وحید دیّانی در زومیت نوشت: اگر پیگیر اخبار داغ دنیای دیجیتال بوده باشید، مطمئناً از خرید پر سروصدا و گرانقیمت جدید مارکزاکربرگ، یعنی برنامه پیامرسان WhatsAPP به مبلغ 19 میلیارد دلار با خبر هستید. ما در اولین مطلب از سری مطالب جدید «از سیر تا پیاز» می خواهیم کاربران واتساپ را هدف قرار داده و ضمن بررسی جامع دلایل چرایی لزوم مهاجرت از این برنامه، بهترین جایگزینهای موجود را نیز معرفی نماییم. با زومیت همراه باشید.
حدود دو هفته قبل، کمپانی فیسبوک توانست با ربودن گوی سبقت از رقبای بزرگی نظیر گوگل و با ارائهی پیشنهاد اغواکنندهای معادل 19 میلیارد دلار، برنامه پیامرسان محبوب واتساپ را به مالکیت خود درآورد. انتقالی که حدوداً 19 برابر مبلغ دیگر خرید فیسبوک، یعنی اینستگرام، برای این کمپانی هزینه دربرداشت.
جالب است بدانید که تیم واتساپ تنها از 32 مهندس تشکیل شده است که به مدیریت روزانه 50 میلیارد پیغام از سوی چیزی در حدود 385 میلیون کاربر فعال مشغول هستند. به نظر این تیم کوچک بار سنگینی از مسئولیت را به دوش میکشند و نمیتوان خوشبین بود که بتوانند بطور کامل و شایسته از پس این مسئولیت سنگین برآیند.
از طرف دیگر بهتازگی انتقادهایی نسبت به امنیت پلتفرم واتساپ که میلیاردها پیغام بر روی آن تحویل داده میشوند، بوجود آمده است. محققان لابراتوار امنیتی Praetorian، وجود چندین مشکل امنیتی مرتبط با SSL را در واتساپ با بکارگیری «پروژه نپتون» تأیید نمودهاند. لازم به ذکر است پروژه نپتون، پلتفرمی برای تست امنیت برنامههای موبایلی میباشد. این در حالی است که کمپانی واتساپ در وبلاگ رسمی خود بیان کرده:
ارتباطات بین گوشی شما و سرورهای ما به طور کامل رمزنگاری میشوند. ما تاریخچه گفتگوهای شما را در سرورهای خود ذخیره نمیکنیم. به محض اینکه پیغام شما با موفقیت تحویل مخاطب موردنظرتان شود، آن پیغام از سیستم ما حذف خواهد شد.
اما محققان، آسیبپذیری را در این برنامه یافتهاند که آن را مستعد حملاتی از نوع «مردی در میانه» یا Man-in-the-Middle Attack مینماید؛ چرا که واتساپ از قابلیت SSL Pinning پشتیبانی نمیکند و این موضوع امکان دزدیدهشدن اعتبارها را به سادگی فراهم میکند.
بگذارید برای درک بهتر این موضوع کمی مختصر به بررسی مفاهیمی نظیر SSL، Man-in-the-Middle Attack و SSL Pinning بپردازیم.
SSL یا Secure Sockets Layer به دو طریق از شما محافظت میکند. این لایه محافظتی با رمزنگاری اطلاعات شما، از دزدیدهشدن اطلاعات حیاتی شما نظیر نامهای کاربری، کلمههای عبور، شماره و کلمهعبور کارتهای اعتباری و… جلوگیری میکند. همچنین SSL میتواند اعتبار و هویت یک سایت را تأیید نماید.
Man-in-the-Middle Attack نیز به حملاتی گفته میشود که در آن اعتبار SSL یک سایت دزدیده و یا جعل میشود تا کاربران آن سایت به اشتباه به یک سایت جعلی اطمینان کنند. اما چگونه چنین چیزی رخ میدهد؟! شما به هنگام مرور یک وبسایت با تأییدیه SSL جعلی و نامعتبر از طریق یکی از مرورگرهای محبوب نظیر کروم، اخطاری مبنی بر اعلام این موضوع دریافت میکنید. اما مشکل وقتی پیش میآید که ترافیک فیمابین شما و سایت مورد نظر از طریق برنامههای موبایلی و غیرمرورگرها منتقل میشود و شما دیگر موفق به دریافت تأییدیه برای صحت SSL سایت موردنظر نخواهید شد. بنابراین در صورت مواجهه با سایتی که از یک SSL جعلی و غیرمعتبر استفاده میکند، هیچ اخطار خاصی شما را از ورود به آن سایت بازنخواهد داشت.
و اما SSL Pinning؛ این ویژگی که در اغلب اپلیکیشنهای محبوب نظیر گوگل، توئیتر و فیسبوک به کار گرفته شده است، بصورت خودکار از پذیرفتن اتصال به وبسایتهایی که SSL نامعتبر ارائه میدهند ممانعت میکند؛ به عبارتی این قابلیت به کاربر کمک میکند تا فقط و فقط به تبادل اطلاعات با سایتی بپردازد که گواهینامه معتبر مربوطه را دارا است.
کارشناسان امنیتی معتقدند:
در حالی که ویژگی SSL Pinning امکان برقراری یک اتصال ایمن بین اپلیکیشن موبایلی و وبسرویس را ارائه مینماید، واتساپ از این قابلیت بیبهره است. بدون اجبار در بکارگیری SSLPinning، یک حملهکننده میتواند با استفاده از تکنیک man-in-the-middle ارتباط بین اپلیکیشن موبایلی و وبسرویس واتساپ را به راحتی مورد نفوذ قرار داده و به سوءاستفاده از اطلاعات شخصی و حساس کاربران بپردازد.
واتساپ به سرورهای میزبانی اطلاعات خود این اجازه را میدهد تا با استفاده از معماریهای رمزنگاری ضعیفی مثل 40 بیت و 56 بیت به رمزنگاری اطلاعات کاربران بپردازند. این معماریهای سطح پایین را میتوان به راحتی و با بکارگیری شیوههایی نظیر حملات Brute Force رمزگشایی نمود؛ شیوهای که به گفته محققان، مورد علاقه سازمانهای جاسوسی نظیر NSA میباشد.
به هر حال تیم واتساپ اعلام نمودهاند که در حال تلاش برای اضافه نمودن ویژگی SSL Pinning به برنامه خود هستند؛ هر چند در حال حاضر این نقیصه نمیتواند نوید حفاظت از حریم خصوصی کاربر را بدهد.
اما پس از این مقدمهها دوباره باز میگردیم به مبحث داغ خرید واتساپ توسط فیسبوک. این دو کمپانی پس از اعلام رسمی خبر معامله، تأکید نمودهاند که پس از این انتقال مالکیت، هیچگونه تغییری در روند کاری واتساپ رخ نداده و این برنامه کماکان بصورت مستقل به سرویسدهی ادامه خواهد داد. اما آیا این کافی است؟! از دید ما خیر! مسأله اساسی اینجاست که شاید شما به کمپانیهای بزرگی نظیر فیسبوک، گوگل، واتساپ و… اعتماد داشته باشید؛ ولی واقعیت این است که نه تنها کاربران ایرانی، بلکه تمام کاربران دنیا نمیتوانند به دولت آمریکا و سرویسهای جاسوسی معروفش نظیر NSA اعتماد کنند! چیزی که واضح و مسلم است، آنها احترامی برای حریم خصوصی و آزادی بیان ما قائل نیستند و بارها و بارها خبرهایی مربوط به رسواییهای جدیدشان در این زمینه منتشر شده است.
برنامههای پیغامرسان موبایلی اغلب برای انتقال پیامهای شخصی و حساس یا مکالمات کاری و حرفهای مورد استفاده قرار میگیرند و با توجه به اینکه این اطلاعات در سرورهای سرویسدهندههای اینترنت (آیاسپیها) نیز ثبت میشوند، میبایست بصورت End-to-End رمزنگاری شوند (یعنی از مبدأ تا مقصد). چیزی که در حال حاضر در واتساپ وجود ندارد.
خوب. پس به عنوان یک نتیجهگیری تا اینجای بحث ما با دو مشکل مواجه هستیم. امکان سوء استفاده از اطلاعات شخصی کاربران در برنامههای کمپانیهای آمریکایی توسط دولت ایالات متحده (از جمله واتساپ) و از طرف دیگر ایرادات امنیتی وارد به واتساپ خصوصاً عدم رمزنگاری دو سویه اطلاعات و بیبهره ماندن از قابلیت مهم SSL Pinning. مجموع این دو عامل یعنی دلایلی کافی برای مهاجرت از واتساپ به یک پلتفرم و برنامه جایگزین که در عین برخورداری از ویژگیهای پایه، این نگرانیها را نیز مرتفع سازد.
اگر در پی رفع هر دو نگرانی هستید ما برای شما 6 پیشنهاد ایمن داریم. این برنامهها از رمزنگاری دوسویه (End-to-End) اطلاعات شخصی شما پشتیبانی کرده و بستر مطمئنتری را برای تبادل اطلاعات فراهم مینمایند.
1. Telegram
تلگرام که از سوی یه مؤسسه غیرتجاری در برلین پشتیبانی میشود، بر پایه پردازش ابری استوار شده و این بدان معناست که شما میتوانید حین استفاده از چندین دستگاه نظیر رایانه رومیزی، لپتاپ و گوشیهوشمند خود به پیغامها و اسناد خود بصورت کاملاً کدگذاری شده دسترسی داشته باشید. تلگرام علاوه بر مکالمه رمزنگاری شده دوسویه، ویژگی دیگری را به عنوان چت محرمانه (Secret Chat) ارائه مینماید که بصورت خودکار سابقه گفتگوها را بلافاصله پس از اتمام مکالمه حذف میکند. جالب است بدانید که این کمپانی برای اولین نفری که بتواند شیوه رمزنگاری آنها را کرک نماید 200000 دلار جایزه در بیتکوین اختصاص داده است.
ما دو لایه امنیتی از رمزنگاری را پشتیبانی میکنیم (سرور-کاربر و کاربر-کاربر). رمزنگاری ما بر اساس استاندارد AES و با معماری 256بیت، رمزنگاری RS 2048 و سیستم تبادل کلید ایمن Diffie-Hellman استوار گردیده است.
(بر اساس آمار ارائه شده توسط سایت این کمپانی)
تمامی چتهای معمولی و محرمانه رمزنگاری میشوند؛ ولی حین چت محرمانه هیچ دادهای بر روی سرورهای این کمپانی ذخیره نخواهد شد.
تلگرام ویژگیهای مهم و جالب دیگری هم دارد. این برنامه کاملاً رایگان بوده و بصورت یک پروژه کدباز ارائه شده و این بدان معناست که کدهای منبع این پروژه بصورت رایگان در اختیار علاقهمندان قرار گرفته است. در وبسایت رسمی این کمپانی عنوان شده:
تلگرام دارای API باز و پروتکل رایگان برای هر کسی است.
همچنین میتوان از گفتههای سایت رسمی این برنامه چنین انتظار داشت که این برنامه برای همیشه بصورت رایگان باقی خواهد ماند و در آینده کاربران خود را اسیر نمایش تبلیغات تجاری و یا دریافت پول برای عضویت نخواهد کرد.
بد نیست بدانید که تنها با گذشت چند روز از خرید واتساپ توسط فیسبوک، حدود 5 میلیون نفر به تلگرام مهاجرت کردهاند.
این برنامه برای دو سیستمعامل اندروید و iOS در دسترس میباشد.
2. Surespot
شورسپات نیز به شما اجازه میدهد تا با بهرهمندی از رمزنگاری دوسویه، به ارسال پیامها، تصاویر و کلیپهای صوتی خود بپردازید. شورسپات از شیوه رمزنگاری AES-GCM با معماری 256 بیت و کلید تولید شده توسط استاندارد 521 Bit ECDH استفاده میکند که فقط توسط فرستنده و گیرنده رمزگشایی میشود.
بر خلاف واتساپ، در شورسپات اگر شما یک پیغام را حذف کنید، این پیغام در تلفن گیرنده نیز حذف خواهد شد. از دیگر ویژگیهای جالب شورسپات امکان استفاده از چند هویت بر روی یک دستگاه میباشد. این برنامه را میتوانید بصورت رایگان برای سیستمعاملهای اندروید و iOS دریافت نمایید.
3. Threema
تریما رایگان نیست. ولی جایگزین ایمنی برای واتساپ به حساب میآید که علاوه بر ارائهی تمامی امکانات پایه واتساپ مانند پیغامهای متنی، اشتراک تصاویر و گفتگوی صوتی، از رمزنگاری دوسویه نیز پشتیبانی میکند.
همچنین شما میتوانید لیست مخاطبین خود را به صورت دستی یا خودکار همگامسازی کنید. پس از خرید واتساپ توسط فیسبوک، بیشترین حجم مهاجرت به تریما به نام کاربران آلمانی ثبت شده و این برنامه به عنوان برترین اپلیکیشن پولی اپاستور در این کشور مطرح گردیده است. تریما را میتوانید برای iOS و اندروید دریافت نمایید.
4. TextSecure
تکستسکیور هم یک برنامه ارسال ایمن پیامهای نوشتاری است که از رمزنگاری دوسویه پشتیبانی میکند. این برنامه پیامها را در داخل تلفن نیز بصورت کدشده نگهداری میکند؛ بدین شکل اگر گوشی شما به سرقت برود هم احتمال سوءاستفاده از پیامهای شخصی شما نزدیک به صفر خواهد بود.
شما میتوانید TextSecure را برای استفاده در دستگاه اندرویدی خود دریافت نمایید.
5. RedPhone
ردفون نیز آخرین پیشنهاد ایمن ما برای مهاجرت است. این اپلیکیشن هم از رمزنگاری دوسویه برخوردار بوده و مکالمات صوتی شما را بصورت کدشده ارسال مینماید. در صورتی که پیشنیازهای لازم فراهم باشد، ردفون به شما اجازه خواهد داد تا یه تماس عادی را به تماسی ایمن تبدیل کنید. ردفون نیز فقط برای استفاده در سیستمعامل اندروید عرضه شده است.
6. Wickr
ویکر در تلاش است تا با رمزنگاری پیغامهای شما و رعایت سطح امنیت بالای دولتی، تجربهای ایمن و جذاب را برای کاربران خود به ارمغان بیاورد. این برنامه به شما اجازه میدهد تا یاد و خاطرهی کاراگاه گجت را زنده کرده و پیغامهای خود-نابود-شوندهای مانند او را دریافت و یا ارسال کنید. با استفاده از این قابلیت شما میتوانید پیغامها، تصاویر، فیلمها و مکالمات صوتی را ارسال کنید که پس از طی زمان تعیینشده، بهطور خودکار نابود میشوند.
ویکر تمام تلاش خود را میکند تا ناشناس باقی بماند؛ از همین رو این برنامه هیچوقت از شما در رابطه با اطلاعات شخصیتان سؤالی نپرسیده و درخواستی نمیکند. این برنامه با تمامی موارد امنیتی خاص و قوانین سازمان سلامت و خدمات انسانی ایالات متحده (HIPAA) نیز منطبق است؛ از این رو آندسته از کاربرانی که در مشاغل پزشکی، قضایی و خبرنگاری مشغول بهکار هستند میتوانند با خیال راحت به تبادل پیغامهای مهم و حساس کاری خود بپردازند؛ چرا که این پیغامها در ویکر قابلیت بازنشر یا لورفتن را ندارند.
ویکر را میتوانید برای سیستمعاملهای اندروید و iOS دریافت نمایید.
خوب. تا اینجای این مقاله ما شما را با دلایل ناامن بودن واتساپ و 6 جایگزین ایمن برای مهاجرت به آنها آشنا ساختیم. اما شاید شما تصمیم به مهاجرت از واتساپ را گرفته باشید، ولی مایل باشید بهجای مهاجرت به یک برنامه با امنیت بسیار بالا ولی با محبوبیت کم یا متوسط، به برنامهای بسیار محبوب و البته با ویژگیهای امنیتی کمی بهتر از واتساپ مهاجرت کنید تا دوستان بیشتری را در آنها بیابید. ما برای این دسته از افراد نیز 3 برنامه پیشنهادی داریم که ماهیتی غیرآمریکایی داشته و از این بابت میتوانند حس امنیت بیشتری را نسبت به واتساپ به شما منتقل نمایند.
1. Line
لاین یکی از محبوبترین برنامههای پیامرسان موجود برای مکالمه صوتی و تصویری است. میلیونها کاربر از سرتاسر دنیا خصوصاً در آسیا، بهطور روزانه از لاین برای مکالمه با دوستان خود استفاده میکنند. این برنامه که جوهرهای ژاپنی دارد، علاوه بر ارائه امکانات رایج پیامرسانها، از قابلیتهایی نظیر بازی و برنامههای مستقل دیگر نظیر Line Camera و Line Tools نیز برخوردار است.
اصل این برنامه رایگان بوده و لاین درآمد خود را از فروش استیکرها و بازیها تأمین میکند. شاید از خود بپرسید مگر فروش استیکر هم درامدزا است؟ و آیا کسی از این موارد استقبال هم میکند؟ جواب این سؤال، شما را شگفتزده خواهد کرد؛ چرا که لاین در سهماهه نخست سال 2013 حدود 17 میلیون دلار درآمد را فقط از فروش استیکر بدست آورد!
لاین را میتوان برای استفاده در تمامی سیستمعاملهای محبوب شامل اندروید، iOS، ویندوزفون و بلکبری دریافت نمود. نسخههای مخصوص رایانه نیز برای سیستمعاملعای ویندوز 7، ویندوز 8 و مکینتاش در دسترس میباشد.
2. Kik
کیک اولین برنامه پیامرسانی است که یک مرورگر وب را در دل خود دارد. این برنامه بیش از 100 میلیون کاربر دارد که بیشتر آنها ساکن آمریکای شمالی و غرب اروپا هستند.
کیک ماهیتی کانادایی داشته و بر اساس گفتههای سازندهی آن شما میتوانید با بیش از 30 ابزار HTML5، تجربیات جذابی را در رابطه با بهاشتراکگذاری تصاویر و ویدئوها و البته برای بازی بدست بیاورید. همانطور که اشاره شد، اخیراً نیز یک مرورگر داخلی به امکانات کیک افزوده شده است که نیاز شما برای مرور وبگردی در محیط داخلی برنامه را مرتفع میسازد. همچنین کیک از یک ابزار کدباز برای کمک به توسعهدهندگان بهمنظور ساخت و بهینهسازی وبسایتهایشان در محیط موبایل، برخوردار است.
کیک نیز برای سیستمعاملهای اندروید، iOS، ویندوزفون و بلکبری در دسترس علاقهمندان میباشد.
3. Kakao Talk
آخرین برنامه ما نیز یک اپلیکیشن با نامی خوشمزه است. کاکائو که ماهیتی کرهای دارد (کره جنوبی)، تمامی ویژگیهای رایج برنامههای محبوب پیامرسان را دارا است و از رابط کاربری جذابی بهره میبرد. این برنامه بیش از 100 میلیون کاربر داشته و یکی از محبوبترین اپلیکیشنهای مورد استفاده در آسیا و خصوصا کره جنوبی میباشد. جالب است بدانید کمپانی سامسونگ استفاده از این برنامه را توسط کارمندانش اجباری نموده است.
شاید مهمترین مزیت امنیتی کاکائو نسبت به واتساپ همان ماهیت غیر آمریکایی آن باشد. این برنامه برای استفاده در انواع سیستمعاملها از جمله اندروید، iOS، ویندوزفون، بلکبری و ویندوز در دسترس میباشد.
البته برنامههای صرفا محبوب و با امکانات متداول، بسیار زیادند. ولی اغلب یا ماهیت آمریکایی دارند یا در ایران قابلیتهای خود را از دست دادهاند؛ مانند تانگو با ماهیت آمریکایی، ویچت با ماهیت چینی و هایک با ماهیت هندی.
تغییر عادت سخت است!
اینکه بخواهید پیامرسان مورد استفاده فعلی خود را ترک کرده و به سمت استفاده از یک برنامه جدید بروید سخت و ناخوشایند است؛ خصوصاً اگر تمام دوستان شما در یک برنامه خاص در دسترس هستند. با این حال ناخوشایندتر از این موضوع، این است که اطلاعات شما بصورت اجباری و بهدور از رضایت شما در اختیار کمپانی جدیدی به نام فیسبوک بیفتد. تمامی برنامههای معرفیشده در ویژگیهای پایهای که یک پیامرسان میبایست داشته باشد بسیار نزدیک به یکدیگر هستند و البته اغلب آنها مزایای امنیتی بهتری نیز نسبت به واتساپ دارند. اما مهاجرت از واتساپ و استفاده از یک مورد از این لیست و عدم پایبندی به شرایط سرویسدهی فیسبوک، به این معنی خواهد بود که شما حاظر نیستید اطلاعات شخصی و مالی خود را در ازای یک معامله، در اختیار شبکههای اجتماعی و برنامههای تجاری و تبلیغاتی (و البته شاید هم جاسوسی!) آنها بگذارید.
آیا شما نیز جزء کاربران واتساپ بوده یا هستید؟ نظر شما در رابطه با مبحث مهاجرت از واتساپ پس از واگذاری آن به فیسبوک چیست؟ آیا از مشکلات امنیتی این برنامه که به آنها اشاره شد مطلع بودهاید؟ برنامه پیامرسان جدیدی که برای مهاجرت مدنظر دارید کدام یک از موارد فوق خواهد بود؟ نظرات خود را با ما و سایر کاربران عزیز زومیت در میان گذاشته و اگر برنامه دیگری را شایسته معرفی در این لیست میدانستید قید نمایید.