ایجاد در پشتی در نرم‌افزارها کاملاً بیهوده است!

در سال ۱۹۹۹ هنگامی که یک جنگ رمزنگاری بسیار شدید میان دولت‌ها و توسعه‌دهندگان ایجاد شده بود، محققان به تحقیق در مورد محصولات رمزنگاری‌شده‌ی موجود پرداختند.
اکنون کارشناس حوزه‌ی امنیت، بروس اشنایدر و دیگر پژوهش‌گران این رشته به انجام دوباره‌ی این تحقیق پرداخته‌اند و به نظر می‌رسد که اخبار بدی برای کسانی که خواهان در پشتی برای رمزنگاری امروز هستند، داشته باشند.
این تحقیق به تجزیه و تحلیل ۸۶۵ مورد از محصولات سخت‌افزاری و نرم‌افزاری رمزگذاری‌شده از ۵۵ کشور می‌پردازد که یک سوم از آن‌ها متعلق به ایالات متحده‌ی آمریکا هستند. تحقیق سال ۱۹۹۹ شامل ۸۰۵ محصول از ۳۵ کشور بود.
هدف این محصول بیشتر نمایه‌بندی این محصولات و نرم‌افزارها بود تا این‌که آن‌ها را امتیازبندی کند. این تیم وقت کافی برای ارزیابی هر کدام از محصولات، آن هم به صورت عمیق نداشت. اما چیزی که این فهرست نشان می‌داد، این بود که دسترسی گسترده‌ی نرم‌افزارها به رمزگذاری داخلی بود که در گوشه گوشه‌ی دنیا به چشم می‌خورد.
اشنایدر می‌گوید که اکنون فراخوان برای قرار دادن در پشتی در محصولات دیگر بی‌معنی است، برای این‌که امروزه برای اشخاص بسیار آسان است که از یک سامانه‌ی رمزنگاری به سامانه‌ای دیگر به راحتی انتقال پیدا کنند. اگر یک محصول دربردارنده‌ی ایراد و نقص در طراحی باشد و یا در خطر نظارت دولت باشد، بسته‌های دیگری موجود است که این نقایص را ندارند.
اشنایدر می‌گوید: «با فرض این‌که جایگزینی نسبتاً کم‌هزینه است، هرگونه مقررات رمزگذاری محلی، تأثیر دلخواه را نخواهد داشت. همان‌طور که برای دولت‌ها هرگونه تلاش برای اعمال ممنوعیت برای محصولاتی که رمزگذاری آن توسط دولت تأیید نشده است، مضحک به نظر خواهد رسید.»
او اشاره می‌کند که در سال ۱۹۹۹، توزیع نرم‌افزارهای منتشرشده بسیار سخت‌تر از امروز بود. جمعیت اینترنت بسیار کمتر از اکنون بود، وب‌گاهی مانند گیت‌هاب وجود نداشت، هیچ‌گونه مخزنی از نرم‌افزارهای ارزشمند در شبکه‌ی اینترنت وجود نداشت و محدودیت‌های زیادی برای به دست آوردن آن‌ها از خارج کشور بدون ایجاد ردپا وجود داشت.
اما امروزه به لطف اینترنت همه‌ی این مشکلات به صورت مجازی حل شده‌اند. اکنون مردم می‌توانند رمزنگاری را در محصولات خود به صورت رایگان قرار دهند و اجازه دهند تا افراد کدهای آن‌ها را بارگیری کنند. از ۵۴۶ سامانه رمزنگاری غیرآمریکایی که مورد بررسی قرار گرفتند، ۴۴ درصد آن‌ها رایگان بودند و ۳۴ درصد نیز متن‌باز بودند و حتی سامانه‌های تجاری نیز معمولاً نسخه‌های آزمایشی دارند.
اشنایدر اشاره می‌کند: «بسیاری از این مسائل کاملاً جایگاه خود را پیدا کرده‌اند. مردم آن‌ها را برای این ایجاد می‌کنند زیرا که آن‌ها را می‌خواهند، قابلیت‌های رمزنگاری دوستانه‌ی فراوانی نیز وجود دارد.»
علاوه بر این بسیاری از محصولات کدهای خود را روی کارگزارهای کشورهای مختلف قرار می‌دهند که برای مقامات یک کشور داشتن ادعای قضایی بر روی یک پروژه‌ی خاص، کار را بسیار مشکل می‌کند. برخی از تلاش‌های توسعه‌دهندگان روی سامانه‌های کشورهایی نظیر عراق، جزایر ویرجین بریتانیا، قبرس، سنت کیتس، تانزانیا قرار می‌گیرد و شما نفوذی در آن‌ها ندارید.
اشنایدر می‌گوید که به لحاظ شرایط کیفی، محصولات موجود شرایط متفاوتی به لحاظ تأثیر و عمل‌کرد دارند، اما اکثر آن‌ها کاملاً قابل استفاده هستند و برای مقامات اجرایی تلاش در جهت نفوذ و ضبط ارتباطات موجود در آن‌ها بسیار مشکل است.
او می‌گوید که در نهایت هر زمان که یک دولت بخواهد در پشتی در نرم‌افزارها قرار دهد، مردم به سادگی می‌توانند به سمت محصولات جدید حرکت کنند. چنین مقرراتی می‌تواند فروش محصولات نرم‌افزاری را در سطح جهنی با مشکل روبرو کند، موضوعی که شرکت‌هایی چون، اپل و گوگل و غیره از آن آگاه هستند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap