به گزارش CNN فارسی، به دلیل مسدود شدن دسترسی به بسیاری از وبسایتها و سرویسهای پرمخاطب، استفاده از فیلترشکن برای فعالیتهای آنلاین روزمره در ایران به یک روند معمولی تبدیل شده است اما در این میان، افراد اندکی به امنیت فیلترشکنها توجه میکنند و به کار بردن عناوینی همچون «فیلترشکن قوی و پرسرعت» ابزاری برای سودجویان اینترنتی شده است که کاربران را به استفاده از فیلترشکنهایی با امنیت نامشخص سوق دهند.
آمار و اظهارات مسئولان نشان میدهد که نزدیک به ۸۰ درصد ایرانیها از فیلترشکن استفاده میکنند. اما آیا فیلترشکنهایی که ایرانیان برای دسترسی به اینترنت آزاد استفاده میکنند، امن و قابلاعتمادند؟
در چند ماه اخیر، مسدودسازی و ایجاد اختلال بر ویپیانهای امن افزایش چشمگیری داشت؛ این اتفاق باعث شد بسیاری از افراد با جستوجوی کلیدواژههایی همچون «فیلترشکن قوی» یا «فیلترشکن پرسرعت» در فروشگاههای دانلود اپلیکیشن و موتورهای جستوجوگر شانس خود را برای یافتن یک ویپیان که از کار نیفتاده باشد، امتحان کنند. این اتفاق دقیقا همان چیزی است که توسعهدهندگان ویپیانهای ناامن به دنبال آناند تا ابزارهای بینامونشان خود را به دست کاربران برسانند و بعد از آن، جمعآوری اطلاعات آنها را شروع کنند.
«فیلترشکن پرسرعت قوی»، تلهای برای کاربران ایرانی
با جستوجوی واژه «فیلترشکن قوی» یا «فیلترشکن پرسرعت»، فروشگاه دانلود گوگلپلی ویپیانهای رایگان با نامهایی از این دست را نمایش میدهند که برخی از آنها بیش از یک میلیون بار دانلود شدهاند. نکته حائز اهمیت آن است که بسیاری از این ویپیانها نه تنها شرکت رسمی ثبتشده ندارند بلکه از سازندگان آنها نیز هیچ اطلاعاتی در دسترس نیست.
نتایج بررسی سه ویپیان با ویژگی «پرسرعت و قوی» که هر کدام بیش از یک میلیون بار دانلود شدهاند، به اختصار به شرح زیر است:
اولین مورد، ویپیانی است که سه نام مختلف دارد. در عنوان این سرویس در گوگلپلی، «فیلترشکن پرسرعت قوی جدید» درج شده و در توضیحات، از آن با نام آلفا ویپیان (Alpha VPN) یاد شده است. در سند حریم خصوصی این سرویس که اکنون به دلیل نقض قوانین گوگل از دسترس خارج شده، نام این فیلترشکن اسپید ویپیان (Spade vpn) ذکر شده است. در صفحه گوگلپلی این سرویس «میشا اپاستلا» (misha appstela) به عنوان توسعهدهنده این ویپیان معرفی شده اما در سند حریم خصوصی، از «ویپیانیبل لیمیتد» (Vpnable Limited) به عنوان توسعهدهنده نام برده شده است.
در قسمت «افشای دادهها» در سند حریم خصوصی این سرویس که اکنون در دسترس نیست، نوشته شده بود که در صورت لزوم برای رعایت تعهد قانونی و در زمان مواجهه با مسئولیتی قانونی به افشای اطلاعات کاربران اقدام خواهد کرد. نکته جالب دیگر آن است که سند حریم خصوصی این فیلترشکن به دلیل نقض قوانین گوگل از دسترس خارج شده، اما خود این ویپیان هنوز در گوگلپلی موجود است.
دومین مورد «فیلترشکن پرسرعت قوی» لا یواسآ (La USA) است. در سند حریم خصوصی این سرویس عنوان شده که برای ارائه خدمات بهتر ممکن است «اطلاعات شخصی قابل شناسایی» کاربران را دریافت کند. همچنین این ویپیان از خدمات طرف سوم نیز استفاده میکند که آنها نیز اطلاعات موردنیاز برای شناسایی کاربران را جمعآوری میکنند. در وبسایت این سرویس، در مورد سازندگان این ویپیان و محل فعالیت آنها هیچ اطلاعاتی ذکر نشده است.
سومین مورد «فیلترشکن پرسرعت قوی»، رپید کانکت (Rapid Connect) است که شرکت ساترن دولوپمنت (Saturn Development) ساخته است؛ سند حریم خصوصی این سرویس دقیقا شبیه سند حریم خصوصی لا یواسآ است و در آن عنوان شده که برای ارائه خدمات بهتر ممکن است «اطلاعات شخصی قابل شناسایی» کاربران را دریافت کند. این ویپیان نیز از خدمات طرف سوم استفاده میکند که آنها نیز اطلاعات موردنیاز برای شناسایی کاربران را جمعآوری میکنند.
در تمام فیلترشکنهای مذکور، سند حریم خصوصی مختصر و مبهم، فقدان شفافیت در قبال اطلاعات دریافتی از کاربران و مشخص نبودن محل فعالیت مشهود است. همچنین در هیچ کدام از نمونههای بررسیشده، سازوکار این سرویسها برای پنهان کردن هویت کاربران مشخص نیست و درباره پروتکل ویپیان توضیحی داده نشده است. پروتکل ویپیان نشان دهنده فرایندها و دستورالعملهای ارائهدهندگان ویپیان است تا اطمینان حاصل شود که ارتباطات بین سرور و کاربر به صورت پایدار و امن برقرار است.
برای انتخاب یک فیلترشکن امن به چه مواردی باید توجه کرد؟
نبود اطلاعات دقیق در مورد سازندگان سرویس، مشخص نبودن نحوه رمزنگاری دادهها و فقدان شفافیت در اطلاعات دریافتی از کاربران و مدت زمان و محل ذخیره آنها نقاط مشترک همه فیلترشکنهای مشکوک و ناامناند. به همین دلیل اولین گام برای اطمینان از سلامت یک فیلترشکن مراجعه به وبسایت و بررسی سند حریم خصوصی فیلترشکن است.
یک سرویس امن میزان دریافت دادههای کاربران را با جزئیات و ذکر دلیل برای جمعآوری مشخص و مدت زمان و محل نگهداری آنها را نیز اعلام میکند. همچنین هر سرویسی موظف است در مورد سازندگان آن اطلاعات دقیق ارائه کند. نبود اطلاعات در مورد شرکت سازنده یک سرویس میتواند یکی از نشانههای قابلاعتماد نبودن یک سرویس باشد.
گام بعدی برای اطمینان از امنیت یک ویپیان بررسی پروتکل ویپیان است. ویپیانهای برتر دنیا نه تنها پروتکلهای مورداستفاده خود را به طور شفاف معرفی میکنند بلکه چندین پروتکل مختلف را به کار میگیرند و به کاربران خود این امکان را میدهند که برای اتصال به ویپیان، بر اساس نیازها و محدودیتهای خود پروتکل موردنظرش را انتخاب کند.
علاوه بر موارد ذکرشده، بررسی میزان دسترسی یک فیلترشکن هم دارای اهمیت است. تمام برنامکها برای فعالیت، دسترسیهایی را از کاربران درخواست میکنند؛ اما در این میان، درخواست دسترسی برخی از سرویسها بیشازحدنیاز است. برای نمونه، دسترسی «دریافت دادهها از اینترنت» برای یک فیلترشکن معمول است اما دسترسی به «لیست مخاطبان» یا «دسترسی به اطلاعات تماس» برای فیلترشکن درخواستی زیادی است. در بخش مدیریت برنامکهای (app management) تلفن همراه خود میتوانید میزان دسترسی برنامکها را مشاهده و آنها را محدود کنید.
در کنار فیلترشکنهای رایگان موجود در فروشگاههای دانلود برنامکها، برخی سرویسهای غیررایگان فعال در داخل ایران نیز با استقبال مردم مواجه شدهاند. باید توجه داشت که طبق قانون جرائم رایانهای، فروش هر ابزار الکترونیکی برای دور زدن فیلترینگ در ایران جرم محسوب میشود.
سرپرست سابق معاونت فضای مجازی دادستان کل کشور نیز در سال ۱۳۹۸ اعلام کرده بود که «بخش اعظم اطلاعات فنی فروشندگان ویپیان و حجم ترافیک مصرفی آنها در اختیار وزارت اطلاعات و ارتباطات است». به همین دلیل استفاده از سرویسهای ارائهدهنده ویپیان مستقر در ایران پرخطر است؛ زیرا نحوه فعالیت و هدف این شرکتها که برخلاف قانون بهطور علنی به ارائه خدمات برای دور زدن سیستم سانسور حکومتی مشغولاند، مشخص نیست.
نکته قابلتوجه دیگر استفاده این سرویسها از بسترهای رسمی پرداخت بانکی برای فروش فیلترشکن است. این بدان معنا است که پیگیری تراکنش مشتریان این سرویسها میتواند به فاش شدن هویت کاربران منجر شود.
بسیاری از کارشناسان امنیت دیجیتال به اکثر ویپیانهای رایگان همواره با دیده تردید مینگرند، زیرا نگهداری از سرورهای ویپیان و حفظ امنیت کاربران پرهزینه است و وقتی یک سرویس در ازای خدماتی که ارائه میدهد، هزینهای دریافت نمیکند، احتمالا منبع درآمد آن اطلاعات کاربران است.
براساس مطالعه موسسه سیاسآیآراو (CSIRO)، اغلب ویپیانهای رایگان برخلاف ادعاهایشان، ترافیک کاربران را رمزگذاری نمیکنند یا اینکه از پروتکلهای رمزگذاری نامرغوب استفاده میکنند که به نشت آپیوی۶ (IPv6) و «دیاناس» (DNS) منجر میشود. این بدان معنی است که فعالیتها و دادههای آنلاین افراد محرمانه نمیماند.
همچنین بسیاری از ویپیانهای رایگان از قابلیت تعبیهشده ردیابی کاربران برای فروش دادههای کاربران به تبلیغکنندگان استفاده میکنند. برخی از آنها حتی بدون اطلاع مشتریان، به شرکتهای طرف سوم امکان دسترسی به دادههای کاربران را میدهند. بررسیهای موسسه سیاسآیآراو نشان میدهد که ۷۵ درصد ویپیانهای رایگان حاوی کتابخانههای ردیابی شخص سوماند.