین پروتکل‌ها آشنا بشیم:

اسم پروتکل	رمزنگاری	مسیریابی	بهترین کاربرد
OpenVPN	256-bit AES با OpenSSL	TCP و UDP, SSL/TLS	بهترین گزینه برای استفاده عمومی (ترکیب خوب سرعت و امنیت)
SSTP	256-bit AES	TCP, SSL/TLS	بهترین گزینه برای ویندوز (چون مایکروسافت ساختتش)
IKEv2 / IPSec	256-bit AES	UDP	بهترین گزینه برای موبایل (به خاطر پایداری در جابجایی)
L2TP / IPSec	256-bit AES	UDP	گزینه خوب برای راه‌اندازی‌های اولیه و ساده
PPTP	128-bit	TCP	هیچ؛ منسوخ شده و ناامن
WireGuard	256-bit AES	UDP	بهترین گزینه برای کسانی که دنبال تکنولوژی جدید و سرعت بالا هستن

یک توضیح کوتاه در مورد هر پروتکل:

OpenVPN: این پروتکل به نوعی استاندارد صنعتی حساب میشه. منبع باز (Open-source) هست، یعنی کدهاش در دسترس همه قرار داره تا کارشناس‌های امنیتی اون رو بررسی کنن و ایرادهاش رو پیدا کنن. این شفافیت باعث میشه خیلی قابل اعتماد باشه. هم امنه، هم سریع و هم خیلی انعطاف‌پذیر.
SSTP (Secure Socket Tunneling Protocol): این پروتکل توسط مایکروسافت ساخته شده و به صورت پیش‌فرض روی سیستم‌عامل ویندوز وجود داره. امنیت خوبی داره و چون مایکروسافت ازش پشتیبانی میکنه، برای کاربرهای ویندوز گزینه خیلی خوبیه.
IKEv2/IPsec: اسم کاملش هست Internet Key Exchange version 2. این پروتکل معمولا با IPsec (Internet Protocol Security) ترکیب میشه تا امنیت و سرعت بهینه‌ای داشته باشه. بزرگترین مزیتش اینه که در شرایط اینترنت ناپایدار خیلی خوب کار میکنه و برای موبایل ایده‌آله. مثلا وقتی از وای‌فای به اینترنت 4G سوییچ میکنید، اتصالش قطع نمیشه.
L2TP/IPsec: این پروتکل هم مثل قبلی، با IPsec ترکیب میشه تا امن‌تر بشه. راه‌اندازیش نسبتا ساده است اما امروزه خیلی از ارائه‌دهنده‌ها دیگه ازش پشتیبانی نمیکنن چون گزینه‌های بهتری مثل OpenVPN و WireGuard وجود داره.
PPTP (Point-to-Point Tunneling Protocol): این یکی از قدیمی‌ترین پروتکل‌هاست و امروزه دیگه منسوخ شده حساب میشه. مشکلات امنیتی زیادی داره و دیگه به عنوان یک گزینه امن شناخته نمیشه. بعضی از وی‌پی‌ان‌های رایگان ممکنه هنوز ازش استفاده کنن که باید خیلی مراقب بود.
WireGuard: این یک پروتکل نسبتا جدیده که خیلی سر و صدا کرده. کدنویسیش خیلی سبک‌تر و مدرن‌تره، سرعتش خیلی بالاست و با موبایل هم سازگاری عالی داره. مثل OpenVPN، این هم یک پروژه منبع بازه. در سال ۲۰۲۰، پشتیبانی از وایرگارد به هسته لینوکس و اندروید اضافه شد که این موضوع راه رو برای استفاده گسترده‌تر ازش باز کرد.

علاوه بر اینها، پروتکل‌های دیگه‌ای هم وجود دارن که کمتر رایج هستن مثل:

DTLS (Datagram Transport Layer Security): در وی‌پی‌ان‌هایی مثل Cisco AnyConnect و OpenConnect استفاده میشه تا مشکلاتی که TLS با تونل‌زنی روی TCP داره رو حل کنه.
MPPE (Microsoft Point-to-Point Encryption): با پروتکل PPTP کار میکنه.
SSH VPN: ابزار OpenSSH قابلیت تونل‌زنی وی‌پی‌ان رو فراهم میکنه اما بیشتر برای اتصال از راه دور به ماشین‌ها استفاده میشه تا یک اتصال سایت به سایت.

موقع انتخاب یک وی‌پی‌ان خوب، به چه چیزهایی دقت کنیم؟

حالا که اطلاعاتتون کامل شد، اگه تصمیم گرفتید از یک وی‌پی‌ان استفاده کنید، باید بدونید که چطور یک سرویس خوب رو انتخاب کنید. بازار پر از گزینه‌های مختلفه، اما شما باید دنبال یک شرکت معتبر با سابقه خوب و ارزش‌های قابل اعتماد باشید. این ویژگی‌ها رو در نظر بگیرید:

پروتکل‌های قوی: مهمترین ویژگی یک وی‌پی‌ان، امنیته. پس دنبال سرویسی باشید که از پروتکل‌های استاندارد صنعتی با رمزنگاری 256-bit AES استفاده میکنه. این همون سطح از رمزنگاریه که بانک‌ها و ارتش ازش استفاده میکنن. امروزه این یعنی باید سراغ سرویس‌هایی برید که از OpenVPN، IKEv2/IPsec یا WireGuard پشتیبانی میکنن و از پروتکل‌های منسوخ شده مثل PPTP دوری میکنن. بهترین ارائه‌دهنده‌ها به شما اجازه میدن بین چند پروتکل مختلف انتخاب کنید.
سیاست عدم ثبت گزارش (Zero-log Policy): شما از وی‌پی‌ان استفاده میکنید تا از چشم دیگران مخفی بمونید، اما خود شرکت وی‌پی‌ان از نظر تئوری میتونه تمام کارهای شما رو ببینه. برای همین خیلی مهمه شرکتی رو انتخاب کنید که در مورد سیاست ثبت گزارش‌هاش شفاف باشه. یک وی‌پی‌ان no-log یا zero-log یعنی اون شرکت هیچ‌کدوم از فعالیت‌های شما رو ثبت و ذخیره نمیکنه. این شامل گزارش‌های استفاده، گزارش‌های اتصال، داده‌های جلسات یا حتی آدرس IP واقعی شما میشه. اونها فقط اطلاعات اولیه مثل ایمیل و اطلاعات پرداخت شما رو نگه میدارن.
تعداد و پراکندگی سرورها: اگه یک ارائه‌دهنده فقط تعداد کمی سرور در چند جای محدود داشته باشه، ممکنه با کاهش سرعت مواجه بشید. هر چی تعداد سرورها در سراسر جهان بیشتر باشه، هم کاربران بین سرورها پخش میشن و عملکرد بهتر میشه، و هم شما گزینه‌های بیشتری برای انتخاب موقعیت جغرافیایی دارید. اگه سرورها به شما نزدیک‌تر باشن، داده‌های شما مسافت کمتری رو طی میکنن و سرعت بهتر میشه.
کیل سوییچ (Kill Switch): این یک ویژگی امنیتی خیلی مهمه. اگه به هر دلیلی اتصال وی‌پی‌ان شما قطع بشه، دستگاه شما به صورت خودکار به آدرس IP واقعی‌تون برمیگرده و هویت شما لو میره. کیل سوییچ جلوی این اتفاق رو میگیره. به محض اینکه اتصال وی‌پی‌ان قطع بشه، کیل سوییچ کل اتصال اینترنت شما رو قطع میکنه تا هیچ داده‌ای بدون محافظت ارسال نشه.
محافظت از آدرس IP: یک ارائه‌دهنده خوب باید به شما گزینه‌هایی برای مسیریابی مجدد IP بده. مثلا IP اشتراکی (Shared IP) که چندین کاربر رو زیر یک IP گروه‌بندی میکنه و باعث میشه تشخیص فعالیت یک فرد خاص سخت‌تر بشه. همچنین قابلیت تعویض سریع و راحت سرورها به شما این امکان رو میده که موقعیت خودتون رو به راحتی تغییر بدید.
سازگاری با موبایل: اگه امنیت روی موبایل براتون مهمه، دنبال سرویسی باشید که اپلیکیشن‌های موبایل خوبی داشته باشه و از پروتکل IKEv2/IPsec برای پایداری در جابجایی پشتیبانی کنه.
قیمت (پولی در برابر رایگان): به طور کلی، بهتره از وی‌پی‌ان‌های رایگان دوری کنید. یک شرکت پولی، یک شرکت معتبر و واقعیه که از تکنولوژی و زیرساخت باکیفیت پشتیبانی میکنه. یک ارائه‌دهنده پولی احتمال خیلی کمتری داره که فعالیت‌های شما رو ثبت کنه و به شرکت‌های تبلیغاتی بفروشه. درسته که وی‌پی‌ان‌های پرمیوم هزینه ماهانه دارن، اما ارزش امنیت و آرامش خیالی که به دست میارید، خیلی بیشتر از اون هزینه است.
پشتیبانی مشتری: مثل هر شرکت نرم‌افزاری دیگه‌ای، یک ارائه‌دهنده وی‌پی‌ان باید یک تیم پشتیبانی قابل اعتماد داشته باشه که در صورت بروز مشکل، بتونید باهاشون تماس بگیرید.

محدودیت‌ها و تصورات اشتباه در مورد وی‌پی‌ان

وی‌پی‌ان یک ابزار فوق‌العاده برای حفظ حریم خصوصی و امنیته، اما جادو نمیکنه. مهمه که بدونیم یک وی‌پی‌ان چه کارهایی رو نمیتونه انجام بده تا یک حس امنیت کاذب بهمون دست نده.

وی‌پی‌ان شما رو ۱۰۰ درصد ناشناس نمیکنه: رسیدن به ناشناس بودن کامل در اینترنت تقریبا غیرممکنه. وی‌پی‌ان یک ابزار عالی برای محافظت از حریم خصوصیه، اما ردپای دیجیتالی که شما موقع استفاده از اینترنت به جا میذارید رو نمیشه به طور کامل پاک کرد.
وی‌پی‌ان جلوی ویروس‌ها و بدافزارها رو نمیگیره: اگه شما روی یک لینک فیشینگ کلیک کنید یا یک فایل آلوده رو دانلود کنید، دستگاه شما ممکنه آلوده بشه، حتی اگه به وی‌پی‌ان وصل باشید. برای این کار شما به یک برنامه آنتی‌ویروس خوب نیاز دارید. بعضی وی‌پی‌ان‌ها قابلیت‌های اولیه بلاک کردن بدافزار رو دارن اما جایگزین آنتی‌ویروس نیستن.
وی‌پی‌ان جلوی کوکی‌ها (Cookies) رو نمیگیره: وی‌پی‌ان میتونه جلوی تبلیغ‌کننده‌ها رو بگیره که از کوکی‌ها برای هدف قرار دادن شما بر اساس IP استفاده کنن، اما خود کوکی‌ها همچنان روی مرورگر شما ذخیره میشن.
هنوز هم ممکنه هک بشید: اگه شما اصول اولیه امنیت سایبری رو رعایت نکنید، حتی با وجود وی‌پی‌ان هم در خطر هستید. وی‌پی‌ان از شما در برابر بی‌احتیاطی خودتون محافظت نمیکنه.
وی‌پی‌ان معمولا سرعت اینترنت رو کم میکنه: فرایند رمزنگاری و فرستادن اطلاعات به یک سرور دور، زمان‌بره و به طور طبیعی مقداری از سرعت شما رو کم میکنه. این یک نتیجه اجتناب‌ناپذیره. البته اگه از یک وی‌پی‌ان باکیفیت استفاده کنید، این کاهش سرعت به سختی قابل تشخیصه.

آیا استفاده از وی‌پی‌ان قانونیه؟

در اکثر کشورهای دنیا، استفاده از وی‌پی‌ان کاملا قانونیه. هیچ اشکالی نداره که شما برای محافظت از حریم خصوصی خودتون قدم بردارید. اما کشورهایی هم هستن که استفاده از وی‌پی‌ان در اونها ممنوع یا غیرقانونیه. کشورهایی مثل چین، ایران، عمان، روسیه، بلاروس، ترکمنستان و امارات متحده عربی (و چند کشور دیگه) محدودیت‌هایی برای استفاده از وی‌پی‌ان دارن.

نکته مهم اینه که انجام فعالیت‌های غیرقانونی آنلاین، چه با وی‌پی‌ان و چه بدون اون، همچنان غیرقانونیه.

پرسش و پاسخ‌های متداول

خب، این هم از درس امروز ما. امیدوارم همه چیز رو خوب یاد گرفته باشید. حالا بیاید چند تا از سوال‌هایی که معمولا برای بچه‌ها پیش میاد رو با هم مرور کنیم.

سوال: به طور خلاصه وی‌پی‌ان چیکار میکنه؟
یک وی‌پی‌ان (شبکه خصوصی مجازی) با رمزنگاری کردن داده‌های شما و مخفی کردن آدرس IP شما، از کاربرهاش محافظت میکنه. این کار باعث میشه فعالیت وب‌گردی، هویت و موقعیت مکانی شما مخفی بمونه و حریم خصوصی و استقلال بیشتری به شما میده.

سوال: آیا وی‌پی‌ان من رو از ردیابی ISP محافظت میکنه؟
بله. وی‌پی‌ان با مسیریابی اتصال شما به یک سرور وی‌پی‌ان از راه دور، آدرس IP شما رو مخفی میکنه و موقعیت مکانی شما رو پنهان میکنه. با مخفی شدن این اطلاعات، هویت شما خصوصی باقی میمونه و ارائه‌دهنده اینترنت (ISP)، شرکت‌های تبلیغاتی و مجرمان سایبری نمیتونن شما رو ردیابی کنن.

سوال: آیا باید وی‌پی‌انم رو همیشه روشن بذارم؟
این به خودتون بستگی داره. قطعا هر وقت به یک وای‌فای عمومی وصل میشید، باید وی‌پی‌ان رو روشن کنید. فراتر از اون، اگه میخواید به طور مداوم تحت پوشش امنیتی آنلاین باشید، میتونید همیشه روشنش بذارید. فقط یادتون باشه که استفاده مداوم از وی‌پی‌ان ممکنه کمی سرعت اینترنت شما رو کم کنه.

سوال: وی‌پی‌ان روی گوشی چیه؟
وی‌پی‌ان روی گوشی آیفون یا اندروید یک اپلیکیشن موبایله که ترافیک اینترنت رو رمزنگاری میکنه، آدرس IP دستگاه رو مخفی میکنه و یک وب‌گردی امن‌تر و خصوصی‌تر رو از طریق یک شبکه خصوصی مجازی فراهم میکنه.

سوال: چطوری یک وی‌پی‌ان نصب کنم؟
برای نصب یک وی‌پی‌ان، اپلیکیشن ارائه‌دهنده مورد نظرتون رو دانلود کنید، اجراش کنید و وارد حساب کاربری‌تون بشید. بعد از اون، میتونید به سرور دلخواهتون وصل بشید تا اتصال اینترنتتون امن بشه.

منابع

[2] Virtual private network – Wikipedia
[4] What is a VPN – Meaning and all you need to know – Surfshark
[6] Everything You Need to Know About VPNs and How They Work – CNET
[8] What is a VPN and what does it do? – Norton

[1] What is a VPN and why it’s important : r/VPN
[3] What is a VPN? Why Should I Use a VPN? | Microsoft Azure
[5] What is a VPN? Virtual private network meaning | NordVPN
[7] Is a VPN actually worth it? : r/VPN
[9] What Is a Virtual Private Network (VPN)? – Cisco

مرداد 29, 1404

اعتماد صفر یا Zero Trust، رویکرد نوین به امنیت سایبری

بذارین اول از یه روش قدیمی شروع کنیم که بفهمیم چرا اصلا به یه چیز جدید مثل اعتماد صفر نیاز پیدا کردیم. تا همین چند سال پیش، شرکت‌ها و سازمان‌ها به امنیت شبکه مثل یه قلعه نگاه می‌کردن. یه قلعه محکم با دیوارهای بلند و یه خندق دورش. هر چیزی که بیرون این قلعه بود، «غیرقابل اعتماد» و «بد» حساب میشد و هر کسی یا هر چیزی که داخل قلعه بود، «قابل اعتماد» و «خوب» بود.

فکر کنین شما کارمند یه شرکتین. وقتی وارد ساختمون شرکت میشین و به شبکه داخلی وصل میشین، انگار از پل متحرک قلعه رد شدین و وارد شدین. از اون لحظه به بعد، سیستم امنیتی شرکت به شما اعتماد کامل داشت. میگفت: «خب، این دیگه خودیه! بذار هر کاری میخواد بکنه.» شما میتونستین به همه فایل‌ها، پرینترها و سرورهای داخلی راحت دسترسی داشته باشین. این روش بهش میگن امنیت مبتنی بر محیط (Perimeter-based security).

چرا دیگه مدل قلعه و خندق جواب نمیده؟

این مدل تا وقتی خوب بود که همه کارمندها توی یه ساختمون بودن و همه اطلاعات شرکت روی سرورهای همون ساختمون بود. اما دنیای امروز خیلی فرق کرده:

دورکاری و کار هیبریدی: الان خیلی‌ها از خونه کار میکنن. دیگه کسی داخل قلعه نیست.
سرویس‌های ابری (Cloud): اطلاعات شرکت‌ها دیگه فقط روی سرورهای خودشون نیست. کلی از اطلاعات و نرم‌افزارها روی سرویس‌های ابری مثل مایکروسافت، آمازون و گوگل پخش شدن.
دستگاه‌های شخصی (BYOD): خیلی‌ها با لپ‌تاپ یا گوشی شخصی خودشون به شبکه شرکت وصل میشن.
اینترنت اشیا (IoT): کلی دستگاه مثل پرینترهای هوشمند، دوربین‌ها و سنسورها به شبکه وصلن که امنیت‌شون همیشه عالی نیست.

با این همه تغییر، دیگه چیزی به اسم «محیط شبکه» یا همون دیوار قلعه وجود نداره. همه چیز پخش و پلاست. حالا اگه یه هکر بتونه یه جوری خودش رو برسونه داخل این شبکه گسترده (مثلا با دزدیدن رمز عبور یه کارمند دورکار)، اون وقت چی میشه؟ سیستم امنیتی قدیمی میگه: «اینم خودیه!» و هکر مثل شما میتونه به همه جا سرک بکشه. این حرکت هکر در داخل شبکه رو بهش میگن حرکت جانبی (Lateral Movement). اینجاست که فاجعه اتفاق می‌افته.

تولد یک ایده جدید: اعتماد صفر (Zero Trust)

حدود سال ۲۰۱۰، یه تحلیل‌گر از شرکت تحقیقاتی فارستر (Forrester Research) به اسم جان کیندرواگ (John Kindervag) اومد و گفت این مدل قلعه و خندق دیگه فایده نداره. اون یه ایده جدید مطرح کرد که اسمش رو گذاشت «اعتماد صفر».

فلسفه اعتماد صفر خیلی ساده‌ست. میگه: «هرگز اعتماد نکن، همیشه بررسی کن» (Never trust, always verify).

این یعنی چی؟ یعنی دیگه فرقی نمیکنه شما داخل شبکه شرکت باشین یا بیرونش. روی مبل خونه‌تون نشستین یا پشت میزتون توی اداره. هر بار که بخواین به یه فایل، یه نرم‌افزار یا هر منبع دیگه‌ای دسترسی پیدا کنین، سیستم باید هویت شما و سلامت دستگاه شما رو از اول بررسی کنه. انگار که یه نگهبان فوق‌العاده وسواسی دم در هر اتاق شرکت ایستاده و هر بار که میخواین وارد یه اتاق جدید بشین، کارت شناسایی شما رو چک میکنه، حتی اگه ده ثانیه پیش شما رو دیده باشه!

پس اعتماد صفر یه محصول یا یه سرویس خاص نیست که بریم بخریم و نصب کنیم. این یه استراتژی و یه مدل فکری برای طراحی سیستم‌های امنیتیه. این مدل فرض میکنه که هکرها هم داخل شبکه هستن هم بیرونش. پس به هیچ‌کس و هیچ‌چیز به طور پیش‌فرض اعتماد نمیکنه.

سه اصل اساسی در دنیای اعتماد صفر

کل این مدل فکری روی سه تا پایه اصلی بنا شده. بیاید این سه تا اصل رو با هم مرور کنیم:

اصل	توضیح ساده و خودمونی
بررسی صریح (Verify explicitly)	همیشه هویت و مجوز دسترسی رو بر اساس تمام اطلاعات موجود چک کن. یعنی فقط به یه رمز عبور قانع نشو. ببین این کاربر کیه، از کجا وصل شده، دستگاهش چیه، وضعیت سلامت دستگاهش چطوره و… بعد اجازه بده.
استفاده از دسترسی با حداقل امتیاز (Use least privilege access)	به هر کاربر فقط و فقط به اندازه‌ای که برای انجام کارش نیاز داره دسترسی بده، نه بیشتر. مثل ارتش که به هر سرباز اطلاعات رو بر اساس نیاز به دانستن (need-to-know) میدن. وقتی هم کارش تموم شد، دسترسی رو ازش بگیر.
فرض کردن رخنه امنیتی (Assume breach)	همیشه فرض کن که هکرها همین الان داخل شبکه هستن. با این فرض، باید کاری کنی که اگه یه بخش از شبکه هک شد، هکر نتونه به بخش‌های دیگه بره و کل سیستم رو نابود کنه. باید محدوده خسارت یا اون «شعاع انفجار» (Blast Radius) رو به حداقل برسونی.

این سه تا اصل، قلب تپنده مدل اعتماد صفر هستن. به جای اینکه فکر کنیم هر چیزی پشت فایروال شرکت امنه، مدل اعتماد صفر هر درخواست رو طوری بررسی میکنه که انگار از یه شبکه کنترل‌نشده و ناامن اومده.

اعتماد صفر چطوری کار میکنه؟ ستون‌های اصلی

خب، حالا که با فلسفه‌اش آشنا شدیم، ببینیم در عمل چطوری پیاده‌سازی میشه. سازمان‌های مختلفی مثل موسسه ملی استاندارد و فناوری آمریکا (NIST) و آژانس امنیت سایبری و زیرساخت آمریکا (CISA) اومدن و مدل‌هایی برای پیاده‌سازی اعتماد صفر ارائه دادن. یکی از معروف‌ترین مدل‌ها، مدل CISA هست که پنج تا ستون اصلی داره. بیاید این ستون‌ها رو بشناسیم:

۱. هویت (Identity)

این ستون مربوط به آدم‌ها و حتی سرویس‌های نرم‌افزاری میشه. در مدل اعتماد صفر، هویت هر کسی که میخواد به چیزی دسترسی پیدا کنه باید به شدت کنترل بشه.

احراز هویت چندعاملی (MFA): دیگه وارد کردن یه رمز عبور کافی نیست. سیستم باید حداقل دو تا مدرک از شما بخواد تا مطمئن بشه خودتون هستین. مثلا بعد از وارد کردن رمز، یه کد هم به گوشی شما میفرسته. این روش باید در مقابل حملات فیشینگ هم مقاوم باشه.
کنترل مداوم: فقط اول کار هویت رو چک نمیکنیم. در تمام مدتی که به سیستم وصل هستین، رفتار شما زیر نظر گرفته میشه.
حداقل امتیاز: همونطور که گفتیم، هر کاربر فقط به منابعی که برای کارش ضروریه دسترسی داره.

۲. دستگاه (Device)

هر دستگاهی که به شبکه وصل میشه (لپ‌تاپ، گوشی، سرور، پرینتر و…) یه نقطه ضعف بالقوه‌ست. پس باید حواس‌مون به دستگاه‌ها هم باشه.

لیست موجودی: سازمان باید یه لیست کامل و به‌روز از تمام دستگاه‌های مجاز داشته باشه. هر دستگاهی که تو این لیست نیست، حق ورود نداره.
بررسی سلامت دستگاه: قبل از اینکه به یه دستگاه اجازه اتصال داده بشه، سیستم باید سلامت اون رو چک کنه. مثلا ببینه آنتی‌ویروسش آپدیته؟ سیستم‌عاملش نسخه جدیده؟ برنامه مشکوکی روش نصب نیست؟
نظارت دائمی: وضعیت دستگاه‌ها به طور مداوم کنترل میشه تا اگه مشکلی پیش اومد، سریعا دسترسی اون دستگاه قطع بشه.

۳. شبکه/محیط (Network/Environment)

تو مدل اعتماد صفر، کل شبکه به منطقه‌های خیلی کوچیک و ایزوله تقسیم میشه. این کار باعث میشه اگه هکری وارد یه منطقه شد، نتونه به راحتی به مناطق دیگه بره.

میکروسگمنتیشن (Microsegmentation): به جای تقسیم‌بندی سنتی شبکه، از این روش استفاده میشه که شبکه‌ها رو به بخش‌های خیلی ریزتر و امن‌تر تقسیم میکنه. اینطوری جلوی حرکت جانبی هکرها گرفته میشه. حتی منابعی که یه کاربر بهشون دسترسی نداره، اصلا براش قابل دیدن نیستن.
رمزنگاری ترافیک: تمام اطلاعاتی که در شبکه جابجا میشن، باید رمزنگاری بشن تا اگه کسی تونست اونها رو شنود کنه، چیزی ازشون نفهمه.
کنترل جریان داده: باید روی تمام داده‌هایی که وارد و خارج میشن نظارت دقیق وجود داشته باشه.

۴. اپلیکیشن و بار کاری (Application and Workload)

نرم‌افزارها و سرویس‌هایی که روی سرورها (چه داخلی و چه ابری) اجرا میشن هم باید طبق اصول اعتماد صفر کنترل بشن.

مجوزدهی پویا: به جای اینکه یه بار به یه نرم‌افزار دسترسی بدیم و خلاص، دسترسی‌ها به صورت پویا و مداوم چک میشن.
نظارت بر ارتباطات: ارتباط بین نرم‌افزارهای مختلف هم زیر نظر گرفته میشه تا اگه رفتار غیرعادی دیده شد، سریعا جلوی اون گرفته بشه.
امنیت در فرآیند توسعه: اصول امنیتی باید از همون اول در فرآیند ساخت و توسعه نرم‌افزارها لحاظ بشه.

۵. داده (Data)

و در نهایت، مهم‌ترین دارایی هر سازمانی، یعنی داده‌ها. هدف نهایی همه این کارها، محافظت از داده‌هاست.

دسته‌بندی و برچسب‌گذاری: داده‌ها باید بر اساس میزان حساسیت‌شون دسته‌بندی و برچسب‌گذاری بشن تا بشه سیاست‌های امنیتی مناسب رو براشون اعمال کرد.
رمزنگاری داده‌ها: همه داده‌ها، چه اونایی که روی هارد ذخیره شدن (at rest)، چه اونایی که در حال انتقال در شبکه هستن (in transit) و چه اونایی که دارن پردازش میشن (in use)، باید رمزنگاری بشن.
جلوگیری از نشت داده (Data Exfiltration): باید مکانیزم‌هایی وجود داشته باشه که جلوی خروج غیرمجاز داده‌های حساس از سازمان رو بگیره.

دو ستون اضافه برای حرفه‌ای‌ها

بعضی مدل‌های پیشرفته‌تر مثل مدل وزارت دفاع آمریکا (DoD)، دو تا ستون دیگه هم به این پنج تا اضافه میکنن:

مشاهده و تحلیل (Visibility and Analytics): باید ابزارهایی داشته باشیم که به طور مداوم همه اتفاقات شبکه رو ثبت و تحلیل کنن. اینطوری میشه رفتارهای مشکوک رو شناسایی کرد و به صورت هوشمندانه تصمیم‌های امنیتی گرفت.
اتوماسیون و هماهنگی (Automation and Orchestration): خیلی از این فرآیندها باید به صورت خودکار انجام بشن. سیستم باید بتونه به صورت اتوماتیک به تهدیدها واکنش نشون بده و سیاست‌های امنیتی رو بین سیستم‌های مختلف هماهنگ کنه.

پیاده‌سازی اعتماد صفر: از کجا شروع کنیم؟

پیاده‌سازی این مدل یه پروژه بزرگ و طولانیه و نمیشه یه شبه انجامش داد. اما سازمان‌ها میتونن قدم به قدم این مسیر رو طی کنن. این چند تا مرحله میتونه یه نقشه راه خوب باشه:

شناسایی و ارزیابی دارایی‌ها: اول از همه باید بدونیم چه چیزهای باارزشی داریم که باید ازشون محافظت کنیم. داده‌های حساس، نرم‌افزارهای مهم و…
تایید هویت کاربر و دستگاه: باید مطمئن بشیم هر کسی و هر دستگاهی همونیه که ادعا میکنه. استفاده از احراز هویت چندعاملی برای کاربرها و روش‌های تایید هویت برای دستگاه‌ها در این مرحله ضروریه.
تعریف سیاست‌های دسترسی: باید مشخص کنیم چه کسی، کی، چرا و چطور باید به منابع مختلف دسترسی داشته باشه. این سیاست‌ها باید خیلی دقیق و جزئی باشن.
نظارت و تست مداوم: بعد از پیاده‌سازی، باید به طور مداوم همه چیز رو زیر نظر داشته باشیم تا رفتارهای غیرعادی رو پیدا کنیم و سیاست‌هامون رو بر اساس تهدیدهای جدید به‌روز کنیم.

یه فناوری کلیدی که برای پیاده‌سازی این مدل استفاده میشه ZTNA (Zero Trust Network Access) هست. ZTNA یه جور جایگزین مدرن برای VPN های قدیمیه. VPN شما رو به کل شبکه وصل میکرد، اما ZTNA فقط و فقط شما رو به همون نرم‌افزار یا منبعی که بهش نیاز دارین وصل میکنه و بقیه شبکه رو از شما مخفی نگه میداره.

چرا دولت‌ها و شرکت‌های بزرگ به سمت اعتماد صفر میرن؟

این موضوع انقدر جدی شده که حتی دولت‌ها هم وارد عمل شدن.

در سال ۲۰۲۱، رئیس جمهور آمریکا، جو بایدن، با فرمان اجرایی ۱۴۰۲۸، همه آژانس‌های فدرال دولت آمریکا رو موظف کرد که معماری اعتماد صفر رو پیاده‌سازی کنن. بعد از اون در ژانویه ۲۰۲۲، دفتر مدیریت و بودجه (OMB) هم استراتژی فدرال اعتماد صفر رو در یادداشت ۲۲-۰۹ منتشر کرد.
شرکت مایکروسافت هم در نوامبر ۲۰۲۳ ابتکاری به اسم Secure Future Initiative (SFI) رو شروع کرد که تعهدی چند ساله برای امن‌تر کردن محصولاتش هست. بخش بزرگی از این ابتکار، پیاده‌سازی سفت و سخت مدل اعتماد صفر در زیرساخت‌های خود مایکروسافته.

این نشون میده که اعتماد صفر دیگه یه ایده تئوری نیست و به یه استاندارد مهم در دنیای امنیت تبدیل شده.

مزایای اعتماد صفر چیه؟

خب این همه دردسر برای چی؟ پیاده‌سازی این مدل چه فایده‌هایی داره؟

کاهش سطح حمله (Attack Surface): چون دسترسی‌ها خیلی محدود میشن و خیلی از منابع از دید کاربرهای غیرمجاز مخفی هستن، هکرها نقاط کمتری برای نفوذ پیدا میکنن.
جلوگیری از حرکت جانبی: حتی اگه یه هکر بتونه یه حساب کاربری یا یه دستگاه رو هک کنه، به خاطر میکروسگمنتیشن نمیتونه به راحتی در شبکه حرکت کنه و خسارت زیادی بزنه.
محافظت بهتر از داده‌ها: با رمزنگاری و کنترل دسترسی دقیق، داده‌ها در هر حالتی امن‌تر هستن.
پشتیبانی امن از دورکاری: این مدل برای دنیای امروز که پر از کارمندهای دورکار و سرویس‌های ابریه، کاملا طراحی شده و امنیت رو در این محیط‌های پراکنده فراهم میکنه.
افزایش دید و کنترل: چون همه چیز به طور مداوم ثبت و تحلیل میشه، مدیران شبکه دید خیلی بهتری روی اتفاقات دارن و میتونن سریع‌تر به تهدیدها واکنش نشون بدن.
ساده‌سازی زیرساخت: در بلندمدت، این مدل میتونه با حذف ابزارهای امنیتی قدیمی و پیچیده مثل VPN های سنتی، به ساده‌تر شدن زیرساخت IT کمک کنه.

چالش‌های مسیر اعتماد صفر

البته این مسیر گل و بلبل هم نیست و چالش‌هایی داره:

پیچیدگی و زمان‌بر بودن: تعریف و پیاده‌سازی سیاست‌های دقیق برای هر کاربر، دستگاه و منبع، کار فنی و مدیریتی خیلی زیادی میطلبه و ممکنه سال‌ها طول بکشه.
نیاز به تعهد سازمانی: این یه پروژه بزرگه که نیاز به هماهنگی بین بخش‌های مختلف IT و تعهد مدیران ارشد داره.
تجربه کاربری: اگه احراز هویت‌های مداوم خیلی اذیت‌کننده باشن، ممکنه کارمندها رو کلافه کنه. برای همین باید یه تعادل بین امنیت و راحتی کاربر برقرار کرد.
وابستگی به فروشنده‌ها: چون اعتماد صفر یه استاندارد صنعتی دقیق نیست، ممکنه سازمان‌ها به راه‌حل‌های اختصاصی یه شرکت خاص وابسته بشن و این در آینده مشکل‌ساز بشه.

پرسش و پاسخ‌های متداول (یه جورایی امتحان آخر ترم!)

خب، حالا که کل درس رو با هم مرور کردیم، بذارین چند تا سوال کلیدی که ممکنه تو ذهن‌تون باشه رو جواب بدیم.

سوال ۱: پس اعتماد صفر یه نرم‌افزاره که باید بخریم؟

نه دقیقا. اعتماد صفر یه استراتژی و یه چارچوب فکریه. البته برای پیاده‌سازی این استراتژی، شما به ابزارها و فناوری‌های مختلفی مثل ZTNA، سیستم‌های مدیریت هویت (IAM)، احراز هویت چندعاملی (MFA) و ابزارهای نظارتی نیاز دارین. اما نمیتونین برین تو مغازه و بگین «یه اعتماد صفر بدین»!

سوال ۲: فرق اصلی اعتماد صفر با VPN چیه؟

یه VPN سنتی شما رو به کل شبکه شرکت وصل میکنه و بهتون یه آدرس IP داخلی میده. از اون به بعد، انگار شما داخل «قلعه» هستین و به خیلی چیزها دسترسی دارین. اما ZTNA که بر اساس مدل اعتماد صفر کار میکنه، شما رو به شبکه وصل نمیکنه. بلکه یه تونل امن و مستقیم فقط بین شما و همون نرم‌افزاری که لازمش دارین ایجاد میکنه. اینطوری هم امنیت بالاتره و هم تجربه کاربری معمولا بهتر و سریع‌تره.

سوال ۳: این مدل فقط برای شرکت‌های خیلی بزرگه؟

نه. اصول اعتماد صفر برای هر سازمانی، حتی کسب‌وکارهای کوچیک، مفیده. هر جایی که داده‌های دیجیتال و شبکه وجود داشته باشه، این مدل میتونه امنیت رو به شکل قابل توجهی افزایش بده. البته روش پیاده‌سازی برای یه شرکت کوچیک ممکنه ساده‌تر از یه سازمان دولتی بزرگ باشه.

سوال ۴: آیا اعتماد صفر امنیت رو صد در صد تضمین میکنه؟

در دنیای امنیت هیچ چیز صد در صد نیست. همیشه تهدیدهای جدیدی به وجود میان. اما اعتماد صفر یه رویکرد خیلی موثر برای بالا بردن سطح امنیت و کاهش شدید ریسک حملات سایبری در دنیای دیجیتال امروزه. این مدل با فرض کردن اینکه حمله اتفاق افتاده، سازمان رو برای بدترین سناریوها آماده میکنه.

سوال ۵: SASE که این روزها زیاد میشنویم، چه ربطی به اعتماد صفر داره؟

سوال خوبیه! SASE (Secure Access Service Edge) یه مدل معماری دیگه‌ست که خدمات شبکه (مثل SD-WAN) و خدمات امنیتی (مثل ZTNA، فایروال ابری و…) رو در قالب یه سرویس یکپارچه ابری ارائه میده. اعتماد صفر، فلسفه و چارچوب اصلی دسترسی در مدل SASE هست. به عبارت دیگه، SASE زیرساخت و سرویس‌ها رو فراهم میکنه و اعتماد صفر قوانین و مدل فکری حاکم بر اون زیرساخت رو تعیین میکنه. این دوتا مفهوم مکمل همدیگه هستن.

منابع

[2] What Is Zero Trust? Zero Trust Security Model | Akamai
[4] Zero Trust security model – ITSAP.10.008 – Canadian Centre for Cyber Security
[6] What is Zero Trust Architecture? – Palo Alto Networks
[8] What is Zero-Trust outside of the marketing bs? : r/AskNetsec
[10] What Is Zero Trust? | Benefits & Core Principles – Zscaler

[1] What is Zero Trust? | Microsoft Learn
[3] Zero Trust security | What is a Zero Trust network? | Cloudflare
[5] What is Zero Trust? – Guide to Zero Trust Security | CrowdStrike
[7] What Is Zero Trust? | IBM
[9] What Is Zero-Trust Networking? – Cisco

مرداد 29, 1404

حملات DDoS چی هستن و هدفشون چیه

حمله‌های DDoS. شاید اسمش رو شنیده باشید، به خصوص وقتی که سرورهای بازی مورد علاقه‌تون از کار میفته یا یه سایت مهم یهو از دسترس خارج میشه. خیلی‌ها فکر میکنن این یه جور هک پیچیده‌اس که یه نابغه کامپیوتر انجامش میده، اما داستان یه کم فرق میکنه. بیایید با هم قدم به قدم بریم جلو و ببینیم این حمله‌ها دقیقن چی هستن، چطوری کار میکنن و چرا مقابله باهاشون اینقدر سخته.

فکر کنین یه بزرگراه شلوغ رو در نظر بگیرید که ماشین‌ها دارن به آرامی به سمت مقصدشون میرن. حالا یهو هزاران ماشین الکی و خالی وارد این بزرگراه میشن و کل مسیر رو میبندن. نتیجه چی میشه؟ یه ترافیک وحشتناک که اجازه نمیده ماشین‌های واقعی و مسافرهای اصلی به مقصدشون برسن. حمله DDoS دقیقن همینه، اما توی دنیای اینترنت.

یه عده با نیت خرابکارانه، یه حجم عظیمی از ترافیک اینترنتی الکی رو به سمت یه سرور، سرویس یا شبکه سرازیر میکنن. این حجم از ترافیک اونقدر زیاده که هدف مورد نظر یا زیرساخت‌های اطرافش نمیتونن از پسش بربیان و در نهایت از کار میفتن. اینجوری، کاربرهای واقعی و معمولی دیگه نمیتونن به اون سرویس دسترسی داشته باشن.

حمله DDoS چطوری اجرا میشه؟ ارتش زامبی‌ها وارد میشود

برای اینکه بفهمیم این حجم از ترافیک از کجا میاد، باید با چند تا مفهوم کلیدی آشنا بشیم. حمله‌های DDoS با استفاده از شبکه‌ای از کامپیوترها و دستگاه‌های متصل به اینترنت اجرا میشن.

بات (Bot) یا زامبی (Zombie): اینها دستگاه‌های معمولی مثل کامپیوتر من و شما، یا حتی دستگاه‌های هوشمند مثل دوربین‌های مداربسته و یخچال‌های هوشمند (همون دستگاه‌های IoT) هستن که به بدافزار آلوده شدن. صاحب این دستگاه‌ها معمولن روحش هم خبر نداره که دستگاهش آلوده شده و داره ازش سوءاستفاده میشه.
بات‌نت (Botnet): وقتی یه تعداد زیادی از این بات‌ها یا زامبی‌ها تحت کنترل یک نفر (مهاجم) قرار میگیرن، یه شبکه به اسم «بات‌نت» تشکیل میدن. این بات‌نت مثل یه ارتش از دستگاه‌های آلوده‌اس که منتظر دستور فرمانده‌شون هستن.

حالا مهاجم چیکار میکنه؟ خیلی ساده. وقتی یه بات‌نت آماده شد، مهاجم میتونه از راه دور به همه این بات‌ها دستور بده. فرض کنید هدف، سرور یه بازی آنلاینه. مهاجم به کل ارتش بات‌نتش دستور میده که همزمان شروع کنن به فرستادن درخواست به آدرس IP اون سرور.

هر بات یه درخواست میفرسته. حالا تصور کنین صدها هزار یا حتی میلیون‌ها بات همزمان این کار رو بکنن. سرور هدف با سیلی از درخواست‌ها روبرو میشه که نمیتونه به همشون جواب بده. منابعش تموم میشه، پردازنده‌اش درگیر میشه و در نهایت یا خیلی کند میشه یا کاملن از کار میفته. اینجوری، بازیکن‌های واقعی که میخوان وارد بازی بشن، با قطعی سرویس مواجه میشن.

یکی از بزرگترین چالش‌ها اینه که هر کدوم از این بات‌ها یه دستگاه اینترنتی واقعی و قانونیه. برای همین، تشخیص دادن ترافیک حمله از ترافیک کاربرهای واقعی خیلی سخته. انگار که توی اون مثال ترافیک، همه ماشین‌های الکی، ظاهری شبیه ماشین‌های واقعی داشته باشن.

از کجا بفهمیم داریم مورد حمله قرار میگیریم؟

واضح‌ترین نشونه یه حمله DDoS اینه که یه سایت یا سرویس یهویی خیلی کند میشه یا کاملن از دسترس خارج میشه. اما خب، این مشکل میتونه دلایل دیگه‌ای هم داشته باشه، مثلن اینکه یه محصول جدید عرضه شده و یه عالمه کاربر واقعی همزمان هجوم آوردن به سایت. برای همین، برای تشخیص قطعی، باید بیشتر تحقیق کرد.

ابزارهای تحلیل ترافیک میتونن به ما کمک کنن تا بعضی از علائم کلیدی یه حمله DDoS رو تشخیص بدیم:

حجم ترافیک غیرعادی که به سمت یک نقطه یا آدرس IP خاص هدایت شده.
یه الگوی ترافیکی عجیب، مثلن ترافیک زیاد از طرف کاربرهایی که پروفایل مشابهی دارن (مثلن همه از یک منطقه جغرافیایی خاص، یا از یک نوع دستگاه خاص هستن).
افزایش ناگهانی و شدید ترافیک در ساعت‌های غیرمعمول روز.
افزایش عجیب در درخواست‌ها برای یک صفحه یا یک نقطه پایانی خاص.
کند شدن غیرعادی عملکرد شبکه برای مدت طولانی.

البته علائم دیگه‌ای هم وجود داره که بسته به نوع حمله میتونن متفاوت باشن. برای اینکه انواع حمله رو بهتر بفهمیم، اول باید ببینیم یه اتصال اینترنتی چطوری کار میکنه.

لایه‌های اتصال اینترنتی: ساختمون ۷ طبقه ما

یه اتصال اینترنتی از چندین لایه مختلف تشکیل شده. مثل ساختن یه خونه که از پی شروع میشه و طبقه به طبقه بالا میره، هر لایه توی شبکه هم یه وظیفه خاص داره. یه مدل مفهومی برای توصیف این لایه‌ها وجود داره به اسم مدل OSI که ۷ تا لایه داره. حمله‌های DDoS میتونن لایه‌های مختلفی از این ساختمون رو هدف قرار بدن.

حالا که با این مفهوم آشنا شدیم، بریم سراغ سه دسته اصلی حمله‌های DDoS.

انواع حمله‌های DDoS: سه تفنگدار خرابکار

تقریبن همه حمله‌های DDoS هدفشون یکیه‌: غرق کردن هدف با ترافیک. اما روش‌هاشون متفاوته. مهاجم‌ها میتونن از یه روش یا ترکیبی از چند روش استفاده کنن.

۱. حمله‌های لایه اپلیکیشن (Application Layer Attacks)

این حمله‌ها که بهشون حمله‌های لایه ۷ هم میگن (چون لایه هفتم مدل OSI رو هدف میگیرن)، مستقیمن سراغ خود اپلیکیشن یا وبسایت میرن. هدفشون اینه که منابع سرور رو تموم کنن.

چطوری؟ این حمله‌ها لایه‌ای رو هدف میگیرن که توش صفحات وب ساخته میشن و به درخواست‌های HTTP جواب داده میشه. برای یه کاربر، فرستادن یه درخواست HTTP (مثلن باز کردن یه صفحه وب) کار ساده و کم‌هزینه‌ایه. اما برای سرور، جواب دادن به اون درخواست میتونه پرهزینه باشه. سرور باید کلی فایل رو بارگذاری کنه، از دیتابیس اطلاعات بگیره و در نهایت یه صفحه وب کامل رو بسازه.

حمله HTTP Flood: این یکی از رایج‌ترین حمله‌های لایه ۷ هست. مثل این میمونه که شما و هزاران نفر از دوستاتون روی کامپیوترهای مختلف، دکمه رفرش یه مرورگر رو پشت سر هم فشار بدید. سرور با سیلی از درخواست‌های HTTP مواجه میشه و در نهایت از کار میفته.

نسخه‌های ساده: ممکنه مهاجم با یه سری آدرس IP محدود، یه آدرس URL خاص رو هدف قرار بده.
نسخه‌های پیچیده: مهاجم از تعداد زیادی آدرس IP استفاده میکنه و آدرس‌های URL تصادفی رو با اطلاعات ارجاع‌دهنده (Referrer) و عامل کاربر (User Agent) تصادفی هدف قرار میده تا شناسایی‌اش سخت‌تر بشه.

مقابله با حمله‌های لایه ۷ سخته، چون ترافیک حمله خیلی شبیه ترافیک کاربرهای واقعیه. این حمله‌ها میتونن شامل نقض پروتکل HTTP، حملات SQL Injection و Cross-Site Scripting هم باشن.

۲. حمله‌های پروتکلی (Protocol Attacks)

این حمله‌ها که بهشون حمله‌های State-Exhaustion هم میگن، با مصرف بیش از حد منابع سرور یا تجهیزات شبکه مثل فایروال‌ها و لود بالانسرها، باعث قطعی سرویس میشن. این حمله‌ها از ضعف‌های لایه ۳ و ۴ پشته پروتکل استفاده میکنن تا هدف رو غیرقابل دسترس کنن.

حمله SYN Flood: این یه مثال کلاسیک از حمله پروتکلیه. برای درکش، یه کارگر توی انبار رو تصور کنین که از جلوی فروشگاه سفارش میگیره.

کارگر سفارش رو میگیره، میره بسته رو پیدا میکنه و منتظر تایید نهایی میمونه تا بسته رو بیاره جلو. حالا تصور کنین این کارگر کلی سفارش دیگه بدون تایید نهایی دریافت میکنه. دست‌هاش پر میشه، گیج میشه و دیگه نمیتونه بسته‌های بیشتری رو حمل کنه و سفارش‌های جدید بی‌پاسخ میمونن.

این حمله از فرآیندی به اسم دست‌دهی سه‌مرحله‌ای (Three-way Handshake) در پروتکل TCP سوءاستفاده میکنه. وقتی دو تا کامپیوتر میخوان با هم ارتباط برقرار کنن، این فرآیند انجام میشه. مهاجم تعداد زیادی بسته TCP SYN (درخواست اولیه اتصال) با آدرس IP جعلی (Spoofed IP) به سمت هدف میفرسته.

دستگاه هدف به هر کدوم از این درخواست‌ها جواب میده و منتظر مرحله نهایی دست‌دهی میمونه؛ مرحله‌ای که هیچوقت اتفاق نمیفته. این کار باعث میشه تمام پورت‌های سرور در حالت نیمه‌باز و اشغال‌شده باقی بمونن و منابع سرور تموم بشه. در نتیجه، کاربرهای واقعی نمیتونن به سرور وصل بشن.

۳. حمله‌های حجمی (Volumetric Attacks)

هدف این دسته از حمله‌ها اینه که با مصرف کردن تمام پهنای باند موجود بین هدف و اینترنت، یه ترافیک سنگین ایجاد کنن. مقادیر عظیمی از داده با استفاده از روش‌هایی مثل تقویت (Amplification) یا با کمک یه بات‌نت به سمت هدف ارسال میشه.

حمله DNS Amplification: این حمله مثل اینه که یه نفر به یه رستوران زنگ بزنه و بگه: «من از همه چی یکی میخوام، لطفن با من تماس بگیرید و کل سفارشم رو تکرار کنید». اما شماره‌ای که برای تماس مجدد میده، شماره تلفن قربانیه! اینجوری با یه تلاش خیلی کم، یه پاسخ خیلی طولانی و حجیم تولید میشه و برای قربانی فرستاده میشه.

توی این حمله، مهاجم یه درخواست به یه سرور DNS باز (Open DNS Server) با یه آدرس IP جعلی (آدرس IP قربانی) میفرسته. سرور DNS هم یه پاسخ حجیم به اون آدرس IP جعلی (یعنی قربانی) میفرسته. اینجوری، مهاجم با فرستادن یه درخواست کوچیک، باعث میشه یه جواب خیلی بزرگتر به سمت قربانی ارسال بشه و پهنای باندش رو اشغال کنه.

نگاهی عمیق‌تر به برخی از حملات خاص

دنیای حملات DDoS خیلی متنوعه و روز به روز هم روش‌های جدیدی به وجود میاد. بیایید چند تا از این روش‌های خاص رو که اسم‌های جالبی هم دارن، با هم مرور کنیم.

Smurf Attack (حمله اسمورف): توی این روش، مهاجم بسته‌هایی رو به تعداد زیادی کامپیوتر توی یه شبکه میفرسته، اما آدرس فرستنده رو آدرس IP قربانی جا میزنه. همه اون کامپیوترها به اون بسته جواب میدن، اما جوابشون رو برای قربانی میفرستن. اینجوری قربانی با سیلی از جواب‌ها غرق میشه.
حملات Low and Slow (کم و آهسته): این حملات خیلی موذیانه هستن. به جای اینکه یهو حجم زیادی ترافیک بفرستن، ترافیک رو با سرعت خیلی کم ارسال میکنن تا توسط سیستم‌های امنیتی شناسایی نشن. حملاتی مثل Slowloris یا RUDY از این دسته‌ان. Slowloris با باز نگه داشتن تعداد زیادی اتصال HTTP و فرستادن ناقص درخواست‌ها، منابع سرور رو اشغال میکنه.
حمله Yo-Yo: این حمله مخصوصن سرویس‌های ابری رو هدف میگیره که از قابلیت مقیاس‌پذیری خودکار (Autoscaling) استفاده میکنن. مهاجم به طور متناوب حجم زیادی ترافیک میفرسته (که باعث میشه سرویس منابعش رو افزایش بده) و بعد ترافیک رو قطع میکنه (که باعث میشه منابع کاهش پیدا کنن). این بالا و پایین رفتن مداوم، میتونه سیستم رو مختل کنه و هزینه‌های زیادی به صاحب سرویس تحمیل کنه.
حمله دائمی از کار انداختن سرویس (PDoS – Permanent Denial-of-Service): این یکی از خطرناک‌ترین انواع حمله‌اس و بهش Phlashing هم میگن. هدفش اینه که به سیستم اونقدر آسیب بزنه که نیاز به تعویض یا نصب مجدد سخت‌افزار داشته باشه. مهاجم از آسیب‌پذیری‌های امنیتی دستگاه‌هایی مثل روترها یا پرینترها استفاده میکنه تا فریمور (Firmware) دستگاه رو با یه نسخه خراب یا معیوب جایگزین کنه. این کار دستگاه رو «آجر» یا Brick میکنه و کاملن غیرقابل استفاده میشه.
حملات چندوجهی (Multi-vector Attacks): مهاجم‌ها معمولن خیلی باهوش‌تر از این حرف‌ها هستن که فقط از یه روش استفاده کنن. توی یه حمله چندوجهی، از چندین مسیر و روش مختلف به طور همزمان برای حمله استفاده میشه. مثلن ممکنه یه حمله DNS Amplification (لایه ۳/۴) رو با یه حمله HTTP Flood (لایه ۷) ترکیب کنن. این کار تلاش‌های تیم امنیتی برای مقابله با حمله رو خیلی سخت‌تر میکنه، چون باید همزمان با چند جبهه بجنگن.
حمله پایدار و پیشرفته (APDoS – Advanced Persistent DoS): این نوع حمله با تهدیدهای پایدار و پیشرفته (APT) مرتبطه و خیلی پیچیده‌اس. این حملات میتونن هفته‌ها طول بکشن (طولانی‌ترین مورد ثبت شده ۳۸ روز بوده!). مهاجم‌ها در این سناریو به منابع محاسباتی و پهنای باند عظیمی دسترسی دارن و به طور تاکتیکی بین اهداف مختلف جابجا میشن تا تیم دفاعی رو گیج کنن، اما در نهایت تمرکزشون روی یه قربانی اصلیه.

چرا کسی باید حمله DDoS انجام بده؟ انگیزه‌ها

انگیزه‌های پشت این حملات خیلی متفاوته و میتونه از سرگرمی‌های بچه‌گانه تا جنگ‌های سایبری دولتی رو شامل بشه.

هکتیویسم (Hacktivism): بعضی افراد یا گروه‌ها برای بیان اعتراضشون به یه شرکت، سازمان یا دولت، به سرورهاشون حمله میکنن. هدفشون اینه که پیامی رو منتقل کنن یا توجه‌ها رو به یه موضوع خاص جلب کنن.
اخاذی و باج‌گیری (Extortion): این یکی از رایج‌ترین انگیزه‌هاست. مهاجم‌ها یه حمله کوچیک انجام میدن و بعد به شرکت قربانی پیام میدن که اگه مبلغی (معمولن به صورت ارز دیجیتال) پرداخت نکنن، با یه حمله خیلی بزرگتر برمیگردن. به این نوع حمله Ransom DDoS (RDoS) هم میگن.
رقابت تجاری: بعضی وقت‌ها یه شرکت برای اینکه رقیبش رو از میدون به در کنه، به سرویس‌های آنلاینش حمله میکنه تا در زمان‌های حساس مثل جمعه سیاه، مشتری‌ها نتونن ازش خرید کنن و به سراغ شرکت مهاجم برن.
انتقام شخصی: یه کارمند ناراضی یا یه مشتری عصبانی ممکنه برای انتقام گرفتن از یه شرکت، یه حمله DDoS ترتیب بده.
جنگ سایبری (Cyber Warfare): دولت‌ها ممکنه از حملات DDoS برای مختل کردن زیرساخت‌های حیاتی یه کشور دیگه (مثل بانک‌ها، سازمان‌های دولتی و…) استفاده کنن. این اتفاق به خصوص در زمان تنش‌های سیاسی، مثل جنگ روسیه و اوکراین، به شدت افزایش پیدا کرد.
سرگرمی و خرابکاری: بعضی مهاجم‌ها، به خصوص افراد کم‌سن‌وسال‌تر، صرفن برای تفریح، خودنمایی یا دیدن اینکه میتونن یه سیستم رو از کار بندازن، این کار رو میکنن.
پوششی برای حملات دیگه: گاهی اوقات یه حمله DDoS فقط یه ابزار برای پرت کردن حواس تیم امنیتیه. در حالی که همه دارن سعی میکنن جلوی حمله DDoS رو بگیرن، مهاجم اصلی از یه در پشتی وارد میشه و اطلاعات حساس رو میدزده یا بدافزار نصب میکنه.

تاریخچه و رکوردهای دنیای DDoS: حمله‌هایی که فراموش نمیشن

حمله‌های DDoS چیز جدیدی نیستن. اولین حمله شناخته‌شده در سال ۱۹۹۶ به Panix، یکی از قدیمی‌ترین ارائه‌دهندگان خدمات اینترنتی، انجام شد و اونها رو برای چند روز از کار انداخت. از اون موقع تا حالا، این حمله‌ها بزرگتر، پیچیده‌تر و پرتعدادتر شدن.

بیایید چند تا از معروف‌ترین و بزرگترین حمله‌های تاریخ رو با هم مرور کنیم:

سال	هدف	حجم/نرخ حمله	نکات مهم
۲۰۱۳	Spamhaus	۳۰۰ گیگابیت بر ثانیه	یکی از بزرگترین حملات زمان خودش که علیه یک سازمان ضد اسپم انجام شد.
۲۰۱۶	وبلاگ Krebs و شرکت OVH	۶۲۰ گیگابیت و ۱.۱ ترابیت بر ثانیه	اولین نمایش قدرت بات‌نت Mirai که از دستگاه‌های IoT آلوده تشکیل شده بود.
۲۰۱۶	شرکت Dyn (ارائه‌دهنده DNS)	۱.۲ ترابیت بر ثانیه	بزرگترین حمله بات‌نت Mirai که باعث شد سایت‌های بزرگی مثل توییتر، نتفلیکس و پی‌پال برای ساعاتی از دسترس خارج بشن.
۲۰۱۷	گوگل	۲.۵۴ ترابیت بر ثانیه	این حمله برای مدتی بزرگترین حمله ثبت‌شده در تاریخ بود که گوگل در سال ۲۰۲۰ اون رو فاش کرد.
۲۰۱۸	GitHub	۱.۳۵ ترابیت بر ثانیه	یک حمله بزرگ که با استفاده از تکنیک تقویت Memcached انجام شد و نشون داد که دیگه برای حملات بزرگ لزومن به بات‌نت نیازی نیست.
۲۰۲۰	Amazon Web Services (AWS)	۲.۳ ترابیت بر ثانیه	یکی از بزرگترین حملات حجمی که با استفاده از تکنیک تقویت CLDAP انجام شد.
۲۰۲۱	یک مشتری Cloudflare	۱۷.۲ میلیون درخواست بر ثانیه	این حمله از نوع لایه اپلیکیشن بود و توسط بات‌نت Mirai انجام شد.
۲۰۲۳	چندین شرکت بزرگ	۷۱ میلیون و ۳۹۸ میلیون درخواست بر ثانیه	این حملات با استفاده از یک آسیب‌پذیری جدید در پروتکل HTTP/2 به نام Rapid Reset انجام شد و رکوردهای حملات لایه اپلیکیشن رو شکست.
۲۰۲۴	سرورهای غیررسمی Minecraft	۳.۱۵ میلیارد بسته بر ثانیه	یک حمله حجمی رکوردشکن از نظر تعداد بسته‌ها در ثانیه.

این آمارها نشون میدن که مقیاس حملات DDoS به طور مداوم در حال افزایشه و مهاجم‌ها همیشه دنبال راه‌های جدیدی برای دور زدن سیستم‌های دفاعی هستن.

چطوری با DDoS مقابله کنیم؟ استراتژی‌های دفاعی

مهم‌ترین چالش در مقابله با یه حمله DDoS، جدا کردن ترافیک حمله از ترافیک کاربرهای واقعی هست. اگه یه فروشگاه آنلاین به خاطر عرضه یه محصول جدید کلی مشتری واقعی داشته باشه، قطع کردن کل ترافیک یه اشتباه بزرگه. اما اگه همون فروشگاه با ترافیک زیادی از طرف مهاجم‌های شناخته‌شده روبرو بشه، باید سریع اقدام کنه.

روش‌های مختلفی برای مقابله با این حملات وجود داره:

Blackhole Routing (مسیریابی به سمت سیاه‌چاله): این ساده‌ترین راهه. وقتی حمله‌ای شناسایی میشه، ارائه‌دهنده سرویس اینترنت (ISP) میتونه کل ترافیک اون آدرس IP رو به یه مسیر پوچ یا «سیاه‌چاله» هدایت کنه. این کار باعث میشه هم ترافیک مخرب و هم ترافیک قانونی دور ریخته بشن. در واقع این روش به مهاجم چیزی رو میده که میخواسته: غیرقابل دسترس کردن سرویس. پس یه راه‌حل ایده‌آل نیست.
Rate Limiting (محدود کردن نرخ درخواست‌ها): این روش تعداد درخواست‌هایی که یه سرور در یه بازه زمانی مشخص قبول میکنه رو محدود میکنه. این کار برای کند کردن ربات‌های وب‌اسکرپر یا حملات brute-force خوبه، اما به تنهایی برای مقابله با یه حمله DDoS پیچیده کافی نیست. با این حال، یه جزء مفید در یه استراتژی دفاعی کامله.
Web Application Firewall (WAF – فایروال اپلیکیشن وب): یه WAF بین اینترنت و سرور اصلی قرار میگیره و مثل یه پروکسی معکوس عمل میکنه. WAF میتونه با فیلتر کردن درخواست‌ها بر اساس یه سری قوانین، جلوی حملات لایه ۷ رو بگیره. یکی از مزیت‌های کلیدی WAF اینه که میشه به سرعت قوانین جدیدی رو در پاسخ به یه حمله در حال وقوع، روی اون پیاده کرد.
Anycast Network Diffusion (پخش کردن ترافیک در شبکه Anycast): این یکی از موثرترین روش‌ها برای مقابله با حملات حجمی بزرگه. توی این روش، ترافیک حمله به جای اینکه به یه نقطه برسه، در سراسر یه شبکه بزرگ از سرورهای توزیع‌شده پخش میشه.

مثل این میمونه که یه رودخونه خروشان رو به چندین کانال کوچیک‌تر تقسیم کنیم. این کار باعث میشه فشار آب پخش بشه و دیگه قدرت تخریب نداشته باشه.

این روش، تاثیر ترافیک حمله رو اونقدر پخش و کم میکنه که قابل مدیریت بشه. شرکت‌های بزرگی مثل Cloudflare از این روش استفاده میکنن. برای مثال، شبکه Cloudflare ظرفیتی معادل ۴۰۵ ترابیت بر ثانیه داره که چندین برابر بزرگترین حمله DDoS ثبت‌شده تا به امروزه.

مراکز پاک‌سازی یا Scrubbing Centers: توی این روش، کل ترافیک به سمت یه مرکز تخصصی هدایت میشه. این مرکز ترافیک بد (DDoS) رو از ترافیک خوب (کاربران واقعی) جدا میکنه و فقط ترافیک تمیز رو به سمت سرور قربانی میفرسته.

هیچ‌کدوم از این روش‌ها به تنهایی کافی نیستن. بهترین رویکرد، یه دفاع لایه‌لایه (Defense in Depth) هست که ترکیبی از راه‌حل‌های ابری و محلی (On-premise) رو برای شناسایی و مسدود کردن انواع مختلف حملات به کار میگیره.

چطور از اینکه بخشی از مشکل باشیم، جلوگیری کنیم؟

یادتونه گفتیم حملات DDoS از دستگاه‌های آلوده مردم عادی استفاده میکنن؟ خب، خیلی مهمه که ما خودمون بخشی از این ارتش زامبی نباشیم. برای این کار باید امنیت دستگاه‌های متصل به اینترنتمون رو جدی بگیریم:

نصب و به‌روزرسانی آنتی‌ویروس: این اولین و مهم‌ترین قدمه.
استفاده از فایروال: فایروال رو فعال و درست تنظیم کنید تا ترافیک ورودی و خروجی رو کنترل کنه.
تغییر رمزهای عبور پیش‌فرض: این نکته به خصوص برای دستگاه‌های IoT مثل روتر، دوربین و… خیلی حیاتیه. اکثر این دستگاه‌ها با رمزهای عبور ساده و پیش‌فرض عرضه میشن که هکرها عاشقشونن.
رعایت عادات امنیتی خوب: روی لینک‌های مشکوک کلیک نکنید و نرم‌افزارها رو فقط از منابع معتبر دانلود کنید.

پرسش و پاسخ: سوالات شما در مورد DDoS

سوال: فرق بین حمله DoS و DDoS چیه؟
جواب: خیلی ساده‌اس. توی حمله DoS (Denial of Service)، ترافیک مخرب فقط از یک منبع یا یه کامپیوتر میاد. این نوع حمله ساده‌تره و راحت‌تر هم میشه جلوش رو گرفت (کافیه اون یه منبع رو مسدود کنی). اما توی حمله DDoS (Distributed Denial of Service)، ترافیک از صدها، هزاران یا حتی میلیون‌ها منبع مختلف (بات‌نت) میاد. این توزیع‌شده بودن، شناسایی و مسدود کردن حمله رو خیلی خیلی سخت‌تر میکنه.

سوال: آیا یه فایروال معمولی میتونه جلوی حمله DDoS رو بگیره؟
جواب: به تنهایی، نه. یه فایروال مثل یه نگهبان دم در عمل میکنه و میتونه جلوی بعضی ویروس‌ها و ترافیک‌های مخرب مشخص رو بگیره. اما فایروال‌ها برای مقابله با حجم عظیم ترافیک حملات DDoS طراحی نشدن و خودشون هم میتونن تحت فشار از کار بیفتن. برای مقابله با DDoS به راه‌حل‌های تخصصی‌تری مثل WAF، مراکز پاک‌سازی و شبکه‌های Anycast نیاز داریم.

سوال: یه حمله DDoS چقدر طول میکشه؟
جواب: هیچ قانون مشخصی وجود نداره. یه حمله میتونه از چند ساعت تا چند روز یا حتی چند هفته طول بکشه. بعضی حملات به صورت انفجارهای کوتاه و متناوب هستن و بعضی دیگه به صورت پایدار و طولانی‌مدت ادامه پیدا میکنن.

سوال: چرا شرکت‌های بزرگی مثل بلیزارد یا گوگل نمیتونن «فقط درستش کنن»؟
جواب: این یه تصور اشتباه رایجه. حمله DDoS مثل یه باگ یا یه حفره امنیتی نیست که بشه با یه پچ نرم‌افزاری «درستش کرد». این یه مشکل زیرساختیه. فکر کنین یه نفر تصمیم بگیره کل خیابون‌های منتهی به دفتر شرکت شما رو با کامیون مسدود کنه. شما نمیتونید با یه «دکمه» اون کامیون‌ها رو غیب کنید. باید با پلیس و شهرداری هماهنگ کنید تا مسیرها رو باز کنن. مقابله با DDoS هم همینطوره. نیاز به زیرساخت‌های عظیم، قراردادهای گران‌قیمت با شرکت‌های امنیتی و نظارت ۲۴ ساعته داره. این یه جنگ دائمیه، نه یه مشکل که یه بار برای همیشه حل بشه.

سوال: آیا انجام حمله DDoS غیرقانونیه؟
جواب: بله، قطعن. در اکثر کشورهای دنیا، از جمله آمریکا و کشورهای اروپایی، انجام حملات DDoS یه جرم فدرال محسوب میشه و مجازات‌های سنگینی مثل زندان و جریمه‌های نقدی بالا داره. حتی استفاده از سرویس‌های «استرس‌تستر» یا «بوتر» برای حمله به دیگران هم غیرقانونیه.

سوال: آیا DDoS میتونه به عنوان یه شکل از اعتراض قانونی شناخته بشه؟
جواب: این یه بحث پیچیده‌اس. بعضی‌ها معتقدن که DDoS میتونه یه شکل از نافرمانی مدنی دیجیتال باشه، شبیه تحصن یا تظاهرات. در سال ۲۰۱۳، گروه انانیموس حتی یه دادخواست به کاخ سفید ارائه داد تا DDoS به عنوان یه شکل قانونی از اعتراض شناخته بشه. اما از نظر قانونی، چون این کار به اموال و سرویس‌های دیگران آسیب میزنه و دسترسی کاربرهای قانونی رو مختل میکنه، تقریبن در همه جای دنیا به عنوان یه فعالیت مجرمانه در نظر گرفته میشه.

منابع

[2] What Is a DDoS Attack? | Microsoft Security
[4] What Is a DDoS Attack? How It Works, Trends, Types & Mitigation | Radware
[6] What Is a DDoS Attack? | Akamai
[8] What is a DDoS attack and why can’t Blizzard just “fix it”? : r/wowhardcore
[10] Five Most Famous DDoS Attacks and Then Some | A10 Networks

[1] What is a distributed denial-of-service (DDoS) attack? | Cloudflare
[3] Denial-of-service attack – Wikipedia
[5] What is a DDoS Attack? DDoS Meaning, Definition & Types | Fortinet
[7] Understanding Denial-of-Service Attacks | CISA
[9] What is DDoS Attack? – Types of DDoS Attacks – Check Point Software

مرداد 29, 1404

دسته: امنیت وب و شبکه

افشای اسناد گیک نتورکس؛ مجری فیلترینگ چین

ماجرای این افشاگری بزرگ چی بود؟

بازیگران اصلی این پرونده کی هستن؟

گیک نتورکس (Geedge Networks) و پدرخوانده فایروال

آزمایشگاه MESA: بازوی تحقیقاتی گیک نتورکس

جعبه‌ابزار گیک نتورکس: با چه محصولاتی اینترنت رو کنترل می‌کنن؟

۱. دروازه امنیتی تیان‌گو (Tiangou Secure Gateway – TSG)

۲. کهکشان تی‌اس‌جی (TSG Galaxy)

۳. راوی سایبری (Cyber Narrator)

۴. زودیاک شبکه (Network Zodiac)

۵. فهرست سلامت (Sanity Directory – SAN)

۶. دفاع فعال دی‌ال‌ال (DLL Active Defence)

این تکنولوژی دقیقا چه کارهایی می‌تونه انجام بده؟

حالت‌های استقرار: آینه‌ای در مقابل درون‌خطی

بازرسی عمیق بسته‌ها (Deep Packet Inspection – DPI)

مدیریت ترافیک رمزگذاری شده

کاهش سرعت ترافیک (Throttling)

تزریق و دستکاری ترافیک

شناسایی و مسدودسازی ابزارهای دور زدن سانسور

مشتریان گیک نتورکس: این تکنولوژی به چه کشورهایی فروخته شده؟

قزاقستان (اسم رمز: K18, K24)

اتیوپی (اسم رمز: E21)

پاکستان (اسم رمز: P19)

میانمار (اسم رمز: M22)

مشتری ناشناس (اسم رمز: A24)

فایروال‌های منطقه‌ای در خود چین

سین‌کیانگ (اسم رمز: J24)

فوجیان و جیانگ‌سو

شبکه همکاری‌های بین‌المللی

نگاهی به سورس‌کدها و آینده تحلیل‌ها

منابع

Oblivious DNS over HTTPS (ODoH)؛ حریم خصوصی بیشتر در DNS

ورود ODoH: راهکاری برای جدا کردن سوال از هویت

ODoH چطوری کار می‌کنه؟

رمزنگاری اضافه و کلیدها از کجا میان؟

شرکای ODoH چه کسانی هستن؟

آیا ODoH سرعت اینترنت رو کم می‌کنه؟

نظرات و بحث‌های مختلف در مورد ODoH

چطور می‌تونیم ODoH رو امتحان کنیم؟

جزئیات فنی بیشتر برای کنجکاوها (بر اساس RFC 9230 و مستندات فنی)

ساختار پروتکل

پیکربندی و مدیریت کلیدها در سیستم‌های پیشرفته (مثل BIG-IP)

پرسش و پاسخ

منابع

امنیت ابری یا کلاد، از مفاهیم تا کاربردها

مدل‌های مختلف پیاده‌سازی ابر و امنیتشون

ابر عمومی (Public Cloud)

ابر خصوصی (Private Cloud)

ابر ترکیبی (Hybrid Cloud)

چندابری (Multi-cloud)

چرا امنیت ابری مهمه؟

مدل مسئولیت مشترک: کی مسئول چی هست؟

چالش‌ها و ریسک‌های امنیت ابری

مفهوم کلیدی: «اعتماد صفر» (Zero Trust)

ابزارها و تکنولوژی‌های امنیت ابری

بهترین روش‌ها برای امنیت ابری

رمزنگاری داده‌ها

مدیریت هویت و دسترسی (IAM)

نظارت مداوم و تشخیص تهدید

برنامه پاسخ به حوادث

استفاده از ابزارهای تخصصی

چارچوب حاکمیت امنیت ابری

حاکمیت ابری چیه؟

امنیت ابری برای صنایع خاص

پرسش و پاسخ کلاسی

سوال ۱: استاد، ابر امن‌تره یا سیستم‌های محلی (On-premises)؟

سوال ۲: پس مسئولیت امنیت توی ابر کاملا با ماست یا با شرکتی که خدمات میده؟

سوال ۳: بزرگ‌ترین عامل مشکلات امنیتی توی ابر چیه؟

سوال ۴: تفاوت IaaS، PaaS و SaaS دقیقا چیه؟

منابع

امنیت ایمیل؛ راهنمای محافظت از ارتباطات دیجیتال شما

دشمنان نامرئی: با انواع تهدیدهای ایمیلی آشنا بشیم

فیشینگ (Phishing): طعمه‌ای برای شکار اطلاعات شما

جعل دامنه ایمیل (Email Domain Spoofing): وقتی ایمیل از یه آدرس آشنا میاد، اما فرستنده غریبه است

بدافزار (Malware): مهمان ناخوانده‌ای در پیوست ایمیل

اسپم (Spam): پیام‌های ناخواسته و مزاحم

تسخیر حساب کاربری (Account Takeover): وقتی خونه شما دست دزد می‌افته

مهندسی اجتماعی (Social Engineering): بازی با روان شما

و چند تهدید دیگر…