موظف‌کردن دولت‌ها برای استقرار در پشتی بی‌معنی است

اگر شما هنوز به تأییدیه‌ی دیگری نیاز دارید تا دریابید که موظف‌شدن شرکت‌ها به ایجاد در پشتی در محصولات رمزگذاری‌شده‌ی خود در ایالات متحده‌ی آمریکا از سوی دولت، تنها به قدرت رقابت شرکت‌ها بدون هیچ مزیت خاصی ضربه می‌زند، تنها کافی است نگاهی به گزارش تازه‌ای که توسط سه نفر از محققان امنیت اطلاعات به نام‌های بروس اشنایدر، کاتلین سیدل، و سارانیا ویجاکایوم در این زمینه منتشر شده است، بیاندازید.
این گزارش، نتایج یک نظرسنجی را در سراسر جهان از راه‌حل‌های رمزنگاری برای پرونده‌‌ها، رایانامه‌ها، پیام‌ها، صداهای رمزگذاری‌شده و راه‌حل‌های VPN، نشان می‌دهد و نتایج آن به شرح زیر است:
از ۸۶۵ مورد از محصولات سخت‌افزاری و نرم‌افزاری رمزنگاری‌شده، ۵۴۶ (یا دو سوم از مجموع همه‌ی آن‌ها) ساخت خارج از آمریکا بوده‌اند. از این ۵۴۶ مورد ۵۶ درصد فروشی بوده‌اند، ۴۴ درصد رایگان بوده‌اند، ۶۶ درصد اختصاصی و ۳۴ درصد متن‌باز بوده‌اند.
۵۸۷ نهاد مختلف به فروش و عرضه‌ی محصولات رمزنگاری شده می‌پرداختند که از این میان ۳۴۷ نهاد (در حدود دو سوم از آن‌ها) خارج از آمریکا بوده‌اند. در این میان آلمان (۱۱۲ محصول)، انگلستان (۵۴ محصول)، کانادا (۴۷ محصول)، فرانسه (۴۱ محصول) و سوئد (۳۳ محصول) بیشترین سهم را داشته‌اند اما تعداد زیادی از کشورهای کوچک نیز نظیر تانزانیا، الجزایر، قبرس و .. نیز دست کم یک محصول رمزنگاری‌شده را عرضه کرده‌اند.
کیفیت محصولات رمزنگاری‌شده‌ی خارجی نه بهتر و نه بدتر از نمونه‌های آن‌ها در آمریکا است، و آن‌ها نیز اغلب دارای آسیب‌پذیری‌های امنیتی هستند.
محققان در این بررسی اشاره کرده‌اند: «به لحاظ سیاست اعمال در پشتی، هر دو کشور آلمان (با ۱۱۳ محصول) و هلند (با ۲۰ محصول) به صورت عمومی اعلام کرده‌اند که از در پشتی در محصولات تولید این کشورها استفاده نخواهند شد. دو کشور دیگر انگلستان (با ۵۴ محصول) و فرانسه (با ۴۱ محصول) به نظر می‌رسد که علاقه‌ی زیادی داشته باشند که الزام شرکت‌ها به ایجاد در پشتی در محصولات خود را قانونی کنند.»
این محققان علاوه بر این گفته‌اند: «برخی از محصولات رمزنگاری‌شده به لحاظ برخوردهای قضایی، زیرکانه عمل کرده‌اند. آن‌ها کدهای منبع و خود را هم‌زمان در کشورها با سامانه‌‌های قضایی مختلفی ذخیره کرده‌اند. برخی از سازمان‌ها می‌توانند روند دادرسی را تغییر داده و آن را از هر کشوری به کشور مورد دلخواه خود انتقال دهند.»
اصطلاح «فرو رفتن در تاریکی» که بسیار مورد علاقه مأموران اجرای قانونی است اکنون به شکل مؤثری، بی‌معنی است، با انتشار این گزارش، امیدواریم که بینش لازم برای بحث‌های «اجبار در پشتی توسط دولت‌ها» که اکنون در آمریکا و انگلستان و چند کشور دیگر در جریان است، مهیا شود.
این محققان می‌گویند: «در پشتی‌ اجباری که برای دست‌کاری در محصولات رمزگذاری‌شده پیشنهاد شده است جهت شنود شخصیت‌های مظنونی که از این محصولات استفاده می‌کنند قرار داده می‌شود. بنابراین مثلاً اف‌بی‌آی از اپل می‌خواهد که مطمئن شود که همه‌ی آیفون‌هایی که در دست مردم است را بتوان هر زمان که لازم بود رمزگشایی کند و در نتیجه‌ی آن اف‌بی‌آی بتواند تلفن کاربران معدودی را که تحت نظارت اف‌بی‌آی هستند، رمزگشایی کند. برای انجام چنین کاری، کسانی که می‌خواهند از دست مأموران قانون فرار کنند، باید از محصولات اپل استفاده کنند. اگر آن‌ها قادر باشند که از محصولات رمزنگاری‌شده‌ی ‌جایگزین استفاده کنند، به ویژه محصولات کشورهایی که نمی‌توانند موضوع قانون ایالات متحده‌ی آمریکا باشند، آن‌ها طبیعتاً با دانستن ضعف امنیتی محصولات اپل به سمت سایر محصولات در کشورهای دیگر کشیده خواهند شد.»
این بررسی نشان می‌دهد که مجرمان در صورتی که بخواهند در پشتی را دور بزنند، می‌توانند به راحتی میان روش‌های رمزنگاری جایگزین جابه‌جا شوند. محققان نتیجه‌گیری می‌کنند: «هر نوع اجباری برای به کارگیری در پشتی می‌تواند اساساً کسانی را تحت تأثیر قرار دهد که در مورد نظارت دولت بی‌توجه هستند، و یا دست کم بر کسانی مؤثر است که برای انجام تغییرات بی‌توجه هستند. این مردم برای بهره‌برداری مجرمان سایبری و دیگر دولت‌ها از این در پشتی تعبیه‌شده در دستگاه‌هایشان، آسیب‌پذیر باقی می‌مانند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap