ارتباطات واتس‌اپ رمزشد؛ آینده امنیت برنامه‌های ارتباطاتی موبایل چگونه است؟

ما باید یاد بگیریم که با ارتباطاتی زندگی کنیم که به وسیله دیگران قابل نفوذ نباشند، حتی به وسیله سازندگان آن‌ها.
ما به خوبی در مسیری جهانی قرار گرفته‌ایم که ترافیک ارتباطات میان نرم‌افزارهای گوشی‌های همراه را کاملاً امن خواهد کرد.
یک مثال اخیر، مربوط به نرم‌افزار واتس‌آپ متعلق به فیسبوک است که موجب نگرانی مقامات پلیس شده است، چرا که به نظر می‌رسد تلاش برای رمزگشایی از آن ناکام مانده و غیر قابل نفوذ است. قانون گذاران دولت، توسعه‌دهندگان را مجبور می‌کنند تا برخی از انواع رمزهای در پشتی را به کار برند زیرا که به نظر می‌رسد تنها راه جایگزین برای همزیستی با این پدیده جدید باشد، اما قانون ممکن است در بافت توسعه و توزیع نرم‌افزارها در سطح بین‌المللی غیر قابل اجرا باشد.
به‌تازگی واتس‌اپ اعلام کرده است که همه‌ی ارتباطات در این نرم‌افزار از رمزنگاری نقطه به نقطه استفاده خواهد کرد.
«این بحث شامل سیاست قانون و معماری امنیت می‌شود، و موضوعات پشت پرده‌ای برای مردان قانون در بر دارد؛ ما توسعه‌دهندگان دانشی در این زمینه‌ها نداریم؛ اما ما نرم‌افزارهای تلفن همراه را می‌نویسم و ادعا می‌کنیم که مقداری در مورد آن‌ها می‌دانیم.» این صحبت‌ها از جانب یک توسعه‌دهنده نرم‌افزار تلفن‌های همراه است.
سال‌های زیادی توسعه‌دهندگان نرم‌افزار امنیت را در کارهای خود مهم ارزیابی نمی‌کردند. برای مثال گوگل اخیراً شروع به مسدود کردن نرم‌افزارها با استفاده از سامانه SSL (اعتماد به همه کارگزارها) بر روی فروشگاه نرم‌افزاری پلی‌اِستور خود کرده است. تنها مهندسان گوگل می‌دانند که چه تعداد از توسعه‌دهندگان تنبل نرم‌افزار وجود دارند، اما انجمن‌های برنامه‌نویسی نشان می‌دهد که این تعداد بسیار زیاد است. به همین شکل بسیاری از ارتباطات متنی و صوتی، حتی امروز به شکل عادی و بدون رمز رد و بدل می‌شوند.
اما رمزگذاری به صورت گسترده‌ای، به دلیل افزایش احترام به حریم خصوصی در دستگاه‌های تلفن همراه در حال استقرار است. به عنوان مثالی از اقدامات حریم خصوصی در حال انجام،‌ اندروید و iOS اخیراً شروع به مخفی کردن نشانی‌های MAC هر دو به صورت به‌روزرسانی‌های نرم‌افزاری کرده‌اند (با درخواست بررسی ناشناس).
این روند برای رمزگذاری ارتباطات برای دستیابی به حفظ حریم خصوصی است. توسعه‌دهندگان نرم‌افزار اغلب امنیت را به عنوان دردسر تلقی می‌کنند و با کمترین میزان تلاش به سراغ آن می‌روند، اما آن‌ها متوجه هستند که کاربران به حریم خصوصی نیاز دارند.
در این حال، رمزنگاری گام‌های بلندی را برداشته است. اصولی که نیاز است تا سامانه رمزنگاری غیر قابل شکستی ایجاد کند، هر چند که پیچیده است، اما به صورتی گسترده درک شده است.
با این حال، جزییات پیاده‌سازی رمزنگاری با ایجاد فرصت‌هایی برای طراحی در آسیب‌پذیری‌های ناخواسته، پیچیده باقی مانده است، اما شکافی که بین رمزنگاری در عمل و نظر وجود دارد، ‌در حال کم شدن است و نرم‌افزارهای رمزنگاری شده تلفن همراه پیشرفت زیادی کرده‌اند. توسعه‌دهندگان اکنون به بسیاری از کتابخانه‌های نرم‌افزاری و پروژه‌های متن‌باز دسترسی دارند که رمزنگاری را به درستی پیاده سازی می‌کنند.
ابزار دیگر ارتباطات امن ساختار معماری نظیر به نظیر با رمزگذاری نقطه به نقطه است. بسیاری از نرم‌افزارها در گذشته ترافیک را از طریق یک کارگزار ابری مرکزی رهگیری می‌کردند ، که اتصال کاربر- کارگزار- را ممکن می‌کردند و اغلب پیام‌ها را در کارگزار رمزگشایی می‌کردند. اما فشارهای مختلف از جمله مسائل مربوط به حریم خصوصی موجب شد که نرم‌افزارها به سمت معماری نظیر به نظیر حرکت کنند که ترافیک مستقیماً به سمت گیرنده حرکت می‌کرد. دیگر هیچ نقطه مرکزی وجود ندارد که ترافیک را رمزگشایی کند. هنگامی که رمزگشایی به شکل نقطه به نقطه است، استراق سمع باید در ابتدا یک مسیر اتصال را از طریق اینترنت مشخص کند و سپس شروع به رمزگشایی کند.
از سامانه‌های رمزنگاری نقطه به نقطه چه از سوی دولت و چه به شکلی غیر قانونی به سختی می‌توان استراق سمع کرد. آن‌ها می‌توانند تلاش کنند تا دستگاه را در دست گرفته و کلیدهای رمزگشایی را به دست آورند. اما بررسی یکی از این دستگاه‌ها برای تبادل و استخراج گذرواژه‌ها به موازات بهبود نرم‌افزارها و سامانه‌های رمزنگاری مشکل‌تر می‌شود.
رویکرد دوم تلاش برای رمزگشایی ترافیک رهگیری شده بدون دانستن گذرواژه است. این روش برای سامانه‌های رمزنگاری به خوبی طراحی شده جدید، غیرممکن است. تنها امکان کشف و بهره‌برداری از نقص‌ها می‌ماند که می‌تواند فضای جستجو را در حملات جستجوی فراگیر محدودتر کند. اما تعداد این نقص‌ها به مرور زمان کمتر می‌شود، چرا که نفوذگران کلاه سفید آن‌ها را کشف کرده و نویسندگان برنامه‌ها آن‌ها را برطرف می‌کنند.
سوم اینکه، رمزها می‌تواند به وسیله روش‌هایی نظیر فیشینگ و یا حیله‌گیری‌های مشابه، به دست آورده شوند و یا به صورت قانونی از توسعه‌دهندگان نرم‌افزار خواسته شود که یک گذرواژه را به عنوان در پشتی طراحی کنند و بر حسب تقاضا آن‌ها را ارائه دهند (به درخواست مقامات قانونی). در میان همه این جایگزین‌ها، این مورد تنها موردی است که به احتمال زیاد در گذر زمان باقی خواهد ماند؛ مابقی روش‌ها به شک فزاینده‌ای غیرممکن خواهند شد.
بنابراین نیاز به ایجاد آسیب‌پذیری‌های خاص در طراحی و یا گذرواژه‌هایی به عنوان در پشتی تنها راه حل دراز مدت برای دسترسی مقامات پلیس و قضایی است. اما موانع عملی برای ایجاد طراحی در پشتی و افشای آن وجود دارد. ماهیت بین‌المللی صنعت نرم‌افزار به معنای این است که دولت‌ها نمی‌توانند توسعه‌دهندگان نرم‌افزارها را بدون همکاری و کنترل بین‌المللی تنگاتنگ با یکدیگر محدود کنند. و توزیع برنامه‌های غیرمجاز یک مشکل ثابت است، که نیاز به یک دیواره آتش ملی دارد تا از بارگیری‌ از فروشگاه‌های خارجی نرم‌افزارها و توزیع بین‌المللی رایانامه‌ها و ابزارهای مشابه جلوگیری کند.
اینها راه‌حل‌های عملی در جهان مدرن امروزی نیستند؛ ما باید یاد بگیریم تا با ارتباطاتی زندگی کنیم که قابل نفوذ به وسیله دیگران نباشد،‌ حتی به وسیله کسانی که این ارتباطات را ایجاد کرده‌اند.
بنابراین جمله معروف Scott McNealy به این شکل وارونه خواهد شد: «کاربران نرم‌افزارهای ارتباطی صد در صد حریم خصوصی خواهند داشت، بنابراین به این مسئل عادت کنید.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.