رمز نگاری اطلاعات بی فایده است؛ شما باز هم هک میشوید!

رمز نگاری اطلاعات بی فایده است؛ شما باز هم هک میشوید!

xl-2016-encryption-1

حملاتی که چند وقت پیش در شهرهای مختلف جهان به وقوع پیوست، نشان داد شرکت‌ها باید در زمینه اتخاذ تصمیمات سخت‌گیرانه‌تر در ارتباط با رمزنگاری و حفاظت از حریم خصوصی شهروندان مصصم‌تر باشند. گزارش‌ها به صراحت هشدار می‌دهند که مجرمان سایبری بیش از گذشته به داده‌های حساس کاربران نزدیک شده‌اند. آن‌ها به لطف رمزنگاری ضعیفی که از سوی سیلیکون ولی اتخاذ می‌شود و فشارهای مضاعفی که از سوی ایالات متحده مبنی بر استفاده از الگوریتم‌های ضعیف برای دسترسی راحت‌تر نهادهای امنیتی به ارتباطات رمزنگاری شده اعمال می‌شود، ممکن است امنیت و حتی جان شهروندان را در معرض تهدید قرار دهند.

مطالعه‌ای که به تازگی از سوی مرکز اینترنت و جامعه برکمن در دانشگاه هاروارد انجام شده است، نشان می‌دهد که به کارگیری اصطلاحاتی همچون Going dark که به معنای سخت‌تر شدن و بدتر شدن فعالیت‌های مجرمان سایبری مورد استفاده قرار می‌گیرد، واقعیت نداشته و مجرمانی که در گذشته در تاریکی به فعالیت مشغول بوده‌اند، اکنون به ما نزدیک‌تر شده‌اند. در این تحقیق، گروهی از کارشناسان امنیتی از جمله متیو جی اولسون مدیر اسبق مرکز ملی مبارزه در ایالات متحده و بروس اشنایر یک رمزنگار شناخته شده حضور داشتند. این مقاله تحت عنوان Don’t Panic: Making Progress on the ‘Going Dark’ Debate  نشان می‌دهد، در حالی که همیشه “کانال‌های ارتباطی مقاوم در برابر نظارت” وجود خواهند داشت، اما اجرای قوانین به این شکل مانع از آن نمی‌شود که مجرمان سایبری و بازی‌گران تهدید به داده‌‌های حساس کاربران دسترسی نداشته باشند. این مطالعه این گونه استدلال می‌کند، در مدل رمزنگاری مبدا به مقصد (end to end) که امروزه توسط اپل مورد استفاده قرار می‌گیرد و حتی این شرکت به داده‌هایی که از سرورهای این شرکت می‌گذرد دسترسی ندارد و حتی این مدل در مقیاس وسیع توسط بسیاری دیگر از شرکت‌ها در وب مورد استفاده قرار می‌گیرد، دارای مشکلاتی همچون گسستگی است.

حتما بخوانید   مفهموم Defense in Depth چیست؟

در حالی که بسیاری از شرکت‌ها برای دسترسی به داده‌های کاربران و پول‌های آن‌ها از این مدل رمزنگاری استفاده می‌کنند. یافته‌های جدید همچنین نشان می‌دهد که حتی پتانسیل نظارت بر دستگاه‌های اینترنت‌متصل نیز وجود دارد. این گزارش در بخشی از استدلال‌های خود این‌گونه آورده است:« چه کسی به متن پیام‌های رمزنگاری شده نیاز دارد؟ چه کسی به داده‌‌های تلویزیون‌های هوش‌مند نیاز دارد؟ ما پیش‌بینی می‌کنیم، ارتباطات در آینده نزدیک تحت‌الشعاع یک سایه سنگین از تاریکی و ابهام قرار خواهند گرفت. هر چند این دستاوردها ممکن است در آینده باعث شوند تا مجرمان به دنیای زیرزمینی خود باز گردند، اما به احتمال زیاد این اتفاق خبری خوبی برای مدافعان حریم خصوصی نخواهد بود.»

امنیت یا نظارت

این گروه تحقیقاتی در پایان گزارش ۳۷ صفحه‌ای خود این‌گونه نتیجه‌گیری کرده‌اند: «در حالی که رمزنگاری باعث می‌شود داده‌ها و ارتباطات ما در حالت ایمن قرار داشته باشد، اما در نقطه مقابل درب‌های پشتی (backdoors) قرار گرفته در مکانیزم‌های امنیتی فقط باعث تشدید خطر می‌شوند. به عنوان یک گروه از متخصصان، ما نمی‌توانیم سیستمی را بر مبنای درب پشتی ایجاد کنیم و انتظار داشته باشیم این درب‌های پشتی تنها در اختیار شهروندان یا نهادهای خاصی قرار داشته باشد. ما نمی‌توانیم این‌گونه استدلال کنیم که این درب‌های پشتی بر مبنای اصول اخلاقی مورد استفاده قرار می‌گیرند. اگر نهادهای مختلف این توانایی را دارند تا پیام‌های کوتاه شما را استراق سمع کرده یا به درون هارد دیسک شما وارد شوند، همین توانایی در اختیار مجرمان یا هکرها نیز قرار خواهد داشت. این یک نظریه یا یک تئوری نیست، زمانی که یک درب پشتی برای هدف خاصی طراحی می‌شود، بدون شک به‌طور مخفیانه برای منظور دیگری نیز مورد استفاده قرار خواهد گرفت. در حال حاضر پرسش این نیست که مابین امنیت و حریم خصوصی یکی را انتخاب کنیم. پرسش این است که مابین امنیت بیشتر یا کمتر باید یکی را انتخاب کنیم. رمزنگاری این توانایی را دارد تا همه جا از ما در برابر نظارت‌های هدف‌دار محافظت به عمل می‌آورد، اما بنابر یکسری ملاحظات فنی، امنیت کامپیوتری فوق‌العاده ضعیف است. اگر یک مهاجم به اندازه کافی ماهر بوده، به لحاظ مالی تأمین شده و تصمیم داشته باشد به کامپیوتر شما وارد شود، بدون هیچ‌ گونه مشکل خاصی توانایی ورود را خواهد داشت. اگر مشاهده می‌کنید؛ که چنین اتفاقی برای شما رخ نداده است، به این دلیل است که شما در فهرست اولویت‌های ورود قرار نداشته‌اید. اما در مجموع رمزنگاری ضعیف هر کاربری را به یک شکل در معرض  تهدید قرار خواهد داد.»