گزیدهای از هشدارهای امنیتی در فضای مجازی و راههای پیشنهادی اصل۱۹
اصل۱۹ از این ماه به بعد گزیدهای از نقاط آسیبِ کاربران در فضای مجازی و راههای پیشنهادی خود برای محافظت در برابر آنها را به صورت ماهیانه منتشر خواهد کرد.
در این ماه، علاوه بر این هشدارها، چند فیلم مربوط به امنیت دیجیتال به زبان فارسی را نیز به شما معرفی میکنیم.
۱- هشدار: نقاط ضعفِ برنامهها و ابزارهای مدیریت رمز عبور (منبع)
برنامهها و ابزارهای مدیریت رمز عبور، به دلیل امکان ایجاد و ذخیرهی رمزهای عبور قوی و غیرمشابه، از محبوبیت بالایی بین کاربران برخوردار هستند. این برنامهها و ابزارها هنوز یکی از بهترین راههای محافظت از حسابهای کاربری هستند و باید همچنان مورد استفاده قرار گیرند. ولی در سالهای اخیر، مورد مجموعه حملاتی قرار گرفتهاند که بهتر است برای محافظت از خود، از آنها اطلاع داشته باشیم.
وبلاگ «Elcomsoft» با موضوعیتِ امنیتِ رایانهها، نرمافزاری تهیه کرده است که رمزهای عبور اصلی (Master Passwords) را به روش حدس و خطا مورد تهاجم قرار میدهد. وقتی نوبتِ حمله به برنامهها و ابزارهای مدیریت رمزهای عبور میرسد، این حملات به دو دسته تقسیم میشوند:
۱- حمله کننده، به شکل فیزیکی به دستگاهِ موردنظر دسترسی پیدا میکند و توسطِ نرمافزار Elcomsoft، حدس و خطای یاد شده را اجرا میکند. این حمله به شکل حضوری و در محلِ دستگاه انجام میگیرد.
۲- حمله کننده از راه دور به دستگاه دسترسی پیدا میکند و هنگامی که صاحب آن، رمز عبور را تایپ میکند، حمله کننده آن را میبیند (به این فرآیند keystroke logging میگویند). در این روش دیگر نیازی به اِعمالِ حدس و خطا نیست.
اعضای گروه Elcomsoft از این شیوه برای حمله به چهار ابزار مدیریت رمز عبور استفاده کردهاند:
1Password, KeePass, LastPass و Dashlane
راه حل
چگونه باید در هنگام استفاده از ابزارهای مدیریت رمزهای عبور، از ایمنی رمزهای عبورمان مطمئن شویم؟
- از رمزهای عبور اصلیِ قوی (طولانی و پیچیده) استفاده کنیم.
- اگر ابزار مدیریت برای شناسایی صاحب رمز عبور، اجازهی استفاده از تایید هویت دو مرحلهای را میدهد، گزینهی مرتبط با آن را فعال کنیم.
- هرگز رمز عبور را جایی یادداشت نکنیم.
- اطلاعات خود را محفوظ نگاه داریم و امکان دستیابی به دستگاههای خود را محدود سازیم.
- باید بدانیم که اگر کسی بتواند به ابزار مدیرت رمزهای عبورمان دست پیدا کند، به تمامی حسابهای کاربریمان دسترسی خواهد داشت. حمله کننده همچنین با اجرای حملات زنجیرهای امکان دسترسی به حسابهای کاربریای را پیدا میکند که رمزهای عبورشان در ابزار مدیریت ثبت نشده، مثلا با استفاده از ورود تک مرحلهای یا احیای رمز عبور.
- خلاصهی کلام: از رمزهای عبور و دستگاههای خود محافظت کنیم.
۲- هشدار: درب پشتی جاسوسافزار (منبع)
دست کم پانصد اپلیکیشن در بازار رسمی گوگل موجود است که دارای دربِ پشتی هستند. این راه به نویسندگان برنامهها اجازه میدهد که جاسوسافزارها را در زمان دلخواهشان نصب کنند.
این نوع حملهها با استفاده از کیت «Kit» نرمافزاری انجام میگیرد که «lgexin» نام دارد. «lgexin» اپلیکیشنها را به شبکههای تبلیغاتی وصل میکند و تبلیغات را به مخاطبان احتمالی میرساند. در صورت نصب اپلیکیشنِ حاویِ نسخهی خطرناکِ «lgexin» روی گوشی، کیتِ مذکور اپلیکیشن را طوری بهروز میرساند تا جاسوسافزار را بدون هیچ هشداری، همواره همراهِ آن سازد. این جاسوسافزار امکان دسترسی به سوابق تماس، موقعیت جغرافیایی، فهرست شبکههای وایفایِ اطراف گوشی و فهرست اپلیکیشنهای نصب شده را دارد.
راه حل
چگونه میتوانیم در برابر اپلیکیشنهای خطرناک از خود محافظت کنیم؟
- هیچ تضمینی در این زمینه وجود ندارد، اما توصیهی عمومی این است که تنها اپلیکیشنهایی را نصب کنیم که به شکل گسترده شناخته شده و قابل اعتماد هستند. همچنین باید همواره درخواست اپلیکیشن برای دسترسی به قسمتهای متفاوت دستگاه را کنترل کنیم (مثلاً اگر اپلیکیشن سادهای مانند ماشین حساب، درخواست دسترسی به موقعیت یا تماسهای ما را دارد، از نصب آن خودداری کنیم).
- فقط اپلیکیشنهایی را نصب کنیم که به منبعشان اعتماد داریم.
- مطمئن باشیم که خط مشی حریم خصوصی آنها را قبل از استفاده خواندهایم.
- درخواستهای دسترسی اپلیکیشنها را کنترل کنیم.
- اپلیکیشنهایی را که به طور دائم استفاده نمیکنیم، حذف کنیم.
۳- هشدار: عیان شدن سوابق وبگردی (منبع)
در همایش اخیرِ DEF CON، همایشی بین المللی جهت بررسی سامانههای امنیتی دیجیتال، دو محقق آلمانی نشان دادند که چگونه با استفاده از ردپای مراجعه کنندگانِ وبسایتها که در دسترسِ شرکتهای تحلیل شبکه است، توانستهاند اطلاعاتی در زمینهی عادتهای وبگردیِ سه میلیون شهروند آلمانی به دست آورند.
Paul Ducklin از شرکت Naked Security میگوید: «ردپای مراجعه کنندگان به ترتیبی ثبت و نگهداری میگردد که مشخص است کدام وبسایت، در چه ترتیب زمانیای مشاهده شده است و جزئیات دقیقِ مربوط به نشانیهایی که در هر مراجعه بازدید شده نیز موجود است.»
ردپای مراجعه کنندگان معمولاً قابل ردیابی نیست. اما محققان به هر ترتیب موفق شدند اطلاعات پلاگینِ مرورگرها و نشانیهای موجود در سوابق وبگردی را به گونهای استفاده کنند که سه درصد از موارد مورد مطالعهشان را با هوبت واقعی کاربران شناسایی کردند.
راه حل:
برخی اقداماتی که میتوانیم برای کاهش قابلیت ردیابی اطلاعاتِ دیجیتال انجام دهیم، اینهاست:
- از شر پلاگینهای بدون استفادهی مرورگرمان خلاص شویم.
- در صورت امکان، از قابلیتهای گردش کردن خصوصی در وب استفاده کنیم:
- پس از خروج از مرورگر، کوکیها و اطلاعاتِ شبکه را به طور خودکار حذف کنیم. راهنما در لینکهای زیر:
- از حساب کاربریمان در وبسایتهایی که استفاده نمیکنیم، خارج شویم.
- تنظیمات حریم خصوصی و امنیت مرورگرها و اپلیکیشنهای مورد استفاده را بشناسیم.
- از سایتهایی که به جای HTTPS، حتی زمانی که نمیخواهیم با حساب کاربریمان وارد سایت شویم، از HTTP استفاده میکنند، حذر کنیم.
- برای اجرا کردن همیشگی HTTPS در وبسایتهایی که از این شیوه استفاده میکنند، پلاگین HTTPS Everywhere را نصب کنیم. (HTTPS Everywhere پلاگینی است که هزاران سایت را از پیشوند ناامن HTTP به پیشوند امن HTTPS برمیگرداند). لینکهای نصب این پلاگین در زیر:
- درصورت امکان از مرورگرهای ناشناسساز، مثل تور استفاده کنیم.
- لینک دانلود: https://www.torproject.org/download/download
- برای محافظت از محرمانه بودن وبگردیمان، از Privacy Badger استفاده کنیم (Privacy Badger پلاگینی است که تبلیغات جاسوسی و ردیابهای نامرئی را مسدود میسازد). لینکهای نصب این پلاگین در زیر:
https://addons.mozilla.org/en-US/firefox/addon/privacy-badger17
- برای مسدود کردن فناوریهای ردیابی، از uBlock Origin استفاده کنیم. لینکهای نصب این پلاگین در زیر:
۴ – (منبع)
وقتی صحبت از ابزارهای دیجیتال و نرمافزار میشود، شرایط ارائهی خدمات مهم است، زیرا این شرایط هستند که محدودهی حقوق آنلاین ما را تعیین میکنند. ولی چون معمولا پیچیده و حوصله سربَرَنده هستند، کاربران به آنها اهمیتی نمیدهند. وبسایتِ Tosdr با رتبه بندیِ شرایط و خطوط مشیِ حریم خصوصی وبسایتها به پنج درجه (رتبهی A: خیلی خوب، رتبهی E: خیلی بد)، با این مشکل مبارزه کرده است.
۵- در این بخش چند فیلم آموزشیِ مفید در مورد امنیت دیجیتال به زبان فارسی معرفی میکنیم. حتما آنها را ببینید:
- ابزارهای مدیریت رمزهای عبور کداماند؟
- تایید هویت دو مرحلهای چیست؟
- چگونه ویپیانِ خود را انتخاب کنیم؟
- چگونه تایید هویت دو مرحلهای را در تلگرام تنظیم کنیم؟
- مرورگر Tor چیست؟
فیلمهای آموزشی یک، دو، سه و پنج: کار مشترکی از نیما فاطمی و ویویدو استودیو
فیلم آموزشی چهار: کاری از کمپین حقوق بشر در ایران