امنیت

آنا مانتز: داستان امواج سری

یکی از تفریحات من در کودکی چرخیدن بین امواج رادیو و پیدا کردن برنامه‌هایی بود که فقط خودم ازشون خبر داشتم؛ یه جور پیدا کردن باغ مخفی. در این مقاله، در مورد یک موج رادیویی سری خواهم نوشت.

آنا مانتز

سال ۱۹۷۹ آنای ۲۲ ساله که تازه درسش در زمینه امور خارجه رو در دانشگاه ویرجینیا تمام کرده بود و دنبال شغل بود، مثل بقیه اعضای خانواده‌اش رفت سمت دستگاه قضایی و نظامی آمریکا. پدرش دکتر ارتش بود و خواهر و برادرش برای FBI کار می‌کردند. آنا به عنوان تایپیست کارش رو در وزارت دادگستری شروع کرد و بعد از یک سال تایید امنیتی لازم رو گرفت که به اطلاعات محرمانه هم دسترسی داشته باشه. همزمان ادامه تحصیل داد و سال ۱۹۸۸ فوق لیسانس مطالعات بین‌الملل رو در دانشگاه جانز هاپکینز تمام کرد.

آنا به خاطر تلاش در کار، دقت و دانشش و تحصیل در یکی از بهترین دانشگاه‌های آمریکا، به سرعت مدارج ترقی رو طی کرد. سال ۱۹۸۵ پیشنهاد کاری در آژانس اطلاعات دفاعی (زیر مجموعه پنتاگون) رو پذیرفته بود. سال ۱۹۹۲ به یک بخش ویژه تحلیل اطلاعاتی منتقل شد. ابتدا متخصص امور نیکاراگوئه و السالوادور شد و سپس تحلیل‌گر سیاسی و نظامی ارشد کوبا شد و حتی برای کسب اطلاعات در مورد ارتش کوبا، به این کشور سفر کرد.

سال ۱۹۹۷ از رییس CIA تقدیرنامه گرفت. آنا رو «ملکه کوبا» صدا می‌زدند. تحلیل‌های دقیق و اشراف اطلاعاتیش در مورد کوبا باعث شد که یکی از تاثیرگذارترین کارشناس در مورد سیاست در قبال کوبا بشه.

آنا به شدت اهل کار بود، معمولا تنها و در اتاق خودش غذا می‌خورد و همیشه در حال مطالعه اسناد و اطلاعات سری مرتبط با کارش در مورد کوبا بود. سال ۲۰۰۰ بود که آنا دوباره در مرحله یک پیشرفت حرفه‌ای قرار گرفت و پیشنهاد شد که به شورای ملی اطلاعات آمریکا بره.

سپتامبر سال ۲۰۰۱ و بعد از حمله تروریستی به برج‌های جهانی، بخش زیادی از نیروهای FBI درگیر پیدا کردن سرنخ‌های گروه تروریستی القاعده در خاک آمریکا شده بود و آمریکا هم در تدارک حمله به افغانستان بود. ۱۰ روز بعد از حمله تروریستی، لوسی مانتز، خواهر آنا، به دفتر رییسش فراخونده شد. لوسی که سابقه خوبی در شنود حلقه‌های جاسوسی داشت، فکر می‌کرد قراره در پرونده حمله تروریسی همکاری کنه اما به لوسی گفتند که آنا به اتهام جاسوسی برای کوبا دستگیر شده.

آنای دوم

سال ۲۰۰۰ بود که پرونده پیدا کردن یک جاسوس کوبا در سطح بالای مقامات امنیتی آمریکا در FBI در اولویت قرار گرفت. دو سال بود که ماموران FBI دنبال این جاسوس بودند و معدود اطلاعاتی که داشتند دسترسی جاسوس به اطلاعات محرمانه و خرید یک لپ‌تاپ توشیبا بوده. پس از مدت‌ها جستجو بین کارمندان مختلف و کوچک‌تر کردن لیست افراد با بررسی اونها، به ۲۰ نفر نهایی رسیدند. یکی از این ۲۰ نفر آنا بود. مامور پرونده یادش اومد که سال‌ها قبل یکی از همکاران آنا ازش شکایت کرده بود که اصرار زیادی داره به اطلاعات محرمانه دسترسی داشته باشه اما بازرسی و سوال و جواب از آنا بی‌نتیجه تمام شده بود.

چند ماه پیش از دستگیری، زمانی که آنا خونه نبود ماموران به خونه‌اش رفته و پس از تفتیش، از هارد کامپیوترش یک کپی گرفتند. از روی هارد، رد فایل‌هایی رو یافتند که قرار بود پاک شده باشند از جمله راهنمای استفاده از نرم‌افزاری برای پاک کردن فایل‌ها به صورت امن و متن پیام‌های سری. ماموران بعدها و پس از دستگیری، به خونه آنا برگشتند و با بررسی بیشتر، از جلد یکی از کتاب‌ها جدول رمزگشایی متن‌های رمزشده رو پیدا کردند.

با جستجوی متن‌های رمز شده به صورت اعداد در آرشیو سازمان‌های امنیتی، متوجه شدند که این اعداد دو سال پیش توسط رادیویی سری که همیشه یک‌سری عدد نامفهوم رو تکرار می‌کنه پخش شده بودند. دستورات به صورت اعداد از یک رادیو پخش می‌شد، آنا اونها رو دریافت می‌کرد و رمزگشایی می‌کرد و اطلاعات رو طبق دستورالعمل به واسطه می‌داد تا به کوبا برسونه. آنا در ۱۷ سال جاسوسی برای کوبا، هیچ مدرکی رو از محل کارش خارج نکرده بود و با به‌خاطر سپردن اطلاعات، احتمال دستگیری خودش رو بسیار کم کرده بود.

برنامه FBI این بود که آنا رو زیر نظر بگیره تا بتونه تیم جاسوسی و افراد مرتبط باهاش رو دستگیر کنه اما با حمله تروریستی ۱۱ سپتامبر و برنامه حمله آمریکا به افغانستان، از ترس اینکه برنامه‌های حمله به دست دشمنان آمریکا برسه، آنا دستگیر شد. در گزارش‌های FBI و تحقیق خبرنگاران آمده که آنا برای پول کار نمی‌کرد. از دوران دانشجویی و با دیدن نقش سیاست‌های کشورش در آمریکا جنوبی، حمایت از دیکتاتورها و گروه‌های تروریستی مثل کونتراها، منتقد این سیاست‌ها بود. بعدها تصمیم گرفت نقشه‌های آمریکا در کوبا رو خنثی کنه. گفته می‌شه که جاسوسان آمریکا در کوبا رو لو داده بود، محل پایگاه نظامی مخفی آمریکا در السالوادور رو اطلاع داده بود که منجر به حمله مخالفان به پایگاه شده بود.

امواج سری

رادیو موج کوتاهی که آنا دستورات رو ازش می‌گرفت، رادیویی است که به Atencion (اتنسیون) معروف شده چون در ابتدای هرسری از اعداد، این کلمه تکرار می‌شه. این رادیو به اسم HM01 (Hybrid Mode 01) هم شناخته می‌شه. ایستگاه‌های رادیویی اعداد یکی از روش‌های ارتباطی رمز شده در حدود صد سال اخیر بوده. در جنگ‌های جهانی ازشون استفاده شده و در دوران جنگ سرد به یکی از راه‌های اصلی انتقال اطلاعات به جاسوسان تبدیل شده بود.

از مزایای استفاده از این روش، کم کردن ریسک برای جاسوسان در کشورهای دیگه است. برای دریافت دستورات، داشتن یک رادیو ساده کافی است. جدول رمزگشایی و لیست اعداد تصادفی هم روز کاغذهای کوچکی نگه‌داری می‌شد که هم قابلیت مخفی‌سازی داشت و هم به راحتی قابل از بین رفتن بود.

برای اینکه بدونید روش کار این رادیوها چطوری است، فرض بگیریم که مرکز فرماندهی قراره دستور «UN MENSAJE SECRETO» (به معنی یک پیام مخفی) رو ارسال کنه. ابتدا با استفاده از همون جدول تبدیل که آنا داشت، کاراکترها رو تبدیل به عدد می‌کنید. در اون جدول، می‌بینید که حروف پر استفاده معادل عدد تک رقمیند (برای مثال A می‌شه ۴) و حروف دیگه معادل عددی دو رقمی (برای مثال B می‌شه ۲۴). بنابراین پیام مخفی تبدیل می‌شه به ۹۴۰۹۸۵۳۱۰۸۴۲۸۱۹۸۸۱۲۳۵۸۱۳۵۷۰۰۰۰. هنوز یک مرحله دیگه مونده. در این مرحله با استفاده از لیستی از اعداد ۵ رقمی که به صورت رندوم تولید شده و هم در اختیار فرستنده است و هم در اختیار دریافت کننده، این رشته عددی دوباره رمز می‌شه. طبق تصویر زیر، عددهای تولید شده توسط جدول تبدیل، منهای عددهای رندوم می‌شه تا یک رشته عدد دیگه تولید بشه.

در آخر هم این اعداد رمز شده توسط اپراتور رادیو خونده می‌شه. آنا با دریافت این اعداد و با استفاده از کپی اعداد رندوم و یک‌بار مصرف، رمزگشایی مرحله اول رو انجام می‌ده تا به رشته اعداد ۹۴۰۹۸۵۳۱۰۸۴۲۸۱۹۸۸۱۲۳۵۸۱۳۵۷۰۰۰۰ برسه. سپس با استفاده از جدول تبدیل، متن دستور رو پیدا می‌کنه.

این روش استفاده از جدول تبدیل در کنار اعداد رندوم و یک‌بار مصرف، برای سال‌ها یکی از امن‌ترین روش‌های تماس با جاسوس‌ها بوده. حتی در صورت دستگیری فردی مظنون به جاسوسی، اگر بازرس‌ها همه اعداد و صداها رو نداشتند، نمی‌تونستند به متن اصلی برسند. اشتباه سازمان امنیتی کوبا در ترکیب این روش دستی با برنامه‌ای کامپیوتری برای راحت کردن کار آنا، باعث شد سازمان امنیتی آمریکا به اطلاعات پیام‌های پیشین در حافظه کامپیوتر دست پیدا کنه.

با دستگیری آنا، پخش پیام‌های رمز از طریق رادیوی اتنسیون متوقف نشد و تا همین الان هم به کارش ادامه داده. کارشناس‌های امنیتی معتقدند این مساله نشون می‌ده که هنوز کوبا جاسوس‌هایی در آمریکا داره و همکاران آنا تونستند به کارشون ادامه بدهند. از این لینک می‌تونید به آرشیوی از پیام‌های این رادیو گوش بدید.

ایستگاه‌های رادیویی اعداد، محدود به این موارد جاسوسی نیست و چندین ایستگاه رازآلود و عجیب هم هستند که سال‌هاست ذهن افراد مختلفی رو به خودش درگیر کرده و افراد زیادی در پی رمزگشایی پیام‌های این رادیوها رفتند. اگر علاقمند به شنیدن رادیوهای دیگه در همین زمینه‌اید، می‌تونید به سایت ایستگاه‌های اعداد مراجعه کنید.

زندان

طبق اطلاعات سایت FBI از پرونده، آنا مانتز سال ۲۰۰۲ به اتهاماتش اعتراف کرد و به ۲۵ سال زندان محکوم شد. در تماس‌هایی که آنا از زندان با دوستانش داشته، هیچ‌وقت پشیمان نبوده از کاری که کرده. پس از سال‌ها زندان، نوشته: «زندان یکی از آخرین جاهاییه که انتخاب می‌کردم توش باشم اما چیزهایی در زندگی هست که ارزش زندان رفتن رو دارند.»

پیش‌بینی می‌شه که ۵ سال دیگه در چنین روزهایی آنا از زندان آزاد بشه.

Standard
امنیت

جنگ رمزها: استفاده از رمزنگاری در گروه‌های تروریستی

سال گذشته مقاله‌ای نوشتم در مورد استفاده از رمزنگاری در القاعده. ترس روزافزون از حملات تروریستی در کشورهای اروپایی و آمریکایی سبب شده که دولت‌ها به بهانه جلوگیری از این حملات در پی ممنوعیت استفاده از رمزنگاری و یا تضعیفش باشند. فیلم تبلیغی داعش و تهدید کشورهایی که از “کفر” حمایت می‌کنند، بهانه‌ای شد که مجددا به این موضوع بپردازم.

در بخشی از ویدئوی گروه داعش، تصویری از یک ایمیل رمزنگاری شده می‌بینیم.

ایمیل رمزنگاری شده

متن کامل این پیام:

اگر با pgpdump این متن رو چک کنیم ID کلید عمومی رو خواهیم دید:

شاید هیچ وقت نفهمیم که متن اصلی این ایمیل چی بوده اما طبق ادعای این ویدئو، تاریخ و محل حمله‌های پاریس از طریق این ایمیل به گروه‌های اجرایی اطلاع داده شده.

ایمیل رمزگشایی شده

اسنودن معتقده که این ایمیل تقلبیه و به درستی به عدم هماهنگی تاریخ ها اشاره می‌کنه:

snowden

همونطور که می‌بینید تاریخ ارسال ایمیل بعد از تاریخ انجام حمله است. همچنین فرمت main key ID صحیح نیست. اما می‌شه به دستکاری اطلاعات دیگه استناد کرد (مثل ناخوانا کردن user و پسورد) و گفت این بخش از اطلاعات هم دستکاری شده تا از شناسایی جلوگیری کنند.

بحث واقعی یا غیرواقعی بودن این ایمیل ممکنه نهایتا به جایی نرسه اما تاکید داعش در پایان همین ویدئو بر ارسال ایمیل رمزنگاری شده‌ی دیگه‌ای که محل حمله‌های بعدی رو مشخص کرده، می تونه به موج مقاومت دولتی‌ها و سازمان‌های جاسوسی در برابر رمزنگاری، دامن بزنه. فراموش نکنیم که “رمزنگاری” یا به طور خاص رمزنگاری end to end که سبب می شه کسی غیر از طرفین ارسال‌کننده و دریافت‌کننده پیام، توانایی خوندن اون رو نداشته باشه، تکنولوژی عجیبی نیست و خوشبختانه داره استفاده روزمره پیدا می‌کنه. نمونه اون رو در secret chat اپلیکیشن تلگرام می‌بینیم و نمونه موفق‌ترش رو در نرم‌افزارهایی مثل سیگنال و chatsecure می‌بینیم. نکته اینجاست که اگر “آدم‌های بد” می‌تونن از ابزار خوب استفاده کنن، چرا مردم عادی نتونن؟ و اگر استفاده نمی‌کنن هم که صورت مساله پاک می‌شه و دلیلی برای محدودیتش نیست. یادمون نره که با وجود همه این پول‌های خرج شده برای نظارت بر اطلاعات عمومی و خصوصی مردم، مهاجمان پاریس از تلفن‌های عادی استفاده کرده و با sms در مورد حمله صحبت کرده بودند و هیچ سازمانی متوجه نشد.

غیر از سازمان‌های جاسوسی، شرکت‌هایی مثل گوگل هم علاقه چندانی به همه‌گیر شدن این روش‌های رمزنگاری ندارند و به صورت پیش‌فرض در سرویس‌های خودشون استفاده نمی‌کنند، چرا که بخشی از درآمدشون از تحلیل پیام‌های رد و بدل شده و هدف‌دهی تبلیغاته.

در پست دیگری، از رمزنگاری و سطح امنیتی اپلیکیشن‌های استفاده شده در گروه هایی مثل داعش خواهم نوشت.

پی‌نوشت:

مقاله خانم مهسا علیمردانی کمک زیادی کرد به نوشتن این پست.

https://advox.globalvoices.org/2016/01/25/is-isis-trying-to-manipulate-the-crypto-debate-tech-experts-debunk-encrypted-email-video/

Standard
امنیت

رمزنگاری در القاعده

این ماه دقیقا ۸ سال از روزی که القاعده استفاده از رمزنگاری رو برای کارهای آنلاین و رد و بدل اطلاعات شروع کرد می‌گذره. هدفشون هم امن نگاهداشتن اطلاعاتی بود که منتقل می کردند، حالا یا از طریق شبکه، اینترنت، بلوتوث و هر روش دیگه‌ای. پس از عملیاتی که منجر به کشتن بن‌لادن شد، خبرها در مورد رمزنگاریِ مورد استفاده القاعده دوباره سر زبان‌ها افتاد. کلیه اطلاعات روی کامپیوتر و لپتاپ و فلش مموری‌ها، رمز شده بود. سال ۲۰۰۹ نصیر الوحیشی، معاون بن لادن، در صحبت‌هاش به استفاده از رمزنگاری اشاره کرد. او گفته بود “ما با همه کسانی که بخواهند در جهاد به ما کمک کنند، تماس می گیریم.” و گفته بود که می تونید “با ایمیلی که به همین منظور راه اندازی شده و با استفاده از اسرار المجاهدین و ابزارهای امن دیگه، با ما تماس بگیرید.”

نسخه اول اسرار المجاهدین که با عنوان “اولین نرم افزار رمزنگاری اسلامی برای انتقال اطلاعات در اینترنت” خودش رو معرفی کرد، سال ۲۰۰۷ منتشر شده و امکان استفاده از متدهای روز رمزنگاری رو به اعضای القاعده می داد. این نرم‌افزار برای اولین بار در سال ۲۰۰۹ در سایت ویروس توتال بررسی شد. پس از آن نرم افزارها و ابزار دیگه‌ای توسط این گروه منتشر شد از جمله اسرار الدردشه که یک پلاگین برای رمزنگاری در نرم‌افزارهای پیام رسانه و سال ۲۰۱۳ منتشر شد و کمی بعد نسخه‌ای از آن در سایت ویروس توتال آپلود شد. در همین سال نسخه موبایل اسرار المجاهدین نیز منتشر شد. از سال ۲۰۱۴ شاهد نرم افزارهای رمزنگاری بیشتری برای پلتفرم های موبایل بودیم از جمله تشفیر الجوال و امن المجاهد.

در ادامه می تونید تصویری از زمان ارائه نرم افزارهای گفته شده رو ببینید.

al-qaeda-encryption-developments-timeline

استفاده از روشهای رمزنگاری در گروه القاعده پس از افشاگری‌های اسنودن تغییر کرد. سازمان‌های اطلاعاتی آمریکا به سازمان‌های مرتبط گوشزد کردند که شیوه‌های ارتباطی القاعده تنها چندماه پس از افشاگری اسنودن، تغییر کرده است. در ژانویه ۲۰۱۴، معاون سابق CIA و عضو گروه بررسی نظارت در NSA در یک مصاحبه اعلام کرد القاعده به سرعت در حال تطابق خود با اطلاعات افشا شده است و حدس می‌زنم که همکاران سابق من نیز در حال به‌روزرسانی خودشونند.

مجله انگلیسی زبان القاعده، Inspire، که همواره در شماره‌های خود اطلاعات رمزنگاری شده‌ای برای افراد مرتبط با خود منتشر می‌کرد، در اولین نسخه پس از افشاگری‌های اسنودن و در صفحه اول اعلام کرد که به بنا به دلایل تکنیکال و امنیتی، آدرس های ایمیل موقتا به حالت تعلیق در آمده. نیکولاس تیوزانت ۲۰ ساله که سال ۲۰۱۴ به جرم همکاری با افراطی‌های سوری و قصد بمبگذاری در آمریکا دستگیر شد، در اکانت اینستاگرام خود عکس از صفحه کامپیوترش منتشر کرده بود که نحوه استفاده از اسرار المجاهدین برای رمزگشایی پیام‌های Inspire را نشان می‌داد.

18925

آوریل ۲۰۱۴ شاخه رسانه‌ای القاعده، السحاب، در تبلیغ یک مصاحبه با یکی از رهبران القاعده در پاکستان، گفت می‌تونید سوال‌های خودتون رو به ما ایمیل کنید. آدرس ایمیل های ارائه شده از سرویس‌های یاهو و safe-mail.net بود. Safe mail یک سرویس ایمیل امن اسراییلی است که ادعا می کنه بالاترین امنیت رو در کنار سادگی در اختیار کاربران میگذاره.

در این میان گروه‌های تندرو دیگه از القاعده عقب نموندند. برای مثال داعش یا همون ISIS، سایت رمزنگاری خودش رو به اسم اسرار الغربا راه‌اندازی کرد. در حال حاضر که من این پست رو می‌نویسم آدرس‌های قبلی این سایت از کار افتاده. همچنین طی یک اعلام رسمی در انجمن طرفداران القاعده، استفاده از برنامه‌هایی با اسم اسرار الغربا خطرناک اعلام شده و گفته شده تنها برنامه‎های تشفیر الجوال، پلاگین اسرار الدردشه و برنامه اسرار المجاهدین رو استفاده کنید. احتمالا کسانی با استفاده از تشابه اسمی، قصد توزیع بدافزار بین طرفداران این گروه‌ها داشتند.

announce

در این اعلان، از مجاهدین خواسته شده که از طریق وبسایت gimfmedia (جبهه رسانه اسلامی جهانی) آخرین برنامه ها رو بگیرند و جالب اینکه این سایت از سرتیفیکیتی استفاده می‌کنه که خودشون صادر کرده‌اند. همچنین این سرتیفیکیت از TLS نسخه ۱.۲ پشتیبانی نمی‌کنه و باگ پودل داره. نسخه وردپرس استفاده شده در این سایت نیز در زمان نگارش این پست ۳.۵ بود درحالیکه آخرین نسخه ارائه شده وردپرس همکنون ۴.۱ است.

gimf

گراف زیر نشون دهنده نمایی کلی از موارد گفته شده است. می بینید که حدود ۴ یا ۵ ماه پس از افشاگری‌های اسنودن، القاعده و داعش نسخه‎های جدیدی از نرم‌افزارها و پلاگین‌های رمزنگاری خودشون رو منتشر کردند.

snowden-disclosure-impact-timeline

آنالیز

در بررسی نرم‌افزارها و پلاگین‌های رمزنگاری گفته شده، سه سوال مطرح می‌شه.

  1. در نرم‌افزارهای منتشر شده القاعده متدهای خودساخته رمزنگاری استفاده شده و یا از الگوریتم‌های در دسترس و عمومی استفاده کرده‌اند؟
  2. شایعه شده که این نرم‌افزارها دارای بدافزارند، حالا یا از طرف القاعده و یا دولت‌هایی مثل آمریکا. آیا این مساله تایید شده؟
  3. آیا این نرم‌افزارها به صورت گسترده استفاده می‌شن؟ یک مورد که این سوال رو به سوال بالا مربوط می‌کنه اینه که بررسی کنیم آیا این نرم‌افزارها روی سرویس‌های بررسی بدافزار مثل ویروس توتال چک شده اند یا نه.

آنالیز کد این نرم افزارها و مهندسی معکوسشون رو در جدول زیر به صورت خلاصه می تونید ببینید.

encryption-methods-table

در جدول زیر تاریخ اولین تست هر فایل در سرویس ویروس توتال رو می بینید.

encryption-indicators-table

استفاده از متدهای خونگی و یا عمومی

در این بخش بررسی می کنیم که این نرم‌افزارها از متدهای رمزنگاری خونگی استفاده می‌کنند یا متدهای عمومی. بنا بر نظر بروس اشنیر (Bruce Schneier)، متدهای خودساخته ریسک‌های بیشتری دارند.

تشریف الجوال

تشریف الجوال یه اپلیکیشن رمزنگاری موبایله که توسط شاخه رسانه‌ای القاعده تنها ۳ ماه پس از افشاگری‌های اسنودن منتشر شد. طبق اعلام GIMF (جبهه رسانه اسلامی جهانی)، این اپلیکیشن از متد Twofish استفاده می‌کنه. این متد توسط بروس اشنیر و همکارانش توسعه داده شده است. استفاده از این متد به جای متدهایی که احتمالا تحت تاثیر دولت آمریکا هستند، کاری است که اپلیکیشن مطرح Silent Circle نیز انجام داده است.

در مهندسی معکوس این اپلیکیشن، ۳ نکته جالب دیده شد:

  1. این اپلیکیشین با بسته کاملی از متدهای رمزنگاری منتشر شده، شامل Twofish (که در بالا اشاره شد) و AES, Blowfish, DES, DESede, GOST28147, IDEA, ISAAC, Noekeon, RC2, RC4, RC532, RC564, RC6, Rijndael, SKIPJACK, Serpent, TEA, Twofish, CCM, EAX, GCM
    rl-encryption-algorithms
  2. تکیه زیادی بر BouncyCastles و CryptoSMS وجود دارد.
    rl-bouncycastle-encryption
  3. احتمالا به عنوان راهی برای قانونی به نظر رسیدن، از هدرهای صریحی در پیام‌های رمزنگاری شده استفاده می‌کنند (سازگار با اسرار المجاهدین).
    encryption-message-headers

 

امن المجاهد، نسخه همراه

به گفته سازندگان این برنامه “امن المجاهد از رمزنگاری قوی استفاده کرده و با پیروی از تکنولوژی‌های پیشرفته موجود، کمک خوبی به برادران است.”

همچون تشریف الجوال، سازندگان این برنامه نیز تاکید بر استفاده از پیشرفت‌های تکنولوژی دارند نه اختراع متدهای خودشون. طبق مستندات امن المجاهد (نسخه دسکتاپ) از متدهای رمزنگاری Twofish و AES استفاده شده است:

“الگوریتم رمزنگاری را که در پایین صفحه نرم‌افزار واقع شده، انتخاب کنید (Twofish یا AES).”

و در راهنمای امن المجاهد نسخه همراه، یک سرنخ برای نوع رمزنگاری در تصویر زیر قابل مشاهد است. اشاره به کلید RSA و نه روشی خودساخته. همچنین به همخوانی کلیدها و عملکرد در نسخه همراه و دسکتاپ اشاره شده است.

“ویژگی‌های امن المجاهد نسخه همراه با نمونه‌های معادل نسخه دستکاپ، همخوانی دارد. از این رو کاربر می‌تواند کلیدهای ساخته شده در امن المجاهد نسخه دستکاپ را کپی کرده و به امن المجاهد نسخه گوشی همراه اضافه کند و یا برعکس.”

aam-mobile-encryption

اسرار الغربا

محصول داعشه که با بیانه‌ای در خصوص الگوریتم‌های خصوصی ارائه شد اما از آنجایی که به نظر می‌رسه این محصول دیگه در دسترس نیست، نمی‌شه در مورد الگوریتم‌های استفاده شده به جمع‌بندی مطمئنی رسید.

ارزیابی

در مجموع بر اساس ادعاهای خود سازندگان و مهندسی معکوس انجام شده، به نظر نمی‌رسه که این محصولات از الگوریتم‌های خودساخته استفاده کرده باشند. مسلما در ارزیابی موارد دیگه‌ای هم باید در نظر گرفت. یک برنامه ممکنه که از کتابخانه‌ها و الگوریتم‌های بررسی شده، امن و استاندارد استفاده کنه اما توی نگهداری و کنترل کلیدها و انتقال اطلاعات دچار مشکل باشه.

آلودگی به بدافزار

یکی از سوال‌های مهم اینه که آیا این نرم‌افزارها به بدافزار و در پشتی آلوده‌اند یا نه. شایعه‌های زیادی در این مورد هم بین کارشناس‌های امنیتی و هم بین خود اعضای القاعده وجود داره. این بدافزارهای احتمالی می‌تونه توسط دولت‌ها و یا هر سازمان دیگه‌ای جاسازی شده باشه.

برای بررسی، اسرار المجاهدین رو انتخاب می‌کنیم که زمان زیادی از توسعه و استفاده ازش می‌گذره. در تصویر زیر تاریخچه‌ای از این نرم‌افزار رو می بینید. از زمان انتشار تا اعلام خطر در مجله Inspire و استفاده مجدد، انتشار اسرار الدردشه، تاریخ‌های بررسی این نرم‌افزار در ویروس توتال و نهایتا استفاده مورتن استورم از اسرار المجاهدین برای پیدا کردن انوار الاولاکی، یکی از رهبران القاعده.

mujahideen-secrets-timeline

با مقایسه RSS سایت GIMF (جبهه رسانه اسلامی جهانی) می‌بینیم که دقایقی پس از انتشار اسرار الدردشه، نسخه جدید اسرار المجاهدین نیز منتشر شده که می‌تونه نشونه‌ای باشه از اشتراک منابع، متدها و حتی کدهای این دو.

gimf-rss-feed-example

یکی از نکات جالب، تاریخچه ارسال فایل Asrar_2.exe به ویروس توتال در فاصله سال‌های ۲۰۱۲ تا ۲۰۱۴ است. در نمودار زیر می‌بینید که چگونه شناسایی این فایل به عنوان بدافزار از سال ۲۰۱۳ به بعد کاهش داشته.

rl-malware-timeline

شناسایی این فایل به عنوان بدافزار از سال ۲۰۱۲ افزایش داشته و در سال ۲۰۱۳ به اوج رسیده که در این زمان ۵۰ درصد آنتی‌ویروس ها اون رو بدافزار می‌دونستن. اما از اون زمان به تدریج از لیست بدافزارها خارج شده تا الان که فقط ۷ آنتی‌ویروس هنوز اون رو بدافزار می‌دونن.

مسلما اسرار المجاهدین به مفهوم سنتی یک بدافزار نیست. با اینحال در دوره‌ای توسط بخش گسترده‌ای از آنتی‌ویروس‌های آمریکایی، چینی و روسی و برخی شرکت‌های کوچک به عنوان بدافزار شناخته شد. دلایل مختلفی می‌شه براش برشمرد.

  • افزایش ناگهانی استفاده از این نرم‌افزار که منجر شد دفعات زیادی این نرم‌افزار برای بررسی به آنتی‌ویروس‌ها ارسال بشه و با توجه به اینکه فایل جدید و ناشناخته‌ای بود، زنگ خطر رو به صدا درآورد. پس از مدتی آنتی‌ویروس‌ها فهمیدن که بدافزار نیست و از لیست سیاه حذفش کردند. توضیحات استفاده از اسرار المجاهدین برای اولین بار سال ۲۰۱۰ در مجله Inspire منتشر شد.
    inspire-asrar-instructions
  • سازمانی از چند آنتی‌ویروس خواسته تا اسرارالمجاهدین رو به عنوان بدافزار شناسایی کنند تا اعضای القاعده علاقه چندانی به استفاده از اون نداشته باشند. ممکنه که حتی یک آنتی‌ویروس این کار رو کرده باشه چرا که معمولا آنتی‌ویروس‌ها نتایج بررسی همدیگه رو کپی می‌کنن. تئوری توطئه خوبی به نظر می‌رسه اما بعیده که یک دولت برای یک مدت کوتاه این همه شرکت از آمریکا، چین و روسیه رو راضی به این کار کرده باشه.
  • یک فرد سعی کرده که روی نظر آنتی‌ویروس‌ها تاثیر بذاره و یک موفقیت موقت داشته. تصویر زیر نمونه‌ای از کامنت‌ها در سایت ویروس توتاله.
    virustotal-discussion-example
  • از اونجا که آنتی‌ویروس‌ها به صورت گله‌ای عمل می‌کنن، یک تشخیص شانسی از یک آنتی‌ویروس می‌ونه منجر به یک موج بشه و تا زمانی که فایل واقعا بررسی و اعلام نظر بشه، باقی بمونه.
  • ممکنه که واقعا یک بدافزار در اسرار المجاهدین وجود داشته باشه یا قبلا بوده و باعث این اخطار شده باشه.

از دیگر دلایل احتمالی می‌تونم به استفاده از دلفی برای نوشتن برنامه، اشاره کنم. دلفی زبان برنامه‌‌نویسی مورد علاقه هکرها بود. مدت‌هاست که دیگه استفاده چندانی از دلفی نمی‌شه و دیدن کتابخونه‌های دلفی در یک نرم‌افزار شک برانگیزه. بر اساس بررسی‌های که انجام دادم، به احتمال بسیار زیاد، این برنامه در محیط سیستم عامل ویندوز نوشته شده.

پست بعد به دلایل استفاده از رمزنگاریهای شخصی به جای اپلیکیشن‌ها و نرم‌افزارهای موجود می‌پردازم. همچنین جمع‌بندی و نتیجه‌گیری رو در پست بعد میارم.

منابع:

https://www.recordedfuture.com/al-qaeda-encryption-technology-part-2/

https://www.recordedfuture.com/al-qaeda-encryption-technology-part-1/

http://www.memri.org/report/en/0/0/0/0/0/0/7950.htm

Standard