راهنمای شناخت ابزارهای امن دیجیتال، برای فعالان حقوق بشر

۲۷ خرداد ۱۴۰۱

با توجه به اینکه بسیاری از وب‌سایت‌ها و شرکت‌های امنیتی، ابزارهایی را برای کمک به افراد در جهت بهبود امنیت دیجیتالی ارائه می‌کنند، چگونه مناسب‌ترین ابزارها را انتخاب کنید؟

متاسفانه، ما یک لیست بی‌نقص از ابزارهایی که توانایی محافظت از شما و دیگر فعالان حقوق بشر را داشته باشند، در اختیار نداریم. اما اگر فکر می‌کنید که چگونه و توسط چه چیزی، از اطلاعات خود محافظت کنید، این راهنما می‌تواند با استفاده از برخی دستورالعمل‌های اساسی به شما در انتخاب ابزار مناسب کمک کند.

به یاد داشته باشید، امنیت فقط مربوط به ابزارهای مورد استفاده شما یا نرم‌افزاری که آن‌ها را دانلود می‌کنید، نیست. امنیت شما با درک تهدیدهای منحصربه‌فرد پیش‌رویتان و چگونگی مقابله با این تهدیدات، تامین می‌شود.


بررسی شرایط فردی، پیش از انتخاب نرم‌افزار

نخستین چیزی که باید پیش از تغییر نرم‌افزار یا خرید یک ابزار جدید به خاطر داشته باشید، این است که هیچ ابزار یا نرم‌افزاری، در تمامی شرایط و موقعیت‌ها، از شما در برابر نظارت دولت‌ها محافظت نمی‌کند. بنابراین، باید با یک نگرش کلی، امنیت دیجیتال خود را مورد بررسی قرار دهید. به‌عنوان مثال، اگر از ابزارهای امن در تلفن همراه خود استفاده می‌کنید و رایانه‌ شخصی‌تان فاقد رمزعبور است، امکان دارد ابزارهای موجود در تلفن همراه کمک چندانی به شما نکنند. اگر فردی به‌دنبال اطلاعات شخصی شما باشد، ساده‌ترین روش را برای کسب این اطلاعات انتخاب خواهد کرد.

مورد بعدی که باید به آن توجه کنید این است که، شما نمی‌توانید از خود در مقابل همه‌ی تهدیدها یا مهاجمان محافظت کنید، بنابراین باید به این نکته توجه کنید که چه افرادی ممکن است به دنبال داده‌های شما باشند؛ چه مقدار از آن داده‌ها را بخواهند و چگونه آن‌ها را به‌دست بیاورند.

اگر بزرگترین تهدید شما نظارت فیزیکی از سوی یک بازجوی خصوصی است که به ابزارهای نظارتی در بستر اینترنت دسترسی ندارد، نیازی به خرید یک سیستم تلفنی رمزنگاری شده‌ و گران‌قیمت نیست. از سویی دیگر، اگر با دولتی روبه‌رو هستید که مخالفان را به‌دلیل استفاده از ابزارهای رمزنگاری شده به‌طور متداول زندانی می‌کند، استفاده از روش‌های ساده‌تر (همچون تنظیم مجموعه‌ای از کدهای بی‌خطر و از پیش تنظیم شده برای انتقال پیامک‌ها) در مقایسه با به‌کارگیری نرم‌افزارهای رمزنگاری روی لپ‌تاپ که ریسک به جای گذاشتن شواهد و مدارک را دارند، منطقی‌تر خواهد بود.

با توجه به همه این موارد، چند سوال وجود دارد که می‌توانید پیش از دانلود، خرید یا استفاده از یک ابزار، بپرسید.


شفافیت در رویکرد سازندگان نرم‌‌افزارها

در بین پژوهشگران حوزه امنیت، این عقیده وجود دارد که صراحت و شفافیت، منجر به امنیت بیشتر در ابزارها خواهد شد. بیشتر نرم‌افزارهایی که جامعه امنیت دیجیتال از آن استفاده می‌کنند و بر آن توصیه دارند، متن‌باز هستند. این بدان معنا است که کدهای تعریف شده در نرم‌افزارها، به‌صورت آزاد برای عموم در دسترس بوده و افراد می‌توانند در جهت، اصلاح و اشتراک‌گذاری آن دخالت داشته باشند. سازندگان این ابزارها در جهت شفافیت در مورد نحوه کار برنامه‌های خود، دیگران را دعوت می‌کنند تا به دنبال معایب امنیتی باشند و به بهبود برنامه کمک کنند.

توجه داشته باشید که نرم‌افزارهای متن‌باز، فرصت را برای امنیت بهتر فراهم می‌کنند، اما آن را تضمین نمی‌کنند. یکی از مزیت‌های این نرم‌افزارها، جامعه‌ی تکنسین‌هایی است که کدها را بررسی می‌کنند، که البته دستیابی به آن برای پروژه‌های کوچک و حتی در برخی موارد برای پروژه‌های مشهور و پیچیده ممکن است دشوار باشد.

هنگام انتخاب یک ابزار، بررسی کنید آیا کد منبع آن در دسترس است و آیا دارای بازرسی‌های مستقل امنیتی برای تایید کیفیت امنیت ابزار است یا خیر. حداقل، یک نرم‌افزار یا سخت‌افزار باید توضیحات دقیق فنی در مورد نحوه کارکرد خود برای سایر متخصصان، به‌منظور بررسی داشته باشد.


توضیحات سازندگان ابزارها راجع‌به مزایا و معایب

هیچ نرم‌افزاری یا سخت‌افزاری کاملاً امن نیست. به دنبال ابزاری باشید که سازندگان یا فروشندگان آن در مورد محدودیت‌های محصول خود صادق و راستگو باشند.

همچنین بهتر است این مساله را در خاطر داشته باشید که «درجه نظامی» یا «ضد NSA» در یک حکم کلی، عبارت‌هایی هستند که اعتمادبه‌نفس بیش از حد سازندگانی را نشان می‌دهد که تمایلی به در نظر گرفتن نقص‌های احتمالی، در محصولات خود را ندارند.

از آنجایی که مهاجمان همیشه در تلاش هستند تا روش‌های جدیدی را برای دور زدن سیستم‌های امنیتی یک ابزار به‌دست بیاورند، برای رفع این آسیب‌پذیری‌ها، نرم‌افزار و سخت‌افزار باید به‌روزرسانی شوند. اگر سازندگان به دلایل ترس از تبلیغات منفی یا عدم در اختیار داشتن زیرساخت‌های لازم، تمایلی به انجام این کار نداشته باشند، امکان دارد مشکلاتی جدی‌ رخ دهد. به‌دنبال سازندگانی باشید که مایل به انجام این کار باشند و همیشه درباره‌ی دلایل انجام این به‌روزرسانی‌ها صادقانه و شفاف عمل کنند.

فعالیت‌های گذشته، شاخص خوبی از نحوه رفتار سازندگان ابزارها در آینده خواهد بود. اگر وب‌سایت یک ابزار، مشکلات قبلی، لینک‌های به‌روزرسانی، به‌ویژه اینکه چه مدت از آخرین به‌روزرسانی نرم‌افزار گذشته است و دیگر اطلاعات مربوطه را به‌صورت منظم ذکر کند، می‌توانید اطمینان بیشتری نسبت به ارائه این سرویس توسط آن‌ها در آینده داشته باشید.


احتمال سازش سازندگان ابزارها با مهاجمان

وقتی سازندگان ابزارهای امنیتی، نرم‌افزار و سخت‌افزاری را تولید می‌کنند، آن‌ها باید یک مدل تهدید آشکار و مشخص داشته باشند. بهترین سازندگان در اسناد خود صراحتاً بیان می‌کنند که از شما در برابر چه نوع دشمنان و مهاجمانی می‌توانند محافظت کنند.

اما تنها یک مهاجم وجود دارد که بسیاری از تولیدکنندگان نمی‌خواهند درباره‌ی آن صبحت کنند و آن مهاجم نیز خودشان هستند! اگر آنها تبانی و توافق کنند یا تصمیم بگیرند به کاربران خود حمله کنند چه اتفاقی می‌افتد؟ به‌عنوان مثال، ممکن است دادگاه یا دولت، شرکتی را مجبور به تحویل داده‌های شخصی یا ایجاد «درب پشتی» کند که این امر، تمام حمایت‌های ارائه شده توسط ابزار آن‌ها را از بین خواهد برد. بنابراین، همیشه امکان دسترسی‌های قضایی به سازندگان ابزارها را در نظر بگیرید.

اما اگر نگران محافظت از خود در برابر دولت ایران هستید، باید بدانید که برای مثال، یک شرکت مستقر در آمریکا می‌تواند در برابر احکام صادر شده توسط دادگاه‌های ایران مقاومت کند، زیرا مقامات قضایی ایرانی به لحاظ دسترسی، توانایی اعمال فشار در چنین شرایطی را ندارند. در مقابل، آن‌ها در مورد شرکت‌های ایرانی، بسیار آزادانه می‌توانند عمل کنند.

فارغ از این موضوع، حتی اگر یک سازنده بتواند در برابر فشارهای دولتی مقاومت کند، ممکن است یک مهاجم برای حمله به کاربران آن ابزار، سعی در ورود به سیستم‌های خود سازندگان را داشته باشد. 

بنابراین، مقاوم‌ترین ابزارها، آن‌هایی هستند که این موضوع را یک حمله احتمالی در نظر می‌گیرند و برای دفاع در برابر آن طراحی شده‌اند. به جای وعده‌های کلامی یک سازنده، به دنبال ادعایی باشید که اثبات کند سازنده به داده‌های خصوصی شما دسترسی ندارد. برای اطلاعات شخصی و مهم، به‌دنبال مؤسساتی باشید که به مبارزه با دستورات دادگاهی شهرت دارند.


پیگیری اخبار و اطلاعات به‌روز مرتبط با ابزارها

شرکت‌های فروشنده محصولات امنیتی و علاقه‌مندانی که آخرین نسخه‌ی نرم‌افزارها را تبلیغ می‌کنند، ممکن است خودشان گمراه شوند یا برعکس در آینده حتی کاملاً دروغ بگویند. محصولی که در گذشته از امنیت بالایی برخوردار بود، ممکن است در آینده دارای نقص‌های خطرناکی باشد. پس همیشه سعی کنید از آخرین اخبار مربوط به ابزاری که استفاده می‌کنید، مطلع باشید.

البته توجه داشته باشد که دنبال کردن مداوم آخرین خبرهای مربوط به ابزارهای امن، کاری دشوار و زمان‌گیری است. اگر همکاران یا دوستانی دارید که از یک محصول یا خدمات خاص به‌صورت مشترک استفاده می‌کنید، برای آگاهی بیشتر، با هم این‌کار را انجام دهید.


انتخاب سخت‌افزار و سیستم عامل

معمولاً از متخصصان امنیتی سوال می‌شود: «دستگاه اندرویدی بخریم یا آیفون؟» یا «آیا باید از ویندوز استفاده کنم یا مک؟»؛ عموماً پاسخ قاطعانه و ساده‌ای برای این سوالات وجود ندارد. با کشف نواقص جدید و رفع اشکالات قدیمی، ایمنی نسبی نرم‌افزار و دستگاه‌ها به‌طور مداوم در تغییر است. ممکن است شرکت‌ها در جهت تأمین امنیت بهتر برای شما، با یکدیگر رقابت کنند یا همه آن‌ها برای تضعیف و کاهش امنیت تحت فشار دولت‌ها باشند.

با این وجود، برخی از توصیه‌های کلی، تقریباً درست است. هنگام خرید دستگاه یا سیستم‌عامل، آن‌را با به‌روزرسانی‌های نرم‌افزاری و نصب اصلاحیه‌های امنیتی، به‌روز نگه دارید. به‌روزرسانی‌ها اغلب مشکلات امنیتی یک کد قدیمی را که در اثر حملات ممکن است دچار بروز مشکلات جدی شوند را رفع می‌کنند. توجه داشته باشید که برخی از تلفن‌های قدیمی و سیستم‌عامل‌ها، برای به‌روزرسانی‌های امنیتی ممکن است دیگر پشتیبانی نشوند. به‌طور خاص، مایکروسافت به صراحت اعلام کرده است که نسخه‌های ویندوز ویستا، XP و نسخه‌های پایین‌تر، حتی برای مشکلات امنیتی شدید نیز، به‌روزرسانی نمی‌شوند. این بدان معناست که اگر از این نسخه‌ها استفاده می‌کنید، نمی‌توانید انتظار امنیت بالایی را از آن‌ها در برابر حملات داشته باشید. همین مورد نیز، در شرکت اپل برای OS X قبل از 10.11 یا El Capitan صدق می‌کند. 

حال اگر همه‌ی تهدیدهایی را که با آن‌ها روبه‌رو هستید را در نظر گرفته‌ و درک کرده‌اید که در یک ابزار امنیت دیجیتالی چه چیزی را جستجو کنید، می‌توانید با اطمینان بیشتری ابزارهایی را انتخاب کنید که مناسب‌ترین مورد برای شرایط منحصربه‌فرد شما باشد.