شماره هشتم خبرنامه دیده بان
۲۶ خرداد ۱۴۰۳ - ۱۳:۵۷
ادوارد اسنودن کسی بود که قدرت این نرم افزار را بیش از همه درک میکرد. پیش از آنکه وی به علت افشای عملیات مخوف NSA در نشریات مشهور شود، یک بعدازظهر کامل وقت خود را در سواحل هاوایی صرف آموزش افراد دور و بر خود برای چگونگی استفاده از این ابزار در تبادل اطلاعات به شکل مطمئن در فضای اینترنت کرده بود.
ادوارد اسنودن کسی بود که قدرت
این نرم افزار را بیش از همه درک میکرد. پیش از آنکه وی به علت افشای
عملیات مخوف NSA در نشریات مشهور شود، یک بعدازظهر کامل وقت خود را در
سواحل هاوایی صرف آموزش افراد دور و بر خود برای چگونگی استفاده از این
ابزار در تبادل اطلاعات به شکل مطمئن در فضای اینترنت کرده بود.به
گزارش «تابناک»، خبر به اندازهای شوکه کننده بود که در آغاز با ناباوری
همراه شدغ اما در پایان و متأسفانه موضوع جدی از آب درآمد و اکنون باید با
TrueCrypt خداحافظی کردغ شاید برای همیشه.
جریان از این قرار است که چندی پیش، پیامی روی وب سایت دانلود نرم افزار TrueCrypt ـ که یکی از قدرتمندترین و شناخته شدهترین و در عین حال محبوبترین نرم افزارهای رمزگذاری اطلاعات است یا بود، و پیش از این آن را معرفی کردیم ـ قرار گرفت که مبنی بر این بود که این ابزار برخی مشکلات امنیتی حل نشده دارد و نباید استفاده شود.
البته این موضوع هنوز هم کامل حل و فصل نشده و به شکل یک راز برای برخی باقی مانده که دلیل اصلی آن این است که همانند بسیاری دیگر از ابزارهای Open Source سازندگان اصلی TrueCrypt مشخص نیستند و هنوز نمیتوان به یقین گفت که این موضوع از کجا آب میخورد.
این به این معناست که اکنون TrueCrypt در راهی افتاده است که شاید برگشتی در آن نباشد و این ناشی از ناشناس بودن طراحان یک نرم افزار هم برای کاربران آن و هم برای خود آنهاست. البته هنوز محققان و برنامه نویسان میتوانند کد TrueCrypt را بررسی کنند، ولی موضوع بر سر این است که چه کسی مسئول واقعی TrueCrypt است!
یک کار عجیب و غریب...!
این موضوع هنگامی بهتر درک میشود که به این نکته دقت کنیم، آنچه اکنون روی وب سایت TrueCrypt قرار گرفته است، از کاربران میخواهد از این نرم افزار به سمت استفاده از BitLocker ویندوز حرکت کنند؛ ابزاری که اساسا کار آن رمزگذاری اطلاعات نیست و تنها قادر به خواندن اطلاعات رمزگذاری شده است. تنها شباهت آن با TrueCrypt این است که این ابزار با همان کلید کریپتوگرافیکی که TrueCrypt برای امضای سایر نرم افزارهای خود استفاده میکند، امضا شده است.
گویا تیم اصلی TrueCrypt هنوز کنترل را در دست دارد؛ اما ماتیو گرین، پرفسور دانشگاه جان هاپکینز بر این باور است که اگر این کار را تیم اصلی TrueCrypt انجام داده باشد، باید نام آن را عجیب و غریب گذاشت؛ زیرا تنها چند هفته پیش از این اقدام، طراحان این نرم افزار در ایمیلی که برای وی فرستاده بودند از وی درخواست همکاری برای بررسی وضعیت امنیتی این ابزار را داشتند.
اما بر خلاف آنچه اکنون روی داده، ایشان در این ایمیل از وی خواسته بودند در راستای ارتقای نرم افزار به فاز دوم امنیتی همکاری کند و نه در راستای تعطیل کردن آن! در نتیجه باید گفت یا طراحان TrueCrypt حرکتی عجیب و غیر معقول انجام دادهاند و یا این وب سایت هک شده است.
«کنت وایت»، پرفسور ارشد سیستمهای علمی و اجتماعی میگوید: چون طراحان TrueCrypt ناشناس هستند انتخاب از بین این دو گزینه ـ اقدام عجیب طراحان یا هک شدن سیستم ـ ناممکن و این شمشیر دو لبه ناشناس بودن است. وی میگوید: اگر در نظر آوریم که وب سایت و کلید کریپتوگرافیک نرم افزار زیر سؤال رفته است، در نتیجه کل پروژه اکنون زیر سؤال است.
هم اکنون چه باید کرد؟
برخی شواهد نشان از آن دارد که میتوان با آنها تشخیص داد چه کسی مسئول مستقیم و پشت پروژه TrueCrypt است. دامنه وب سایت و برند تجاری ابزار به شخصی بازمیگردد با نام «دیوید آندره تساریک» ساکن پراگ در جمهوری چک. وب سایت Wired در تلاشی برای ارتباط با وی ناموفق بوده و اینگونه گفته شده حتی در صورتی که وی نیز در دسترس باشد، توضیح و روشنگری اینکه به راستی چه اتفاقی در کد باز این ابزار افتاده، به سادگی شدنی نیست.
به این ترتیب، اکنون محققانی مانند وایت و گرین با یک پرسش اساسی روبه رو شدهاند: آیا باید به ممیزی این ابزار به لحاظ امنیتی بپردازند یا خیر؟ این پرسش از آن روی مطرح است که کد این ابزار در اختیار همه کاربران است و بالاخره کسی میتواند پروژه را از سر گرفته و دوباره آغاز کند؛ اما آیا کاربران دوباره به این پروژه اعتماد خواهند داشت؟
وایت بر این باور است که بالاخره اکنون افراد زیادی از این پروژه استفاده میکنند و اطلاعات حیاتی و اساسی وابسته به وجود این ابزار هستند. آنچه شروع شد، باید ادامه پیدا کند و مسائل امنیتی نرم افزار باید حل و رفع شود.
گرین نیز بر این باور است که این نرم افزار به هر ترتیب باید به کار خود ادامه دهد. وی میگوید: من نمیگویم که افراد همچنان از این ابزار استفاده کنند؛ اما شاید این نقطه خوبی برای ممیزی نرم افزار به لحاظ امنیت و پالایش بخش هایی از کد آن باشد.
به هر حال آنچه مشخص است، اینکه هم اکنون هیچ نرم افزار Multi-Platform مانند TrueCrypt موجود نیست. ضربهای که به این نرم افزار وارد شده، ضربه ایبزرگ به امنیت کاربران به ویژه در فضای اینترنت است؛ ابزاری که ادوارد اسنودن با اشتیاق آن را به کار میبرد و به دیگران پیشنهاد میداد و بخش اعظمی از اطلاعاتی را که در خصوص NSA افشا شده، با آن در فضای اینترنت جابجا کرده است، در حال حاضر قابل استفاده نیست و شاید برای همیشه این گونه بماند...!
جریان از این قرار است که چندی پیش، پیامی روی وب سایت دانلود نرم افزار TrueCrypt ـ که یکی از قدرتمندترین و شناخته شدهترین و در عین حال محبوبترین نرم افزارهای رمزگذاری اطلاعات است یا بود، و پیش از این آن را معرفی کردیم ـ قرار گرفت که مبنی بر این بود که این ابزار برخی مشکلات امنیتی حل نشده دارد و نباید استفاده شود.
البته این موضوع هنوز هم کامل حل و فصل نشده و به شکل یک راز برای برخی باقی مانده که دلیل اصلی آن این است که همانند بسیاری دیگر از ابزارهای Open Source سازندگان اصلی TrueCrypt مشخص نیستند و هنوز نمیتوان به یقین گفت که این موضوع از کجا آب میخورد.
این به این معناست که اکنون TrueCrypt در راهی افتاده است که شاید برگشتی در آن نباشد و این ناشی از ناشناس بودن طراحان یک نرم افزار هم برای کاربران آن و هم برای خود آنهاست. البته هنوز محققان و برنامه نویسان میتوانند کد TrueCrypt را بررسی کنند، ولی موضوع بر سر این است که چه کسی مسئول واقعی TrueCrypt است!
یک کار عجیب و غریب...!
این موضوع هنگامی بهتر درک میشود که به این نکته دقت کنیم، آنچه اکنون روی وب سایت TrueCrypt قرار گرفته است، از کاربران میخواهد از این نرم افزار به سمت استفاده از BitLocker ویندوز حرکت کنند؛ ابزاری که اساسا کار آن رمزگذاری اطلاعات نیست و تنها قادر به خواندن اطلاعات رمزگذاری شده است. تنها شباهت آن با TrueCrypt این است که این ابزار با همان کلید کریپتوگرافیکی که TrueCrypt برای امضای سایر نرم افزارهای خود استفاده میکند، امضا شده است.
گویا تیم اصلی TrueCrypt هنوز کنترل را در دست دارد؛ اما ماتیو گرین، پرفسور دانشگاه جان هاپکینز بر این باور است که اگر این کار را تیم اصلی TrueCrypt انجام داده باشد، باید نام آن را عجیب و غریب گذاشت؛ زیرا تنها چند هفته پیش از این اقدام، طراحان این نرم افزار در ایمیلی که برای وی فرستاده بودند از وی درخواست همکاری برای بررسی وضعیت امنیتی این ابزار را داشتند.
اما بر خلاف آنچه اکنون روی داده، ایشان در این ایمیل از وی خواسته بودند در راستای ارتقای نرم افزار به فاز دوم امنیتی همکاری کند و نه در راستای تعطیل کردن آن! در نتیجه باید گفت یا طراحان TrueCrypt حرکتی عجیب و غیر معقول انجام دادهاند و یا این وب سایت هک شده است.
«کنت وایت»، پرفسور ارشد سیستمهای علمی و اجتماعی میگوید: چون طراحان TrueCrypt ناشناس هستند انتخاب از بین این دو گزینه ـ اقدام عجیب طراحان یا هک شدن سیستم ـ ناممکن و این شمشیر دو لبه ناشناس بودن است. وی میگوید: اگر در نظر آوریم که وب سایت و کلید کریپتوگرافیک نرم افزار زیر سؤال رفته است، در نتیجه کل پروژه اکنون زیر سؤال است.
هم اکنون چه باید کرد؟
برخی شواهد نشان از آن دارد که میتوان با آنها تشخیص داد چه کسی مسئول مستقیم و پشت پروژه TrueCrypt است. دامنه وب سایت و برند تجاری ابزار به شخصی بازمیگردد با نام «دیوید آندره تساریک» ساکن پراگ در جمهوری چک. وب سایت Wired در تلاشی برای ارتباط با وی ناموفق بوده و اینگونه گفته شده حتی در صورتی که وی نیز در دسترس باشد، توضیح و روشنگری اینکه به راستی چه اتفاقی در کد باز این ابزار افتاده، به سادگی شدنی نیست.
به این ترتیب، اکنون محققانی مانند وایت و گرین با یک پرسش اساسی روبه رو شدهاند: آیا باید به ممیزی این ابزار به لحاظ امنیتی بپردازند یا خیر؟ این پرسش از آن روی مطرح است که کد این ابزار در اختیار همه کاربران است و بالاخره کسی میتواند پروژه را از سر گرفته و دوباره آغاز کند؛ اما آیا کاربران دوباره به این پروژه اعتماد خواهند داشت؟
وایت بر این باور است که بالاخره اکنون افراد زیادی از این پروژه استفاده میکنند و اطلاعات حیاتی و اساسی وابسته به وجود این ابزار هستند. آنچه شروع شد، باید ادامه پیدا کند و مسائل امنیتی نرم افزار باید حل و رفع شود.
گرین نیز بر این باور است که این نرم افزار به هر ترتیب باید به کار خود ادامه دهد. وی میگوید: من نمیگویم که افراد همچنان از این ابزار استفاده کنند؛ اما شاید این نقطه خوبی برای ممیزی نرم افزار به لحاظ امنیت و پالایش بخش هایی از کد آن باشد.
به هر حال آنچه مشخص است، اینکه هم اکنون هیچ نرم افزار Multi-Platform مانند TrueCrypt موجود نیست. ضربهای که به این نرم افزار وارد شده، ضربه ایبزرگ به امنیت کاربران به ویژه در فضای اینترنت است؛ ابزاری که ادوارد اسنودن با اشتیاق آن را به کار میبرد و به دیگران پیشنهاد میداد و بخش اعظمی از اطلاعاتی را که در خصوص NSA افشا شده، با آن در فضای اینترنت جابجا کرده است، در حال حاضر قابل استفاده نیست و شاید برای همیشه این گونه بماند...!
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره هفتم خبرنامه دیده بان
۱۳ خرداد ۱۴۰۳ - ۱۰:۱۳
شماره ششم خبرنامه دیدهبان
۳۱ ارديبهشت ۱۴۰۳ - ۱۶:۰۶
شماره پنجم خبرنامه دیدهبان
۲۳ ارديبهشت ۱۴۰۳ - ۱۲:۳۷
شماره چهارم خبرنامه دیدهبان
۱۲ ارديبهشت ۱۴۰۳ - ۲۲:۳۳
شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲