برای من زیاد اتفاق می‌افته که از جانب افراد مختلف با سوال‌هایی مثل: "چرا از پیام رسان فلان استفاده نمی‌کنی؟"، "فلان پیام رسان خوبه؟ امنه؟" "تو از چه پیام رسان‌هایی استفاده می‌کنی؟" و … مواجه میشم، برای همین از امروز قصد دارم تا چند مطلب راجع به نحوه انتخاب یک پیام رسان، ویژگی‌هایی که یک پیام رسان رو امن می‌کنه و بررسی امنیت چند پیام رسانی که چند وقت اخیر از اونها استفاده می‌کنم بنویسم.

به عنوان اولین مطلب به بررسی نیازهای اصلی و اساسی هنگام انتخاب یک سرویس پیام رسان می‌پردازیم.

به دفعات زیادی با افرادی مواجه شدم که فکر می‌کنن وابسته نبودن یک سرویس پیام رسان، که در حال استفاده از اون هستند به شرکت‌هایی مثل Facebook و Google به معنی امن بودن آن سرویس تلقی می‌شود؛ و هر چند وقت یک بار هم به افرادی بر می‌خورم که با افتخار دلیل امن بودن سرویس پیام رسانی که استفاده می‌کنن رو open source بودن اون سرویس و نرم افزارهای مربوط به آن، معرفی می‌کنن.

در دسته مقابل افراد ذکر شده در بالا، افرادی هستند که امنیت نرم افزارها و سرویس‌های مورد استفاده خود را بسته به محل جغرافیایی قرارگیری serverهای سرویس دهنده آن شرکت و یا محل و ملیت شرکت و افراد سازنده آنها می‌سنجند، این دسته از افراد، تمام سرویس‌ها و سرورهای روسیه‌ای را بد و تمام سرویس‌ها و سرورهای آمریکایی را بهترین می‌دانند. و حتی بخش دیگری از همین افراد، بعضا شرکت‌هایی مانند Facebook و Google را تنها به دلیل دارا بودن از سطح استانداردهای امنیتی بالا در محافظت از سرویس‌هایشان در مقابل حملات و نفوذهای خرابکارانه، حافظ اطلاعات خویش می‌دانند و از اعتماد به این شرکت‌ها برای سپردن اطلاعات و اسرار خودشان، بسیار راضی و خوشنود هستند.

اما، متاسفانه، هر چهار نکته ویژگی‌های خیلی بدی برای انتخاب کردن یک پیام رسان امنه! اول از همه اینکه یک پیام رسان امن، باید مستقل از Facebook و Google باشه.

وجود Back-door در سرویس‌ها و نرم افزارهای مربوط به این دو شرکت، تقریبا بر کمتر کسی پوشیده است. پس مورد چهارم که به راحتی رد می‌شود و مورد اول هم به صورت اصل باید مورد رعایت قرار بگیرد و عدم وابستگی سرویس مورد استفاده به این دو شرکت، به تنهایی باعث امن شدن سرویسی که مشغول استفاده از آن هستیم نمی‌شود.

لیست ویژگی‌هایی که به اشتباه، برای خوب دونستن یک پیام رسان در نظر می‌گیریم بیشتر شامل موارد زیر میشه

  • وابسته نبودن به Facebook و Google
  • سریع بودن
  • Multi platform
  • open source


و نکته دوم، دقیقا همینجاست! open source بودن یک نرم افزار الزاما کمکی به امنیت اون نرم افزار نمی‌کنه!

و در آخر هم، محل جغرافیایی قرار گرفتن یک server، data center و … روی کره زمین، ارتباطی با سطح امنیتی این سیستم‌ها در برابر عملیات خرابکارانه ندارد و الزاما تمامی شرکت‌های روسی، وابسته و یا در حال فروش داده‌های شخصی ما به نهادهای امنیتی و اطلاعاتی خطرناک روس نیستند، ضمن اینکه همه شرکت‌های نرم افزاری آمریکایی هم، شرکت‌هایی با وجدان و پایبند به حفظ اطلاعات شخصی کاربرانشان نیستند.

ویژگی‌های اصلی و مورد نیاز یک پیام رسان تا جز پیام رسان‌های خوب و امن قرار بگیره رو در مطلبی جداگانه بررسی خواهیم کرد.

اما قبل از هر چیزی باید نیازهای خودمون برای استفاده از یک نرم افزار پیام رسان رو بشناسیم؛ و این نیازها هم فقط با پاسخ دادن به سوالات زیر مشخص می‌شن:

  • چرا من به یک پیام رسان نیاز دارم؟
  • قصد ارتباط برقرار کردن با چه فرد یا افرادی را دارم؟
  • افرادی که ممکنه نسبت به این ارتباط دشمنی داشته باشند، چه کسانی هستند؟
  • پیامدهای مورد سرقت قرار گرفتن یا انتشار اطلاعات مربوط به من و این ارتباطات چیست؟
  • آیا نیازی به همیشه در دسترس بودن پیام رسان مورد استفاده وجود دارد؟
  • برای چه بازه زمانی قصد استفاده از این پیام رسان را داریم؟


در ادامه بد نیست تا مثال‌های زیر رو هم در نظر داشته باشیم:

۱ کارمندان یک شرکت با پروژه‌های مهم و محرمانه

در چنین شرایطی معمولا شرکت‌های رقیب یا برخی از کشورها افرادی هستند که انگیزه سرقت اطلاعات ما را دارند. بهترین راه حل برای این دسته از شرایط، سیاست "طیقه بندی سطح دسترسی به اطلاعات" است. این روش منجر به کاستن از تعداد افرادی می‌شود که به اطلاعات محرمانه دسترسی دارند.

امکان شناسایی و احراز هویت افرادی که با هم صحبت می‌کنند، ذخیره سازی پیام‌ها، جستجو در داخل پیام‌ها، امکان رمزنگاری اطلاعات مربوط به شناسایی افراد و انتقال فایل از اصلی‌ترین نیازهای ما در این شرایط برای انتخاب یک نرم افزار پیام رسان خوب و امن هستند.

به منظور جلوگیری از دسترسی دنیای خارج به مکالمات و کاهش سطح دسترسی افراد متفرقه به اطلاعات، امکان نصب و سرویس‌دهی نرم افزار پیام رسان انتخاب شده، بر روی سرورهای شخصی و داخلی که ارتباطی با اینترنت ندارند هم دارای اهمیت است.

ضمن اینکه در چنین شرایطی بهتر است تا شرکت امکان به روز رسانی اجباری سیستم‌ها به صورت مداوم را داشته باشد، به این شکل به صورت دوره‌ای و همزمان، همه افراد داخل شرکت در حال استفاده از آخرین نسخه و پروتکل ارتباطی هستند و افرادی که دسترسی به آخرین نسخه‌ها را ندارند، امکان اهراز هویت و ورود به سیستم را نیز ندارند. مزیت دیگر این حالت در این است، که در صورت وجود هرگونه خطایی، شرکت به صورت هماهنگ می‌تواند به راحتی برای نرم افزار مورد استفاده patch منتشر کند.

۲ افراد عادی

اکثر ما جز این دسته هستیم. همه افرادی که قصد دارند تا برای دوستان و اعضای خانواده خود پیغام‌های خصوصی بفرستند، جز این دسته هستند.

خبر بد برای این دسته در اینجاست که تقریبا اطلاعات افراد و پیغام‌های رد و بدل شده در بین افراد این دسته را نمی‌توان از دست نهادهای امنیتی، هکرها، سارقان اطلاعات شخصی، شرکت‌های بزرگ نظیر Facebook و Google محفوظ نگه داشت.

مساله اصلی در آنجاست که، مهم نیست که شما چقدر موارد امنیتی را رعایت می‌کنید، مثلا شما همواره تلاش می‌کنید تا اطلاعات تماس خود و سایرین را با شبکه‌های اجتماعی به اشتراک نگذارید، اما آیا سایرین هم این موارد را رعایت می‌کنند؟ آیا همه افراد از این موارد آگاه هستند؟ و این امکان وجود ندارد که نزدیک‌ترین دوستان یا اعضای خانواده شما، شماره تلفن، آدرس ایمیل، عکس و حتی اطلاعات حساب بانکی شما را با شرکت‌هایی نظیر Facebook و Google به اشتراک بگذارند؟

اما در مورد پیام‌ها، بهترین راه حل و اصلی‌ترین ویژگی مورد نیاز ما، امکان رمزنگاری دوطرفه پیام‌هاست. به این شکل می‌دانیم که در مواقعی که سرورهای مربوط به جابجایی پیام‌ها مورد تهدید هستند، پیام‌های ما توسط خطری تهدید نمی‌شوند. امکاناتی نظیر، عدم ذخیره سازی پیام‌ها روی دستگاه، یا سرورهای سرویسی که در حال استفاده از آن هستیم، یا پنهان کردن هویت افراد در داخل سرویس، همه امکاناتی هستند که در الویت‌های بعدی قرار دارند یا می‌توان از آنها چشم پوشی کرد، اما تنها با این شرط که امکان رمزگاری دوطرفه پیام‌ها در سرویس مورد نظر وجود داشته باشد.

در ضمن، الگوریتم رمزنگاری به کار رفته در سرویسی که قصد استفاده از آن را داریم، لزوما نباید خیلی پیشرفته و یا نوآورانه باشد، بلکه استفاده از الگوریتم‌ها و یا طراحی‌های امن و خوب موجود هم کافی است.

و در آخر، سرویس مورد نظر ما، حتما باید دارای یک Update System خوب باشد، جرا که هیچ وقت نمی‌توان نضمین کرد که همه افراد در حال استفاده از آخرین نسخه نرم افزار و پروتکل هستند، پس وجود چنین سیستمی برای نظارت بر این موضوع الزامیست.

۳ مورد شما

موارد مطرح شده در بالا تنها شرایط متداولی بودند که غالبا برای حفظ امنیت در آنها، راه حل‌هایی وجود دارد. اما قطعا شرایطی هم وجود دارند که شبیه به شرایط بالا نیستند. پس اگر نیازهای خودتون یا عامل تهدید در شرایط مربوط به خودتون رو نمی‌شناسید، می‌تونید اینجا کامنت بذارید و در مورد اون صحبت کنیم. در ضمن به هیچ وجه سراغ راه حل‌هایی نرید که بازار، کیفیت آنها را مورد تایید قرار می‌دهد.

همیشه به خاطر داشته باشید که یک راه حل خوب امنیتی، راه حلی است که نه تنها در مورد مواردی که تحت حفاظت قرار می‌گیرند و نحوه انجام این حفاظت به شما می‌گوید، بلکه در مورد مواردی که تحت حفاظت قرار نمی‌گیرند هم به شما اطلاع می‌دهد و در کنار آن به شما می‌آموزد تا با رعایت چه نکاتی، به بیشترین حد از امنیت و حفاظت از اطلاعات دست پیدا کنید.