ان‌اس‌ای همیشه در حال تجسس بوده

در دوران پسا ان‌اس‌ای به سر می بریم 🙂

البته همه کم و بیش می دونستیم که تحت نظریم ولی تا حالا جدی جدی بهمون نگفته بودن که عمق این نظارت چقدره. حالا که می‌دونیم دیگه دلیلی برای طفره نیست. باید یه فکری برای بیرون رفتن از این وضعیت کرد.

در پست دیگه ای توضیح داده بودم که چطور می شه با استفاده از جیمیل و یک ابزار جانبی، ایمیل امن فرستاد. توی این پست اما فراتر از ایمیل می گم. اینکه گشت و گذارهای اینترنتیمون چطور باشه، چت، تلفن و …

تور Tor
فکر کنم دیگه همه از تور شنیدیم. این ابزار که در نسخه ای از اون یک فایرفاکس پرتابل و هماهنگ هم همراه خودش داره، با کد کردن دیتای خروجی و وردودی و انتقال از طریق افرادی در نقاط دیگه ای از دنیا که بخشی از اینترنتشون رو هدیه کردن به آزادی بیان، ما رو قادر به اینترنت گردی به صورت ناشناس می کنه. تور همچنینی سرویسی به نام “پنهان” داره که اجازه می ده سایت هایی رو راه بندازید بدون اینکه آدرس واقعی اونها لو بره.
لینک

چت محرمانه Off-the-Record – OTR
این ابزار با موارد زیر به شما کمک می کنه که چت های امنی داشته باشید:

• رمزگذاری: کسی نمیتواند متن چت های شما را بخواند
• شناسایی: مطمئن می شوید با همان کسی چت می کنید که قصد داشته اید
• قابلیت انکار: پیام‌هایی که می فرستید امضایی ندارند و قابل ردگیری وسیله شخص سومی نیستند. پس از چت هرکسی می تواند متن را جوری تغییر دهد که گویا از طرف شما ارسال شده با اینحال در زمان چت، دریافت کننده پیام می تواند مطمئن باشد که پیام ها از طرف شما و بدون تغییر به دستش رسیده است.
• رمزگذاری رو به جلو: با این گزینه حتی اگر کلید خصوصی شما به دست کس دیگه ای بیافته، نمی تونه متن چت های قدیمی شما رو بخونه.

لینک

حلقه ساکت Silent Circle
این سرویس برای ارسال پیام های متنی و صوتی رمزگذاری شده است از کاربر به کاربر. در واقع زمانی که شما پیام رو محل ارسال رمزگذاری کنید دیگه اون بین حتی خود سرویس دهنده هم امکان چک کردن محتوا رو نخواهد داشت. این سرویس روی ویندوز، آیفون، آیپد و اندروید قابل استفاده است.
لینک

تلفن قرمز Redphone
این سرویس هم نرم افزار دیگری است برای ارتباط رمز گذاری شده دوو کاربر. نکته اینکه این نرم افزار با پشتیبانی مالی مالیت دهنده های آمریکایی و سازمان تکنولوژی باز. دولت آمریکا این پروژه را برای کمک به مخالفین حکومت های سرکوبگر خارجی پشتیبانی می کند! نکته اینجاست که برای جلب اطمینان کاربران سایر کشورها، باید نرم افزاری داشت که هیچ حکومتی نتواند جاسوس اش رو بکنه حتی آمریکا 🙂
این نرم افزار متن باز است و محققان و برنامه نویسان مستقل می تونند برای اطمینان، متن اون رو برای صحت ادعاهای سازندگان چک بکنند.
لینک

خارج کردن باتری گوشی
البته این برای خارجی هاست :). طبق گزارش گاردین ان‌اس‌ای نه تنها شماره هایی که باهاشون تماس گرفتیم رو چک می کنه بلکه محل تماس گیرنده رو هم جمع آوری می کنه. در واقع محل نزدیک ترین آنتن تلفن همراه رو ثبت می کنه، چه زمان تلفن کردن و یا حتی بدون اون. متاسفانه راهی برای خلاصی از این مورد وجود نداره چون سرویس دهنده های تلفن همراه باید بتونن محل شما رو شناسایی کنن تا امواج رو براتون بفرستن وقتی کسی باهاتون تماس گرفت. پس تنها راه خاموش کردن تلفنه و اگر پارانویا دارید می تونید باتری گوشیتون رو هم در بیارید یا بذاریدش خونه.

منبع

چند روز پیش خبری منتشر شد از هک تایم لاین مارک زاکر برگ. قضیه از این قرار بود که یک ضعف امنیتی در فیسبوک اجازه می داد که از طرف هر فردی که بخواهید، استاتوسی را منتشر کنید. کسی که این ضعف را پیدا کرد، هکری فلسطینی به اسم خلیل شریتح بود. خلیل ابتدا این باگ را به تیم امنیتی فیسبوک اعلام کرد و پس مدت زمان زیادی با جواب غیرمنطقی رو به رو شد: “گزارش شما یک باگ واقعی نیست”.خب اینجا بود که خلیل تصمیم گرفت تایم لاین خود مارک زاکربرگ رو هک کند تا پیامش رو واضح به تیم امنیتی این سایت برسونه.

عکسی از صفحه هک شده مارک زوکربرگ

پس از این اتفاق، مدیر امنیتی فیسبوک در بیانه ای اعلام کرد که اطلاعات اولیه ای که هکر فرستاده بوده ناقص بوده و باعث شده که تیم امنیتی اهمیت موضوع رو متوجه نشن. او همچنین اضافه کرد که تغییراتی رو در سیستم گزارش باگ خواهند داد که این اشتباهات به حداقل برسه.

و حالا می رسیم به اتفاق روز گذشته. هکری ۱۷ ساله از مراکش به اسم محمد البوکیتوی Mohamed El Boukioty تونست ایمیل، فیسبوک و تویتر جناب خلیل شریتح رو هک کنه. ماجرا از اینجا شروع می شه که محمد ایمیلی به خلیل می زنه و می گه که ایمیلش ضعف امنیتی داره منتها خلیل اشتباه فیسبوک رو تکرار می کنه و به گزارش محمد توجهی نمی کنه. محمد هم برای اینکه جدی بودن ضعف امنیتی رو نشون بده سعی می کنه از طریق پرسش امنیتی، پسورد ایمیل رو بشکنه و موفق می شه. پس از دسترسی به ایمیل khalil1828@hotmail.com، محمد می تونه پسورد فیسبوک خلیل رو هم ریست کنه و توی  فیسبوک استاتوسی از طرف اون بذاره که: “من هکر نیستم، فقط می خوام به خلیل اعلام خطر کنم. او به زودی اکانتش رو به دست میاره. متاسفم.”

استاتوس اعلام هک کردن و عذرخواهی هکر

۳ ساعت بعد اکانت فیسبوک خلیل توقیف می شه و بعد از ۱ ساعت به اون برگردونده می شه. اما خلیل بعد از به دست آوردن اکانت به دروغ مدعی می شه که اکانتش از طریق BruteForce (حدس زدن پسورد) و طی اقدامی دو هفته ای هک شده.

استاتوس خلیل بعد از به دست آوردن اکانت

بعد از این استاتوس، محمد ایمیلی به خلیل می زنه که می گه دروغ گفتی ومن پسورد رو حدس نزدم و فرانسوی هم نیستم و مراکشی ام. والبته باز هم مودبانه برخورد کرده و گفته ما به تو افتخار می کنیم:

ایمیل محمد به خلیل

و در انتها هم یه سری تصاویر از وبلاگ محمد که نشون می ده به ایمیل، فیسبوک و توییتر خلیل دسترسی داشته:

ایمیل هک شده خلیل

توییتر هک شده خلیل

فیسبوک هک شده خلیل

هیچ وقت پیش نیومده بود که ایمیل خیلی مهمی بفرستم که نیاز به رمزنگاری داشته باشه ولی همیشه علاقه خاصی به مبحث رمزنگاری داشتم.

بعد از قضایای NSA و اسنودن و خوندن خبر تعطیلی سرویس ایمیل امنی که اسنودن ازش استفاده می کرد به فکر افتادم که آیا می شه از سرویسی مثل جیمیل با امنیت بالاتر استفاده کرد؟ و مسلما سوالی که سال ۲۰۱۳ به ذهن من می رسه احتمالا قبلا کسی بهش فکر کرده و راهی براش پیدا کرده. پس جستجو کردم و راههای مختلف رو امتحان کردم.

به یک راه ساده و عملی رسیدم که برای استفاده دیگران اینجا بازگو می کنم.

یکی از بهترین روش های رمز گزاری متن در حال حاضر استفاده از PGP است. یک روش که ایده اش استفاده از دو تا کلید برای قفل کردن و باز کردن صندوق امنه. فرض کنید یه صندوق هست که با یک کلید قفل می شه و با یک کلید دیگه باز می شه. حالا شما می تونید از اون کلید قفل کننده کپی بگیرید و به دوستاتون بدید تا هروقت لازم بود چیزی رو توی صندوق بذارن و درش رو قفل کنن. ولی از کلید دیگه فقط یدونه دست شماست که در نتیجه فقط شمایید که می تونید امانتی رو بردارید.

سعی کردم به واضح ترین شکل ممکن توضیح بدم. خب همونطور که حدس زدید برای اینکه بتونیم همچین رمزنگاری رو توی جیمیل استفاده کنیم یه سری ابزار لازم داریم.

اول از همه اون جفت کلید و بعد هم کلید عمومی دوستامون تا بتونیم ایمیلهاشون رو با اون کلید رمزگذاری کنیم و براشون بفرستیم. ضمن ینکه خودمون هم باید کلید عمومیمون رو با دوستامون به اشتراک بذاریم.

دوم اینکه یه ابزری داشته باشیم که با اون کلید عمومی، ایمیلی رو که می خوایم بفرستیم رمزگزاری کنیم.

من برای انجام این کارها از دوتا افزونه گوگل کروم استفاده می کنم و یه تغییر کوچیک در تنظیمات جیمیل. ابتدا افزونه‌های Mailvelope و PGP Global Directory OpenSearch Plugin را نصب کنید.

حال برای ساخت جفت کلید خودمون به اینجا میریم:

Mailvelope –> Options –> Generate Key

مطابق تصویر زیر تنظیمات را انجام می دیم. پیشنهاد می کنم برای قابل شناسایی و جستجو بودن در قسمت اسم، اسم مناسبی رو وارد کنید. مگر در شرایط خاص. سایز کلید هم که در حالت عادی ۱۰۲۴ bits است ولی من پیشنهاد می کنم از ۲۰۴۸ یا ۴۰۹۶ استفاده کنید که احتمال شکسته شدن قفل رو کمتر می کنه. البته سایز بالاتر زمان بیشتری برای کد و دیکد کردن متن پیام رو باعث می شه. در نهایت هم پسورد استفاده از کلید خصوصی رو وارد کنید. این پسورد برای اطمینان از این قضیه است که اگر به اشتباه کلید خصوصی شما در اختیار کس دیگه ای قرار گرفت (فرض کنید لپتاپتون که کلید رو روش دارید دزدیده شد) بدون داشتن این پسورد نتونه ایمیل شما رو بخونه.

ساخت جفت کلید خصوصی و عمومی

بعد از اینکه این کلید رو ساختید برید در قسمت Display Keys روی کلید ساخته شده کلیک کرده و Export را انتخاب کنید. حال شما یک فایل دارید که شامل کلید عمومی شماست.

الان زمان اون رسیده که کلید عمومی خودمون رو جایی بذاریم تا دیگران بتونن در صورت نیاز با جستجو پیداش کنند. همونجایی که شما می تونید کلید دیگران رو پیدا کنید. می ریم سراغ افزونه دوم و یا مستقیما می ریم توی سایت نگهداری کلیدهای عمومی PGP و کلید خودمون رو آپلود می کنیم.

با آپلود کلید، اطلاعات ما نمایش داده می شه و یک ایمیل حاوی لینک تایید هم به ایمیلی که در دل کلید معرفی شده ارسال می شه. در صورتیکه اون ایمیل رو بازکرده و لینک ارسل شده را کلیک کنید، پروسه به اتمام رسیده و کلید شما در دسترس دیگران خواهد بود.

حال می توانید در همین سایت اسم یا ایمیل خودمون رو جستجو کنیم و نتیجه رو ببینیم. افزونه دوم در واقع جستجو در این سایت رو راحت تر می کنه. برای یافتن و دانلود کلید عمومی کسانی که می خواهید به آنها ایمیل کد شده بفرستید.

خب تا اینجا هر آنچه که می خواهیم رو داریم. تنها نکته اینه که برای کد شدن متن فارسی و دیکد شدن به صورت موفق بایست سیستم نگارش ایمیل را تغییر بدهیم. برای این کار در قسمت تنظیمات جیمیل Settings و در صفحه عمومی generals در انتها صفحه و در قسمت Outgoing message encoding، گزینه دوم که Use Unicode (UTF-8) را انتخاب می کنیم.

تظیم جیمیل برای ارسال متن فارسی

کار تموم شده. حالا بیایم و برای امتحان برای یکی از دوستانمون ایمیل رمزگزاری شده بفرستیم.

من برای ایمیل وبسایتم me [@] scriptics dot ir جستجو کردم. بعد از پیدا کردن کلید عمومی اون رو دانلود کردم.

بعد مطابق مسیر زیر این کلید رو وارد افزونه Mailvelope کردم.

Mailvelope –> Options –> Import Keys

حالا می رم و در جیمیل یه ایمیل جدید رو می نویسم ولی قبل از ارسال روی دکمه ای که گوشته محل نوشتن متن اومده کلیک می کنم که پنجره زیر نمایش داده می شه. حالا انتخاب می کنم که ایمیل رو برای چه کسی می خوام رمزگزاری کنم و نتیجه رو با فشردن دکمه OK و سپس Transfer به جای متن اصلی جایگزین می کنم و برای گیرنده ارسال می کنم.

تبدیل متن ساده به رمز

نمونه متن رمزگزاری شده

در صورتیکه دریافت کننده ایمیل رمزگذاری شده باشید، این افزونه رمز رو تشخیص می ده و پیشنهاد باز کردنش رو می ده. درصورتیکه کلید خصوصی رو داشته باشید و در افزونه Import کرده باشید، پس از وارد کردن رمزی که برای کلید خصوصی انتخاب کرده بودید متن اصلی ایمیل رو می بینید.

و تمام.