به گزارش مشرق، بحث امنیت اطلاعات کاربران در خصوص مهاجرت کاربران نرم افزار های پیام رسان به تلگرام بارها و بارها مورد بررسی قرار گرفته است.
برای شفاف سازی میزان امنیت این نرم افزار پیام رسان که موسسان آن به ایمنی آن می بالند و نیز چگونگی بالابردن ضریب امنیت آن به سراغ یکی از کارشناسان آی تی رفتیم تا از میزان قابل اعتماد بودن آن مطلع شویم.
سهیل الوندپور کارشناس آی تی گفت: تلگرام در ارسال و دریافت پیام بسیار سریع است و همین سرعت بالا موجب شده است روز به روز بر تعداد کاربران این برنامه افزوده شود، در حال حاضر این برنامهبیش از۵۰ میلیون کاربر دارد، همچنین روزانه یک میلیارد پیام از طریق این شبکه پیامرسان ارسال میشود.
وی اظهار داشت: تلگرام برای ارسال پیام دو روش در اختیار کاربران قرار داده است و کاربران می توانند به اختیار خود از روش ارسال پیام بطور معمول و یا روش ارسال پیام خصوصی(secret chat) استفاده کنند که دارای ویژگی های متفاوتی هستند. یکی از مواردی که تلگرام به آن اذعان دارداین موضوع است که از سیستمهای رمزنگاری روی پیامهای متنی و صوتی که به صورتsecrert chatارسال می شوداستفاده میکند، به این معنی که پیامهای شما بهصورت رمز درآمده و فقط اپلیکیشن مخاطب میتواند آن را رمزگشایی کند. به طور مثال شما در تلگرام تایپ میکنید سلام و ارسال میکنید رمزنگاری کرده و پیام رسان تلگرام آن را به طرف مقابل ارسال میکند و اپلیکیشن مقصد بعد از دریافت این علائم آن را به پیام سلام تبدیل میکند. بنابراین اگر یک اپلیکیشن موبایل از این شیوه رمزنگاری استفاده کند، میتوان گفت تا حدی ایمنی بر قرار است. تلگرام برای رمزنگاری و انتقال پیام ها از پروتکلی به نامMTProto استفاده می کند؛ این پروتکل برای استفاده در تلگرام با تلفیق چند الگوریتم و پروتکل رمزنگاری داده ها کار میکند.
الوند پور در ادامه افزود: در رمزنگاری مبدأ به مقصد یاend-to-end پیغامها در مبدأ و در زمان ارسال رمزنگاری شده و سپس در مقصد رمزگشایی میشوند. در این سطح رمزنگاری نیازی نیست كه شبكه از رمزی بودن پیغام آگاهی داشته باشد. پیغام در تمام طول انتقال رمز شده باقی میماند، از ابتدا تا انتها. فایده این روش در این است كه احتیاجی نیست در تمام گامهای مسیر، تمام نقاط امن باشند. این اصلی است كه امروزه در سیستمهای شناخته شده رمزنگاری پیغام به شیوه تونل مانند SSLو TLSمورد استفاده قرار میگیرد. این رمزنگاری قابلیت انعطاف بیشتری دارد. در این روش انتشار كلید و مدیریت آن سادهتر است.با استفاده از این روش، اطلاعات از ابتدا تا انتها و در كل شبكه محافظت شده باقی میمانند که در تلگرام رمزنگاری پشتیبانی نمی شود.
وی تأکید کرد: ساز و کارهای احراز هویت در web.telegram.orgبه نحو صحیحی ایجاد نشده است و مهاجماین امکان را دارد که از این آسیبپذیری سوءاستفاده کرده و بدون احراز هویت توکن یا رمز ورود قربانی را به دست بگیرد، زمانی که کاربر قصد ورود به حساب کاربری وب را دارد، باید یک توکن که به تلفن همراه وی ارسال شده است را در مدت زمان کمتر از ۵دقیقه در وبگاه وارد نماید.
وی خاطر نشان کرد: بسیاری از پیام رسانها از تکنیک پنهان کاری رو به جلوforward secrecy) )تکنیکی که رمزگشایی را سخت میکند استفاده نمی کنند بدون روشپنهان کاری رو به جلویک حمله کننده می تواند اطلاعات زیادی را بدست آورد و آنها را تنها با یک کلید مخفی رمزگشایی کند.
روشforward secrecyبه ایمن ماندن بوسیله ایجادکردن یک کلید منحصر به فرد برای هر بخش کمک می کند به عبارت دیگر هربخش به وسیله یک کلید سری متفاوت رمزگذاری می شود و در صورتی این قسمت انجام میپذیرد که مرحله قبلی رمزنگاریend to endصورت گیرد.
باید گفت که برای ایجاد ایمنی بیشتر در تلگرام میتوانیم با انتخاب گزینه Create secret chatامنیت پیغام های خود را بالا ببرید.تمامی گزینه هایی که در چت معمولی در تلگرام غیر فعال هست در چت خصوصی فعال میشود و میتوانید امنیت پیام رسان خود را کامل کنید.
الوند پور در خصوص مزایای استفاده از چت خصوصی گفت: استفاده از این قابلیت تلگرام مزایایی از جمله رمزگذاری end-to-endکه باعث می شود پیش از ارسال به سرور در سیستم شما رمزنگاری شود و امنیت بیشتری داشته باشد،در سرورهای تلگرام اثری از خود باقی نمی گذارد و تمامی اش پاک می شود و حتی اگر پاک نشود چون رمزنگاری شده است سرور قادر به خواندن آن نیست، این قابلیت خود ویرانی دارد، یعنی پس از مدتی به طور خودکار پیام ها پاک می شود و اجازه ارسال مجدد (فوروارد) به فرد مخاطب داده نمی شود.
مبحث دیگری که در تلگرام مورد بحث بوده و هست بحث رباتها است، سهیل الوندپور در اینباره بیان کرد:خواندن همه پیام ها به وسیله ربات به معنی جاسوسی نیست. در واقع ربات از همه پیام ها سر درنمی آورد و تنها پیام هایی که برای ربات تعریف شده و معنی دار باشد، پردازش می شوند. در نتیجه حتی خارج ازPrivacy Modeنیز یک ربات توان جاسوسی چندانی ندارد.
مسأله بعدی که بسیار مطرح است این است که رباتها می توانند پیام های خصوصی را جمع آوری کرده و عملا در اختیار طراح قرار دهند وی در این خصوص اظهار داشت: این موضوع به دلیل این که حافظه ربات ها محدود است و تمامی پیام هایی که پردازش شوند، بعد از مدتی از حافظهCloudدر سرور پاک خواهند شد منتفی است. عملا حتی در صورت جمع آوری اطلاعاتی نظیر پیام ها و شماره تلفن ها، طراح ربات دسترسی مستقیم به آنها ندارد و همه این اطلاعات از طریق پروتکل رمزنگاری شده تلگرام به سرور واسطه منتقل و در آنجا پردازش و ذخیره می شوند.
الوندپور برای بالابردن ضریب امنیت تلگرام گفت: برای بالا بردن امنیت در تلگرام تایید دو مرحله ای را فعال کنید. برای فعال سازی این قابلیت: از منوی Settingsبه Privacy and securityبروید و در آن جا منوی two-step verification را انتخاب نمایید. برای فعال سازی دکمه را روشن نمایید. در این بخش رمز عبوری وارد نمایید که به هیچ وجه فراموش نمی کنید و از این بابت مطمئن هستید.
پس از وارد کردن رمز بر روی next کلیک نمایید. به مرحلهPassword hintمی رسید. در این مرحله چیزی را وارد نمایید که باعث می شود بدانید رمز عبورتان چه بوده است و دیگران از آن متوجه رمز عبور شما نشوند. با زدن بر رویNextبه مرحله بعدی یعنیRecovery E-mailبروید.
در این مرحله ایمیل اصلی تان را وارد کنید و سپسDone را بزنید ولی اگر نمی خواهید ایمیلی وارد کنید بر روی Skip کلیک کنید که ما این را توصیه نمیکنیم؛ چرا که در صورت فراموشی رمز عبور، با ایمیل میتوان به آن دست پیدا کرد. اکنون به ایمیل تان بروید و بر روی لینکی که فرستاده است کلیک کنید.
پیغام موفقیت آمیز بودن فعال سازی امنیت دو مرحله ای را در صفحه باز شده خواهید دید. از این به بعد به راحتی میتوان گفت هک اکانت شما چه از طریق بدافزار چه از طریق دیگر غیرممکن خواهد بود.
برای شفاف سازی میزان امنیت این نرم افزار پیام رسان که موسسان آن به ایمنی آن می بالند و نیز چگونگی بالابردن ضریب امنیت آن به سراغ یکی از کارشناسان آی تی رفتیم تا از میزان قابل اعتماد بودن آن مطلع شویم.
سهیل الوندپور کارشناس آی تی گفت: تلگرام در ارسال و دریافت پیام بسیار سریع است و همین سرعت بالا موجب شده است روز به روز بر تعداد کاربران این برنامه افزوده شود، در حال حاضر این برنامهبیش از۵۰ میلیون کاربر دارد، همچنین روزانه یک میلیارد پیام از طریق این شبکه پیامرسان ارسال میشود.
وی اظهار داشت: تلگرام برای ارسال پیام دو روش در اختیار کاربران قرار داده است و کاربران می توانند به اختیار خود از روش ارسال پیام بطور معمول و یا روش ارسال پیام خصوصی(secret chat) استفاده کنند که دارای ویژگی های متفاوتی هستند. یکی از مواردی که تلگرام به آن اذعان دارداین موضوع است که از سیستمهای رمزنگاری روی پیامهای متنی و صوتی که به صورتsecrert chatارسال می شوداستفاده میکند، به این معنی که پیامهای شما بهصورت رمز درآمده و فقط اپلیکیشن مخاطب میتواند آن را رمزگشایی کند. به طور مثال شما در تلگرام تایپ میکنید سلام و ارسال میکنید رمزنگاری کرده و پیام رسان تلگرام آن را به طرف مقابل ارسال میکند و اپلیکیشن مقصد بعد از دریافت این علائم آن را به پیام سلام تبدیل میکند. بنابراین اگر یک اپلیکیشن موبایل از این شیوه رمزنگاری استفاده کند، میتوان گفت تا حدی ایمنی بر قرار است. تلگرام برای رمزنگاری و انتقال پیام ها از پروتکلی به نامMTProto استفاده می کند؛ این پروتکل برای استفاده در تلگرام با تلفیق چند الگوریتم و پروتکل رمزنگاری داده ها کار میکند.
الوند پور در ادامه افزود: در رمزنگاری مبدأ به مقصد یاend-to-end پیغامها در مبدأ و در زمان ارسال رمزنگاری شده و سپس در مقصد رمزگشایی میشوند. در این سطح رمزنگاری نیازی نیست كه شبكه از رمزی بودن پیغام آگاهی داشته باشد. پیغام در تمام طول انتقال رمز شده باقی میماند، از ابتدا تا انتها. فایده این روش در این است كه احتیاجی نیست در تمام گامهای مسیر، تمام نقاط امن باشند. این اصلی است كه امروزه در سیستمهای شناخته شده رمزنگاری پیغام به شیوه تونل مانند SSLو TLSمورد استفاده قرار میگیرد. این رمزنگاری قابلیت انعطاف بیشتری دارد. در این روش انتشار كلید و مدیریت آن سادهتر است.با استفاده از این روش، اطلاعات از ابتدا تا انتها و در كل شبكه محافظت شده باقی میمانند که در تلگرام رمزنگاری پشتیبانی نمی شود.
وی تأکید کرد: ساز و کارهای احراز هویت در web.telegram.orgبه نحو صحیحی ایجاد نشده است و مهاجماین امکان را دارد که از این آسیبپذیری سوءاستفاده کرده و بدون احراز هویت توکن یا رمز ورود قربانی را به دست بگیرد، زمانی که کاربر قصد ورود به حساب کاربری وب را دارد، باید یک توکن که به تلفن همراه وی ارسال شده است را در مدت زمان کمتر از ۵دقیقه در وبگاه وارد نماید.
وی خاطر نشان کرد: بسیاری از پیام رسانها از تکنیک پنهان کاری رو به جلوforward secrecy) )تکنیکی که رمزگشایی را سخت میکند استفاده نمی کنند بدون روشپنهان کاری رو به جلویک حمله کننده می تواند اطلاعات زیادی را بدست آورد و آنها را تنها با یک کلید مخفی رمزگشایی کند.
روشforward secrecyبه ایمن ماندن بوسیله ایجادکردن یک کلید منحصر به فرد برای هر بخش کمک می کند به عبارت دیگر هربخش به وسیله یک کلید سری متفاوت رمزگذاری می شود و در صورتی این قسمت انجام میپذیرد که مرحله قبلی رمزنگاریend to endصورت گیرد.
باید گفت که برای ایجاد ایمنی بیشتر در تلگرام میتوانیم با انتخاب گزینه Create secret chatامنیت پیغام های خود را بالا ببرید.تمامی گزینه هایی که در چت معمولی در تلگرام غیر فعال هست در چت خصوصی فعال میشود و میتوانید امنیت پیام رسان خود را کامل کنید.
الوند پور در خصوص مزایای استفاده از چت خصوصی گفت: استفاده از این قابلیت تلگرام مزایایی از جمله رمزگذاری end-to-endکه باعث می شود پیش از ارسال به سرور در سیستم شما رمزنگاری شود و امنیت بیشتری داشته باشد،در سرورهای تلگرام اثری از خود باقی نمی گذارد و تمامی اش پاک می شود و حتی اگر پاک نشود چون رمزنگاری شده است سرور قادر به خواندن آن نیست، این قابلیت خود ویرانی دارد، یعنی پس از مدتی به طور خودکار پیام ها پاک می شود و اجازه ارسال مجدد (فوروارد) به فرد مخاطب داده نمی شود.
مبحث دیگری که در تلگرام مورد بحث بوده و هست بحث رباتها است، سهیل الوندپور در اینباره بیان کرد:خواندن همه پیام ها به وسیله ربات به معنی جاسوسی نیست. در واقع ربات از همه پیام ها سر درنمی آورد و تنها پیام هایی که برای ربات تعریف شده و معنی دار باشد، پردازش می شوند. در نتیجه حتی خارج ازPrivacy Modeنیز یک ربات توان جاسوسی چندانی ندارد.
مسأله بعدی که بسیار مطرح است این است که رباتها می توانند پیام های خصوصی را جمع آوری کرده و عملا در اختیار طراح قرار دهند وی در این خصوص اظهار داشت: این موضوع به دلیل این که حافظه ربات ها محدود است و تمامی پیام هایی که پردازش شوند، بعد از مدتی از حافظهCloudدر سرور پاک خواهند شد منتفی است. عملا حتی در صورت جمع آوری اطلاعاتی نظیر پیام ها و شماره تلفن ها، طراح ربات دسترسی مستقیم به آنها ندارد و همه این اطلاعات از طریق پروتکل رمزنگاری شده تلگرام به سرور واسطه منتقل و در آنجا پردازش و ذخیره می شوند.
الوندپور برای بالابردن ضریب امنیت تلگرام گفت: برای بالا بردن امنیت در تلگرام تایید دو مرحله ای را فعال کنید. برای فعال سازی این قابلیت: از منوی Settingsبه Privacy and securityبروید و در آن جا منوی two-step verification را انتخاب نمایید. برای فعال سازی دکمه را روشن نمایید. در این بخش رمز عبوری وارد نمایید که به هیچ وجه فراموش نمی کنید و از این بابت مطمئن هستید.
پس از وارد کردن رمز بر روی next کلیک نمایید. به مرحلهPassword hintمی رسید. در این مرحله چیزی را وارد نمایید که باعث می شود بدانید رمز عبورتان چه بوده است و دیگران از آن متوجه رمز عبور شما نشوند. با زدن بر رویNextبه مرحله بعدی یعنیRecovery E-mailبروید.
در این مرحله ایمیل اصلی تان را وارد کنید و سپسDone را بزنید ولی اگر نمی خواهید ایمیلی وارد کنید بر روی Skip کلیک کنید که ما این را توصیه نمیکنیم؛ چرا که در صورت فراموشی رمز عبور، با ایمیل میتوان به آن دست پیدا کرد. اکنون به ایمیل تان بروید و بر روی لینکی که فرستاده است کلیک کنید.
پیغام موفقیت آمیز بودن فعال سازی امنیت دو مرحله ای را در صفحه باز شده خواهید دید. از این به بعد به راحتی میتوان گفت هک اکانت شما چه از طریق بدافزار چه از طریق دیگر غیرممکن خواهد بود.
