کوین میتنیک؛ هنر پنهان ماندن در دنیای اینترنت

کوین دیوید میتنیک 53 ساله، مشاور امنیت رایانه‌ای و نویسنده‌ است. وی اواخر قرن بیستم یک هکر رایانه‌ای بود که در زمان دستگیری‌اش توسط وزارت دادگستری آمریکا، به‌عنوان مهم‌ترین و تحت تعقیب‌ترین یاغی رایانه‌ای تاریخ آمریکا معروف شد. در اواخر دهه 1990 میتنیک به جرم استفاده غیرقانونی و سرقت اطلاعات و حقوق شخصی از شبکه‌های رایانه‌ای تحت تعقیب بود. میتنیک در حال حاضر یک شرکت مشاوره امنیت رایانه‌ای دارد. وی تا به حال چهار کتاب تحت عناوین The Art of Deception، The Art of Intrusion، Ghost in the Wires  و The Art of Invisibility به چاپ رسانده است؛ آخرین کتاب وی «هنر پنهان ماندن» یا The Art of Invisibility است که اخیرا چاپ شده و این مقاله نیز بخشی از محتوای آن است. 

احتمالا شما نیز هر روز اکانت‌های ایمیل‌ خود را چک می‌کنید و شاید برایتان مهم باشد که چه کسانی ایمیل‌های شما را خوانده یا پاسخ داده‌اند؛ اگر شما نیز از سرویس‌های ایمیل تحت وب مانند جیمیل و آوت‌لوک استفاده می‌کنید، شاید دانستن برخی نکات در خصوص چنین سرویس‌هایی برایتان جالب باشد. اگر بلافاصله بعد از خواندن ایمیل در موبایل یا کامپیوتر خود آن را کلا پاک کنید، مطمئنا یک کپی از این ایمیل هنوز در نقطه‌ای از اینترنت باقی مانده است. اساس عملکرد سرویس‌های ایمیل تحت وب، کلاد است، از این‌رو برای دسترسی به محتوای  ایمیل خود در تمامی دستگاه‌های هوشمند، لازم است چند کپی از این محتوا حفظ شود. به‌عنوان مثال اگر از سرویس جیمیل استفاده می‌کنید، یک کپی از تمامی ایمیل‌های موجود در تمامی پوشه‌ها در چندین سرورهای گوگل ذخیره می‌شود؛ این مسئله همچنین برای سرویس‌های ایمیل یاهو، اپل، مایکروسافت، AT&T، Comcast و حتی سرویس ایمیل اختصاصی شرکتتان صدق می‌کند. هر ایمیلی که فرستاده می‌شود، ابتدا به‌صورت کامل توسط سرویس‌دهنده‌ی ایمیل مورد بررسی قرار می‌گیرد؛ طبیعتا این امر به‌منظور وجود بدافزار در محتوای ایمیل صورت می‌گیرد اما واقعیت این است که کمپانی‌های شخص ثالث می‌توانند به محتوای ایمیل برای مقاصد شوم و سودجویانه دسترسی داشته باشند. حتی اگر اسکن کردن ایمیل به‌ منظور وجود بدافزار یا به قصد تبلیغاتی برای برخی افراد قابل تحمل باشد، به هر حال اسکن توسط کمپانی‌های شخص ثالث تأمل‌برانگیز است؛ حداقل کاری که در این صورت می‌توان انجام داد، دشوار کردن مرحله‌ی اسکن است.

با رمزنگاری شروع کنید

بسیاری از سرویس‌دهندگان ایمیل تحت وب هنگام رد و بدل کردن ایمیل، حتما از رمزنگاری استفاده می‌کنند. اما برخی سرویس‌دهندگان هنگام انتقال ایمیل توسط عامل‌های انتقال پیام (MTAs) از رمزنگاری استفاده نمی‌کنند، بنابراین ایمیل در این مرحله باز و قابل دسترسی است؛ برای ناشناس ماندن ابتدا باید رمزنگاری انجام دهید. معمولا برای ایمیل‌ها از روش رمزنگاری نامتقارن (Asymmetrical encryption) استفاده می‌شود؛ در این روش دو کلید مجزا تولید می‌شود: یکی کلید خصوصی که در دستگاه کاربر ذخیره می‌شود و دیگری کلید عمومی که در اینترنت ثبت می‌شود؛ با وجود متفاوت بودن ماهیت دو کلید، عملکرد آن‌ها وابسته به یکدیگر است. به‌عنوان مثال، باب قصد دارد یک ایمیل امن برای آلیس بفرستد، وی متوجه می‌شود که کلید عمومی آلیس در اینترنت قابل دسترس است؛ بنابراین باب زمانی که پیامی برای او می‌فرستند، بلافاصله توسط این کلید، پیام رمزنگاری می‌شود. این پیام دقیقا تا زمانی که آلیس توسط عبارت رمزی که در اختیار خودش است، کلید خصوصی را رمزگشایی کند، قابل خواندن خواهد بود. اما نحوه‌ی رمزنگاری محتوای ایمیل‌ به چه شکل صورت می‌گیرد؟ معمول‌ترین روش رمزنگاری ایمیل PGP است که مخفف Pretty Good Privacy است؛ این رمزنگاری محصول شرکت سیمانتک است و رایگان نیست. البته فیل زیمرمن، توسعه‌دهنده‌ی این روش، یک نسخه‌ی رایگان از آن را با نام OpenPGP منتشر کرده است. همچنین نسخه‌ی شخص ثالث و رایگان آن نیز با نام GPG توسط وِرنر کوچ توسعه یافته است. هر سه‌ این نسخه‌ها را می‌توان به کار برد؛ این بدان معنی است که جدا از این‌که کدام‌یک از این سه نسخه‌ را استفاده می‌کنید، پایه و اساس روش رمزنگاری مذکور قابل اجرا و عملی است. 

زمانی که ادوارد اسنودن اولین بار تصمیم گرفت اطلاعات مهم و حساسی را که از آژانس امنیت ملی آمریکا، کپی کرده بود فاش کند، به همفکری چند نفر نیاز داشت. اسنودن قبل از این کار، تصمیم گرفت تبادل اطلاعات رمزنگاری‌شده را با لورا انجام دهد. در حقیقت تنها چند نفر از کلید عمومی لورا خبر داشت؛ (خانم لورا پویترس، مدافع حریم خصوصی و کارگردانی است که اخیرا مستندی در خصوص زندگی افشاگران به اتمام رسانده است). اسنودن برای این منظور، از میکا لی که در بنیاد مرزهای الکترونیکی مشغول به کار بود، کمک گرفت؛ کلید عمومی لی به‌صورت‌ آنلاین در دسترس بود و بر اساس اطلاعاتی که توسط وب‌سایت Intercept منتشر شده بود (وب‌سایتِ اختصاصی گلن گرینوالد و لورا پویترس و چند نفر دیگر که افشاگری‌های اسنودن را پخش می‌کنند.)، لی کلید عمومی لورا را نیز در اختیار داشت. وی برای تبادل اطلاعات ابتدا از لورا درخواست مجوز کرد که او نیز تأیید کرد. به دلیل حساسیت بالای اطلاعاتی که قرار بود بین اسنودن و لورا تبادل شود، آن‌ها نمی‌توانستند از آدرس‌های ایمیل معمول استفاده کنند. اما چرا؟ اکانت ایمیل‌های شخصی دارای ارتباط‌های منحصربه‌فردی مانند لیست مخاطبان بود که هویت آن‌ها را فاش می‌کرد. بنابراین اسنودن و لورا تصمیم گرفتند آدرس‌های ایمیل جدیدی ایجاد کنند. اما آن‌ها چگونه می‌توانستند از ایمیل‌های یکدیگر آگاه شوند؟ کلیدهای عمومی کوتاه نیستند که بتوان از پشت تلفن برای فرد مورد نظر خواند، بنابراین نیاز به تبادل ایمیل ایمن احساس می‌شد. اسنودن و لورا از لی به‌عنوان یک فرد معتمد برای تبادل آدرس ایمیل‌های جدید کمک گرفتند. برای این منظور ابتدا لورا کلید عمومی خود را در اختیار لی قرار داد؛ اما لی از این کلید عمومی مستقیما استفاده نکرد. وی به‌جای این کلید، یک عبارت اختصاری 40 کاراکتری از کلید لورا را به کار برد؛ لی این عبارت را در توییتر به اشتراک گذاشت! برخی اوقات برای ناشناس ماندن باید از منابع شناخته‌شده استفاده کرد! حال اسنودن به‌راحتی و به‌طور ناشناس می‌توانست توییت‌های لی را مشاهده کند و کلید عمومی لورا را به دست آورد. اسنودن برای این منظور ابتدا کلید اختصاری 40 کاراکتری را که در توییتر منتشر شده با پیامی که دریافت کرده بود مقایسه می‌کرد، اگر این دو تطابق نداشتند، اسنودن به این نتیجه می‌رسید که نباید به این پیام اطمینان کند، زیرا ممکن بود محتوای پیام در معرض خطر قرار گرفته باشد یا به‌جای لی، آژانس امنیت ملی آمریکا در پشت پرده با اسنودن ارتباط برقرار می‌کرد؛ در غیر این صورت و در حالی که هر دو پیام تطابق داشتند، اسنودن به تبادل اطلاعات و پیام ادامه می‌داد. اسنودن در پایان کار خود ایمیل رمزنگاری‌شده را برای لورا فرستاد که در آن خود را شهروندِ چندملیتی Citizenfour  معرفی کرد. (این اسم به هویت اسنودن تبدیل شد و بعدها با این اسم مستندی در خصوص وی ساخته شد.) 

یک سرویس رمزنگاری انتخاب کنید

عواملی مانند قدرت عملیات ریاضی و طول کلید مربوط به روش رمزنگاری، تعیین‌کننده‌ی میزان سهولت کرک کردن پیام بدون دسترسی به کلید هستند. الگوریتم‌های رمزنگاری که امروزه از آن‌ها استفاده می‌شوند، به‌صورت عمومی در دسترس هستند؛ الگوریتم‌هایی که به‌صورت عمومی منتشر شده‌اند بیشتر به‌عنوان الگوریتم‌های ضعیف شناخته می‌شوند؛ چراکه افراد سعی در کرک کردن آن‌ها دارند. زمانی که یکی از این الگوریتم‌ها کرک شود، دیگر قابل استفاده نیستند و الگوریتم‌های جدید و قوی‌تری جایگزین آن‌ها می‌شوند. معمولا کلیدهای رمزنگاری در کنترل کاربر هستند، بنابراین مدیریت آن‌ها بسیار مهم است. اگر شما کلید رمزنگاری تولید کنید، این کلید در دستگاهتان ذخیره می‌شود و کسی غیر از شما نمی‌تواند به آن‌ دسترسی داشته باشد. اگر شما برای این منظور به یک کمپانی اجازه دهید تا کلید رمزنگاری را تولید کند، در این صورت کلید در فضای کلاد ذخیره خواهد شد و به‌راحتی مراجع قانونی می‌توانند بدون حکم به آن کلیدها دسترسی داشته باشند. زمانی که قصد دارید پیامی مانند ایمیل، نوشته یا تماس تلفنی را رمزنگاری کنید، از روش رمزنگاری end‑to‑end استفاده کنید؛ در این روش پیام تا زمانی که به مقصد نرسد، ناخوانا و مخفی خواهد ماند و تنها کاربر مبدأ و مقصد به کلیدهای رمزنگاری برای رمزگشایی پیام دسترسی دارند. حتی اپراتور تلفن همراهتان یا وب‌سایت یا اپلیکیشن که از آن برای تبادل پیام استفاده می‌کنید نیز نمی‌توانند به پیام دسترسی داشته باشند. به‌عنوان مثال، از اپلیکیشن پیام‌رسان یا تماس ویدئویی که رمزنگاری end‑to‑end را به کار نمی‌برند، استفاده نکنید! اگر تمامی این موارد پیچیده به نظر می‌رسند، بدین معنی است که ماهیت این موارد واقعا پیچیده و دشوار است! برای راحتی کار، چندین افزونه‌ی رمزنگاری PGP برای کروم و فایرفاکس توسعه داده شده‌اند که عملکرد رمزنگاری تحت وب را سهولت می‌بخشند. یکی از این افزونه‌ها Mailvelope است که به‌طور منظم کلیدهای عمومی و خصوصیِ PGP را مدیریت می‌کنند. عملکرد این افزونه بسیار آسان است؛ ابتدا یک رمز برای استفاده‌ی کلیدهای عمومی و خصوصی تعریف کنید، سپس هر زمان که از ایمیل‌های تحت وب مانند جیمیل و یاهو استفاده کنید و اگر شخصی که پیام را برای وی ارسال می‌کنید دارای کلید عمومی باشد، می‌توانید از این افزونه برای رمزنگاری پیام استفاده کنید. 

Metadata؛ پشت پرده‌ی رمزنگاری 

حتی اگر ایمیل‌های خود را توسط الگوریتم PGP رمزنگاری کنید، بازهم بخش باارزش و حساسی از پیامتان به‌صورت عمومی منتشر می‌شود. پس از افشاگری‌های اسنودن، دولت آمریکا به‌طور مکرر اعلام کرد که محتوای ایمیل‌ها را مشاهده نمی‌کند؛ زیرا محتوایی که توسط الگوریتم PGP رمزنگاری می‌شود غیر قابل دسترسی است؛ اما در عوض فراداده‌های ایمیل‌ را جمع‌آوری می‌کند. اما فراداده‌های ایمیل چیست؟ فراداده‌ها اطلاعات شامل فیلدهای To و From ایمیل‌ها و آدرس‌های آی‌پی سرورهای متعددی هستند که ایمیل توسط آن‌ها ارسال می‌شود. برخی مواقع فراداده شامل فیلد موضوع ایمیل نیز می‌شود که در این صورت اغلب موضوع ایمیل، محتوای آن ایمیل را فاش می‌کند. فراداده‌ها که از زمان بدو اینترنت وجود دارند، در تمامی ایمیل‌ها هستند، اما سرویس‌دهندگان ایمیل این اطلاعات را از دید کاربر مخفی می‌کنند. تا زمانی که اپلیکیشن‌های شخص ثالث به حساب ایمیل دسترسی ندارند، فرا‌داده‌ها نیز در خطر افشا قرار نمی‌گیرند. تنها با آدرس ایمیل و تعداد ایمیل‌های ردوبدل شده می‌توان به اطلاعات بسیاری دست یافت! بر اساس گفته‌های اسنودن، فراداده‌های ایمیل‌ها، پیام‌ها و تماس‌های تلفنی توسط آژانس امنیت ملی آمریکا و دیگر آژانس‌ها جمع‌آوری می‌شوند. اما آیا دولت نمی‌تواند فراداده‌های همه را جمع‌آوری کند؟ عملا خیر. البته از سال 2001 تغییراتی در قوانین جمع‌آوری اطلاعات اعمال شده است.

برای پنهان ماندن در دنیای دیجیتال علاوه بر رمزنگاری پیام‌ها، باید کارهای دیگری نیز انجام داد؛ برای این منظور شما باید:

1. آدرس آی‌پی حقیقی خود را پاک کنید: آی‌پی تنها خصیصه‌ی مهمی است که توسط آن به اینترنت متصل می‌شوید، در حقیقت آی‌پی اثر انگشت شما در اینترنت است که نشان می‌دهد در کجای این کره‌ی خاکی قرار دارید و از کدام آی‌اس‌پی سرویس اینترنت خریداری کرده‌اید. 

2. نرم‌افزارها و سخت‌افزارهای خود را پنهان کنید: زمانی که وب‌سایتی را بارگذاری می‌کنید، لیستی از سخت‌افزارها و نرم‌افزارهای سیستمتان که برای دسترسی به این وب‌سایت استفاده شده‌اند، تهیه و به این سایت ارسال می‌شود. 

3. از ناشناس ماندن خود دفاع کنید: نسبیت و اثبات فعالیتی که به‌صورت آنلاین انجام شده دشوار است؛ اثبات اینکه هنگام رخ دادن یک رویداد شما در پشت کامپیوتر بوده‌اید سخت است. اگرچه راه‌هایی برای اثبات این امر وجود دارد. مانند خرید آنلاین یا خرید محصولاتی در فروشگاهی که دوربین دارد، این‌ها نشان‌دهنده‌ی وجود فیزیکی شما هستند. برای شروع این نکته را در نظر بگیرید که آدرس آی‌پی نشان‌دهنده‌ی مکان و شرکت آی‌اس‌پی شما و شخصی است که سرویس اینترنت را از این شرکت خریداری کرده است؛ همه‌ی این اطلاعات در بخش فراداده‌ی ایمیل قرار می‌گیرد و بعدها برای شناسایی شما مورد استفاده قرار می‌گیرد. می‌توان از هر ارتباطی، چه ایمیل باشد چه ارتباط دیگر، برای شناسایی افراد استفاده کرد؛ برای این منظور از آدرس آی‌پی که ایمیل یا پیام توسط آن ارسال می‌شود، بهره ببرید. البته آدرس آی‌پی‌ها قابل تغییر و به‌اصطلاح بای‌پس شدن هستند؛ کسی که از یک پراکسی استفاده می‌کند، می‌تواند آدرس آی‌پی خود را پنهان کند و از آدرس شخص دیگری به‌منظور رد و بدل کردن اطلاعات بهره ببرد. پراکسی همانند یک مترجم زبان خارجی است، شما با مترجم صحبت می‌کنید و مترجم پیام شما را به زبان دیگری انتقال می‌دهد، تنها محتوای پیام همان باقی می‌ماند.

نکته‌ی قابل توجه این است که مثلا کسی که در کره شمالی قرار دارد، برای اینکه هویت خود را پنهان کند، باید از پراکسی که آدرس آی‌پی آن متعلق به کشور دیگری مانند چین یا آلمان است استفاده کند. به‌جای پراکسی، می‌توانید از سرویس‌های دیگری برای ناشناس ماندن خود بهره ببرید. برای این منظور سرویس‌هایی وجود دارند که آدرس آی‌پی شما را ماسک می‌کنند؛ به‌عنوان مثال هنگامی که ایمیلی را ارسال می‌کنید، این سرویس‌ها که anonymous remailer نام دارند، آدرس ایمیل ارسال‌کننده را قبل از ارسال ایمیل عوض می‌کند. گیرنده‌ی ایمیل نیز می‌تواند توسط ایمیلِ anonymous remailer پیامی به مبدأ ارسال کند. 

4. یک اکانت ناشناس ایجاد کنید: احتمالا از اکانت‌های قانونی ایمیل خود برای برقراری تماس با دوستان و خانواده و اشخاص مختلف استفاده می‌کنید. برای ناشناس ماندن باید ایمیل‌های ناشناس ایجاد کنید؛ این ایمیل‌ها توسط شبکه‌ی تور ساخته می‌شوند؛ بنابراین آدرس آی‌پی موجود در فراداده با آدرس حقیقی شما هیچ تطابقی نخواهد داشت. ایجاد اکانت ایمیل ناشناس دشوار اما شدنی است. تا زمانی که مبلغی را برای سرویس‌های ایمیل شخصی پرداخت می‌کنید، اثری از خود باقی خواهید گذاشت. بنابراین از به کار بردن سرویس‌های ایمیل نظیر یاهو، جیمیل، مایکروسافت و دیگر سرویس‌دهندگان مشابه خودداری کنید؛ اغلب این سرویس‌ها برای فعل کردن قابلیت تشخیص هویت دومرحله‌ای از شماره همراه شما استفاده می‌کنند که این کار ردیابی شما را ساده می‌کند. البته برای بای‌پس کردن این عملکرد می‌توان از اکانت اسکایپی که قابلیت دریافت تماس صوتی دارد به‌جای شماره تلفن حقیقی استفاده کرد؛ اما در هر صورت برای این اکانت اسکایپ نیز باید از این ایمیل حقیقی و کارت‌های پیش‌پرداخت استفاده کنید که باز هم هویت شما را آشکار می‌سازند. 

ایده‌ی تلفن‌های Burner phones نیز راه دیگری است؛ این تلفن‌ها بیشتر توسط تروریست‌ها، فروشندگان مواد مخدر و مهمات مورد استفاده می‌گیرد، با این حال کاربردهای قانونی هم دارد. Burner phones قابلیت ارائه‌ی امکاناتی از قبیل تماس صوتی، ارسال پیام، ایمیل و موارد مشابه دارد. در هر صورت این تلفن‌ها نیز باید به‌صورت ناشناس خریداری شوند، زیرا خریداری آن به‌صورت حضوری یا از طریق دیگر به‌راحتی هویت شما را آشکار می‌کند. این تلفن‌ها در وال‌مارت به‌راحتی قابل خریداری هستند؛ اما به یاد داشته باشید که حضور شما توسط دوربین‌های فروشگاه‌ها و پارکینگ‌‌ها ثبت می‌شود و این نیز راهی برای شناسایی و ردیابی شما است. سناریویی را در نظر بگیرید که به‌جای خودتان، فرد دیگری مانند افراد بی‌خانمان را برای خرید این تلفن در نظر گرفته‌اید؛ به هر حال روزی قرار ملاقاتی با این فرد ترتیب خواهید داد که در این صورت شما باز هم شناسایی خواهید شد. 

فعال کردن تلفن‌های پیش‌پرداخت نیاز به تماس اپراتور تلفن همراه یا وب‌سایت اپراتور دارد که باز در این صورت هم هویت شخص فاش می‌شود؛ اگر از این روش هم استفاده می‌کنید، می‌توانید فعال‌سازی را از طریق وب‌سایت و به‌طور آنلاین انجام دهید. برای این منظور می‌توانید ابتدا آدرس مک سیستم را تغییر دهید یا ماسک کنید سپس با اتصال به تور، فعال‌سازی را انجام دهید. برای فعال‌سازی هم باید اطلاعات تماس و آدرس را وارد کنید که برای این منظور با یک جستجوی ساده می‌توانید از آدرس و تلفن‌های هتل‌ها یا آدرس‌های فیک استفاده کنید. می‌توانید تاریخ تولد صوری و یک پین را در نظر بگیرید، این اطلاعات در آینده هنگامی که با اپراتور تماس گرفتید، لازم خواهند شد. پس از استفاده کردن تور به‌منظور پنهان کردن آدرس آی‌پی و ایجاد یک اکانت گوگل بدون وارد کردن شماره تماس و اطلاعات حقیقی، گوگل کدی را به شماره تماس تلفن پیش‌پرداخت می‌فرستد یا تماس صوتی را با اکانت اسکایپی که وارد کردید برقرار می‌کند؛ حال شما دارای یک اکانت گوگلی هستید که به‌طور مجازی غیرقابل ردیابی است. حال با استفاده از این اکانت و شبکه‌ی تور می‌توانید ایمیل‌های ناشناسی ارسال کنید که محتوای آن‌ ایمیل‌‌ها نیز توسط پروتکل PGP رمزنگاری شده است. برای نگه داشتن این اکانت به‌صورت ناشناس، باید همیشه از شبکه‌ی تور به این اکانت متصل شوید، زیرا در این حالت آدرس آی‌پی حقیقی‌تان در اطلاعات فراداده آن نگه‌داری نخواهد شد.

این نکته را هم در نظر بگیرید؛ هنگامی که به این اکانت لاگین شده‌اید هرگز جستجویی در گوگل انجام ندهید؛ چون احتمال دارد جستجو‌هایی که انجام می‌دهید مرتبط با هویت حقیقی‌تان باشند، حتی جستجو برای وضعیت آب‌ و هوا می‌تواند مکانتان را فاش کند! همان‌طوری که متوجه شدید، پنهان ماندن هنگامی که آنلاین هستید، لازمه‌ی نظم و سعی و کوشش متداوم برای حفظ ناشناس بودن است؛ همواره به یاد داشته باشید، اولین اقدامی که باید انجام دهید شناسایی راه‌هایی است که افراد می‌توانند هویت شما را حدس بزنند؛ همیشه محتاط باشید و از تلاش برای حفظ ناشناس ماندن اکانت خود دریغ نکنید.

نظر شما در این خصوص چیست؟ تجربیات خود را با ما در میان بگذارید.