چرا سیگنال خوب نیست؟

چرا سیگنال خوب نیست؟

مشکل

پس از افشای نظارت جهانی در سال 2013، یافتن یک پلت فرم پیام رسانی امن برای جایگزینی پیام های متنی برای همه فعالان امری ضروری شد. مشخص شد که آژانس‌های اطلاعاتی ایالات متحده، کانادا، بریتانیا، استرالیا و نیوزلند (“Five Eyes“)، همراه با غول‌های فناوری ایالات متحده مانند فیس‌بوک، اپل، گوگل و مایکروسافت، در حال جمع‌آوری و ارسال ایمیل، متن، صدا، و چت تصویری با دولت ها، بدون نیاز به هیچ گونه حکمی هستند.

دولت های غربی یک سیستم نظارتی در سراسر جهان ایجاد کردند که حتی شهروندان و متحدان خودشان نیز به ظاهر نمی توانستند از آن فرار کنند.

همچنین مدت‌ها مشخص بود که ارتباطات در جاهایی مانند فیس‌بوک یا جی‌میل امن نیست، بنابراین بسیاری از بازیکنان در این زمان شروع به توسعه جایگزین‌های پیام‌رسانی امن کردند.

سیگنال وارد شد

سیگنال یکی از اولین پلتفرم‌هایی بود که سیستم رمزگذاری سرتاسر (E2EE) و استاندارد باز را توسعه داد و از آن استفاده کرد، که بسیاری از پلتفرم‌های دیگر برای استفاده خود آن را پذیرفتند یا اصلاح کردند.

سیگنال به دلیل ادغام با لیست مخاطبین و تاریخچه پیام‌های موجود، بسیار محبوب شد. از ویژگی های آن می توان به تماس ها و پیام های صوتی، پیوست ها، پاسخ ها و چت های گروهی اشاره کرد.

این پیام‌رسان در طول سال‌ها، به طور فزاینده‌ای توسط فعالان، روزنامه‌نگاران و سیاستمداران مورد استفاده قرار گرفته و توسط مدافعان حریم خصوصی غربی مانند ادوارد اسنودن و بروس اشنایر تأیید شده است. همچنین چندین تأییدیه و کاربران سؤال برانگیز مانند جک دورسی (موسس توییتر) و ایلان ماسک دارد.

تا چند سال پیش، آن را به عنوان بهترین جایگزین امن برای پنج بزرگغول های فناوری ایالات متحده می دانستند. تاریخچه و کاستی‌های آن، که همیشه آشکار بود، و در ادامه به آن‌ها خواهم پرداخت، به دلیل وضعیت ضعیف آن در دنیای فناوری، علاقه‌مندی‌اش به جامعه متن‌باز، و بنیان‌گذار آنارشیست رنگارنگ آن، موکسی مارلین اسپایک، نادیده گرفته شد.

در ژانویه 2021، پس از اینکه WhatsApp، محبوب‌ترین برنامه پیام‌رسانی در جهان، توسط فیس‌بوک خریداری شد و اشتراک‌گذاری داده‌های خود را با والدین جدید خود اعلام کرد، سیگنال به برترین برنامه دانلود شده در بیش از 70 کشور تبدیل شد.

افزایش محبوبیت سیگنال در میان برنامه‌های پیام‌رسان، بسیاری از فعالان را به بازگشایی پرونده سیگنال سوق داده است و به این فکر می‌کنند که چرا یک پلت‌فرم «ایمن» و در عین حال محبوب پاسخ چندانی از سوی مقامات دولتی ایالات متحده دریافت نکرده است.

همانطور که معلوم شد، دولت ایالات متحده خودش یکی از تامین کنندگان اصلی سیگنال بود (و احتمالاً باقی ماند).

مشکل سیگنال چیه؟

تامین مالی CIA

CIA → RFA → OTF → Signal

در حالی که این مقاله توسط یاشا لوین به جزئیات می‌پردازد، بر کسی پوشیده نیست که سرمایه‌گذار اصلی Open Whisper Systems (نام قبلی تیم توسعه سیگنال)، Open Technology Fund بود: خود به‌طور عمومی به‌عنوان زیرمجموعه رادیو آزاد آسیا فهرست شده است. یک سازمان دولتی ایالات متحده که هدف اصلی آن (همراه با دیگر تجسم های «رادیو آزاد» مانند رادیو اروپای آزاد یا رادیو آزاد کوبا) تغییر رژیم برای آن دسته از دولت های آسیایی است که با منافع سیاست خارجی ایالات متحده همسو نیستند.

آژانس‌های رادیویی آزاد در اوایل دهه 1990 تحت یک تغییر نام تجاری عمومی قرار گرفتند، اما در واقع همان سازمان‌های اطلاعات نادرست سیا در دهه 1950 هستند:

رادیو آسیای آزاد در سال 1951 از یک مجموعه فرستنده پیچیده در مانیل شروع به پخش به سرزمین اصلی چین کرد. این بازوی کمیته آسیای آزاد و C.I.A بود. آن را آغاز عملیاتی در خاور دور می دانستند که رقیب رادیو اروپای آزاد و رادیو آزادی خواهد بود.

به گفته منابع آگاه، تنها پس از فعالیت فرستنده های رادیو آزاد آسیا بود که C.I.A. متوجه شد که تقریباً هیچ گیرنده رادیویی در سرزمین اصلی چین در دست شخصی وجود ندارد. طرح اضطراری تهیه شد. بالون‌هایی که رادیوهای کوچکی را در دست داشتند که روی فرکانس رادیو آسیای آزاد تنظیم شده بودند، از جزیره تایوان، جایی که ناسیونالیست‌های چینی پس از تسلط کمونیست‌ها بر سرزمین اصلی در سال 1949 فرار کرده بودند، به سمت سرزمین اصلی فرستاده شدند. وقتی بالون‌ها منفجر شدند، این طرح در سراسر تنگه فورموسا تایوان کنار گذاشته شد.

آنچه آلن واینستین، یکی از بنیانگذاران بنیاد ملی برای دموکراسی (NED)، یکی دیگر از سازمان های تغییر رژیم «حقوق بشری» ایالات متحده در مورد سازمانش گفت، در مورد صندوق فناوری باز نیز صدق می کند: «بسیاری از کارهایی که ما امروز انجام می‌دهیم 25 سال پیش توسط سیا به صورت مخفیانه انجام شده است.

این صندوق برای: حمایت از فناوری‌های باز و جوامعی که آزادی بیان را افزایش می‌دهند، دور زدن سانسور، و مانع نظارت سرکوبگرانه به عنوان راهی برای ارتقای حقوق بشر و جوامع باز می‌شوند، حمایت می‌کند.”

باید تعهد صندوقی را زیر سوال برد که خود را وقف ممانعت از نظارتمی کند، در حالی که توسط دولتی ایجاد می شود که گسترده ترین سیستم نظارتی در تاریخ جهان را اداره می کند. و چگونه ایالات متحده ممکن است اصطلاحات حقوق بشرو جامعه بازرا متفاوت از کسانی که تاریخ ایالات متحده را در آن مناطق می دانند، تعریف کند.

این یک مورد واضح از بودجه دولت ایالات متحده برای پروژه‌هایی است که با هدف یا مشارکت در پروژه‌هایی، مانند سیگنال، یا جذب کامل آنها انجام می‌شود. در اصل، براندازی اهداف مدافعان حریم خصوصی و توسعه دهندگان، با ارائه بودجه ای به آنها که هیچ کس دیگری تامین نخواهد کرد: تا زمانی که آنها با منافع ایالات متحده بازی کنند.

سیگنال به خوبی می‌تواند یکی دیگر از هانی‌پات‌های Crypto AG باشد: شرکت سوئیسی که خدمات ارتباطی امنی را در طول قرن بیستم به 120 دولت ارائه می‌کرد و مخفیانه توسط سیا و اطلاعات آلمان غربی اداره می‌شد.

خوشبختانه استفاده از سیگنال هرگز مورد توجه عموم مردم چین (یا منطقه اداری هنگ کنگ) قرار نگرفت، که دولت آن‌ها به جای اینکه اجازه دهد فناوری ایالات متحده بر پلتفرم‌های ارتباطی خود کنترل کند، آنطور که اکثر کشورهای جهان ساده لوحانه اجازه می‌دهند، خودمختاری را ترجیح می‌دهند. (به عنوان مثال، محبوب ترین برنامه های رسانه های اجتماعی هند، فیس بوک و یوتیوب هستند، به این معنی که غول های جاسوسی ایالات متحده، مالک و کنترل ارتباطات روزمره کشوری بسیار بزرگتر از کشور خودشان هستند). سیگنال در عوض توسط فعالان آمریکایی و غربی مورد استفاده قرار گرفت و به دلیل تضادهای سرمایه داری نظارتی، اکنون نیز عموم مردم آن را به خود اختصاص داده است.

با این حال، این موردی برای بازگشت به عقب نیست. سایر کاستی‌های سیگنال به این معناست که موانع کمتری نسبت به آنچه قبلاً تصور می‌شد برای نظارت دولت آمریکا بر آن وجود دارد و ادعای «امن» بودن آن را مشکوک می‌کند.

همانطور که در مقاله بالا آمده است، پس از اینکه یاشا لوین مقاله ای در مورد افشای منابع مالی سیگنال نوشت، RFA سعی کرد از طرف سیگنال کنترل آسیب را انجام دهد، به این امید که سیگنال روابط خوبی با حامیان منبع باز خود حفظ کند و یک حریم خصوصی گرا» جایگزین باشد. لیبی لیو، رئیس رادیو آسیای آزاد گفت:

علاقه اصلی ما این است که مطمئن شویم شبکه گسترده OTF و جامعه آزادی اینترنت توسط مقاله [یاشا لوین] نترسیده باشند (بدون جناس). خوشبختانه همه بازیگران اصلی جامعه این هفته در والنسیا با هم هستند و گزارش نشان می دهد که آنها با OTF/RFA راحت هستند.

واضح است که دولت ایالات متحده به ادامه استفاده و گسترش سیگنال علاقه مند بود.

دلیل اینکه دولت ایالات متحده تلاشی برای مسدود کردن یا ممانعت از سیگنال نکرده است، این است که از مقدار اطلاعاتی که سیگنال می تواند به آن ارائه دهد راضی است.

سیگنال، متمرکز و مستقر در ایالات متحده

نامه های امنیت ملی (NSL)

ایالات متحده قانون جالبی دارد که در مورد هر شرکت آمریکایی که در داخل مرزهای آن فعالیت می کند اعمال می شود: این غیرقانونی است که به کاربران خود بگویید که دولت ایالات متحده از شرکت شما خواسته از طرف آنها جاسوسی کنید. این قانون افشای کلیدی نامیده می‌شود و نسخه ایالات متحده از آن، به نام نامه‌های امنیت ملی، با قانون PATRIOT توسعه یافت.

شرکت‌هایی که از این قانون پیروی نمی‌کنند، مانند Lavabit، مجبور می‌شوند در اعتراض خود را تعطیل کنند تا از زندان در امان بمانند، یا باز بمانند، و ارتباطات کاربران را به دولت ایالات متحده هدایت کنند. بنیاد سیگنال یک شرکت مستقر در ایالات متحده است و باید از این قانون پیروی کند.

Signal همچنین قابلیت خود میزبانی را ندارد: راهی برای اجرای سرور سیگنال خود و کنترل داده های خود وجود ندارد. Marlinspike بی‌رحمانه هر کسی را که تلاش می‌کند کلاینت یا سرور دیگری بسازد که بتواند با سرور اصلی ارتباط برقرار کند، خاموش می‌کند. 2

این بدان معنی است که تمام داده های سیگنال توسط یک نهاد واحد متمرکز و کنترل می شود: یک هدف غول پیکر و آسان برای نظارت ایالات متحده.

تمرکز داده‌های سیگنال به این معنی است که به احتمال زیاد یک نامه NSL به همراه سایر شرکت‌های پیام‌رسان متمرکز مستقر در ایالات متحده صادر شده است. در حالی که اطلاع دقیق برای ما غیرممکن است، افشای آن برای بنیانگذاران نیز غیرقانونی است. برای تجزیه و تحلیل تهدید، ما باید بدترین را فرض کنیم، به خصوص برای چنین برنامه محبوبی.

این می تواند دلیل توصیف بسیاری از توسعه دهندگان سیگنال از مارلین اسپایک گرفته به عنوان پارانوئید بودنش تا کنترل عجیب و غریب در مورد برخی از مدیران سیگنال باشد. اگر این اطلاعات حتی به طور تصادفی عمومی شود، مارلین اسپایک ممکن است با حکم زندان روبرو شود.

در زمانی که تقریباً تمام پلتفرم‌های پیام‌رسانی جدید از مدل خود میزبانی+ فدرالی استفاده می‌کنند، مارلین اسپایک به شدت طرفدار تمرکز بود و در پاسخ به درخواست توسعه‌دهندگان Matrix، پروتکل پیام‌رسانی فدرالی، از در نظر گرفتن فدرال خودداری کرد، به این دلیل که توسعه ویژگی را کند می کند. پاسخ آنها اینجاست.

مانند بسیاری از طرفداران اپل که کاملاً به تعهد اپل به حریم خصوصی متقاعد شده بودند و این حریم خصوصی را در دل خود «احساس می‌کردند» (تا زمانی که شواهدی که خلاف آن را مدت‌ها پس از این واقعیت به اطلاع عموم رساند)، طرفداران سیگنال «اعتماد» خود به سیگنال را کاملاً بر اساس آن قرار دادند. عوامل نامرتبط، مانند UI تمیز سیگنال، یا به قول خود Marlinspike: عواملی که هیچ ربطی به حریم خصوصی ندارند و قابل جعل یا آزمایش نیستند.

شواهد موافق یا مخالف «حریم خصوصی» سرویس‌های متمرکز همیشه غیرمستقیم است، زیرا در نهایت ما هرگز نمی‌توانیم بدانیم سرور واقعاً چه کدی را اجرا می‌کند یا اینکه توسط یک عامل مخرب به خطر افتاده است یا نه. سرور یک جعبه سیاه است که ما نمی توانیم آن را ببینیم.

از سوی دیگر، راه‌حل‌های خود میزبانی، الزامات تکرارپذیر بسیار سخت‌تری دارند، زیرا افرادی که از آنها استفاده می‌کنند و آن‌ها را اجرا می‌کنند، می‌دانند سرور چه کدی را اجرا می‌کند: آنها می‌توانند آن را از ابتدا با استفاده از کد منبع باز بسازند (مانند یک دستورالعمل). آنها می توانند سرور را برای اطمینان از امنیت آن تست کنند. همانطور که Drew Devault در انتقاد خود از سیگنال گفت: سیستم های واقعا امن نیازی به اعتماد ندارند.

شماره شناسه تلفن

اگر در حال ساختن یک پلتفرم امن بودید و می خواستید از یک شناسه استفاده کنید، بدترین چیزی که می توانید استفاده کنید چیست؟ شماره تلفن ها.

شماره تلفن تقریباً در هر کشور، از جمله ایالات متحده، مستقیماً با هویت شما مرتبط است: از جمله نام کامل، شماره تأمین اجتماعی، و حتی آدرس فعلی. یک جستجوی ساده شماره تلفن معکوس، که حتی توسط عوامل غیر مجری قانون نیز قابل انجام است، می تواند این اطلاعات را فاش کند.

همچنین به همین دلیل است که فعالان ناشناس و اینترنت نمی توانند از سیگنال استفاده کنند: با دادن شماره تلفن دیگران، نام و آدرس کامل خود را می دهند.

طرفداران حریم خصوصی تأکید می کنند که خدمات باید «قابلیت پیوند» را به حداقل برسانند: هرچه شناسه های کمتری به هویت واقعی شما پیوند بخورند، بهتر است. سیگنال این نیاز را به نفع ورود آسان و اتصال به مخاطبین موجود و تاریخچه پیام شما نادیده می گیرد. این ممکن است برای اپل یا واتساپ قابل قبول باشد، اما نباید برای بازاریابی خود برای فعالان به عنوان امنمحسوب شود.

سیگنال همچنین به شما امکان می دهد از طریق شماره تلفن خود بدون رضایت شما قابل شناسایی باشید. مقامات مجری قانون مرتباً شماره تلفن مظنونان یا گروه هایی از مظنونان را به برنامه سیگنال خود اضافه می کنند و سیگنال با خوشحالی به آنها می گوید که کدام یک از مظنونان آنها از سیگنال استفاده می کنند.

پروتکل E2EE سیگنال به این معنی است که به احتمال زیاد، محتوای پیام بین افراد امن است. اما اشخاص ثالث اغلب به فراداده‌ها اهمیت می‌دهند تا محتوای پیام، زیرا به‌هرحال خواندن دستی پیام‌ها معنایی را ندارند.

پایگاه داده سیگنال ها، که باید فرض کنیم به دلیل ماهیت متمرکز و مستقر در ایالات متحده به خطر افتاده است، دارای چند داده مهم است؛

  • تاریخ و زمان پیام

  • فرستندگان و گیرندگان پیام (از طریق شناسه شماره تلفن)

از این 2 قطعه اطلاعات، می توان نمودارهای اجتماعی ساخت: چه کسی با چه کسی صحبت کرد و چه زمانی این کار را انجام داد. همچنین، چه کسی با چه کسی در یک چت گروهی است.

شاید برای دولت آمریکا مهم نباشد که چه گفته شده است، وقتی می دانند که 4 فعال در یک شهر و یکی از خارج به طور مکرر در روز اعتراض به یکدیگر پیام می دهند. آنها اکنون فهرستی از مظنونان دارند.

آن را با داده های موقعیت مکانی تلفن همراه جفت کنید، و یک نمایه جدول زمانی درباره گروهی از مظنونان مرتبط خواهید داشت.

برخی از طرفداران سیگنال اشاره کرده اند که سیگنال فرستنده مهر و موم شده را در نسخه بتا برنامه پیاده سازی می کند. هر کسی که با پایگاه‌های داده متمرکز کار کرده است، می‌تواند به شما بگوید که با اطلاعات گیرنده و مهرهای زمانی پیام، یافتن فرستنده واقعی پیام امری بی‌اهمیت است.

کنار گذاشتن منبع باز

در حالی که برنامه‌ها و کد منبع سرور سیگنال منبع باز هستند، در واقعیت سیگنال در به‌روزرسانی آنها کند بوده است. در آوریل 2021، سیگنال با گذراندن یک سال کامل بدون انتشار به‌روزرسانی‌های کد سرور، جامعه منبع باز را خشمگین کرد. پس از این اعتراضات، سیگنال سرانجام کد سرور خود را به‌روزرسانی کرد تا جامعه منبع باز را راضی کند، اما طعم ترش را در دهان همه گذاشت.

بسته بندی یک ارز دیجیتال

به تازگی، سیگنال تلاش کرده است تا یک ارز دیجیتال به نام MobileCoin را در خود برنامه ادغام کند. اینکه یک پلتفرم پیام رسان با یک ارز دیجیتال مبهم ارتباط دارد کمی مبهم است. اما احتمالاً مقداری پول برای این کار وجود دارد. این ویژگیباعث خشم کاربران شد.

دیگر

فهرست کاملی از سایر نگرانی های فنی، مانند اتکای سیگنال به گوگل و آمازون،در اینجا و اینجا است.

چه چیزی یک پلت فرم پیام رسانی خوب را می سازد؟

رمزنگاری سرتاسری

ارتباط بین افراد یا گروهی از افراد باید به گونه ای رمزگذاری شود که فقط فرستنده و گیرنده بتوانند پیام ها را بخوانند. برای توضیح نحوه عملکرد، این ویدیو را در مورد رمزنگاری کلید عمومی تماشا کنید.

منبع باز

کد منبع هم برای برنامه های کاربردی سرور و هم برای سرویس گیرنده باید در فضای باز باشد تا جامعه بتواند در: رفع اشکالات، یافتن نقص های امنیتی و پیشنهاد ویژگی‌ها کمک کند. همچنین باید به کلاینت‌های شخص ثالث و اجرای سرور اجازه دهد و بر اساس یک استاندارد باز باشد.

خود میزبانی

یک پلتفرم پیام رسانی باید بتواند به صورت کاملا خصوصی اجرا شود و فقط توسط شخصی که نرم افزار آن را دانلود کرده است کنترل شود. آن شخص همچنین باید بتواند پروژه را از روی کد منبع اصلی خود بسازد و اطمینان حاصل کند که هیچ چیز شرورانه ای درج نشده است.

کنترل کامل بر داده های خود بسیار مهم است، به خصوص برای فعالانی که می خواهند از کلاینت‌های شخص ثالث مخرب اجتناب کنند.

فدرال

بهترین راه برای توصیف فدرال، فکر کردن به ایمیل است. بسیاری از افراد می‌توانند در سرویس‌های ایمیل مختلف (Gmail، Hotmail و غیره) ثبت‌نام کنند، اما همچنان می‌توانند برای یکدیگر ایمیل ارسال کنند. به همین ترتیب، یک پلت فرم ارتباطی باید بتواند با افراد دیگری که همان نرم افزار را در جاهای دیگر اجرا می کنند، صحبت کند.

Peer-to-Peer (P2P یا توزیع شده) زیرمجموعه ای از فدرال است که به جای اینکه هر کسی بتواند سروری را اجرا کند، سرور به اندازه یک برنامه کوچک است. این برنامه ها نه از طریق سرورها، بلکه مستقیماً با یکدیگر ارتباط برقرار می کنند.

هیچ شناسه قابل پیوند مورد نیاز نیست

هرچه یک پایگاه داده دارای شناسه های کمتری مانند نام واقعی، ایمیل و شماره تلفن شما باشد، بهتر است. اینها ویژگی های قابل پیوندی هستند که فقط فرستنده و گیرنده باید بدانند، نه سرور یا هر واسطه.

جایگزین‌های بد

متخلفان آشکار آن شرکت هایی هستند که قبلاً در برنامه PRISM NSA ثبت نام کرده اند. برنامه های کاربردی آن ها شامل فیس بوک و پیام رسان آن، واتساپ، اینستاگرام، اسکایپ، Microsoft teams، جیمیل، یوتیوب، پیام های اپل و پیام های متنی و صوتی شرکت مخابراتی تلفن همراه است.

سایر گزینه های رد صلاحیت شده عبارتند از شرکت های مستقر در ایالات متحده یا آنهایی که سرورهای متمرکز دارند، از جمله سیگنال، دیسکورد، اسلک، زوم، تلگرام، Threema، اسنپ چت، وایبر، لاین، توییتر و ردیت.

ایمیل یک پروتکل قدیمی است که با رمزگذاری یا امنیت طراحی نشده است. حتی ارائه دهندگان ایمیل ظاهراً امنبارها و بارها ناامنی‌شان ثابت شده است.

از معیارهای برنامه های پیام رسانی بالا، سیگنال فقط امتیاز 1.5 / 5 را کسب می کند. اکثر برنامه های موجود در این لیست امتیاز 0 / 5 را کسب می کنند.

جایگزین‌های خوب

پلتفرم های زیر توصیه های من هستند و این به هیچ وجه جامع نیست. این برنامه‌ها همه باکس‌ها را برای چیزی که یک پلتفرم پیام‌رسان خوب را در بالا می‌سازد، علامت می‌زنند.

Matrix

Matrix یک پلت فرم پیام رسان خود میزبان و فدرال است که در چند سال گذشته کامل‌تر شده است. با توجه به استاندارد باز، کلاینت‌های متعدد، پشتیبانی از چت های گروهی بزرگ و طراحی اولیه رمزگذاری، بسیاری از آن به عنوان جانشین ایمیل و آینده ارتباطات ایمن استقبال می کنند.

کلاینت اصلی آن، Element، دارای یک برنامه وب و برنامه های اندروید و iOS با امکانات کامل است.

ویژگی‌های زیادی دارد، از جمله تماس‌های صوتی/ویدیویی، پیام‌های صوتی، واکنش‌ها، پاسخ‌ها و فضاها (شبیه به مجموعه اتاق‌های Discord یا Slack).

به عنوان شاهدی بر قابلیت اطمینان و پشتیبانی طولانی مدت، ماتریکس حتی توسط برخی از سازمان های بزرگ و حتی دولت فرانسه پذیرفته شده است. به نظر می رسد حتی دولت های اروپایی می خواهند از شاخک های نظارت ایالات متحده فرار کنند و داده های خود را کنترل کنند.

هشدارهای فدرال: درز ابرداده

هنگام استفاده از فدرال، حالت‌هاي اتاق Matrix (حاوي تعداد زيادي ابرداده) در هر سرور خانگي كه هر كاربري به آن متصل مي‌شود يا به آن متصل مي‌شود، تكرار و به‌طور نامحدود ذخيره مي‌شود. در حالی که این یک ویژگی برای فعال کردن اتاق های چت توزیع شده است، بهای حفظ حریم خصوصی دارد.

برای جلوگیری از این امر، می توانید فدرال را غیرفعال کنید یا مطمئن شوید که کاربران شما بدون شناسه قابل پیوند به جز نام کاربری خود ثبت نام کرده اند.

XMPP

XMPP یک استاندارد باز برای پیام ها است که از سال 1999 وجود داشته است. این استاندارد منبع باز، فدرال و دارای برنامه هایی برای اکثر سیستم عامل ها مانند مکالمات برای اندروید یا Gajim برای دسکتاپ است.

هشدار

XMPP متأسفانه از تکه تکه شدن رنج می برد، زیرا همه مشتریان آن پیشنهادهای الحاقی آن (که XEP نامیده می شوند)، یا پسوندهای E2EE آن را به طور یکسان اجرا نمی کنند.

Briar

Briar یک برنامه چت P2P بسیار ایمن است که نیازی به سرور ندارد: برنامه ها مستقیماً از طریق شبکه TOR در اینترنت، شبکه وای فای یا از طریق بلوتوث با یکدیگر ارتباط برقرار می کنند.

این باعث می‌شود Briar برای حساس‌ترین ارتباطات، مانند اشتراک‌گذاری اطلاعات شخصی یا استفاده در اعتراضات، ایده‌آل باشد، زیرا می‌تواند در هنگام خاموشی اینترنت از طریق بلوتوث کار کند.

هشدار

Briar جدید است و فاقد ویژگی هایی است که در حال حاضر برای سازمان های بزرگ قابل استفاده‌اند. هیچ تماس صوتی، واکنش، سیستم مجوز یا کلاینت وب یا iOS وجود ندارد: فقط کلاینت اندروید در حال حاضر موجود است.

Jitsi

Jitsi یک راه حل ویدئو کنفرانس منبع باز و خود میزبان است که می تواند به عنوان جایگزینی برای Zoom عمل کند. دارای یک برنامه وب و برنامه های بومی برای دسکتاپ، iOS و اندروید است. Matrix در حال حاضر در Jitsi برای استفاده برای تماس‌های گروهی ویدیویی خود دسته‌بندی می‌شود.

SimpleX

SimpleX یک پروتکل و پلتفرم پیام رسانی برای حفظ حریم خصوصی است. منبع باز، ناشناس (هیچ شناسه ای به کاربران اختصاص داده نمی شود) و رمزگذاری شده سرتاسر است. سرور کاملاً خود میزبان است و کلاینت CLI، کلاینت iOS و کلاینت اندروید می‌توانند از مجموعه پیش‌فرض سرورهای اجرا شده توسط پروژه SimpleX در یک منو تغییر کنند. برنامه اندروید در F-Droid موجود است.

هشدار

  • کلاینت iOS نسخه 3.0 از اعلان‌های فوری پشتیبانی می‌کند لازم است که کاربران استفاده از سرور مرکزی اعلان‌ها را انتخاب کنند. این پروژه قصد دارد برای کاربران، بخشی از عملکرد سرور اعلان ها را خود میزبانی کنند.

  • کلاینت اندروید با اجرای یک سرویس پس زمینه اختیاری همیشه روشن از اعلان کاملا خصوصی پشتیبانی می کند.

  • هیچ کلاینت مبتنی بر وب به دلیل بردارهای حمله اضافی وجود ندارد.

  • سرورهای پیام رسانی SimpleX می توانند آدرس IP کاربران را ببینند. پروژه قصد دارد دسترسی از طریق Tor را در برنامه ها تعبیه کند.

نتیجه

من در اینجا توضیح دادم که چرا ضروری است که جوامع فعال از سیگنال مهاجرت کنند. ما نباید از اینرسی که به نظر می رسد پذیرش عمومی برنامه های چت جدید را آزار می دهد، ترسیده باشیم. اگر سازمان های ما به اندازه کافی منضبط باشند و به ارتباطات ایمن اهمیت کافی بدهند، حرکت به سمت آنها در اولویت قرار می‌گیرد.

ما باید سازگار و تطبیق پذیر باشیم: اگر در آینده بتوان جایگزین های جدید و مطمئن تری پیدا کرد، باید آنها را بررسی کرد و به عنوان جایگزین در نظر گرفت.

ما باید کنترل ارتباطات خود را در دست بگیریم و اجازه ندهیم شرکت های فناوری ایالات متحده آن را برای ما مدیریت کنند.

منبع

شش دلیل برای اینکه استفاده از واتس اپ را متوقف کنید

در حالی که افراد بی‌شماری در سرتاسر جهان برای استفاده از برنامه محبوب موسوم به واتس اپ ثبت‌نام کرده‌اند، اخیراً اطلاعات جدیدی در مورد این محصول کشف شده است که ممکن است شما را وادار به تجدید نظر در این مورد کند.

این سرویس پیام‌رسان اخیراً مورد انتقاد قرار گرفته است زیرا گزارش‌هایی مبنی بر دسترسی اشخاص ثالث (Third parties) به پیام‌های ارسال شده از طریق این پلتفرم و سرورهای شرکت منتشر شده است. در حالی که سازمان به شدت این ادعاها را رد کرد، هنوز هم تعدادی از دلایل وجود دارد که چرا همه باید استفاده از این برنامه را متوقف کنند.

مشکل از این واقعیت ناشی می شود که این برنامه به کاربران خود فشار می آورد تا از چت های خود در سرویس های ابری شخص ثالث نسخه پشتیبان تهیه کنند. در حالی که آنها سعی می کنند این را به عنوان یک رویکرد ایمن پنهان کنند، در عوض اطلاعات خصوصی شما را در معرض خطر قرار می دهد. در اینجا شش دلیل اصلی وجود دارد که چرا هر کاربر واتس اپ باید فوراً استفاده از این برنامه را متوقف کند.

۱. این برنامه کاربران خود را گمراه می‌کند

بیشتر چت‌های واتس اپ بدون رمزگذاری ذخیره می‌شوند، به این معنی که آنها لزوما خصوصی نیستند. با این حال، کاربر معمولی بر اساس روشی که برنامه عموم را گمراه می کند، متوجه این موضوع نمی شود. متأسفانه، به دلیل اینکه برنامه بیان می کند که از رمزگذاری سرتاسری استفاده می کند، به بسیاری از کاربران احساس امنیت کاذب می دهد.

۲. واتس اپ داده های خصوصی کاربران را در معرض خطر قرار می‌دهد

واتس اپ در واقع کاربران را تشویق می کند تا داده های خصوصی خود را در معرض منابع شخص ثالث قرار دهند. رابط کاربری این برنامه به طور خاص برای پشتیبان گیری از پیام ها طراحی شده است. این برنامه به‌جای دریافت یک پاپ‌آپ که از شما می‌پرسد آیا می‌خواهید از اطلاعات خود نسخه پشتیبان تهیه کنید یا نه، به سادگی از شما می‌پرسد که هر چند مدت می‌خواهید نسخه پشتیبان تهیه کنید. در حالی که می‌توانید به تنظیمات بروید و انتخاب کنید که «هرگز» نمی‌خواهید از این داده‌ها نسخه پشتیبان تهیه شود، اکثر کاربران یکی از چند گزینه اول موجود را انتخاب می‌کنند و در نهایت از تمام اطلاعات خصوصی خود نسخه پشتیبان تهیه می‌کنند.

۳. بیشتر پیام‌های واتس‌اپ بدون رمز ذخیره می‌شوند

اکثر پیام‌های واتس‌اپ در واقع بدون رمزنگاری ذخیره می‌شوند. حتی برای کاربران آیفون که چت های خود را در فضای ابری ذخیره می کنند، خطر بیشتری وجود دارد. این بدان معناست که پیام ها در برابر درخواست های دولتی آسیب پذیر هستند. این به این دلیل است که ادغام iCloud فشرده‌تری برای کاربران اپل وجود دارد و این برنامه حتی درخواست‌های رابط کاربری بیشتری برای آیفون دارد.

4. حتی پیام های حذف شده شما در معرض خطر هستند

حتی کسانی که «پاک کردن همه چت‌ها» را انتخاب می‌کنند و تصمیم به حذف پیام‌های خود می‌کنند، لزوماً از در معرض خطر قرار گرفتن پیام‌هایشان در امان نیستند. این پیام های حذف شده همچنان قابل خواندن هستند. گزارش‌های حاوی پیام‌های حذف شده همچنان به iCloud ارسال می‌شوند و برای همیشه در آنجا ذخیره می‌شوند. بله، حتی پیام‌هایی که حذف می‌کنید همچنان در برابر درخواست‌های داده آسیب‌پذیر هستند.

5. Metadata شما می تواند به فیس بوک منتقل شود

علاوه بر اینکه پیام های شما با واتس اپ در معرض خطر هستند، هنگام استفاده از این برنامه، ابرداده (Metadata) شما نیز در معرض خطر است. زمانی که این دو شرکت یک معامله 19 میلیارد دلاری انجام دادند، متأسفانه اطلاعات بسیاری از کاربران در معرض خطر قرار گرفت. ابرداده اطلاعاتی است مانند اینکه با چه کسی چت می کنید، چند وقت یکبار چت می کنید و در کدام چت های گروهی عضو هستید. این اطلاعات توسط واتس اپ ذخیره می شود و همچنین به راحتی به فیس بوک منتقل می شود. حتی بدتر از آن برای کاربران این است که شما نمی توانید از این نیز انصراف دهید.

6. چت های گروهی شما تقریباً تضمین شده است که در فضای ابری ذخیره می‌شوند

در حالی که اکثر کاربران حتی متوجه نمی شوند، وقتی شروع به استفاده از چت های گروهی می کنند، تقریباً اطمینان هست که چت آنها در فضای ابری ذخیره می شود و راهی برای انصراف وجود ندارد.

در چت‌های گروهی سه نفره از طریق سرویس پیام‌رسانی، به احتمال 87.5 درصد چت در فضای ابری ذخیره می‌شود و با افزایش اعضایی که به چت گروهی می‌پیوندند، این تعداد افزایش می‌یابد. برای گروه های پنج نفره نزدیک به 97 درصد و برای گروه های هفت نفره 99 درصد است. به زبان ساده، عملاً چیزی به نام چت گروهی رمزگذاری شده در واتس اپ وجود ندارد.

نتیجه

واتس‌اپ با چنین رویکرد نادرستی برای ایمن نگه داشتن اطلاعات مشتریان خود، اطلاعات خصوصی بسیاری از افراد را به طور ناخواسته در معرض خطر قرار داده است. در حالی که این شرکت سعی کرده است مردم را متقاعد کند که اشخاص ثالث نمی توانند به این پیام ها دسترسی داشته باشند، آنها در واقع می توانند پیام های واتس اپ شما را بخوانند. هر زمان که برای استفاده از این برنامه وارد سیستم می شوید، این اطلاعات مهم ایمنی را در ذهن داشته باشید.

خبر خوب این است که برنامه های دیگری نیز وجود دارند که می توانند به راحتی جایگزین واتس اپ شوند و همچنان خدمات پیام رسانی ایمن مورد نیاز کاربران را ارائه دهند. اپلیکیشن‌هایی مانند تلگرام بیش از 100 میلیون کاربر دارند، بدون در نظر گرفتن ویژگی‌های امنیتی تقویت‌شده‌ای که مشتریان برای حفظ امنیت اطلاعات خود به آن نیاز دارند.

ترجمه شده از hoffpost