گزیده‌ای از هشدارهای امنیتی در فضای مجازی و راه‌های پیشنهادی اصل۱۹

اصل۱۹ از این ماه به بعد گزیده‌ای از نقاط آسیبِ کاربران در فضای مجازی و راه‌های پیشنهادی خود برای محافظت در برابر آن‌ها را به صورت ماهیانه منتشر خواهد کرد.

در این ماه، علاوه بر این هشدارها، چند فیلم مربوط به امنیت دیجیتال به زبان فارسی را نیز به شما معرفی می‌کنیم.

۱- هشدار: نقاط ضعفِ برنامه‌ها و ابزارهای مدیریت رمز عبور (منبع)

برنامه‌ها و ابزارهای مدیریت رمز عبور، به دلیل امکان ایجاد و ذخیره‌ی رمزهای عبور قوی و غیرمشابه، از محبوبیت بالایی بین کاربران برخوردار هستند. این برنامه‌ها و ابزارها هنوز یکی از بهترین راه‌های محافظت از حساب‌های کاربری هستند و باید همچنان مورد استفاده قرار گیرند. ولی در سال‌های اخیر، مورد مجموعه حملاتی قرار گرفته‌اند که بهتر است برای محافظت از خود، از آن‌ها اطلاع داشته باشیم.

وبلاگ «Elcomsoft» با موضوعیتِ امنیتِ رایانه‌ها، نرم‌افزاری تهیه کرده است که رمزهای عبور اصلی (Master Passwords) را به روش حدس و خطا مورد تهاجم قرار می‌دهد. وقتی نوبتِ حمله به برنامه‌ها و ابزارهای مدیریت رمزهای عبور می‌رسد، این حملات به دو دسته تقسیم می‌شوند:

۱- حمله کننده، به شکل فیزیکی به دستگاهِ موردنظر دسترسی پیدا می‌کند و توسطِ نرم‌افزار Elcomsoft، حدس و خطای یاد شده را اجرا می‌کند. این حمله به شکل حضوری و در محلِ دستگاه انجام می‌گیرد.

۲- حمله کننده از راه دور به دستگاه دسترسی پیدا می‌کند و هنگامی که صاحب آن، رمز عبور را تایپ می‌کند، حمله کننده آن را می‌بیند (به این فرآیند keystroke logging می‌گویند). در این روش دیگر نیازی به اِعمالِ حدس و خطا نیست.

اعضای گروه Elcomsoft از این شیوه برای حمله به چهار ابزار مدیریت رمز عبور استفاده کرده‌اند:

1Password, KeePass, LastPass و Dashlane

راه حل

چگونه باید در هنگام استفاده از ابزارهای مدیریت رمزهای عبور، از ایمنی رمزهای عبورمان مطمئن شویم؟

• از رمزهای عبور اصلیِ قوی (طولانی و پیچیده) استفاده کنیم.
• اگر ابزار مدیریت برای شناسایی صاحب رمز عبور، اجازه‌ی استفاده از تایید هویت دو مرحله‌ای را می‌دهد، گزینه‌ی مرتبط با آن را فعال کنیم.
• هرگز رمز عبور را جایی یادداشت نکنیم.
• اطلاعات خود را محفوظ نگاه داریم و امکان دستیابی به دستگاه‌های خود را محدود سازیم.
• باید بدانیم که اگر کسی بتواند به ابزار مدیرت رمزهای عبورمان دست پیدا کند، به تمامی حساب‌های کاربری‌مان دسترسی خواهد داشت. حمله کننده همچنین با اجرای حملات زنجیره‌ای امکان دسترسی به حساب‌های کاربری‌ای را پیدا می‌کند که رمزهای عبورشان در ابزار مدیریت ثبت نشده،  مثلا با استفاده از ورود تک مرحله‌ای یا احیای رمز عبور.
• خلاصه‌ی کلام: از رمزهای عبور و دستگاه‌های خود محافظت کنیم.

۲- هشدار: درب پشتی جاسوس‌افزار (منبع)

دست کم پانصد اپلیکیشن در بازار رسمی گوگل موجود است که دارای دربِ پشتی هستند. این راه به نویسندگان برنامه‌ها اجازه می‌دهد که جاسوس‌افزارها را در زمان دلخواه‌شان نصب کنند.

این نوع حمله‌ها با استفاده از کیت «Kit» نرم‌افزاری انجام می‌گیرد که «lgexin» نام دارد. «lgexin» اپلیکیشن‌ها را به شبکه‌های تبلیغاتی وصل می‌کند و تبلیغات را به مخاطبان احتمالی می‌رساند. در صورت نصب اپلیکیشنِ حاویِ نسخه‌ی خطرناکِ «lgexin» روی گوشی، کیتِ مذکور اپلیکیشن را طوری به‌روز می‌رساند تا جاسوس‌افزار را بدون هیچ هشداری، همواره همراهِ آن سازد. این جاسوس‌افزار امکان دسترسی به سوابق تماس، موقعیت جغرافیایی، فهرست شبکه‌های وای‌فایِ اطراف گوشی و فهرست اپلیکیشن‌های نصب شده را دارد.

راه حل

چگونه می‌توانیم در برابر اپلیکیشن‌های خطرناک از خود محافظت کنیم؟

• هیچ تضمینی در این زمینه وجود ندارد، اما توصیه‌ی عمومی این است که تنها اپلیکیشن‌هایی را نصب کنیم که به شکل گسترده شناخته شده و قابل اعتماد هستند. همچنین باید همواره درخواست اپلیکیشن برای دسترسی به قسمت‌های متفاوت دستگاه را کنترل کنیم (مثلاً اگر اپلیکیشن ساده‌ای مانند ماشین حساب، درخواست دسترسی به موقعیت یا تماس‌های ما را دارد، از نصب آن خودداری کنیم).
• فقط اپلیکیشن‌هایی را نصب کنیم که به منبع‌شان اعتماد داریم.
• مطمئن باشیم که خط مشی حریم خصوصی آن‌ها را قبل از استفاده خوانده‌ایم.
• درخواست‌های دسترسی اپلیکیشن‌ها را کنترل کنیم.
• اپلیکیشن‌هایی را که به طور دائم استفاده نمی‌کنیم، حذف کنیم.

۳- هشدار: عیان شدن سوابق وب‌گردی (منبع)

در همایش اخیرِ DEF CON، همایشی بین المللی جهت بررسی سامانه‌های امنیتی دیجیتال، دو محقق آلمانی نشان دادند که چگونه با استفاده از ردپای مراجعه کنندگانِ وبسایت‌ها که در دسترسِ شرکت‌های تحلیل شبکه است، توانسته‌اند اطلاعاتی در زمینه‌ی عادت‌های وب‌گردیِ سه میلیون شهروند آلمانی به دست آورند.

Paul Ducklin از شرکت Naked Security می‌گوید: «ردپای مراجعه کنندگان به ترتیبی ثبت و نگهداری می‌گردد که مشخص است کدام وبسایت، در چه ترتیب زمانی‌ای مشاهده شده است و جزئیات دقیقِ مربوط به نشانی‌هایی که در هر مراجعه بازدید شده نیز موجود است.»

ردپای مراجعه کنندگان معمولاً قابل ردیابی نیست. اما محققان به هر ترتیب موفق شدند اطلاعات پلاگینِ مرورگرها و نشانی‌های موجود در سوابق وب‌گردی را به گونه‌ای استفاده کنند که سه درصد از موارد مورد مطالعه‌شان را با هوبت واقعی کاربران شناسایی کردند.

راه حل:

برخی اقداماتی که می‌توانیم برای کاهش قابلیت ردیابی اطلاعاتِ دیجیتال انجام دهیم، این‌هاست:

• از شر پلاگین‌های بدون استفاده‌ی مرورگرمان خلاص شویم.
• در صورت امکان، از قابلیت‌های گردش کردن خصوصی در وب استفاده کنیم:
  • در گوگل کروم می‌توانید از Incognito استفاده کنید.
  • در فایرفاکس می‌توانید از حالت وب‌گردی private استفاده کنید.
• پس از خروج از مرورگر، کوکی‌ها و اطلاعاتِ شبکه را به طور خودکار حذف کنیم. راهنما در لینک‌های زیر:
  • گوگل کروم:https://support.google.com/accounts/answer/32050?co=GENIE.Platform%3DDesktop&hl=en
  • فایرفاکس: https://support.mozilla.org/en-US/kb/clear-browsing-history-and-cookies-firefox-os
• از حساب کاربری‌مان در وبسایت‌هایی که استفاده نمی‌کنیم، خارج شویم.
• تنظیمات حریم خصوصی و امنیت مرورگرها و اپلیکیشن‌های مورد استفاده را بشناسیم.
• از سایت‌هایی که به جای HTTPS، حتی زمانی که نمی‌خواهیم با حساب کاربری‌مان وارد سایت شویم، از HTTP استفاده می‌کنند، حذر کنیم.
• برای اجرا کردن همیشگی HTTPS در وبسایت‌هایی که از این شیوه استفاده می‌کنند، پلاگین HTTPS Everywhere را نصب کنیم. (HTTPS Everywhere پلاگینی است که هزاران سایت را از پیشوند ناامن HTTP به پیشوند امن HTTPS برمی‌گرداند). لینک‌های نصب این پلاگین در زیر:
  • گوگل کروم: https://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp?hl=en
  • فایرفاکس: https://addons.mozilla.org/en-US/firefox/addon/https-everywhere/
• درصورت امکان از مرورگرهای ناشناس‌ساز، مثل تور استفاده کنیم.
  • لینک دانلود: https://www.torproject.org/download/download
• برای محافظت از محرمانه بودن وبگردی‌مان، از Privacy Badger استفاده کنیم (Privacy Badger پلاگینی است که تبلیغات جاسوسی و ردیاب‌های نامرئی را مسدود می‌سازد). لینک‌های نصب این پلاگین در زیر:
  • گوگل کروم: https://chrome.google.com/webstore/detail/privacy-badger/pkehgijcmpdhfbdbbnkijodmdjhbjlgp
  • فایرفاکس:

https://addons.mozilla.org/en-US/firefox/addon/privacy-badger17

• برای مسدود کردن فناوری‌های ردیابی، از uBlock Origin استفاده کنیم. لینک‌های نصب این پلاگین در زیر:
  • گوگل کروم: https://chrome.google.com/webstore/detail/ublock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm?hl=en
  • فایرفاکس: https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/

۴ –   (منبع)

وقتی صحبت از ابزارهای دیجیتال و نرم‌افزار می‌شود، شرایط ارائه‌ی خدمات مهم است، زیرا این شرایط هستند که محدوده‌ی حقوق آنلاین ما را تعیین می‌کنند. ولی چون معمولا پیچیده و حوصله سربَرَنده هستند، کاربران به آن‌ها اهمیتی نمی‌دهند. وبسایتِ Tosdr با رتبه بندیِ شرایط و خطوط مشیِ حریم خصوصی وبسایت‌ها به پنج درجه (رتبه‌ی A: خیلی خوب، رتبه‌‌ی E: خیلی بد)، با این مشکل مبارزه کرده است.

۵- در این بخش چند فیلم آموزشیِ مفید در مورد امنیت دیجیتال به زبان فارسی معرفی می‌کنیم. حتما آن‌ها را ببینید:

• ابزارهای مدیریت رمزهای عبور کدام‌اند؟

• تایید هویت دو مرحله‌ای چیست؟

• چگونه وی‌پی‌انِ خود را انتخاب کنیم؟

• چگونه تایید هویت دو مرحله‌ای را در تلگرام تنظیم کنیم؟

• مرورگر Tor چیست؟

فیلم‌های آموزشی یک، دو، سه و پنج: کار مشترکی از نیما فاطمی و ویویدو استودیو

فیلم آموزشی چهار: کاری از کمپین حقوق بشر در ایران