دغدغه‌های امنیتی که ویندوز 10 همراه خود آورد

مایکروسافت با انتشار چند به‌روز رسانی فوری برای ویندوز ۱۰ عزم خود را برای به‌روز رسانی پیوسته و سریع سیستم عامل جدید خود نشان داده، اما از زمان انتشار ویندوز ۱۰ چند تهدید و دغدغه امنیتی خودنمایی کرده که مهم‌ترین آنها کنترل داده‌ها روی سیستم‌های کامپیوتری و دستگاه‌های موبایلی مبتنی بر ویندوز است. 

این ماجرا بعد از انتشار این پیام کوتاه در توییتر شروع شد: اگر برای رمزنگاری اطلاعات ۲۰۰ دلاری خرج نکنید، به‌ناچار باز از ابزار رمزنگاری «دستگاه‌های الکترونیکی» خود از ویندوزی استفاده کنید که تمام گذرواژه‌های شما را در اختیار مایکروسافت قرار می‌دهد. 

ندیم کوبیسی، نویسنده این پیام، یک کاربر عادی نیست؛ او دانشجوی مقطع دکتری در حوزه مطالعات کامپیوتری است که تحقیقات فراوانی در مورد رمزنگاری کاربردی داشته است؛ بنابراین بهتر است هشدار چنین کارشناسی را جدی بگیریم؛ اما ابتدا نگاه دقیق‌تری به ساختار رمزنگاری در ویندوز بیندازیم. 

BitLocker 

رمزنگاری دستگاه‌ها ابزار جدیدی به‌حساب نمی‌آید و ابزار رمزنگاری مایکروسافت یعنی BitLocker پیش از ویندوز ۱۰ در سیستم‌عامل‌های دیگر هم وجود داشته است. این سرویس نرم‌افزاری اولین بار در ویندوز ویستا گنجانده شده بود و این یعنی با یک فناوری ۹ ساله سروکار داریم. البته این قابلیت در نسخه‌های حرفه‌ای ویندوز یعنی Ultimate، Pro و Enterprise به‌کار گرفته شده و شاید برخی از مصرف‌کنندگان تجربه کاربری با آن را نداشته باشند. 

براساس توضیحات مایکروسافت درباره BitLocker، کلیدهای بازیابی بیت‌لاکر (BitLocker Recovery Keys) روی اکانت‌های آنلاین مایکروسافت ذخیره می‌شود، هرچند می‌توان این کلیدها را روی هارد دیسک نیز ذخیره کرد. 

در قسمتی از یک مقاله که در سال ۲۰۱۳ منتشر شده آمده است: برای ماشین‌هایی با دامنه اشتراکی (domain-joined)، گزینه بارگذاری کلیدهای بازیابی برای Active Directory تعبیه شده است. به بیان دیگر این کلیدها د راختیار واحد IT قرار می‌گیرد. 

اما بحث برانگیزترین گزینه استفاده از سرویس ابری خود مایکروسافت برای ذخیره کردن این کلیدهاست. همچنین در هر دستگاه الکترونیکی مبتنی بر تراشه TPM و ویندوز ۸.۱ یا بالاتر، کلیدهای بازیابی بیت‌لاکر به‌طور خودکار روی سرورهای مایکروسافت ذخیره می‌شود. 

ویندوز ۱۰ نیز از این قاعده مستثنی نابوده و کلیدهای بازیابی بیت‌لاکر در این سیستم عامل به‌طور پیش‌فرض در اکانت OneDrive کاربران (سرویس ابری مایکروسافت) ذخیره می‌شود. این مسئله سوال‌های امنیتی مهمی را برمی‌انگیزد؛ از جمله آنکه چه کسی به کلیدهای بازیابی دسترسی پیدا می‌کند، هرچند بعید به‌نظر می‌رسد که خود مایکروسافت به این کلیدها و به تبع آن به اطلاعات رمزنگاری شده کاربران دست‌درازی کند. 

گردآوری داده‌ها 

این مسئله امنیتی را باید از زوایای دیگر نیز سنجید. چندی پیش‌مقاله‌ای در وب‌سایت The Next Web منتشر شد که در آن به ابزار وسیع مایکروسافت برای گردآوری اطلاعات و فعالیت‌های کاربران پرداخته شده است. 

در بخشی از این مقاله آمده است: با حساب مایکروسافت خود وارد ویندوز شوید تا تنظیمات و داده‌های سیستم شما بلافاصله با سرورهای مایکروسافت سینک شود. این اطلاعات عبارت است از وب‌سایت‌های بازدید شده، فهرست وب‌سایت‌های محبوب و وب‌سایت‌هایی که در لحظه بارگذاری کرده‌اید، اپلیکیشن‌های ذخیره شده. رمز عبور وب‌سایت‌ها و هات‌اسپات موبایلی و نام و گذرواژه‌های شبکه Wi-Fi.» امکان غیرفعال کردن این سیستم ثبت خودکار اطلاعات وجود دارد، اما کاربران برای این کار باید در پنجره‌های پیچ در پیچ تنظیمات ویندوز حسابی جست و جو کنند؛ فرآیندی که بسیاری از کاربران نه آگاهی و نه حوصله انجام آن را دارند. 

اما به دستیار مجازی مایکروسافت می‌رسیم. تردیدی نیست که Cortana برای دستیاری شما به داده‌های گوناگونی نیاز دارد. در قسمت دیگری از این گزارش آمده است: کورتانا اطلاعات زیادی را طلب می‌کند؛ مکان شما، اطلاعات مربوط به تقویم، اپلیکیشن‌های محبوب، اطلاعاتی از ایمیل و پیام‌های متنی، افرادی که با آنها تماس می‌گیرید، شماره‌های تماس و میزان تعامل شما با کاربران دیگر. 

کورتانا با جمع‌آوری اطلاعات در مورد نحوه استفاده شما از سیستم کامپیوتری یا دستگاه الکترونیکی خود و دسترسی به دامنه وسیعی از سرویس‌های نرم‌افزاری از جمله موسیقی، تنظیمات زنگ هشدار، فعال یا غیرفعال بودن قفل صفحه نمایش، خریدهای اینترنتی، وب‌سایت‌های پربازدید و تاریخچه جست و جوها در موتور جست و جوی بینگ به چیزهای زیادی درباره شما پی می‌برد.

در واقع کورتانا بدون دسترسی به این حجم از اطلاعات کارایی خاصی نخواهد داشت، اما گردآوری این داده‌ها دغدغه‌های امنیتی مهمی را به وجود می‌آورد. 

اما مایکروسافت طرح جامعی را برای گردآوری اطلاعات از شما و دستگاه‌های الکترونیکی شما ترتیب داده است. مایکروسافت قصد دارد ویندوز ۱۰ را به یک محیط نرم‌افزاری مشتریک بین کامپیوترهای شخصی و دستگاه‌های موبایلی تبدیل کند. به این ترتیب ویندوز ۱۰ با رصد فعالیت‌های نظیر اپلیکیشن‌هایی که اجرا می‌کنید و شبکه‌های بی‌سیمی که به آن متصل می‌شوید یک ID تبلیغاتی برای هر دستگاه و هر کاربر ایجاد می‌کند. به بیان ساده‌تر، مایکروسافت با گردآوری اطلاعات کاربری سعی می‌کند تبلیغاتی را در محیط آنلاین برایتان به نمایش بگذارد که با علایق شما همخوانی بیشتری دارد. این ویژگی را نیز می‌توان در ویندوز ۱۰ غیر فعال کرد، اما برای پیدا کردن کلید خاموش آن باید حسابی در ویندوز بگردید. 

مسئله سوال‌برانگیز دیگر در مورد ویندوز ابزار Wi-Fi Sense است که به گفته کارشناسان «به شبکه دوستان فیسبوکی شما دسترسی پیدا می‌کند. این ابزار در واقع یک اپلیکیشن مستقل است که اطلاعات مربوط به دوستان شما در فیسبوک را گردآوری می‌کند تا مایکروسافت از حلقه دوستان فیسبوکی شما نیز باخبر باشد. 

این درحالی است که توضیحات خود مایکروسافت درباره Wi-Fi Sense چنین مسئله‌ای را با کاربران در میان نمی‌گذارد: Wi-Fi Sense به‌طور خودکار به شبکه‌های Wi-Fi محلی متصل می‌شود. Wi-Fi Sense کارهای زیادی را به‌جای شما برای اتصال به اینترنت انجام می‌دهد تا خودتان نگران انجام آنها نباشید. این کارها عبارتند از: 

• اتصال خودکار به شبکه‌های Wi-Fi عمومی 

• پذیرش شرایط کاربری یک شبکه Wi-Fi از طرف شما و ارائه اطلاعات مورد نیاز 

• تبادل شبکه‌های Wi-Fi رمزدار بین دوستان شما بدون نیاز به دیدن یا وارد کردن گذرواژه‌ها 

اینکه Wi-Fi Sense کدام یکی از این سرویس‌ها را برایتان انجام دهد انتخاب شماست. 

این سرویس مشخصاً برای کاربران تنبلی طراحی شده حوصله بالا و پایین کردن فهرست شبکه‌های Wi-Fi موجود را ندارند و با کمترین دردسری می‌خواهند به اینترنت متصل شوند. علاوه بر این تمام کانتکت‌های شما در فیسبوک، اسکایپ و Outlook گذرواژه شبکه Wi-Fi شما را نمی‌بینند اما باید منتظر ماند و دید این سیستم تا چه اندازه در آینده امن و قابل اطمینان خواهد بود. 

به چند مورد امنیتی دیگر نیز می‌رسیم که مربوط به سیاست‌های حریم خصوصی و تفاهم‌نامه پذیرش خدمات می‌شود. 

مایکروسافت در توضیح این موارد گفته است: در مواقع لزوم و برای محافظت از مصرف‌کنندگان یا همخوانی آنها با شرایط استفاده از خدمات، ممکن است به‌اطلاعات شخصی کاربران از جمله محتوای نرم‌افزاری (مانند ایمیل، تماس‌های خصوصی و فایل‌های شخصی) دسترسی یافته، آن را فاش کنیم و این اطلاعات را (پیش خود) نگه داریم. 

در خوش‌بینانه‌ترین حالت، مایکروسافت در طرح موضوع کلی‌گویی کرده، اما هرچند بحث در مورد واژگان و بار معنایی آنها برعهده حقوقدان‌هاست، مسئله اصلی به میزان کنترل کاربران بر داده‌های شخصی خود برمی‌گردد. 

نتیجه‌گیری 

همان‌طور که بارها گفته شده، سطح امنیت داده‌های شما تا حد زیادی به میزان کنترل شما بر داده‌ها بستگی دارد. شما در مقام صاحب اطلاعات باید از هرگونه دسترسی به داده‌های خود، مکان آن و چگونگی دسترسی پیوسته به اطلاعات آگاهی کامل داشته باشید. 

تفاهم‌نامه پذیرش خدمات مایکروسافت به‌گونه‌ای تعبیه شده که بعید به‌نظر می‌رسد غول نرم‌افزاری در آینده نزدیک به فکر تغییر و اصلاح آن بیفتد، مگر آنکه با بازخورد بسیار منفی کاربران و رسانه‌ها مواجه شود. اما این امر بعید به‌نظر می‌رسد، چرا که بسیاری از سرویس‌های ناقض حقوق کاربران نظیر کورتانا یا Wi-Fi Sense همان خدماتی هستند که کاربران به دنبالش هستند؛ خدماتی که عملیات روزمره را به‌جای آنها انجام دهد. 

اما چنین خدماتی چندان باب میل سازمان‌ها و کسب و کارها نیست. این قابلیت‌های جدید و پرزرق و برق ممکن است به‌راحتی امنیت اطلاعاتی سازمان‌ها را به‌خطر بیندازد. در مورد ابزار رمزنگاری مایکروسافت نیز باید به کارایی و اهمیت آن اذعان کرد، اما در صورت گم‌شدن یا به‌سرقت رفتن کلیدهای بازیابی، قضیه فرق خواهد کرد. در مجموع بهتر است کلیدهای بازیابی داده‌های رمزنگاری شده را در یک مکان مطمئن ذخیره کرد و نه در سرویس‌های شخص ثالث. 

ویندوز ۱۰ از نظر امنیتی وضعیت پیچیده‌ای دارد، به‌طوریکه تمام سرویس‌های بالقوه ناقض حریم خصوصی کاربران را نمی‌توان در این سیستم عامل غیر فعال کرد. علاوه بر این سازمان‌هایی که به کارکنان خود اجازه می‌دهند از دستگاه‌های شخصی برای انجام امور اداری استفاده کنند احتمالاً ابزار Wi-Fi Sense را دردسرساز خواهند دید. 

مهم‌ترین مسئله در مورد ویندوز ۱۰ آن است که کار کردن با آن را بلد باشید و بدانید که این سیستم عامل به‌طور پیش‌فرض چگونه از داده‌های شما استفاده می‌کند. بنابراین بهتر است تفاهم‌نامه استفاده از سرویس‌های ویندوز ۱۰ را پیشاپیش مطالعه کنید.