اقبال: پوسته‌سازی جز زیان امنیتی هیچ نتیجه‌ای ندارد / هدف نهایی این ماجرا هم احتمالاً همان فیلترینگ هوشمند است

تینا مزدکی_پس از فیلترینگ تلگرام در دی‌ماه سال ۱۳۹۶ و سپس فیلتر دوباره آن در ۱۰ اردیبهشت سال ۹۷ که تا امروز ادامه یافت، نسخه غیر رسمی تلگرام با عنوان تلگرام طلایی مطرح شد. اگرچه بسیاری از کارشناسان استفاده از امثال این اپلیکیشن را منع کرده بودند اما تعداد زیادی از کاربران به سمت آن‌ها رفتند و در نهایت از طریق همین نسخه‌های غیر رسمی اطلاعات ۴۲ میلیون کاربر در معرض خطر قرار گرفت. اگرچه چنین تجربه حیرت‌آوری را از سرگذراندیم اما اکنون باز هم صحبت از ساختن پوسته برای سایر اپلیکیشن‌ها به میان آمده است.

طبق گفته محمد قمی، رئیس سازمان تبلیغات اسلامی، مصوبه شورای عالی فضای مجازی ۳۲ بند داشته است؛ یک بند آن صرفا به رفع فیلترینگ گوگل‌پلی و واتساپ تخصیص داده شده است و دو بند آن در خصوص پوسته بوده است. گویا در این مصوبه به ساختن پوسته برای یوتیوب هم اشاره شده است. فارغ از اینکه اقدامات مشابه این اقدام در گذشته چه نتیجه‌ای داشت؛ باید توجه داشته باشیم که تلگرام اپلیکیشنی متن‌باز بود، بنابراین ساختن پوسته از آن امکان پذیر بود. حال این سوال بوجود می‌آید که از نظر فنی امکان ساخت پوسته یوتیوب وجود دارد؟

برای پاسخ به این سوال با آرین اقبال کارشناس شبکه، در خبرآنلاین به گفت‌وگو پرداختیم. او در ابتدا گفت: « به‌صورت کلی و در یک جمله باید گفت که ازنظر فنی ممکن است که بتوان برای عموم اپلیکیشن ها کلاینت ساخت اما برای برخی‌ها سخت‌تر ولی برای برخی‌ها آسان‌تر است. به‌عنوان‌مثال سرور تلگرام متن‌باز (Open source) نیست اما کلاینت آن متن‌باز است. بنابراین خیلی راحت می‌توانند کلاینت متن‌باز تلگرام را بردارند، تغییراتی می‌خواهند را روی آن اعمال کنند و تلگرام جدیدی درست کنند و آن را به‌عنوان محصول خودشان ارائه کنند. در مورد اپلیکیشن ‌های دیگر هم همین موضوع کم‌وبیش صادق است و بحث این است که نیاز به مهندسی معکوس و ساخت اپلیکیشن از صفر دارند و یا کلاینت متن‌باز آن موجود است.»

او ادامه داد: «در مورد تلگرام، کلاینت اپلیکیشن متن‌باز است، در مورد سیگنال هم کلاینت اپلیکیشن متن‌باز است؛ در مورد واتساپ این‌طور نیست و کلاینت آن متن‌باز نیست، در مورد توییتر نیز کلاینت متن‌باز نیست. در مورد یوتیوب اما ماجرا کمی متفاوت است به این خاطر که یوتیوب اساساً اپلیکیشن موبایل نیست، یوتیوب یک سرویس تحت وب است که ویدئو جابه‌جا می‌کند. یعنی اگر بخواهند برای یوتیوب چنین کاری کنند بیشتر از جنس وب‌سایت خواهد بود. اکنون هم تعدادی وب‌سایت هستند که کارشان‌همین است. به‌عنوان‌مثال، یک وب‌سایتی وجود دارد که ویدئوهای یوتیوب را به تشخیص خود ارائه می‌کند و همانند پروکسی است که از جانب یوتیوب ویدئوهای یوتیوب را در اختیار کاربران می‌گذارد. ساختن چنین سرویس‌هایی ممکن است اما ساخت اپلیکیشن آن‌ها نیازمند نوعی مهندسی معکوس است.»

این کارشناس خاطرنشان کرد: « تعدادی از این اپلیکیشن ها مانند سیگنال رمزنگاری بسیار پیچیده‌ای دارند؛ درواقع واتساپ مبتنی بر سیگنال ساخته‌شده است، رمزنگاری آن پیچیده است اما به این خاطر که متن‌باز نیست، بسیاری از امکاناتی که به آن اضافه‌شده است با سیگنال متفاوت است بنابراین، نمی‌توان از کلاینت سیگنال برای واتساپ استفاده کرد. این اپلیکیشن ها مبهم سازی نیز شده‌اند و قابل مهندسی معکوس نیستند، درهرصورت فرآیند پیچیده‌ای برای اپلیکیشنهایی که متن‌باز نیستند وجود دارد اما غیرممکن نیست.»

او افزود:«در مورد سرویسی مثل یوتیوب که ویدئو جابه‌جا می‌کند، می‌توانند وب‌سایتی درست کنند که ویدئوها را به‌طور مستقیم از یوتیوب بگیرد و یا تعدادی از ویدئوهای انتخاب‌شده را بگیرد، روی سرور خود نگهداری کند و بعداً در سرویسی شبیه به آپارات یا فرضاً youtube.ir ارائه کند. طبیعت در این صورت بازهم کاربر باید درخواست بدهد که چه ویدئویی می‌خواهد و آن سرویس قبل از این‌که آن ویدئو را بگیرد، قوانینی را چک کند و ببیند که دلش می‌خواهد این ویدئو را به شما ارائه کند یا نه، درنهایت برای آن اپلیکیشن بزنند یا نزنند، جنس کار از جنس وب‌سایت است و اپلیکیشن نیست.»

اقبال با بیان این که برای تشخیص اینکه پوسته و کلاینت ساختن از اپلیکیشن‌ها چه ارزشی برای سیستم فیلترینگ و شورای عالی فضای مجازی و ... دارد، گفت:«باید به گذشته بازگردیم. حول‌وحوش ده سال پیش پروژه‌ای با عنوان فیلترینگ هوشمند برای اینستاگرام مطرح‌شده بود و ایده اصلی این بود که به صور کلی برای تمامی اپلیکیشن ها اعمال شود. درواقع فیلترینگ هوشمند این بود که به‌جای آنکه اینستاگرام را به‌صورت کلی فیلتر کنند، بتوانند محتواها را به‌صورت انتخابی فیلتر کنند، درواقع قرار بر این بود که اگر به اینستاگرام می‌رفتید، پیج x را ببینید اما نتوانید پیج y را ببینید یا به‌عنوان‌مثال بعضی محتواها و پست‌های پیج y  را ببینید.»

او ادامه داد:«برای اینکه این اتفاق رخ بدهد باید ترافیک بین شما و اینستاگرام، توسط وزارت ارتباطات یا آن سیستم فیلترینگ شنود می‌شد، نگاه می‌کردند تا ببینند شما کدام پیج، پست و... را می‌بینید و تصمیم بگیرند بر اساس قاعده‌ای و با توجه به این‌که توانایی پردازششان چقدر است، تعدادی را مشخص می‌کردند. ممکن بود خیلی ساده باشد، به‌عنوان‌مثال در این حد که بگویند کدام پیج ممنوع و کدام پیج آزاد است و یا اینکه خیلی پیچیده‌تر بود تا چک کردن محتوای پست‌ها هم جلو می‌رفتند.»

این کارشناس با اشاره به ریشه این ایده گفت:« این ایده را صیانت‌گراها و آدم‌های معروفی که در حوزه صیانت فعال هستند مطرح کردند و آن را پروژه کردند و جلو بردند و این ایده فقط به این دلیل آن زمان امکان‌پذیر بود که ترافیک بر بستر httpجابه‌جا می‌شد و رمزنگاری انتها به انتها نداشت. این به این معناست که ترافیک بین کاربر و سرور اینستاگرام رمزی‌شده نبود، درنتیجه سیستم و دستگاه فیلترینگ و وزارت ارتباطات می‌توانستند این ترافیک را بخوانند، روی آن پردازش انجام دهند، بلاک بکنند یا نکنند. این کار را اکنون دقیقه روی پروتکل DNS انجام می‌دهند، پروتکل را باز می‌کنند، محتوا را می‌خوانند و تصمیم می‌گریند که چه جوابی دهند؛ در مورد صفحه‌ای که فیلتر شده باشد آی‌پی صفحه پیوندها را بازمی‌گردانند و در مورد سایتی که فیلتر نشده باشد هم آی‌پی اصلی سایت را بازمی‌گردانند.»

او ادامه داد:« آن زمان این پروژه را جلو بردند و شاید بتوان گفت که این پروژه فقط یک هفته موضوعیت داشت، به این خاطر که بلافاصله جنبش https موفق شد، در عرصه جهانی بسیار جدی شد، همه وب‌سایت‌ها پشت رمزنگاری رفتند، از پروتکل http دیگر استفاده‌ای نشد و همه پروتکل‌های وب تبدیل به https شدند. Let's Encrypt  به میان آمد و حتی سایت‌هایی که نمی‌خواستند برای رمزنگاری پولی پرداخت کنند، دیگر رمزنگاری داشتند، درنتیجه عموم سرویس‌ها مخصوصاً اینستاگرام پشت رمزنگاری رفتند و در آخر ترافیک بین کاربر و سرور اینستاگرم رمز شد. بنابراین اکنون دستگاه فیلترینگ و وزارت ارتباطات دیگر نمی‌تواند به محتوا دسترسی داشته باشند و آن پروژه دیگر از حیز انتفاع ساقط شد و به بایگانی رفت تا اکنون‌که دوباره مطرح‌شده است.»

او خاطر نشان کرد که اکنون دیگر نمی‌توان راه گذشته را ادامه داد، به این خاطر که محتوای ترافیک دیگر قابل شنود نیست و در این باره گفت:« ایده دومی که ارائه دادند این بود که ما بیاییم کلاینت را سفارشی‌سازی (customize) کنیم؛ به این معنا که یک کلاینت خودمان بسازیم. درواقع این پوسته ازآنجا نشات می‌گیرد، طبیعتا وقتی شما به‌عنوان کاربر با سرویس اینستاگرام، توییتر و یا یوتیوب ارتباط برقرار می‌کنید، رمزنگاری بین شما و  سرور آن سرویس وجود دارد. این رمزنگاری را چه کسی مدیریت می‌کند؟ سرور مقصد و آن اپلیکیشن کلاینتی که روی سرویس شما نصب است.»

ما سابقه تلگرام طلایی را داشتیم که آن را درست کردند و نتوانستند امنیت دیتای آن را برقرار کنند

او افزود:«به سرور اپلیکیشن مقصد که دسترسی ندارند، اما اگر کلاینت شما را سفارشی‌سازی کنند و پوسته‌ای که می‌گویند، یعنی همان کلاینت سفارشی‌سازی شده را در اختیار کاربر قرار دهند می‌توانند کنترل این رمزنگاری را به دست خود بگیرند درنتیجه می‌توانند به محتوا نظارت کنند. یعنی ایده اصلی  این است که بتوانند به محتوا نظارت کنند. یعنی تنها راهی که برای این کار وجود دارد همین است. طبیعت این پوسته اگر صرفاً یک پوسته ساده باشند، حکم روکش کشیدن روی آن نرم‌افزار را دارد، اما قطعاً قرار بر این است که این اپلیکیشن ترافیک را بگیرد، رمزنگاری را خودش انجام دهد که سرورهایی که کار فیلترینگ را انجام می‌دهند، بتوانند رمزنگاری را باز کنند و به محتوا نظارت کنند.»

این کارشناس شبکه تاکید کرد:«ما به این کار در امنیت می‌گوییم مردی در وسط یا همان Man in The Middle، یعنی به‌جای اینکه ترافیک کاربر و یوتیوب، کاربر و اینستاگرام، کاربر و توییتر یا هر سرویس دیگری انتقال پیدا کند، از کاربر به یک شرکت داخل ایران برود، آن شرکت محتوا را با رمزنگاری خودش برای یوتیوب، اینستاگرام و توییتر بفرستند. درنتیجه‌ایده اصلی این است که با سفارشی‌سازی کلاینت و با ساختن این پوسته‌ها بتوانند یک شرکتی را وسط ترافیک بگذارند تا این شرکت بتواند محتوای ترافیک را بخواند تا بتواند آن را فیلتر کند، تعدادی از صفحات را ببندد و جلوی دیده شدن یک سری مطالب را بگیرد.»

اقبال ادامه داد:«در مرحله بعد، این کار برای حریم خصوصی افراد هم بسیار بسیار خطرناک است. زمانی که اپلیکیشنی به این سطح از دسترسی برسد، می‌تواند تمام تاریخچه کاربران را بخواند، بنابراین به‌عنوان‌مثال در مورد اینستاگرام، فقط به دیدن پست ختم نمی‎شود، بلکه پیام‌های دایرکت کاربر را هم می‌بینند، پروفایل را می‌خوانند و به هر چیزی می‌توانند دسترسی داشته باشند و می‌توانند دسترسی کامل به اکانت کاربر پیدا کنند و حریم خصوصی زیرسوال می‌رود. شرکتی که به میان می‌آید، چون به کلاینت کاربر دسترسی دارد و پتانسیل دارد که هر تغییری را روی کلاینت کاربر ایجاد کند.»

به گفته این کارشناس، از طرفی حجم عظیمی از دیتا و درواقع دروازه عظیمی برای تأمین امنیت ایجاد می‌شود که بسیار خطرناک است. او گفت:« ما سابقه تلگرام طلایی را داشتیم که آن را درست کردند و نتوانستند امنیت دیتای آن را برقرار کنند؛ برقراری امنیت دیتا به‌هیچ‌وجه کار آسانی نیست، این تأمین امنیت برای سرورهای اصلی هم کار بسیار پیچیده‌ای است. حال یک شرکت قرار است در این میان سرور مقصد را به‌قصد فیلترینگ پروکسی کند. این شرکت نمی‌تواند امنیت را برقرار کند، ذاتاً چنین سطحی از تأمین امنیتی کار بسیار بسیار پیچیده‌ای است و نتیجه آن‌هم این است که همچون تلگرام طلایی، به‌سادگی دیتابیس جزئیات ارتباطات کاربران منتشر می‌شود و ممکن است اطلاعاتی از افراد درز پیدا کند که هم امنیت افراد و حریم خصوصی آن‌ها را به خطر بیاندازد و هم منجر به بحران‌های امنیتی برای  کشور شود.»

هدف نهایی این ماجرا هم احتمالاً همان فیلترینگ هوشمند است که درنهایت یک پروژه با حجم بسیار زیادی از اتلاف بیت‌المال  خواهد بود و آخرسر هم به هیچ نتیجه‌ای نمی‌رسد جز تحت خطر قرار دادن حجم عظیمی از کاربران

او با بیان نتایج این اقدام بیان کرد:«اتفاق خطرناک‌تر از آن‌هم این است که ممکن است دسترسی ایجاد کند و این دسترسی یک نقض داده (Data breach) ساده نباشد که پیام کاربران لو برود. ممکن است که تعدادی از افراد دسترسی بگیرند و بتوانند مدت مدیدی از این سرویس‌ استفاده کنند، حال بگذریم از این‌که کسانی که به سرویس دسترسی دارند اختیار نامحدود دارند، هرکار که بخواهند می‌توانند انجام دهند و دسترسی نامحدود دارند. اکنون در دنیا این موضوع مطرح است که همان سرورهای اصلی هم نباید به پیام کاربران دسترسی داشته باشند، یعنی اکنون بر سر این‌که اپلیکیشن اصلی می‌تواند پیام را بخواند در دنیا دعوا است، حال چه برسد به این‌که یک موجودیت سومی که به میان بیاید، بنابراین این کار، کار بسیار خطرناکی است.»

اقبال گفت:«از طرفی پروتکل‌هایی وجود دارد که اساساً همین دسترسی به دیتا هم ندارند. به‌عنوان‌مثال پروتکلی مانند سیگنال، رمزنگاری انتها به انتها بین دو کاربر دارد یعنی حتی سرورهای خود سیگنال به آن دیتا دسترسی ندارند و اطلاعات روی اپلیکیشن سیگنال کاملاً امن است و این حتی ازنظر ریاضیاتی قابل‌اثبات است. نسخه اولیه واتساپ که بر اساس سیگنال ساخته‌شده بود، احتمالاً چنین سطح رمزنگاری انتها به انتها را دارد اما ازآنجایی‌که کلاینت و سرور آن متن‌باز نیست. اپلیکیشن دیگری به نام سشن وجود دارد که حتی از سیگنال هم امنیت بیشتری دارد، گویا سروری برای ذخیره اطلاعات ندارد.»

او تاکید کرد:«در چنین سطحی از دغدغه امنیت جهانی، می‌خواهند راهی را آن وسط باز کنند که آن راه علاوه بر ایجاد دسترسی به یک سری آدم که هیچ قاعده و قانونی ندارند، ذات امن بودن دیتا هم زیر سؤال ببرند و تبدیل به راهی برای نشت اطلاعات و سو استفاده افراد ثالث شوند.»

این کارشناس شبکه با بیان اینکه نکات گفته شده امنیتی است اما در سطح قواعد جهانی هم این کار به نتیجه خاصی نمی‌رسد گفت:« زمانی که برای اپلیکیشنی پوسته می‌زنند، باید آن را در سرورهای داخل شرکت پردازش کنند، نتیجه‌این است که تمام کاربرانی که از پوسته استفاده می‌کنند، از یک یا چند آی‌پی محدود به آن اپلیکیشن متصل می‌شوند، درنتیجه اپلیکیشن می‌بیند که چند عدد آی‌پی وجود دارد که همه کاربران با آن‌ها به سرور متصل می‌شوند. تجربه نشان داده است و قبلاً هم اتفاق افتاده است که سرویسی مثل یوتیوب، توییتر و ... اگر با این موضوع مواجه شود اپلیکیشن کاربر Bounded می‌کند. از طرفی الگوریتم‌های تشخیص استفاده نامناسب از سروی را هم تحریک می‌کند. کاربر همین‌طور که از اکانت و آی‌پی سرویس درخواست می‌کند، سرویس مقصد کاربر را Rate Limit می‌کند. بنابراین هم برای کاربر مشکل ایجاد می‌شود و هم سرویس مقصد خیلی سریع آن سرویس‌ها را به‌عنوان یک سو استفاده منع می‌کند. این یعنی یک بازی دزد و پلیس شکل می‌گیرد که پوسته‌ها دائماً باید آی‌پی عوض کنند و سرویس مقصد هم آی‌پی آن‌ها را Bounded می‌کند.»

او ادامه داد:«این اتفاق تنها مربوط به کشور ایران نیست؛ درگذشته هم افرادی به خاطر دغدغه جامعه آزاد و متن‌باز و جلوگیری از هژمونی شرکت سعی کرده‌اند برای یوتیوب اپلیکیشن متن‌باز بسازند و یوتیوب خیلی ساده اپلیکیشن آن‌ها را بست. اکنون سرویس‌های وجود دارد که اجازه دانلود و پروکسی و پوسته از یوتیوب را می‌دهند اما یوتیوب برای مقابله با آن‌ها دائماً محتوای خود را تغییر می‌دهد، چراکه این کار ازنظر قوانین سرویس‌هایی مثل یوتیوب ممنوع است؛ به همین خاطر تمام تلاش خود را می‌کنند که با آن مقابله کنند، حال این اپلیکیشن محدود است، تلاش آن‌ها هم محدود است اما زمانی که در سطح یک کشور باشد باعث درگیری‌های پیچیده‌ای می‌شود و سرویس پرکاری می‌کند تا جلوی این اقدام را بگیرد، ممکن است منجر به ایجاد تحریم‌های جدیدی در حوزه دیجیتال شود که در آخر ضرر و بدبختی آن برای جامعه فنی، دولوپر و آدم‌هایی است که در این حوزه فعالیت می‌کنند و کاربران عادی هم قطعاً بسیار اذیت خواهند شد.»

آرین اقبال گفت:« اینکه حریم شخصی کاربر کاملاً نقض می‌شود به کنار، اما این کار ازنظر امنیتی بسیار بسیار خطرناک است، ما قبلاً تجربه تلگرام طلایی را داشتیم. این کار می‌تواند باعث مشکلات اساسی برای افراد شود و بحران‌های امنیتی برای کشور ایجاد کند. از طرفی در مورد امکان‌پذیری و همخوانی با قوانین آن سرویس‌ها هم باید گفت که خیلی راحت با آن مقابله می‌کنند. هدف نهایی این ماجرا هم احتمالاً همان فیلترینگ هوشمند است که درنهایت یک پروژه با حجم بسیار زیادی از اتلاف بیت‌المال  خواهد بود و آخر سر هم به هیچ نتیجه‌ای نمی‌رسد جز تحت خطر قرار دادن حجم عظیمی از کاربران.»

این کار ازنظر قوانین سرویس‌هایی مثل یوتیوب ممنوع است؛ به همین خاطر تمام تلاش خود را می‌کنند که با آن مقابله کنند، حال این اپلیکیشن محدود است، تلاش آن‌ها هم محدود است اما زمانی که در سطح یک کشور باشد باعث درگیری‌های پیچیده‌ای می‌شود و ممکن است منجر به ایجاد تحریم‌های جدیدی در حوزه دیجیتال شود

این کارشناس شبکه در آخر به اشاره به وضعیت شبکه در حال حاضر گفت:«نکته نهایی این است که وضع شبکه در کشور بسیار خراب است. هیچ‌کدام از این سرویس‌ها باعث بهبود وضع فنی شبکه نمی‌شوند به این خاطر که اگر همچنان اجازه دهند VPNها کار کنند، کاربر ترجیح می‌دهد که از طریق فیلترشکن با سرویس اصلی مربوطه و اکانت خودش، بدون هیچ واسطه‌ای کار کند. اگر اجازه ندهند فیلترشکن‌ها کار کنند و اختلال ایجاد کنند نه‌تنها فیلترشکن‌ها، بلکه وضع فنی شبکه را به هم می‌ریزند و اکنون می‌بینیم که این اتفاق افتاده است. از طرفی هم جلوگیری از عملکرد فیلترشکن‌ها ازنظر فنی غیرممکن است. تنها راه نهایی جلوگیری از عملکرد فیلترشکن، قطع کردن اینترنت است، اگر نخواهند اینترنت را قطع کنند و  کج دار و مریز بخواهند با فیلترشکن‌ها مقابله کنند، بازهم همین اوضاع فنی خرابی می‌شود که اکنون در کشور داریم. اگر این وضعیت را درست کنند، کاربران دوباره از فیلترشکن استفاده می‌کنند، اگر خراب‌تر کنند، وضع فنی شبکه خراب‌‎تر می‌شود و عملاً اینترنت کشور قابل‌استفاده نیست و هیچ بهبودی حاصل نشده است. من فکر می‌کنم این ماجرای پوسته سازی هیچ نتیجه‌ای جز ضرر امنیتی و اطلاعاتی برای کشور نخواهد داشت.»

۵۸۳۲۳