اقدامات گوگل برای امنیت و حریم خصوصی جیمیل

در چند سال گذشته گوگل به طور فزاینده‌ای امنیت را برای کاربران جیمیل افزایش داده‌ است.
علاوه بر احراز هویت دوعامله۱ و پروتکل HTTPS، گوگل ابزارها و ویژگی‌های جدیدی را به جیمیل افزوده‌ است که امنیت و حریم خصوصی کاربران را تضمین کرده، مانع فعالیت مجرمان سایبری می‌شوند و حتی مانع دست‌رسی آژانس‌های امنیتی به رایانامه‌ی کاربران می‌شوند.
در ادامه برخی از این ویژگی‌ فهرست شده است:

۱- افزایش هشدارهای حملات پشتیانی شده توسط دولت‌ها۲
مجادله بین اپل و سازمان FBI موجب شد شرکت‌های فناوری پارامترهای امنیتی خود را نه تنها در برابر حملات نفوذگران بلکه آژانس‌های دولتی نیز تقویت کنند.
اکنون مدتی است که گوگل توانایی شناسایی حملات حمایت‌ شده از طرف دولت‌ها را دارد و اگر موردی را مشاهده کند به کاربران خدمات جیمیل، اطلاع می‌دهد تا آن‌ها اقدامات لازم را هرچه سریع‌تر انجام دهند.
همین اواخر گوگل اعلام کرده ‌بود که به کابران خدمات جیمیل در صورت بروز حمله پشتیبانی شده از سوی دولت اطلاع می‌دهد. این شرکت گفته بود این هشدار را به وسیله نمایش یک صفحه که دستورالعمل های لازم امنیتی را نیز دارد انجام می‌دهد. بسیار دشوار خواهد بود که کاربر این صفحه را که به صورت صفحه کامل و نه جعبه پیام کوچک است نبیند.
به علاوه شرکت گوگل اعلام کرده ‌است احتمالاً پیش‌ از این حدود یک میلیون کاربر توسط مهاجمان سایبری با حمایت دولتی هدف قرار گرفته‌اند.
اگر چه از سال ۲۰۱۲ گوگل به کاربران جیمیل درباره حملات دولتی هشدار داده‌ بود، اما هرگز درباره تعداد این حملات و یا چگونگی انجام آن‌‌ها حرفی نزده بود. گوگل می‌گوید می‌داند به چه کسانی حمله شده ‌است، فهرستی شامل روزنامه‌نگاران، فعالان و برخی سیاستمدارانی که در سراسر جهان تصمیمات کلان می‌گیرند.

۲- امنیت انتقال سختگیرانه SMTP
ویژگی جدیدی با نام SMTP STS در تلاشی گروهی توسط محققان خدمات رایانامه‌ی گوگل، یاهو، مایکروسافت، لینکداین، رایانامه ۱&۱ و کامکست ارائه شده ‌است.
این ویژگی جدید با این هدف ارائه شده تا امنیت رایانامه را از طریق جلوگیری از حملات مرد میانی۳ و کاهش نسخه‌ی رمزنگاری۴ افزایش دهد.
SMTP STS بر بالای ویژگی STARTTLS اجرا می‌شود تا استاندارد‌های SMTP را بهبود بخشد. STARTTLS افزونه‌ای برای پروتکل‌های ارتباطاتی متن ساده است که راهی را برای ارتقاء ارتباط متن ساده به یک ارتباط رمزشده (TLS یا SSL)، به جای استفاده از یک درگاه جدا برای ارتباط رمزشده ارائه می‌دهد.
SMTP STS بررسی می‌کند که آیا گیرنده SMTP STS را پشتیانی می‌کند و گواهی رمزنگاری به‌روز دارد؟ اگر پاسخ این سوال مثبت باشد، به پیام اجازه می‌دهد تا منتقل شود. در غیر این‌صورت مانع از ارسال رایانامه شده و به کاربر اطلاع می‌دهد که چه دلیلی داشته ‌است.

۳- رمزنگاری نقطه به نقطه (فقط از طریق افزونه کروم)
گوگل از دو سال قبل درباره رمزنگاری نقطه به نقطه سخن می‌گفته‌ است اما ویژگی اصلی به‌تازگی ظهور کرده ‌است. ایده این است که افزونه مرورگری ارائه شود که تضمین کند حریم خصوصی کاربران با استفاده از پیاده‌سازی پیچیده PGP رعایت می‌شود. بدین ترتیب پیام‌ها به طور کامل رمزنگاری می‌شوند به طوری که هیچ‌کس حتی خود گوگل هم نتواند رایانامه‌های مذکور را بخواند.
PGP یا حریم خصوصی نسبتاً خوب۵، یک برنامه رمزنگاری رایانه‌ای است که توسط فیل زیمرمن در سال ۱۹۹۱ اختراع شد. این برنامه معمولاً برای امضاء، رمزنگاری و رمزگشایی پرونده‌های متنی، رایانامه‌ها و بخش‌های دیسک و هم‌چنین افزایش امنیت ارتباطات رایانامه‌ای به کار می‌رود.
با در نظر گرفتن این هدف، افزونه مرورگر به کاربران اجازه می‌دهد کلیدهای رمزنگاری عمومی و خصوصی‌شان را در مرورگرها بسازند. کلیدعمومی به کارگزارهای گوگل بارگذاری می‌شود، در حالی ‌که کلید خصوصی به صورت محلی در مرورگر ذخیره خواهد شد.
افزونه نقطه‌ به نقطه‌ی کروم چگونه کار می‌کند؟
زمانی که یک کاربر رایانامه‌ایی را با استفاده از روش PGP به کاربر دیگر ارسال می‌کند، مرورگرِ وی به طور خودکار، کلید عمومی کاربر را از کارگزار بارگیری کرده و محتوای رایانامه را رمزنگاری می‌کند.
شرکت گوگل می‌گوید هنوز در حال انجام این پروژه است و مشخص نکرده ‌است چه زمانی افزونه مرورگر را عرضه خواهد کرد. البته گوگل یک سال پیش منبع افزونه کروم نقطه به نقطه را به صورت متن باز و در گیت‌هاب قرار داده‌ بود، اما نسخه پایدار هنوز منتشر نشده‌ است.
در حال حاضر هم‌چنین می‌توانید از نسخه سوئیسی رایانامه‌ایی با عنوان ProtonMail استفاده کنید، که رایگان و متن‌باز بوده و سرویس رایانامه رمزشده نقطه به نقطه ارائه می‌دهد.

۴- هشدار قفل قرمز جیمیل۶
پیش از این روشی نبود تا مطمئن شویم رایانامه دریافت شده از طریق کانال رمزنگاری شده عبور کرده‌ است یا خیر، که این امر می‌توانست منجر به حملات مرد میانی شود.
اما ماه گذشته، گوگل یک معیار امنیتی را در خدمات جیمیل و در قالب یک قفل قرمز و در کنار آدرس رایانامه فرستنده معرفی کرد تا به کاربران بگوید آیا رایانامه ارسال شده از طریق کانال رمزنگاری نشده ارسال می‌شود.
اگر کاربر جیمیل رایانامه‌ای را از سایر خدمات رایانه‌ای دریافت کند که رمزنگاری TLS را پشتیبانی نمی‌کنند، این ویژگی یک قفل باز شده قرمز را در کنار آدرس رایانامه فرستنده نشان می‌دهد.

این رایانامه‌های رمزنشده به پوشه هرزنامه‌ها منتقل می‌شوند. تا امنیت کاربران جیمیل افزایش یابد.

۵- مرور امن گوگل برای تشخیص سریع بدافزار
یکی از تغییرات اخیر گوگل ، توسعه «مرور امن۷» است.
می‌دانیم که پیوندهایی که از طریق رایانامه منتشر می‌شوند روشی ساده برای آلوده‌سازی خیل وسیعی از کاربران است تا پس از بازدید کاربر از وب‌گاه‌های آلوده که توسط مجرمان سایبری مدیریت می‌شود، عملیات نفوذ خود را انجام دهند. در این میان، ویژگی مرور امن در کروم، کاربران جیمیل را محافظت می‌کند. این محافظت از راه شناسایی پیوندهای احتمالاً مخرب در رایانامه انجام می‌شود.
عامل‌های خودکار در رایانامه محتوای رایانامه‌ها را از نظر هرزنامه ‌بودن و ردیابی بدافزار بررسی می‌کنند. پیش از بازکردن پیوند، جیمیل رایانامه را به طور کامل بازرسی کرده و مانع از آن می شود که کاربر بر روی پیوند‌های مخرب کلیک کند.
ویژگی‌های مطرح شده که توسط گوگل افزوده شده‌اند به حفظ حریم خصوصی کاربران کمک کرده و سیاست‌های امنیتی رایانامه را بهبود بخشیده‌ است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap