رمزگذاری واتس‌اپ؛ شروعی خوب اما دور از امنیت کامل

واتس‌اپ نوعی رمز‌گذاری انتها به انتها افزوده است که می‌تواند شروع خوبی برای امن شدن باشد اما هنوز راهکاری کامل برای محافظت از کاربران در برابر چشم‌های کنجکاو دولت و سوم شخص‌های مزاحم نمی‌باشد.
متخصصان امنیت و حریم شخصی همگی رمزگذاری انتها به انتها برای یک میلیارد کاربر توسط واتس‌اپ متعلق به فیسبوک را تحسین کردند؛ اما آن‌ها می‌گویند برای امن کردن ارتباطات دیجیتالی کار بیشتری باید انجام شود.
در روز سه شنبه واتس‌اپ رمز‌گذاری انتها به انتها کاملی را برای خدماتش معرفی کرد که گفته می‌شود این رمزگذاری تضمین می‌کند که فقط فرستنده و گیرنده می‌توانند پیام‌های فرستاده شده را بخوانند. این شرکت گفت که این فن‌آوری رمزگذاری را برای پیام‌های متنی، عکس‌ها، پرونده‌ها، پیام‌های متنی و ویدئوهایی که به اشخاص یا گروه‌ها فرستاده می‌شوند، اعمال شده است.‌ این ویژگی به صورت پیش فرض فعال شده است و به ۵۰ زبان در سرتا سر دنیا از چین گرفته تا بزیل و اروپا در دسترس است.
جاناتان زیارسکی یک محقق امنیتی مستقل و متخصص قانونی گفت: «رمزگذاری انتها به انتها شروع خوبی است، اما واقعیت این است که فقط در آغاز ایجاد امنیت خوب است. بدون هیچ حرفی رمزگذاری یک فن‌آوری خوب است اما مانند هر فن‌آوری دیگری کامل و بی‌نقص نیست. سوال این است که آیا فیسبوک که صاحب واتس‌اپ است مسئولیت این فن‌آوری را عهده دار می‌شود یا خیر. بسیاری از مردم فیسبوک را در تناقض با حفظ حریم خصوصی می‌بینند.»
بنیانگذاران واتس‌اپ برایان اکتون و جان کوم طرفداران دو آتشه‌ی محافظت از ارتباطات خصوصی هستند و در ملاء عام اعلام کردند که خودشان را در جنگی مشابه اپل با دادگستری ایالات متحده می‌بینند. اپل با دادگستری آمریکا بر سر دسترسی به آیفون رمزگذاری شده‌ی متعلق به یکی از تیراندازان حادثه‌ی مرگبار سن برناردینو در ماه دسامبر کشمکش‌هایی داشت.
واتس‌اپ با شرکت Whisper برای ایجاد فن‌آوری رمزگذاری کار کرده است و از پروتکل به کار رفته در نرم‌افزار امنِ Signal برای کاربران واتس‌اپ استفاده کرده است.
محقق امنیتی کنت وایت رهبر پروژه‌ی Open Crypto Audit در مصاحبه‌ای از طریق رایانامه گفت: «این مرحله‌ای مهم برای ارتباط ایمن است. طراحانی که در سامانه‌های Whisper باز بر روی امنیت واتس‌اپ کار می‌کنند از میان بهترین مهندسین پروتکل در جهان انتخاب شده‌اند.»
وایت افزود:‌ «چون Signal توسط برنامه‌های پیام‌رسانی دیگری نیز به کار می‌رود، احتمال تداخل بین پلت فرم‌ها وجود دارد.»
کریس توماس متخصص فنی در Tenable Network Security گفت: « بیشتر مردم ممکن است پس از شنیدن این خبر در روز سه شنبه با خود بگویند که این خبر خیلی خوبی است چون از این بعد به کسی نمی‌تواند پیام‌های من را بخواند اما حقیقت این است که این موضوع ۱۰۰ درصد صحت ندارد.»
توماس اشاره کرد که چندین جنبه کلیدی از ارتباطات امن وجود دارد که در طرح جدید رمزگذاری انتها به انتهای واتس‌اپ در نظر گرفته نشده‌اند. اول اینکه، با اینکه پیام‌های واتس‌اپ در هنگام انتقال ایمن هستند اما بیش‌تر دستگاه‌های پایانی –مانند گوشی‌های هوشمند، تبلت‌ها و رایانه‌ها- اطلاعاتی که روی آن‌ها هستند را همانند اپل رمزگذاری نمی‌کنند.
او گفت: «تصور کنید که یک میلیون دلار در یکی کامیون زره‌ای بین دو نفر که زیر پلی زندگی می‌کنند در حال انتقال است، فرآیند انتقال پول کاملاً امن است اما نقطه‌های پایانی که پول‌به آنجا می‌رود امن نیست.»
طبق گفته‌ی جرمی گیلولا، متخصص فن‌آوری در شرکت Electronic Frontier، مشکل دیگر این است که کار بیشتر روی محتوای پیام‌ها بوده است و باید کار بیشتری بر روی فرا‌داده‌های محافظت نشده‌ی بین کاربران واتس‌اپ صورت گیرد، و همانطور که خود دولت مردان می‌گویند آن‌ها بیشتر از اینکه به محتویات پیام‌ها علاقه داشته باشند، به دنبال فرا داده‌ها هستند.» او گفت که فراداده‌ها اغلب چیزی بیش از متن پیام را نشان می دهند. فرا داده شامل اطلاعاتی است راجع به اینکه چه کسانی باهم ارتباط دارند، چه مواقعی و از چه زمانی با هم ارتباط برقرار کرده‌اند.
و در پایان متخصصان امنیتی می‌گویند آنچه که اهمیت دارد این است که فیسبوک هنگام رو‌به‌رو شدن با حکم دادگاه تا چه اندازه از حریم خصوصی مشتریانش محافظت خواهد کرد. زیارسکی گفت: « آیا با وجود فراداده‌ها به شرکتی مثل فیسبوک اعتماد می‌کنید؟ اگر پاسخ مثبت است پس مطمئناً واتس‌اپ امروز مطمئن‌تر از دیروز است.»
واتس‌اپ طرح رمزگذاری انتها به انتها را در سال ۲۰۱۳ مطرح کرد. از آن زمان تا کنون با مخالفت شدید مجریان قانونی برای داشتن ارتباطاتی رمزگذاری شده روبه‌رو شده است. در اول مارس پلیس برزیل یکی از معاونین فیسبوک در آمریکای لاتین را بازداشت کرد زیرا واتس‌اپ از همکاری با مقامات برای تسلیم پیام‌هایی که توسط یکی از مجرمین فرستاده شده است، سرباز زد. طبق گزارشات از هنگامی که دادگستری آمریکا سعی می‌کرد پیام‌های فرستاده شده را استراق سمع کند، رمزگذاری واتس‌اپ با دادگستری ایالات متحده نیز به مشکل برخورده است.
نوع رمزگذاری‌ که واتس‌اپ انتخاب کرده است شبیه رمزگذاری iMessage اپل است. اما برخلاف آیفون که رمزگذاری آن منحصر به iOS است، این رمزگذاری واتس‌اپ بر روی دستگاه‌هایی که اندروید و همچنین آیفون و گوشی‌های ویندوز‌فون و بلک‌بری دارند، سازگار است.
علاوه بر رمزگذاری‌هایی که هر سازنده گوشی همراه برای محصول خود تعبیه کرده است، واتس‌اپ برای قفل کردن اطلاعات واتس‌اپ روی این گوشی‌های همراه راه دیگری نیز به کار برده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.