توضیح هک SolarWinds: هر چیزی که لازم است بدانید

توضیح هک SolarWinds: هر چیزی که لازم است بدانید

هکرها SolarWinds را با استقرار کدهای مخرب در نرم افزار نظارت و مدیریت IT Orion که توسط هزاران شرکت و سازمان دولتی در سراسر جهان مورد استفاده قرار می‌گیرد، هدف قرار دادند.

2020 ترن هوایی از رویدادهای بزرگ و تکان دهنده جهان بود. همه ما بی‌صبرانه منتظر پایان سال بودیم. اما درست زمانی که سال 2020 نزدیک به پایان بود، یک ضربه دیگر توجه ما را جلب کرد: هک SolarWinds، یکی از بزرگترین نقض‌های امنیت سایبری در قرن بیست و یکم.

هک SolarWinds یک رویداد بزرگ بود نه به این دلیل که یک شرکت مورد نفوذ قرار گرفت، بلکه یک حادثه زنجیره تامین بسیار بزرگ‌تر را آغاز کرد که هزاران سازمان از جمله دولت ایالات متحده را تحت تأثیر قرار داد.

SolarWinds چیست؟

SolarWinds یک شرکت نرم افزاری بزرگ مستقر در تولسا، اوکلا است که ابزارهای مدیریت سیستم را برای نظارت بر شبکه و زیرساخت و سایر خدمات فنی به صدها هزار سازمان در سراسر جهان ارائه می دهد. از جمله محصولات این شرکت یک سیستم نظارت بر عملکرد فناوری اطلاعات به نام Orion است.

SolarWinds Orion به عنوان یک سیستم مانیتورینگ فناوری اطلاعات، دسترسی ممتازی به سیستم‌های فناوری اطلاعات برای به دست آوردن اطلاعات گزارش و عملکرد سیستم دارد. این موقعیت ممتاز و استقرار گسترده آن است که SolarWinds را به یک هدف پرسود و جذاب تبدیل کرده است.

هک SolarWinds چیست؟

هک SolarWinds اصطلاحی است که معمولاً برای اشاره به نقض زنجیره تأمین که شامل سیستم SolarWinds Orion است، استفاده می شود.

در این هک، هکرهای مظنون دولتملت که توسط مایکروسافت به عنوان Nobelium شناخته شده اند و اغلب محققان دیگر آنها را هکرهای SolarWinds می نامند به شبکه ها، سیستم ها و داده های هزاران مشتریان SolarWinds دسترسی پیدا کردند. گستردگی این هک بی سابقه است و یکی از بزرگترین هک‌های تاریخ است.

بیش از 30000 سازمان دولتی و خصوصی از جمله آژانس های محلی، ایالتی و فدرال از سیستم مدیریت شبکه Orion برای مدیریت منابع IT خود استفاده می کنند. در نتیجه، زمانی که SolarWinds سهوا بدافزار backdoor را به عنوان به‌روزرسانی نرم‌افزار Orion تحویل داد، هک داده‌ها، شبکه‌ها و سیستم‌های هزاران نفر را به خطر انداخت.

مشتریان SolarWinds تنها کسانی نبودند که تحت تأثیر قرار گرفتند. از آنجایی که هک، عملکرد درونی کاربران Orion را آشکار کرد، هکرها به طور بالقوه می‌توانند به داده‌ها و شبکه‌های مشتریان و شرکای آنها نیز دسترسی داشته باشند و به قربانیان امکان می‌دهند تا از آنجا به طور تصاعدی رشد کنند.

هکرها یک مؤلفه نظارتی شبکه SolarWinds Orion را با امضای دیجیتالی به خطر انداختند و دریچه پشتی را به شبکه هزاران مشتری دولتی و سازمانی SolarWinds باز کردند.

چطور هک SolarWinds اتفاق افتاد؟

هکرها از روشی به نام حمله زنجیره تامین برای درج کدهای مخرب در سیستم Orion استفاده کردند. حمله زنجیره تامین با هدف قرار دادن شخص ثالث با دسترسی به سیستم‌های سازمان به جای تلاش برای هک مستقیم شبکه‌ها کار می‌کند.

نرم افزار شخص ثالث، در این مورد SolarWinds Orion Platform، یک درب پشتی ایجاد می‌کند که از طریق آن هکرها می توانند به کاربران و حساب‌های سازمان‌های قربانی دسترسی داشته باشند و جعل هویت کنند. این بدافزار همچنین می‌تواند به فایل‌های سیستم دسترسی داشته باشد و بدون شناسایی، حتی توسط نرم‌افزار آنتی ویروس، با فعالیت‌های قانونی SolarWinds ترکیب شود.

SolarWinds یک هدف عالی برای این نوع حمله بود. از آنجایی که نرم‌افزار Orion توسط بسیاری از شرکت‌های چندملیتی و سازمان‌های دولتی استفاده می‌شود، تمام کاری که هکرها باید انجام می‌دادند این بود که کدهای مخرب را در دسته جدیدی از نرم‌افزارهایی که توسط SolarWinds به‌عنوان به‌روزرسانی یا وصله توزیع شده است، نصب کنند.

جدول زمانی هک SolarWinds

در اینجا جدول زمانی هک SolarWinds آمده است:

  • سپتامبر 2019. عوامل تهدید به شبکه SolarWinds دسترسی غیرمجاز پیدا کردند
  • اکتبر 2019. عوامل تهدید، تزریق کد اولیه را به Orion آزمایش کردند
  • 20 فوریه 2020. کد مخرب معروف به Sunburst به Orion تزریق شد
  • 26 مارس 2020. SolarWinds ناآگاهانه شروع به ارسال بروزرسانی نرم افزار Orion با کد هک شده می‌کند.

طبق مشاوره وزارت امنیت داخلی ایالات متحده، نسخه های آسیب دیده SolarWinds Orion نسخه های 2019.4 تا 2020.2.1 HF1 هستند.

بیش از 18000 مشتری SolarWinds به‌روزرسانی‌های مخرب را نصب کردند و بدافزار شناسایی نشد. از طریق این کد، هکرها به سیستم‌های فناوری اطلاعات مشتریان SolarWinds دسترسی پیدا کردند و سپس می‌توانستند از آن برای نصب بدافزارهای بیشتری برای جاسوسی از سایر شرکت‌ها و سازمان‌ها استفاده کنند.

چه کسی تحت تاثیر قرار گرفت؟

بر اساس گزارش ها، این بدافزار بسیاری از شرکت ها و سازمان ها را تحت تاثیر قرار داده است. حتی ادارات دولتی مانند امنیت داخلی، ایالت، بازرگانی و خزانه داری نیز تحت تأثیر قرار گرفتند، زیرا شواهدی وجود داشت که ایمیل‌ها در سیستم‌های آنها گم شده بود. شرکت های خصوصی مانند FireEye، Microsoft، Intel، Cisco و Deloitte نیز از این حمله متضرر شدند.

این رخنه اولین بار توسط شرکت امنیت سایبری FireEye شناسایی شد. این شرکت با مشاهده آلودگی در سیستم‌های مشتریان تأیید کرد که آنها به بدافزار آلوده شده‌اند. FireEye هک SolarWinds را “UNC2452” نامگذاری کرد و درب پشتی مورد استفاده برای دسترسی به سیستم های خود از طریق SolarWinds را به عنوان “Sunburst” شناسایی کرد.

مایکروسافت همچنین تأیید کرد که نشانه‌هایی از بدافزار را در سیستم‌های خود پیدا کرده است، زیرا این نفوذ بر مشتریانش نیز تأثیر می‌گذارد. گزارش‌ها حاکی از استفاده از سیستم‌های خود مایکروسافت برای پیشبرد حمله هکری بود، اما مایکروسافت این ادعا را رد کرد. بعداً، این شرکت با FireEye و GoDaddy برای مسدود کردن و ایزوله کردن نسخه‌های Orion که حاوی بدافزار شناخته شده برای قطع دسترسی هکرها از سیستم مشتریان است، همکاری کرد.

آنها این کار را با تبدیل دامنه مورد استفاده توسط بدافزار backdoor مورد استفاده در Orion به عنوان بخشی از هک SolarWinds به kill switch انجام دادند. kill switch در اینجا به عنوان مکانیزمی برای جلوگیری از عملکرد بیشتر Sunburst عمل می‌کند.

با این وجود، حتی با وجود kill switch، هک همچنان ادامه دارد. محققان داده‌های زیادی برای بررسی دارند، زیرا بسیاری از شرکت‌هایی که از نرم‌افزار Orion استفاده می‌کنند هنوز مطمئن نیستند که آیا از بدافزار درب پشتی عاری هستند یا خیر. زمان زیادی طول می‌کشد تا تاثیر کامل هک مشخص شود.

چرا شناسایی حمله SolarWinds اینقدر طول کشید؟

با توجه به اینکه مهاجمان برای اولین بار در سپتامبر 2019 به سیستم های SolarWinds دسترسی پیدا کردند و حمله تا دسامبر 2020 به طور عمومی کشف یا گزارش نشد،  ممکن است آنها 14 ماه یا بیشتر دسترسی بدون محدودیت داشته باشند.

مدت زمانی که یک مهاجم می‌تواند دسترسی پیدا کند تا زمانی که حمله واقعاً کشف شود، طول می‌کشد، اغلب به عنوان زمان ماندگاری شناخته می‌شود. طبق گزارشی که در ژانویه 2020 توسط شرکت امنیتی CrowdStrike منتشر شد، میانگین زمان اقامت در سال 2019، 95 روز بود. با توجه به اینکه از زمانی که مهاجمان برای اولین بار وارد شبکه SolarWinds شدند تا زمانی که رخنه کشف شد، بیش از یک سال طول کشید، زمان ماندن در حمله از میانگین بیشتر بود.

این سوال که چرا شناسایی حمله SolarWinds اینقدر طول کشید، ارتباط زیادی با پیچیدگی کد Sunburst و هکرهایی دارد که این حمله را اجرا کردند.

SolarWinds در گزارش تجزیه و تحلیل حمله خود گفت: “تحلیل نشان می دهد که با مدیریت نفوذ از طریق چندین سرور مستقر در ایالات متحده و تقلید از ترافیک شبکه قانونی، مهاجمان توانستند تکنیک های تشخیص تهدید را که توسط SolarWinds، سایر شرکت های خصوصی و دولت فدرال استفاده می شد دور بزنند.”

FireEye که اولین شرکتی بود که این حمله را به طور عمومی گزارش کرد، تجزیه و تحلیل خود را از حمله SolarWinds انجام داد. FireEye در گزارش خود مجموعه اقدامات پیچیده ای را که مهاجمان برای پوشاندن ردپای خود انجام دادند، به تفصیل شرح داد. حتی قبل از اینکه Sunburst تلاش کند به سرور فرمان و کنترل خود متصل شود، این بدافزار تعدادی بررسی را انجام می‌دهد تا مطمئن شود که هیچ ابزار تجزیه و تحلیل ضد بدافزار در حال اجرا نیست.

هدف از حمله چه بود؟

بازرسان فدرال و ماموران امنیت سایبری بر این باورند که یک عملیات جاسوسی روسیه – به احتمال زیاد سرویس اطلاعات خارجی روسیه – پشت حمله SolarWinds است.

دولت روسیه هرگونه دخالت در این حمله را رد کرده و بیانیه‌ای منتشر کرده که در آن آمده است: «فعالیت‌های مخرب در فضای اطلاعاتی با اصول سیاست خارجی روسیه، منافع ملی و درک روابط بین‌دولتی در تضاد است». آنها همچنین افزودند که «روسیه عملیات تهاجمی در حوزه سایبری انجام نمی دهد.»

اولین بار نیست

هک SolarWinds جدیدترین مورد از یک سری حملات اخیر است که عاملان روسی عامل آن هستند. اعتقاد بر این است که یک گروه روسی موسوم به Cozy Bear در پشت حملاتی بود که در سال 2014 سیستم های ایمیل کاخ سفید و وزارت امور خارجه را هدف قرار دادند. همچنین از این گروه به عنوان مسئول نفوذ به سیستم های ایمیل کمیته ملی دموکرات و اعضای هیلاری کلینتون یاد شده است. مبارزات انتخاباتی ریاست جمهوری در سال 2015 در آستانه انتخابات 2016، و همچنین نقض بیشتر در مورد انتخابات میان دوره ای 2018.

برخلاف نظر کارشناسان در دولت خود، دونالد ترامپ، رئیس جمهور وقت آمریکا، در حوالی زمان کشف هک SolarWinds اشاره کرد که ممکن است هکرهای چینی پشت این حمله امنیت سایبری باشند. با این حال، او هیچ مدرکی برای اثبات ادعای خود ارائه نکرد.

رئیس جمهور جو بایدن مدت کوتاهی پس از تحلیف خود قول داد که دولت او قصد دارد روسیه را از طریق ارزیابی اطلاعاتی در مقیاس کامل و بررسی حمله SolarWinds و کسانی که در پشت آن هستند، مسئول بداند. رئیس جمهور همچنین سمت معاون مشاور امنیت ملی در امور امنیت سایبری را به عنوان بخشی از شورای امنیت ملی ایجاد کرد. این نقش که توسط نوبرگر، مامور اطلاعاتی کهنه کار برعهده داشت، بخشی از تلاش کلی دولت بایدن برای تجدید رویکرد دولت فدرال در مورد امنیت سایبری و پاسخ بهتر به بازیگران دولت-ملت است.

نامگذاری حمله: Solorigate، Sunburst و Nobelium چیست؟

 نام‌های مختلفی با حمله SolarWinds  مرتبط است. در حالی که این حمله اغلب به عنوان حمله SolarWinds شناخته می شود، این تنها نامی نیست که باید بدانید.

  • Sunburst. این نام تزریق کد مخربی است که توسط هکرها در کد سیستم نظارت بر فناوری اطلاعات SolarWinds Orion کاشته شده است. هم SolarWinds و هم CrowdStrike به طور کلی به این حمله به عنوان Sunburst اشاره می کنند.
  • Solorigate. مایکروسافت در ابتدا گروه عامل تهدید کننده واقعی حمله SolarWinds را Solorigate نامید. این نامی است که باقی ماند و توسط سایر محققان و همچنین رسانه ها پذیرفته شد.
  • Nobelium. در مارس 2021، مایکروسافت تصمیم گرفت که نام اصلی عامل تهدید پشت حمله SolarWinds باید در واقع Nobelium باشد – ایده این است که این گروه علیه چندین قربانی فعال است – نه فقط SolarWinds – و از بدافزارهای بیشتری به جای Sunburst استفاده می کند.

ارتباط چین با حمله SolarWinds

در حالی که گمان می رود کد اولیه Sunburst و حمله به SolarWinds و کاربران آن از سوی یک عامل تهدید مستقر در روسیه آمده است، سایر بازیگران تهدید دولت ملی نیز از SolarWinds در حملات استفاده کرده اند.

بر اساس گزارش رویترز، هکرهای مظنون دولت-ملت مستقر در چین از SolarWinds در همان دوره زمانی که حمله Sunburst رخ داد، بهره برداری کردند. بازیگران مظنون تهدید مستقر در چین، مرکز مالی ملی را که یک آژانس حقوق و دستمزد در وزارت کشاورزی ایالات متحده است، هدف قرار دادند.

گمان می رود که مهاجمان مستقر در چین از Sunburst استفاده نکرده باشند، بلکه از بدافزار متفاوتی استفاده کرده اند که SolarWinds آن را به عنوان Supernova معرفی می کند.

چرا هک SolarWinds مهم است؟

حمله زنجیره تامین SolarWinds یک هک جهانی است، زیرا عوامل تهدید، نرم افزار Orion را به سلاحی تبدیل کردند که به چندین سیستم دولتی و هزاران سیستم خصوصی در سراسر جهان دسترسی پیدا می کند. با توجه به ماهیت نرم‌افزار – و در نتیجه بدافزار Sunburst – دسترسی به کل شبکه‌ها، بسیاری از شبکه‌های شرکتی و سیستم‌های دولتی و سازمانی با خطر نقض‌های قابل توجهی روبرو هستند.

این هک همچنین می تواند کاتالیزوری برای تغییرات سریع و گسترده در صنعت امنیت سایبری باشد. بسیاری از شرکت ها و سازمان های دولتی اکنون در حال ابداع روش های جدیدی برای واکنش به این نوع حملات قبل از وقوع آن هستند. دولت ها و سازمان ها یاد می‌گیرند که ساختن یک فایروال کافی نیست و امیدوار باشند که از آنها محافظت کند. آنها باید فعالانه به دنبال آسیب‌پذیری‌ها در سیستم‌های خود باشند و یا آن‌ها را تقویت کنند یا آنها را به تله‌هایی در برابر این نوع حملات تبدیل کنند.

از زمانی که هک کشف شد، SolarWinds به مشتریان توصیه کرده است که پلتفرم موجود Orion خود را به روز کنند. این شرکت وصله‌هایی را برای بدافزار و سایر آسیب‌پذیری‌های احتمالی کشف شده از زمان حمله اولیه Orion منتشر کرده است. SolarWinds همچنین به مشتریان توصیه می‌کند  Orion سرورهای SolarWinds را به‌روزرسانی کنند و/یا رمز عبور حساب‌هایی را که به آن سرورها دسترسی دارند تغییر دهند.

برخی از کارشناسان صنعت گفته‌اند تمرکز بیشتر بر امنیت سایبری کاخ سفید بسیار مهم خواهد بود. اما سازمان‌ها باید استفاده از نرم‌افزارهای مدرن به‌عنوان یک سرویس را برای نظارت و همکاری در نظر بگیرند. در حالی که صنعت امنیت سایبری در دهه گذشته به طور قابل توجهی پیشرفت کرده است، این نوع حملات نشان می دهد که هنوز راه زیادی برای دستیابی به سیستم های واقعا امن وجود دارد.

گروه Nobelium به حملات خود به اهداف ادامه می دهد

گروه مظنون تهدید کننده حمله SolarWinds در سال 2021 فعال باقی مانده است و تنها در هدف قرار دادن SolarWinds متوقف نشده‌اند. در 27 می 2021، مایکروسافت گزارش داد که Nobelium، گروهی که گفته می‌شود پشت حمله SolarWinds بوده است، به نرم‌افزاری از سرویس بازاریابی ایمیل Constant Contact نفوذ کرده است. به گفته مایکروسافت، Nobelium تقریباً 3000 حساب ایمیل را در بیش از 150 سازمان مختلف هدف قرار داده است.

به نظر می رسد که بردار حمله اولیه یک حساب کاربری است که توسط USAID استفاده می شود. از همان پایه اولیه، Nobelium می‌توانست ایمیل‌های فیشینگ ارسال کند تا قربانیان را وادار به کلیک روی پیوندی کند که یک تروجان درب پشتی طراحی شده برای سرقت اطلاعات کاربر را مستقر می‌کند.

پادکست: SolarWinds attacks come into focus

نیاز به لایحه مواد نرم افزاری که پس از حمله برجسته شده است

نیاز به لایحه مواد نرم‌افزاری که پس از حمله برجسته شد، پس از حمله، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده دستورالعمل‌هایی را درباره کاهش خطرات زنجیره تامین نرم‌افزار صادر کرد. این راهنما توصیه‌های تاکتیکی خاصی را در مورد آنچه که سازمان‌ها برای شناسایی و حذف اجزای بالقوه مورد سوء استفاده باید جستجو کنند، ارائه می‌کند.

همانطور که مشخص شد، حادثه SolarWinds یکی از حملات متعدد در سال‌های 2020 و 2021 بود که خطرات مربوط به امنیت زنجیره تامین را برجسته کرد. حوادثی مانند حمله Colonial Pipeline در می 2021 و حمله باج افزار Kaseya در ژوئیه 2021 نشان داد که چگونه مهاجمان می توانند از آسیب پذیری در اجزای زنجیره تامین نرم افزار برای تحت تاثیر قرار دادن گروه وسیع تری از فروشندگان سوء استفاده کنند.

برنامه‌های نرم‌افزاری مدرن دیگر بر پشته‌ای یکپارچه از اجزای نرم‌افزار گسسته تکیه نمی‌کنند. توسعه‌دهندگان اکنون برنامه‌هایی را از مؤلفه‌های بسیاری می‌سازند که می‌توانند از منابع زیادی تهیه شوند. هر یک از مؤلفه‌هایی که یک برنامه کاربردی را تشکیل می‌دهند، در صورت وجود یک آسیب‌پذیری اصلاح‌نشده، می‌توانند به طور بالقوه خطری را نشان دهند. به این ترتیب، برای توسعه‌دهندگان، سازمان‌هایی که برای آنها کار می‌کنند و کاربران نهایی که برنامه‌ها را مصرف می‌کنند بسیار مهم است که از تمام اجزای مختلف سازنده یک برنامه آگاه باشند. این رویکردی است که به عنوان صورتحساب مواد نرم افزاری (SBOM) شناخته می شود. SBOM مانند یک “برچسب تغذیه ای” است که روی محصولات غذایی بسته بندی شده وجود دارد و به طور واضح به مصرف کنندگان نشان می دهد که چه چیزی در داخل یک محصول وجود دارد.

نیاز به SBOM توسط یک فرمان اجرایی صادر شده در ماه مه 2021 توسط دولت بایدن الزامی شد. این فرمان اجرایی منجر به گزارش اداره ملی مخابرات و اطلاعات در ژوئیه 2021 شد که رهنمودهایی در مورد بهترین شیوه‌های SBOM و حداقل الزامات ارائه می دهد. دستورات اجرایی همچنین سازمان‌های دولتی ایالات متحده را موظف می‌کنند که فقط با فروشندگان نرم‌افزاری که SBOM را ارائه می‌کنند کار کنند.

در دستور اجرایی آمده است: «کسانی که با نرم‌افزار کار می‌کنند، می‌توانند به سرعت و به آسانی از SBOM استفاده کنند تا تشخیص دهند که آیا در معرض خطر بالقوه آسیب‌پذیری جدید کشف شده هستند یا خیر.

منبع Techtarget

چرا سیگنال خوب نیست؟

چرا سیگنال خوب نیست؟

مشکل

پس از افشای نظارت جهانی در سال 2013، یافتن یک پلت فرم پیام رسانی امن برای جایگزینی پیام های متنی برای همه فعالان امری ضروری شد. مشخص شد که آژانس‌های اطلاعاتی ایالات متحده، کانادا، بریتانیا، استرالیا و نیوزلند (“Five Eyes“)، همراه با غول‌های فناوری ایالات متحده مانند فیس‌بوک، اپل، گوگل و مایکروسافت، در حال جمع‌آوری و ارسال ایمیل، متن، صدا، و چت تصویری با دولت ها، بدون نیاز به هیچ گونه حکمی هستند.

دولت های غربی یک سیستم نظارتی در سراسر جهان ایجاد کردند که حتی شهروندان و متحدان خودشان نیز به ظاهر نمی توانستند از آن فرار کنند.

همچنین مدت‌ها مشخص بود که ارتباطات در جاهایی مانند فیس‌بوک یا جی‌میل امن نیست، بنابراین بسیاری از بازیکنان در این زمان شروع به توسعه جایگزین‌های پیام‌رسانی امن کردند.

سیگنال وارد شد

سیگنال یکی از اولین پلتفرم‌هایی بود که سیستم رمزگذاری سرتاسر (E2EE) و استاندارد باز را توسعه داد و از آن استفاده کرد، که بسیاری از پلتفرم‌های دیگر برای استفاده خود آن را پذیرفتند یا اصلاح کردند.

سیگنال به دلیل ادغام با لیست مخاطبین و تاریخچه پیام‌های موجود، بسیار محبوب شد. از ویژگی های آن می توان به تماس ها و پیام های صوتی، پیوست ها، پاسخ ها و چت های گروهی اشاره کرد.

این پیام‌رسان در طول سال‌ها، به طور فزاینده‌ای توسط فعالان، روزنامه‌نگاران و سیاستمداران مورد استفاده قرار گرفته و توسط مدافعان حریم خصوصی غربی مانند ادوارد اسنودن و بروس اشنایر تأیید شده است. همچنین چندین تأییدیه و کاربران سؤال برانگیز مانند جک دورسی (موسس توییتر) و ایلان ماسک دارد.

تا چند سال پیش، آن را به عنوان بهترین جایگزین امن برای پنج بزرگغول های فناوری ایالات متحده می دانستند. تاریخچه و کاستی‌های آن، که همیشه آشکار بود، و در ادامه به آن‌ها خواهم پرداخت، به دلیل وضعیت ضعیف آن در دنیای فناوری، علاقه‌مندی‌اش به جامعه متن‌باز، و بنیان‌گذار آنارشیست رنگارنگ آن، موکسی مارلین اسپایک، نادیده گرفته شد.

در ژانویه 2021، پس از اینکه WhatsApp، محبوب‌ترین برنامه پیام‌رسانی در جهان، توسط فیس‌بوک خریداری شد و اشتراک‌گذاری داده‌های خود را با والدین جدید خود اعلام کرد، سیگنال به برترین برنامه دانلود شده در بیش از 70 کشور تبدیل شد.

افزایش محبوبیت سیگنال در میان برنامه‌های پیام‌رسان، بسیاری از فعالان را به بازگشایی پرونده سیگنال سوق داده است و به این فکر می‌کنند که چرا یک پلت‌فرم «ایمن» و در عین حال محبوب پاسخ چندانی از سوی مقامات دولتی ایالات متحده دریافت نکرده است.

همانطور که معلوم شد، دولت ایالات متحده خودش یکی از تامین کنندگان اصلی سیگنال بود (و احتمالاً باقی ماند).

مشکل سیگنال چیه؟

تامین مالی CIA

CIA → RFA → OTF → Signal

در حالی که این مقاله توسط یاشا لوین به جزئیات می‌پردازد، بر کسی پوشیده نیست که سرمایه‌گذار اصلی Open Whisper Systems (نام قبلی تیم توسعه سیگنال)، Open Technology Fund بود: خود به‌طور عمومی به‌عنوان زیرمجموعه رادیو آزاد آسیا فهرست شده است. یک سازمان دولتی ایالات متحده که هدف اصلی آن (همراه با دیگر تجسم های «رادیو آزاد» مانند رادیو اروپای آزاد یا رادیو آزاد کوبا) تغییر رژیم برای آن دسته از دولت های آسیایی است که با منافع سیاست خارجی ایالات متحده همسو نیستند.

آژانس‌های رادیویی آزاد در اوایل دهه 1990 تحت یک تغییر نام تجاری عمومی قرار گرفتند، اما در واقع همان سازمان‌های اطلاعات نادرست سیا در دهه 1950 هستند:

رادیو آسیای آزاد در سال 1951 از یک مجموعه فرستنده پیچیده در مانیل شروع به پخش به سرزمین اصلی چین کرد. این بازوی کمیته آسیای آزاد و C.I.A بود. آن را آغاز عملیاتی در خاور دور می دانستند که رقیب رادیو اروپای آزاد و رادیو آزادی خواهد بود.

به گفته منابع آگاه، تنها پس از فعالیت فرستنده های رادیو آزاد آسیا بود که C.I.A. متوجه شد که تقریباً هیچ گیرنده رادیویی در سرزمین اصلی چین در دست شخصی وجود ندارد. طرح اضطراری تهیه شد. بالون‌هایی که رادیوهای کوچکی را در دست داشتند که روی فرکانس رادیو آسیای آزاد تنظیم شده بودند، از جزیره تایوان، جایی که ناسیونالیست‌های چینی پس از تسلط کمونیست‌ها بر سرزمین اصلی در سال 1949 فرار کرده بودند، به سمت سرزمین اصلی فرستاده شدند. وقتی بالون‌ها منفجر شدند، این طرح در سراسر تنگه فورموسا تایوان کنار گذاشته شد.

آنچه آلن واینستین، یکی از بنیانگذاران بنیاد ملی برای دموکراسی (NED)، یکی دیگر از سازمان های تغییر رژیم «حقوق بشری» ایالات متحده در مورد سازمانش گفت، در مورد صندوق فناوری باز نیز صدق می کند: «بسیاری از کارهایی که ما امروز انجام می‌دهیم 25 سال پیش توسط سیا به صورت مخفیانه انجام شده است.

این صندوق برای: حمایت از فناوری‌های باز و جوامعی که آزادی بیان را افزایش می‌دهند، دور زدن سانسور، و مانع نظارت سرکوبگرانه به عنوان راهی برای ارتقای حقوق بشر و جوامع باز می‌شوند، حمایت می‌کند.”

باید تعهد صندوقی را زیر سوال برد که خود را وقف ممانعت از نظارتمی کند، در حالی که توسط دولتی ایجاد می شود که گسترده ترین سیستم نظارتی در تاریخ جهان را اداره می کند. و چگونه ایالات متحده ممکن است اصطلاحات حقوق بشرو جامعه بازرا متفاوت از کسانی که تاریخ ایالات متحده را در آن مناطق می دانند، تعریف کند.

این یک مورد واضح از بودجه دولت ایالات متحده برای پروژه‌هایی است که با هدف یا مشارکت در پروژه‌هایی، مانند سیگنال، یا جذب کامل آنها انجام می‌شود. در اصل، براندازی اهداف مدافعان حریم خصوصی و توسعه دهندگان، با ارائه بودجه ای به آنها که هیچ کس دیگری تامین نخواهد کرد: تا زمانی که آنها با منافع ایالات متحده بازی کنند.

سیگنال به خوبی می‌تواند یکی دیگر از هانی‌پات‌های Crypto AG باشد: شرکت سوئیسی که خدمات ارتباطی امنی را در طول قرن بیستم به 120 دولت ارائه می‌کرد و مخفیانه توسط سیا و اطلاعات آلمان غربی اداره می‌شد.

خوشبختانه استفاده از سیگنال هرگز مورد توجه عموم مردم چین (یا منطقه اداری هنگ کنگ) قرار نگرفت، که دولت آن‌ها به جای اینکه اجازه دهد فناوری ایالات متحده بر پلتفرم‌های ارتباطی خود کنترل کند، آنطور که اکثر کشورهای جهان ساده لوحانه اجازه می‌دهند، خودمختاری را ترجیح می‌دهند. (به عنوان مثال، محبوب ترین برنامه های رسانه های اجتماعی هند، فیس بوک و یوتیوب هستند، به این معنی که غول های جاسوسی ایالات متحده، مالک و کنترل ارتباطات روزمره کشوری بسیار بزرگتر از کشور خودشان هستند). سیگنال در عوض توسط فعالان آمریکایی و غربی مورد استفاده قرار گرفت و به دلیل تضادهای سرمایه داری نظارتی، اکنون نیز عموم مردم آن را به خود اختصاص داده است.

با این حال، این موردی برای بازگشت به عقب نیست. سایر کاستی‌های سیگنال به این معناست که موانع کمتری نسبت به آنچه قبلاً تصور می‌شد برای نظارت دولت آمریکا بر آن وجود دارد و ادعای «امن» بودن آن را مشکوک می‌کند.

همانطور که در مقاله بالا آمده است، پس از اینکه یاشا لوین مقاله ای در مورد افشای منابع مالی سیگنال نوشت، RFA سعی کرد از طرف سیگنال کنترل آسیب را انجام دهد، به این امید که سیگنال روابط خوبی با حامیان منبع باز خود حفظ کند و یک حریم خصوصی گرا» جایگزین باشد. لیبی لیو، رئیس رادیو آسیای آزاد گفت:

علاقه اصلی ما این است که مطمئن شویم شبکه گسترده OTF و جامعه آزادی اینترنت توسط مقاله [یاشا لوین] نترسیده باشند (بدون جناس). خوشبختانه همه بازیگران اصلی جامعه این هفته در والنسیا با هم هستند و گزارش نشان می دهد که آنها با OTF/RFA راحت هستند.

واضح است که دولت ایالات متحده به ادامه استفاده و گسترش سیگنال علاقه مند بود.

دلیل اینکه دولت ایالات متحده تلاشی برای مسدود کردن یا ممانعت از سیگنال نکرده است، این است که از مقدار اطلاعاتی که سیگنال می تواند به آن ارائه دهد راضی است.

سیگنال، متمرکز و مستقر در ایالات متحده

نامه های امنیت ملی (NSL)

ایالات متحده قانون جالبی دارد که در مورد هر شرکت آمریکایی که در داخل مرزهای آن فعالیت می کند اعمال می شود: این غیرقانونی است که به کاربران خود بگویید که دولت ایالات متحده از شرکت شما خواسته از طرف آنها جاسوسی کنید. این قانون افشای کلیدی نامیده می‌شود و نسخه ایالات متحده از آن، به نام نامه‌های امنیت ملی، با قانون PATRIOT توسعه یافت.

شرکت‌هایی که از این قانون پیروی نمی‌کنند، مانند Lavabit، مجبور می‌شوند در اعتراض خود را تعطیل کنند تا از زندان در امان بمانند، یا باز بمانند، و ارتباطات کاربران را به دولت ایالات متحده هدایت کنند. بنیاد سیگنال یک شرکت مستقر در ایالات متحده است و باید از این قانون پیروی کند.

Signal همچنین قابلیت خود میزبانی را ندارد: راهی برای اجرای سرور سیگنال خود و کنترل داده های خود وجود ندارد. Marlinspike بی‌رحمانه هر کسی را که تلاش می‌کند کلاینت یا سرور دیگری بسازد که بتواند با سرور اصلی ارتباط برقرار کند، خاموش می‌کند. 2

این بدان معنی است که تمام داده های سیگنال توسط یک نهاد واحد متمرکز و کنترل می شود: یک هدف غول پیکر و آسان برای نظارت ایالات متحده.

تمرکز داده‌های سیگنال به این معنی است که به احتمال زیاد یک نامه NSL به همراه سایر شرکت‌های پیام‌رسان متمرکز مستقر در ایالات متحده صادر شده است. در حالی که اطلاع دقیق برای ما غیرممکن است، افشای آن برای بنیانگذاران نیز غیرقانونی است. برای تجزیه و تحلیل تهدید، ما باید بدترین را فرض کنیم، به خصوص برای چنین برنامه محبوبی.

این می تواند دلیل توصیف بسیاری از توسعه دهندگان سیگنال از مارلین اسپایک گرفته به عنوان پارانوئید بودنش تا کنترل عجیب و غریب در مورد برخی از مدیران سیگنال باشد. اگر این اطلاعات حتی به طور تصادفی عمومی شود، مارلین اسپایک ممکن است با حکم زندان روبرو شود.

در زمانی که تقریباً تمام پلتفرم‌های پیام‌رسانی جدید از مدل خود میزبانی+ فدرالی استفاده می‌کنند، مارلین اسپایک به شدت طرفدار تمرکز بود و در پاسخ به درخواست توسعه‌دهندگان Matrix، پروتکل پیام‌رسانی فدرالی، از در نظر گرفتن فدرال خودداری کرد، به این دلیل که توسعه ویژگی را کند می کند. پاسخ آنها اینجاست.

مانند بسیاری از طرفداران اپل که کاملاً به تعهد اپل به حریم خصوصی متقاعد شده بودند و این حریم خصوصی را در دل خود «احساس می‌کردند» (تا زمانی که شواهدی که خلاف آن را مدت‌ها پس از این واقعیت به اطلاع عموم رساند)، طرفداران سیگنال «اعتماد» خود به سیگنال را کاملاً بر اساس آن قرار دادند. عوامل نامرتبط، مانند UI تمیز سیگنال، یا به قول خود Marlinspike: عواملی که هیچ ربطی به حریم خصوصی ندارند و قابل جعل یا آزمایش نیستند.

شواهد موافق یا مخالف «حریم خصوصی» سرویس‌های متمرکز همیشه غیرمستقیم است، زیرا در نهایت ما هرگز نمی‌توانیم بدانیم سرور واقعاً چه کدی را اجرا می‌کند یا اینکه توسط یک عامل مخرب به خطر افتاده است یا نه. سرور یک جعبه سیاه است که ما نمی توانیم آن را ببینیم.

از سوی دیگر، راه‌حل‌های خود میزبانی، الزامات تکرارپذیر بسیار سخت‌تری دارند، زیرا افرادی که از آنها استفاده می‌کنند و آن‌ها را اجرا می‌کنند، می‌دانند سرور چه کدی را اجرا می‌کند: آنها می‌توانند آن را از ابتدا با استفاده از کد منبع باز بسازند (مانند یک دستورالعمل). آنها می توانند سرور را برای اطمینان از امنیت آن تست کنند. همانطور که Drew Devault در انتقاد خود از سیگنال گفت: سیستم های واقعا امن نیازی به اعتماد ندارند.

شماره شناسه تلفن

اگر در حال ساختن یک پلتفرم امن بودید و می خواستید از یک شناسه استفاده کنید، بدترین چیزی که می توانید استفاده کنید چیست؟ شماره تلفن ها.

شماره تلفن تقریباً در هر کشور، از جمله ایالات متحده، مستقیماً با هویت شما مرتبط است: از جمله نام کامل، شماره تأمین اجتماعی، و حتی آدرس فعلی. یک جستجوی ساده شماره تلفن معکوس، که حتی توسط عوامل غیر مجری قانون نیز قابل انجام است، می تواند این اطلاعات را فاش کند.

همچنین به همین دلیل است که فعالان ناشناس و اینترنت نمی توانند از سیگنال استفاده کنند: با دادن شماره تلفن دیگران، نام و آدرس کامل خود را می دهند.

طرفداران حریم خصوصی تأکید می کنند که خدمات باید «قابلیت پیوند» را به حداقل برسانند: هرچه شناسه های کمتری به هویت واقعی شما پیوند بخورند، بهتر است. سیگنال این نیاز را به نفع ورود آسان و اتصال به مخاطبین موجود و تاریخچه پیام شما نادیده می گیرد. این ممکن است برای اپل یا واتساپ قابل قبول باشد، اما نباید برای بازاریابی خود برای فعالان به عنوان امنمحسوب شود.

سیگنال همچنین به شما امکان می دهد از طریق شماره تلفن خود بدون رضایت شما قابل شناسایی باشید. مقامات مجری قانون مرتباً شماره تلفن مظنونان یا گروه هایی از مظنونان را به برنامه سیگنال خود اضافه می کنند و سیگنال با خوشحالی به آنها می گوید که کدام یک از مظنونان آنها از سیگنال استفاده می کنند.

پروتکل E2EE سیگنال به این معنی است که به احتمال زیاد، محتوای پیام بین افراد امن است. اما اشخاص ثالث اغلب به فراداده‌ها اهمیت می‌دهند تا محتوای پیام، زیرا به‌هرحال خواندن دستی پیام‌ها معنایی را ندارند.

پایگاه داده سیگنال ها، که باید فرض کنیم به دلیل ماهیت متمرکز و مستقر در ایالات متحده به خطر افتاده است، دارای چند داده مهم است؛

  • تاریخ و زمان پیام

  • فرستندگان و گیرندگان پیام (از طریق شناسه شماره تلفن)

از این 2 قطعه اطلاعات، می توان نمودارهای اجتماعی ساخت: چه کسی با چه کسی صحبت کرد و چه زمانی این کار را انجام داد. همچنین، چه کسی با چه کسی در یک چت گروهی است.

شاید برای دولت آمریکا مهم نباشد که چه گفته شده است، وقتی می دانند که 4 فعال در یک شهر و یکی از خارج به طور مکرر در روز اعتراض به یکدیگر پیام می دهند. آنها اکنون فهرستی از مظنونان دارند.

آن را با داده های موقعیت مکانی تلفن همراه جفت کنید، و یک نمایه جدول زمانی درباره گروهی از مظنونان مرتبط خواهید داشت.

برخی از طرفداران سیگنال اشاره کرده اند که سیگنال فرستنده مهر و موم شده را در نسخه بتا برنامه پیاده سازی می کند. هر کسی که با پایگاه‌های داده متمرکز کار کرده است، می‌تواند به شما بگوید که با اطلاعات گیرنده و مهرهای زمانی پیام، یافتن فرستنده واقعی پیام امری بی‌اهمیت است.

کنار گذاشتن منبع باز

در حالی که برنامه‌ها و کد منبع سرور سیگنال منبع باز هستند، در واقعیت سیگنال در به‌روزرسانی آنها کند بوده است. در آوریل 2021، سیگنال با گذراندن یک سال کامل بدون انتشار به‌روزرسانی‌های کد سرور، جامعه منبع باز را خشمگین کرد. پس از این اعتراضات، سیگنال سرانجام کد سرور خود را به‌روزرسانی کرد تا جامعه منبع باز را راضی کند، اما طعم ترش را در دهان همه گذاشت.

بسته بندی یک ارز دیجیتال

به تازگی، سیگنال تلاش کرده است تا یک ارز دیجیتال به نام MobileCoin را در خود برنامه ادغام کند. اینکه یک پلتفرم پیام رسان با یک ارز دیجیتال مبهم ارتباط دارد کمی مبهم است. اما احتمالاً مقداری پول برای این کار وجود دارد. این ویژگیباعث خشم کاربران شد.

دیگر

فهرست کاملی از سایر نگرانی های فنی، مانند اتکای سیگنال به گوگل و آمازون،در اینجا و اینجا است.

چه چیزی یک پلت فرم پیام رسانی خوب را می سازد؟

رمزنگاری سرتاسری

ارتباط بین افراد یا گروهی از افراد باید به گونه ای رمزگذاری شود که فقط فرستنده و گیرنده بتوانند پیام ها را بخوانند. برای توضیح نحوه عملکرد، این ویدیو را در مورد رمزنگاری کلید عمومی تماشا کنید.

منبع باز

کد منبع هم برای برنامه های کاربردی سرور و هم برای سرویس گیرنده باید در فضای باز باشد تا جامعه بتواند در: رفع اشکالات، یافتن نقص های امنیتی و پیشنهاد ویژگی‌ها کمک کند. همچنین باید به کلاینت‌های شخص ثالث و اجرای سرور اجازه دهد و بر اساس یک استاندارد باز باشد.

خود میزبانی

یک پلتفرم پیام رسانی باید بتواند به صورت کاملا خصوصی اجرا شود و فقط توسط شخصی که نرم افزار آن را دانلود کرده است کنترل شود. آن شخص همچنین باید بتواند پروژه را از روی کد منبع اصلی خود بسازد و اطمینان حاصل کند که هیچ چیز شرورانه ای درج نشده است.

کنترل کامل بر داده های خود بسیار مهم است، به خصوص برای فعالانی که می خواهند از کلاینت‌های شخص ثالث مخرب اجتناب کنند.

فدرال

بهترین راه برای توصیف فدرال، فکر کردن به ایمیل است. بسیاری از افراد می‌توانند در سرویس‌های ایمیل مختلف (Gmail، Hotmail و غیره) ثبت‌نام کنند، اما همچنان می‌توانند برای یکدیگر ایمیل ارسال کنند. به همین ترتیب، یک پلت فرم ارتباطی باید بتواند با افراد دیگری که همان نرم افزار را در جاهای دیگر اجرا می کنند، صحبت کند.

Peer-to-Peer (P2P یا توزیع شده) زیرمجموعه ای از فدرال است که به جای اینکه هر کسی بتواند سروری را اجرا کند، سرور به اندازه یک برنامه کوچک است. این برنامه ها نه از طریق سرورها، بلکه مستقیماً با یکدیگر ارتباط برقرار می کنند.

هیچ شناسه قابل پیوند مورد نیاز نیست

هرچه یک پایگاه داده دارای شناسه های کمتری مانند نام واقعی، ایمیل و شماره تلفن شما باشد، بهتر است. اینها ویژگی های قابل پیوندی هستند که فقط فرستنده و گیرنده باید بدانند، نه سرور یا هر واسطه.

جایگزین‌های بد

متخلفان آشکار آن شرکت هایی هستند که قبلاً در برنامه PRISM NSA ثبت نام کرده اند. برنامه های کاربردی آن ها شامل فیس بوک و پیام رسان آن، واتساپ، اینستاگرام، اسکایپ، Microsoft teams، جیمیل، یوتیوب، پیام های اپل و پیام های متنی و صوتی شرکت مخابراتی تلفن همراه است.

سایر گزینه های رد صلاحیت شده عبارتند از شرکت های مستقر در ایالات متحده یا آنهایی که سرورهای متمرکز دارند، از جمله سیگنال، دیسکورد، اسلک، زوم، تلگرام، Threema، اسنپ چت، وایبر، لاین، توییتر و ردیت.

ایمیل یک پروتکل قدیمی است که با رمزگذاری یا امنیت طراحی نشده است. حتی ارائه دهندگان ایمیل ظاهراً امنبارها و بارها ناامنی‌شان ثابت شده است.

از معیارهای برنامه های پیام رسانی بالا، سیگنال فقط امتیاز 1.5 / 5 را کسب می کند. اکثر برنامه های موجود در این لیست امتیاز 0 / 5 را کسب می کنند.

جایگزین‌های خوب

پلتفرم های زیر توصیه های من هستند و این به هیچ وجه جامع نیست. این برنامه‌ها همه باکس‌ها را برای چیزی که یک پلتفرم پیام‌رسان خوب را در بالا می‌سازد، علامت می‌زنند.

Matrix

Matrix یک پلت فرم پیام رسان خود میزبان و فدرال است که در چند سال گذشته کامل‌تر شده است. با توجه به استاندارد باز، کلاینت‌های متعدد، پشتیبانی از چت های گروهی بزرگ و طراحی اولیه رمزگذاری، بسیاری از آن به عنوان جانشین ایمیل و آینده ارتباطات ایمن استقبال می کنند.

کلاینت اصلی آن، Element، دارای یک برنامه وب و برنامه های اندروید و iOS با امکانات کامل است.

ویژگی‌های زیادی دارد، از جمله تماس‌های صوتی/ویدیویی، پیام‌های صوتی، واکنش‌ها، پاسخ‌ها و فضاها (شبیه به مجموعه اتاق‌های Discord یا Slack).

به عنوان شاهدی بر قابلیت اطمینان و پشتیبانی طولانی مدت، ماتریکس حتی توسط برخی از سازمان های بزرگ و حتی دولت فرانسه پذیرفته شده است. به نظر می رسد حتی دولت های اروپایی می خواهند از شاخک های نظارت ایالات متحده فرار کنند و داده های خود را کنترل کنند.

هشدارهای فدرال: درز ابرداده

هنگام استفاده از فدرال، حالت‌هاي اتاق Matrix (حاوي تعداد زيادي ابرداده) در هر سرور خانگي كه هر كاربري به آن متصل مي‌شود يا به آن متصل مي‌شود، تكرار و به‌طور نامحدود ذخيره مي‌شود. در حالی که این یک ویژگی برای فعال کردن اتاق های چت توزیع شده است، بهای حفظ حریم خصوصی دارد.

برای جلوگیری از این امر، می توانید فدرال را غیرفعال کنید یا مطمئن شوید که کاربران شما بدون شناسه قابل پیوند به جز نام کاربری خود ثبت نام کرده اند.

XMPP

XMPP یک استاندارد باز برای پیام ها است که از سال 1999 وجود داشته است. این استاندارد منبع باز، فدرال و دارای برنامه هایی برای اکثر سیستم عامل ها مانند مکالمات برای اندروید یا Gajim برای دسکتاپ است.

هشدار

XMPP متأسفانه از تکه تکه شدن رنج می برد، زیرا همه مشتریان آن پیشنهادهای الحاقی آن (که XEP نامیده می شوند)، یا پسوندهای E2EE آن را به طور یکسان اجرا نمی کنند.

Briar

Briar یک برنامه چت P2P بسیار ایمن است که نیازی به سرور ندارد: برنامه ها مستقیماً از طریق شبکه TOR در اینترنت، شبکه وای فای یا از طریق بلوتوث با یکدیگر ارتباط برقرار می کنند.

این باعث می‌شود Briar برای حساس‌ترین ارتباطات، مانند اشتراک‌گذاری اطلاعات شخصی یا استفاده در اعتراضات، ایده‌آل باشد، زیرا می‌تواند در هنگام خاموشی اینترنت از طریق بلوتوث کار کند.

هشدار

Briar جدید است و فاقد ویژگی هایی است که در حال حاضر برای سازمان های بزرگ قابل استفاده‌اند. هیچ تماس صوتی، واکنش، سیستم مجوز یا کلاینت وب یا iOS وجود ندارد: فقط کلاینت اندروید در حال حاضر موجود است.

Jitsi

Jitsi یک راه حل ویدئو کنفرانس منبع باز و خود میزبان است که می تواند به عنوان جایگزینی برای Zoom عمل کند. دارای یک برنامه وب و برنامه های بومی برای دسکتاپ، iOS و اندروید است. Matrix در حال حاضر در Jitsi برای استفاده برای تماس‌های گروهی ویدیویی خود دسته‌بندی می‌شود.

SimpleX

SimpleX یک پروتکل و پلتفرم پیام رسانی برای حفظ حریم خصوصی است. منبع باز، ناشناس (هیچ شناسه ای به کاربران اختصاص داده نمی شود) و رمزگذاری شده سرتاسر است. سرور کاملاً خود میزبان است و کلاینت CLI، کلاینت iOS و کلاینت اندروید می‌توانند از مجموعه پیش‌فرض سرورهای اجرا شده توسط پروژه SimpleX در یک منو تغییر کنند. برنامه اندروید در F-Droid موجود است.

هشدار

  • کلاینت iOS نسخه 3.0 از اعلان‌های فوری پشتیبانی می‌کند لازم است که کاربران استفاده از سرور مرکزی اعلان‌ها را انتخاب کنند. این پروژه قصد دارد برای کاربران، بخشی از عملکرد سرور اعلان ها را خود میزبانی کنند.

  • کلاینت اندروید با اجرای یک سرویس پس زمینه اختیاری همیشه روشن از اعلان کاملا خصوصی پشتیبانی می کند.

  • هیچ کلاینت مبتنی بر وب به دلیل بردارهای حمله اضافی وجود ندارد.

  • سرورهای پیام رسانی SimpleX می توانند آدرس IP کاربران را ببینند. پروژه قصد دارد دسترسی از طریق Tor را در برنامه ها تعبیه کند.

نتیجه

من در اینجا توضیح دادم که چرا ضروری است که جوامع فعال از سیگنال مهاجرت کنند. ما نباید از اینرسی که به نظر می رسد پذیرش عمومی برنامه های چت جدید را آزار می دهد، ترسیده باشیم. اگر سازمان های ما به اندازه کافی منضبط باشند و به ارتباطات ایمن اهمیت کافی بدهند، حرکت به سمت آنها در اولویت قرار می‌گیرد.

ما باید سازگار و تطبیق پذیر باشیم: اگر در آینده بتوان جایگزین های جدید و مطمئن تری پیدا کرد، باید آنها را بررسی کرد و به عنوان جایگزین در نظر گرفت.

ما باید کنترل ارتباطات خود را در دست بگیریم و اجازه ندهیم شرکت های فناوری ایالات متحده آن را برای ما مدیریت کنند.

منبع

حریم خصوصی در مقابل «من چیزی برای پنهان کردن ندارم»

حریم خصوصی در مقابل «من چیزی برای پنهان کردن ندارم»

“این استدلال که شما به حق حریم خصوصی اهمیت نمی دهید زیرا چیزی برای پنهان کردن ندارید، تفاوتی با گفتن اینکه به آزادی بیان اهمیت نمی دهید زیرا چیزی برای گفتن ندارید، ندارد.”

Edward Snowden

بیایید شروع کنیم به بحث علیه «من چیزی برای پنهان کردن ندارم».

حریم خصوصی و حفاظت

خودتان را در کنار خانواده‌تان تصور کنید. شما و همسرتان با یک فرزند زیبا در خانه ای زیبا با آرامش و شادی زندگی می کنید، تنها چیزی که وجود دارد این است که تمام دیوارها شیشه ای و شفاف هستند. ناگهان یک روز شخصی در خانه شما را می زند و اطلاعاتی در مورد هر چیزی که تا به حال با خانواده خود داشته اید به شما می دهد.

شاید دانستن عادات حمام یا فعالیت جنسی شما یا حتی آنچه در 30 روز گذشته برای صبحانه خورده‌اید برای شما مهم نباشد، احتمالاً این اطلاعات را به صورت آنلاین با برخی از برنامه‌ها آگاهانه یا ناآگاهانه به اشتراک گذاشته‌اید، اما آیا در حال حاضر احساس ناراحتی نمی‌کنید؟

یا تصور کنید هر بار که به حمام می روید، شخصی به شما پیامک می زند “در حمام هستید، این برنامه یا لوازم حمام را بررسی کنید” یا هر بار که یخچال را باز می کنید، شخصی با شما تماس می گیرد و شما نمی توانید پاسخ ندهید و به شما می گوید که یک غدای عالی وجود دارد که شما حتماً باید بخرید. چه احساسی دارید؟

یا هر چند وقت یک بار در حالی که کسی مقالاتی درباره شما منتشر می کند و هر کار خصوصی یا عمومی را که در زندگی انجام می دهید توضیح می دهد. شرط می بندم دیوانه ات می کند.

بدون حریم خصوصی، هر چیزی که گفتم اتفاق می افتد یا در حال رخ دادن است. همه تبلیغات‌ها، همه محصولاتی که به شما پیشنهاد داده می‌شود، همه چیزهایی که آنلاین می‌خوانید، همه نقض اطلاعات و غیره اساساً مواردی هستند که به اشکال مختلف توضیح دادم، در نهایت روزی برای شما اتفاق می‌افتد، اگر ما با نظارت و و نقض حریم خصوصی مبارزه نکنیم.

متأسفانه برای جلوگیری از تهدیدات رایج مانند سرقت هویت، دستکاری از طریق تبلیغات، تبعیض بر اساس اطلاعات شخصی یا هویت خود، آزار و اذیت و بسیاری از آسیب های واقعی دیگر که از تجاوز به حریم خصوصی ناشی می شود، به حریم خصوصی نیاز دارید.

تجزیه و تحلیل انجام شده توسط محققان MIT نشان داد که «تنها چهار اطلاعات نسبتاً مبهم – تاریخ و مکان چهار خرید – برای شناسایی 90 درصد از افراد در مجموعه داده‌ای که سه ماه از تراکنش‌های کارت اعتباری توسط 1.1 میلیون کاربر را ثبت می‌کند، کافی است. .»

حالا یک مثال بزنم. برخی از کاربران اصلی خدمات غیرفعال گوگل، جستجو، درایو، تقویم، وظایف، ارتباطات، نقشه‌ها و مکان‌ها، ایمیل و رسانه (فیلم، عکس، موسیقی و غیره) را تصور کنید. تمام این سرویس‌های غیرخدماتی که پرسی (یک شخص) استفاده می‌کند کاملاً تحت کنترل گوگل است و گوگل دائماً در حال جمع‌آوری اطلاعات شخصی درباره پرسی است.

اکنون، با تجزیه و تحلیل داده‌هایی که گوگل درباره شما جمع‌آوری می‌کند، می‌تواند به راحتی پرسی را دستکاری کند. کنترل ایمیل‌هایی که پرسی دریافت می‌کند، اخباری که پرسی می‌خواند، بررسی رفتار پرسی، نشان دادن تبلیغات برای آن رفتار، دستکاری اقدامات پرسی با تاثیر گام به گام بر ذهن پرسی، و در نهایت ساختن برده‌ای جدید برای تسلط در دنیای دیجیتال و زندگی واقعی؛ به نوعی برده‌داری مدرن.

با تمام داده‌های موقعیت مکانی، گوگل حتی می‌تواند بگوید چه زمانی و کجا به توالت رفتید، با این دقت. می تواند بررسی کند که شما چه کاری انجام داده اید و با تمام داده هایی که به آن داده اید، حتی می تواند حدس بزند که شما در مورد چه چیزی فکر کرده اید.

حالا تصور کنید که گوگل آن اطلاعات و تجزیه و تحلیل را به هر شخص یا قدرت یا مشتری مورد نظرش می‌فروشد یا می‌دهد و آن‌ها اطلاعات شما را به شخص یا مشتری یا قدرت دیگری می‌فروشند یا می‌دهند و این بارها و بارها اتفاق می‌افتد. آیا واقعا با این راحت هستید؟

بسیار مهم است که به یاد داشته باشید، که حریم خصوصی فقط محافظت از یک تکه و به ظاهر بی‌اهمیت از داده‌های شخصی نیست، این همان چیزی است که مردم وقتی می‌گویند «من چیزی برای پنهان کردن ندارم» به آن فکر می‌کنند. برای مثال، برخی ممکن است بگویند برایشان مهم نیست که یک شرکت آدرس ایمیل آنها را بداند، در حالی که دیگران ممکن است بگویند برایشان مهم نیست که شرکتی بداند از کجا خرید آنلاین می کند.

با این حال، این قطعات کوچک از داده های شخصی به طور فزاینده ای توسط پلتفرم های تبلیغاتی مانند گوگل و فیس بوک جمع می شوند تا تصویر کامل تری از اینکه شما چه کسی هستید، چه کار می کنید، کجا می روید و با چه کسانی وقت می گذرانید، تشکیل می دهند. و این پروفایل های داده بزرگ می توانند به راحتی به آسیب های قابل توجهی به حریم خصوصی منجر شوند. اگر این احساس ترسناک است، چون که واقعا هست.

شما ممکن است در جایی غیر از خاورمیانه زندگی کنید، در جایی خوب مانند سوئیس یا سوئد یا فنلاند و غیره و من مطمئن هستم که همیشه شکرگزار هستید که هر روز برای زندگی خود نمی جنگید یا از صحبت کردن در مورد زندگی خود نمی ترسید.یا از حرف زدن درباره نخست وزیر که در حال انجام کارهای مزخرف علیه منافع عمومی است، ترسی ندارید و من برای شما خوشحالم.

با این حال، آیا فکر می کنید اگر از وجود شما محافظت نشود، سیاستمداران یا حتی مردم عادی در خیابان به شما و حقوق شما احترام می گذارند یا حتی با شما درست رفتار می کنند؟ اگر قدم به قدم حقوق خود را از دست بدهید چه اتفاقی می افتد؟ آیا قصد دارید زندگی و هر حقی را که دارید از دست بدهید؟

استدلال “من چیزی برای پنهان کردن ندارم” به معنای واگذاری حق شما برای حفظ حریم خصوصی است که اساساً به معنای نظارت است و به عنوان گام بعدی، نقض هر حق دیگری که دارید بدون توجه به اینکه چگونه و چه زمانی و توسط چه کسی انجام می شود، قابل قبول است.

حریم خصوصی یک حق است

تاریخ ثابت می کند که اگر از حق خود در چیزی محافظت نکنید، حق شما سلب خواهد شد. هر حق اساسی که هر کس داشته باشد با مبارزه و جنگ و خون به دست می آید. اگر در دوره‌ای از تاریخ عده‌ای برای آن حق اولیه مبارزه نمی‌کردند، هیچ حق اساسی وجود نداشت. اگر عده‌ای برای آزادی مبارزه نمی‌کردند یا برای حفظ آن نمی‌جنگیدند، آزادی وجود نداشت و این در مورد سایر حقوق نیز صدق می‌کند.

حتی در جوامع و کشورهای (نسبتا) آزاد، مردم به طور مداوم برای حفظ حقوق خود مبارزه می کنند، حتی اگر در معرض تهدید قرار نگیرند. شما باید حق آزادی بیان داشته باشید حتی اگر فکر می کنید در حال حاضر حرف مهمی برای گفتن ندارید. شما باید برای بیرون رفتن بجنگید حتی اگر در حال حاضر هوا برای شما مناسب نیست.

حتی اگر نمی خواهید در حال حاضر از یک حق استفاده کنید، باید از آن محافظت کنید زیرا ممکن است روزی آن را بخواهید یا ممکن است نیاز به استفاده از آن داشته باشید. حریم خصوصی یکی از حقوق اساسی است که باید از آن محافظت کنید حتی اگر در حال حاضر هیچ چیز خصوصی ندارید، که به نظر من غیرممکن است (که چیزی برای پنهان کردن نداشته باشید).

حریم خصوصی (و داده های شما) ارزشمند است

حریم خصوصی و داده های شما بسیار ارزشمند است که شرکت ها و دولت ها مایل به پرداخت پول بابت آن هستند. یک جستجوی ساده در وب درباره شرکت‌ها و دولت‌ها که اطلاعات مردم را می‌پرسند و می‌خرند، مقالات و گزارش‌های خبری کافی را در اختیار شما قرار می‌دهد که در طول عمر نمی‌گنجد همه‌شان را بخوانید.

اگر شرکت‌ها و دولت‌ها به داده‌ها و اطلاعات شخصی شما اهمیت می‌دهند، چرا شما این کار را نمی‌کنید؟ شرکت ها و دولت ها پروفایل های بسیار دقیق و شگفت آور دقیقی از ما می سازند که بسیار ترسناک است. با این داده ها، آنها می توانند هر جنبه از زندگی ما را با دستکاری ذهن و رفتار ما کنترل کنند و به راحتی این کار را انجام می دهند زیرا همه چیز را در مورد ما می دانند یا می توانند بدانند.

چه کار باید بکنیم؟

من می دانم که تغییر سخت است، اما ما مجبوریم. استفاده از خدماتی که نظارت را بر شما تحمیل می کند متوقف کنید و شروع به استفاده از خدماتی کنید که به حق حریم خصوصی شما احترام می گذارد. برخی از آنها ممکن است رایگان نباشند اما مطمئناً بهتر است با پول پرداخت کنید تا با داده ها و زندگی خود.

هر نرم افزاری را که حریم خصوصی شما را نقض می کند با نرم افزار آزاد که به آزادی و حقوق شما احترام می گذارد، جایگزین کنید.

در زندگی آفلاین خود، شروع به استفاده از چیزهایی کنید که نیازی به شناسایی خودتان ندارند و از چیزهایی که نظارت را بر شما تحمیل می کنند یا داده های شما را جمع آوری می کنند، اجتناب کنید. کارهای زیادی برای انجام یا اجتناب از آنها وجود دارد که می‌توان آنها را گام به گام انجام داد و من نمی‌خواهم آنها را یکی یکی ذکر کنم، اما می‌توانم مثالی بزنم: سعی کنید به جای استفاده از کارت‌های بانکی، با پول نقد پرداخت کنید.

شما نمی توانید کاملاً ناشناس یا خصوصی آنلاین یا آفلاین باشید، اما این یک استدلال عالی نیست، درسته؟ مثل این است که بگوییم در جنگ نمی‌توانی جلوی شلیک گلوله را بگیری، پس چرا در مقابل آن مقاومت کنی و فقط یک بار تیر بخوری با هفتاد گلوله.

البته فرق داره و بسیار مهمتر از این تفاوت، شروعی برای محافظت کامل از خود در برابر نظارت است. ممکن است فردا یا پس فردا اتفاق نیفتد، اما اگر درست عمل کنیم، می‌توانیم در طول زندگی‌مان انتظارش را داشته باشیم.

حریم خصوصی مهم و برای انسان ضروری است. آن را جدی بگیرید و هرگز به این فکر نکنید که “من چیزی برای پنهان کردن ندارم”، شما همه چیز برای پنهان کردن دارید از کسانی که از اعتماد شما سوء استفاده می کنند یا با شما بدرفتاری می کنند و آنها همه جا هستند.

این مقاله برگرفته شده از Linuxreviews

فدیورس چطور کار میکند؟

فدیورس چطور کار میکند؟

با تصاحب توییتر توسط ایلان ماسک، مردم در حال مهاجرت به شبکه‌‌های اجتماعی جایگزین هستند. یکی از آن‌ها ماستادون (Mastodon) هست که یک شبکه اجتماعی غیر متمرکز بر یک پروتکل به نام ActivityPub ساخته شده است. این پروتکلی هست که Fediverse بر آن ساخته شده.

ولی ما نمیخوایم درباره مسائل فنی پشت Fediverse صحبت کنیم. چیزی که ما میخوایم به سادگی اینه که چطور Fediverse یا ماستادون کار می‌کند. ماستادون فقط یک بخش از Fediverse هست. کلمه Fediverse از میکس دو کلمه Federation و Universe ساخته شده.

شبکه Fediverse شبکه‌های اجتماعی مختلف را به هم متصل میکند و ارتباط بین کاربران را با هم ممکن می‌کند. برای مثال، کاربران می‌توانند همدیگر را دنبال کنند و یا برای هم پست بفرستند و یا به سادگی هر چیزی که می‌خواهند با هم به اشتراک بذارند بدون اینکه مجبور باشند روی حتی یک شبکه اجتماعی متمرکز و یا وب سایت ثبت نام کنند.

شبکه‌های Mastodon, Pleroma, GNU Social و Pixelfed فقط چندتا از این شبکه‌های اجتماعی مختلف هستند که همه به هم توسط پروتکلی که بر آن ساخته شدند، متصلند. هر کدام از این شبکه‌های اجتماعی Instance ها یا سرورهای زیادی دارند. در نتیجه آنها فدرال شده با هم و هر کدام از federation ها هم باز فدرال شده هستند.

اگر برای شما خیلی پیچیده هست، زمین را تصور کنید. ما کشور های زیادی داریم، همه با هم در ارتباط هستند و در هر کشور، شهرهای زیادی هستند که آنها هم به هم متصل هستند. حالا هر شهری میتونه با شهر دیگه در ارتباط باشه، چه داخل و چه خارج از کشور.

Imke Senst, Mike Kuketz, RockyIII (licensed CC BY-SA 4.0)

برای مثال آمریکا، انگلیس و ایران را در نظر بگیرید. از قاره‌های مختلف با شهرهای زیاد. حالا ما آمریکا را به عنوان Mastodon، انگلیس را Pleroma و ایران را GNU Social در نظر میگیریم.

این کشورها (شبکه‌های اجتماعی) باهم رابطه دارند. آمریکا و انگلیس روابط خودشان را دارند، آمریکا و ایران روابط خودشان و همینطور انگلیس و ایران هم روابط خودشان.

حالا هر کدام از این کشورها (شبکه‌های اجتماعی) شهرهای خودشان (Instances/سرورها) را دارند. آمریکا برای مثال نیویورک و واشینگتن را دارد. هر کدام از این شهرها (اینستنس‌ها)، به هم متصل هستند و همچنین به کشورهای دیگر (شبکه‌های اجتماعی)، مثل لندن در انگلیس یا تهران در ایران. یک شخص (کاربر) در تهران (یک اینستنس) از ایران (GNU Social) می‌تواندبا شخص دیگر (کاربر دیگر) از نیویورک (یک ایسنتنس) در آمریکا (Mastodon) ارتباط برقرار کند.

این روش کار Fediverse هست. Fediverse یک شبکه اجتماعی یا یک سایت نیست، بلکه یک فدرال از سایت‌ها و شبکه‌های متصل به هم هست.

مثال دیگر ایمیل هست. شما (با Gmail) میتوانید به دوستتان (که از Yahoo استفاده می‌کند) پیام بفرستید. هردو میتوانید از دوست دیگرتان (که از AOL استفاده می‌کند) پیام دریافت کنید. هیچکدام از شما مجبور نیستید برای فرستادن و دریافت ایمیل از یک سایت استفاده کنید.

شما حتما متوجه خواهید شد، چطور نام کاربری و یا IDها در fediverse کار می‌کنند. ارتباط با همدیگر بسیار سادست. همانطور که هر کسی میتواند یک اینستنس اجرا کند، مردم هم می‌توانند در هر اینستنسی که دوست دارند ثبت نام کنند.

مثلا من در khiar.net ثبت نام کردم با نام کاربری “parsaranjbar” و شما در mstdn.io با نام کاربری “arh” ثبت نام کردید. همانطور که شما @arh در توییتر هستید، شما @arh در mstdn.io هستید و همچنین Fediverse ID شما هست @arh@mstdn.io .
از آنجایی که ماستادون فدرال هست شما میتوانید با جستجو کردن @parsaranjbar@khiar.net من را دنبال کنید.

و از آنجایی که ماستادون بخشی از Fediverse هست، کسی با نام کاربری sara در یکی از اینستنس های Pleroma، مثلا pleroma.social، میتواند توسط کاربر ماستادون دنبال شود اگر کاربر جستجو کند @sara@pleroma.social .
مطمئناً شما متوجه هستید که pleroma.social فقط یک مثال بود. اگر کسی با نام کاربری Maggie در یک اینستنس Pleroma با نام animelovers.xyz ثبت نام کند، من میتوانم با وارد کردن @Maggie@animelovers.xyz او را دنبال کنم.

مهم نیست اگه کسی از Pleroma یا ماستادون استفاده کند، هردو باهم فدرال شده هستند، همانطور که همه شبکه‌های اجتماعی در Fediverse هستند، پس کاربرها می‌توانند باهم ارتباط داشته باشند بدون اینکه مجبور باشند در سایت‌های مختلف ثبت نام کنند و یا کار فنی خاصی انجام دهند.

به همین سادگی.

برخلاف توییتر که توسط یک شخص (درحال حاضر ایلان ماسک) کنترل می‌شود، Fediverse توسط کسانی که اینستنس‌ها را اجرا می‌کنند moderate می‌شود. این کار از دیکتاتوری جلوگیری می‌کند چون هر کسی می‌تواند یک اینستنس اجرا کند. اگر از یک شخص در یک اینستنس خوشتان نمیاد، می‌توانید شخص را بلاک و یا کل آن اینستنس را برای خودتان بلاک کنید.

من شکایاتی شنیدم درباره اینکه ممکنه Fediverse یا ماستادون امکاناتی که در توییتر بود را نداشته باشد. یا که نحوه کار fediverse نگرانشان می‌کند. بیاید به آنها پاسخ بدهیم.

تاییدیه

پروسه تاییدیه با توییتر یا شبکه‌های اجتماعی متمرکز دیگر تفاوت دارد. هر کسی می‌تواند در Fediverse تاییدیه بگیرد. برخلاف توییتر، که یک شخص تصمیم می‌گیرد چه کسی میتواند تاییدیه بگیرد، شما خود میتوانید خودتان را تایید کنید.

و در Fediverse شما نیازی ندارید که هویت خود را معرفی کنید تا تأیید شود که شما شخص پشت پروژه خاص یا یک ارگان هستید. تاییدیه میتواند به روش‌های مختلفی انجام شود.

یک روش، قرار دادن یک کد در وبسایتتان و لینک کردن صفحه وب به پروفایل ماستادون شما است. این قابلیت در پروفایل وجود دارد. کدی که در وبسایت شما وجود دارد سپس میتواند توسط اینستنس خوانده شود و اگر کدی را بخواند که به پروفایل شما اشاره میکند، یک تیک سبز کنار لینکی که در پروفایلتان گذاشتید نشان داده می‌شود.

این تیک نشان میدهد که شما واقعا پشت وبسایت هستید. کد آماده است، نیازی ندارید که خودتان بنویسید. فقط در سایتتان کپی و الحاق می‌کنید. به همین آسانی.

نمونه یک پروفایل تایید شده در Mastodon

روش دیگر برای تایید خود، که احتمالا براتون سخت خواهد بود، استفاده از PGP/GPG encryption key است و امضا یک پیام بر ادعا اینکه این پروفایل مال شماست. این کار ممکن است برای شما پیچیده باشد، پس ما واردش نمی‌شیم.

یک راه دیگر این است که به سادگی لینک پروفایل Fedivers را به شبکه‌های اجتماعی دیگه که در آن عضو هستید و یا پروفایل Fediverseتان را به وب سایت ارگانتان، بدون نیاز به گذاشتن اون کدی که درباره‌اش صحبت کردیم. تیک سبز را نشان نمی‌دهد ولی کار را انجام می‌دهد. به هر حال، هدف از تاییدیه، اطمینان دادن به دیگران است که واقعا خودتان هستید و نه خودنمایی، درسته؟

به هرحال Fediverse پر از امکاناته و شما محدود به چند روش نیستید. شما می‌توانید خلاق باشید، یا فقط مدتی را در Fediverse بگدرانید و مردم را ببینید که چطور انجامش میدهند.

حریم خصوصی

بیشتر شبکه‌های اجتماعی Fediverse با تفکر حفظ حریم خصوصی ساخته شدند. البته این به آن معنی نیست که همیشه امن باشند، به این معنی است که به صورت پیش فرض از شما جاسوسی نمی‌کنند. شما تبلیغات، تعقیب کننده‌ها(Trackers) و یا الگوریتم‌ها را نمی‌بینید. شبکه‌های Fedi بر این اساس ساخته شده‌اند تا تجربه واقعی از شبکه‌های اجتماعی را به کاربران بدهند، جای اینکه با شما مثل کالا برخورد کنند.

حتی اگر به هیچ اینستنسی اعتماد ندارید، می‌توانید برای خودتان یکی ایجاد کنید. و اگر شما نمی‌توانید یا نمی‌دانید چطور، سرویس‌هایی هستند که در عوض پول به شما فضا می‌دهند و کارهای فنی را هم برایتان انجام می‌دهند. البته شما مجبورید که به آن‌ها اعتماد کنید.

به هر حال، داده شما در اینستنسی که در آن ثبت نام کردید ذخیره می‌شود.اگر در اینستنس social.linux.pizza (یک اینستنس ماستادون) ثبت نام کنید، فقط کسانی که آن اینستنس را مدیریت می‌کنند به داده‌هایتان دسترسی دارند (مثل ایمیلی که با آن ثبت نام کردید، آدرس IP، آخرین بازدید و…). اگر در سوئد باشد، آن‌ها تحت قانون سوئد خواهند بود. هیچ اینستنس دیگری به داده‌های شما دسترسی نخواهد داشت مگه اینکه خودتان دهید یا اینستنستان به اشتراک بذارد. این برای حریم خصوصی شما بهتر است چون بر خلاف توییتر که یک شرکت بزرگ است و با دولت‌ها (اللخصوص آمریکا) کار می‌کند، خیلی از ادمین‌های Fedi فقط برنامه‌نویس‌هایی هستند که خارج از آمریکا زندگی میکنند و از کار دولت‌ها در حریم خصوصی مردم بیزارند، در نتیجه شاید از کار کردن با آن‌ها سر باز بزنند.

من شکایاتی در مورد ایجاد اینستنس توسط اتحادیه اروپا در Fediverse دیدم و اینکه آن‌ها با حریم خصوصی چطور برخورد می‌کنند.

کسانی که پشت آن اینستنس هستند نمی‌توانند به داده‌های شما دسترسی داشته باشند مگه اینکه خودتان به آن‌ها دهید. Fediverse هیچ دیتاسنتر مرکزی ندارد پس مگه اینکه در اینستنس اتحادیه اروپا ثبت نام کنید، شما از جمع‌آوری داده‌ها در امانید. و شما مجبور نیستید در اینستنس آن‌ها ثبت نام کنید، این زیباییه Fediverse هست. فدرال هست، شما می‌توانید از اینستنس خودتان با آن‌ها در ارتباط باشید.

در ماستادون امکانات زیادی برای حفظ حریم خصوصی هست. هر پیام گزینه‌های حریم خصوصی زیادی دارد و کاربر میتونه بین خصوصی بودن و عمومی بودن پیام انتخاب کند. پیام عمومی در خوراک جهانی (Global feed) که به Timeline هم شناخته شده است، نمایش داده می‌شود و پیام خصوصی فقط در Timeline کاربرانی که شما را دنبال می‌کنند، نمایش داده می‌شود. همچنین پیام‌ها می‌توانند به صورت لیست نشده از Timeline و یا بصورت دایرکت بین کاربران علامت گذاری شوند. کاربران می‌توانند حسابشان را بصورت کامل خصوصی کنند.

ثبات

خیلی از اینستنس‌های Fedi، مدت زیادیست که هستند. برای مثال mstdn.social از سال ۲۰۱۹ تا الان دارد خدمات می‌دهد. اگه یک ایسنستنس پایین آمد، تنها کاری که باید بکنید استفاده از گزینه مهاجرته که در ماستادون هست و تمام دنبال کننده‌هایتان اتوماتیک منتقل می‌شود. همچنین می‌توانید داده‌هایتان(مثل لیست دنبال کننده‌ها، نشان شده‌ها، favorites) را Export کنید و در حساب جدید Import کنید.

برای پست‌ها، در حال حاضر امکان مهاجرت دادنشان هست ولی ماستادون و Fedi ساخته شدن تا حال حاضر را تجربه کنید، نه اینکه پست‌ها و یادداشت‌ها را در آن ذخیره کنید. ما برای این کارها بلاگ داریم. و هیچ‌کس حساب قبلی را ارزشمندتر از حساب جدید نمی‌داند، عموما مردم به محتوا و شخصیت کنونی شما ارزش میذارن.

علاوه بر این، توییتر و بقیه بهتر از Fediverse نیستند. خیلی از شبکه‌های اجتماعی بزرگ مثل Google Plus پایین اومدند. و خیلی‌ها هم از توییتر دارند مهاجرت می‌کنند، پس من بر این باورم که ماستادون و شبکه‌های Fedi ثبات کمتری نسبت به شبکه‌های اجتماعی دیگر ندارند.

مردم و دوستان

اگه نگران این هستید که مردم زیادی در Fedi نباشند، خوبه بدانید ماستادون به تنهایی حدود یک میلیون و صد هزار در ماه کاربر فعال در شبکه‌اش دارد. هزاران اینستنس عمومی و خصوصی وجود دارد که در حال رشد هستند. شما قطعاً انجمن‌های مورد علاقه‌تان و دوستان جدید پیدا می‌کنید، هم جدید و هم پناهنده‌های توییتر.

اگه تعداد دنبال کنندگان برایتان مهم است، باید بگم شما شاید نتوانید یک میلیون دنبال کننده پیدا کنید ولی من کسانی را دیدم که ۶۰ هزار دنبال کننده داشتند.

اکثر مردم در Fedi خوش برخورد هستند. حتی اگه آدم‌های احمق دیدید، می‌توانید به آسانی بلاک، گزارش و یا حتی کل اینستنس را برای خودتان بی‌صدا کنید. انجام دادنش بسیار آسان است و ابزار فراهم شده برایتان خیلی بهتر از ابزار توییتر است. ابزار حریم خصوصی و اعتدال (Moderation) در Fedi بر اساس تجربیات خاص کسب شده در شبکه‌های اجتماعی فدرال هست پس شما احساس کمبود امکانات برای کنترل فضایتان نمی‌کنید.

اینستنس‌ها به هم متصل هستند اما ممکن است بعضی اینستنس‌ها تصمیم بگیرند برای حفظ کاربرانشان، اینستنس‌های دیگه را بلاک کنند. اگه با این موضوع مشکلی دارید، می‌توانید به آسانی به جای دیگه مهاجرت کنید. اینستنس‌های زیادی وجود دارند که شما می‌توانید بر اساس تجربه و میزان آزادی، یا حتی محتوایی که می‌خواهید انتخاب کنید.

یک روش برای پیدا کردن یک انجمن، جستجو کردن هشتگ و دنبال کردن کسانی است که درباره آن‌ها صحبت می‌کنند. نصیحت من به شما، تا می‌توانید مردم را دنبال کنید و برای خودتان شبکه‌ای از آدم‌ها بسازید، شما بعداً هم می‌توانید Unfollow کنید.

اعتدال (Moderation)

ماستادون از moderation برپایه انجمن استفاده ‌می‌کند، که در هر اینستنس می‌تواند محتوای ناخوشایند را محدود یا فیلتر کند. برای مثال، mastodon.social و چند سرور دیگر محتوایی که در آلمان و فرانسه غیر قانونی است را ممنوع کردن، از جمله سمبولیسم‌های نازی، نفی هولوکاست، و تحریک خشونت علیه قومیت‌ها. سرورها می‌توانند تصمیم به محدود سازی یا فیلتر پیام‌هایی با محتوای تحقیر کننده بگیرند.

انجمن‌های کوچک با رابطه نزدیک، خیلی مفیدتر با محتوای آزار‌دهنده برخورد می‌کنند تا یک کمپانی بزرگ با یک تیم امنیت کوچک.

ولی این به این معنی نیست که از محتوای نازی خبری نباشه. بعضی اینستنس‌ها (که اکثرا توسط بقیه بلاک شدند) به محتوای سمت راست و نژاد پرستانه معروف هستند. اگه با آن‌ها احساس راحتی نمی‌کنید و اینستنستان آن‌ها را بلاک نکرده، خودتان بکنید. آسان است.

امکانات و استفاده

ماستادون و بقیه شبکه‌های Fedi برنامه‌های زیادی دارند. شما به یک وبسایت یا برنامه رسمی (Official App) محدود نیستید. مطمئناً می‌توانید در App store ها پیدایشان کنید.

در مورد امکانات، بعضی برنامه‌ها شاید امکانات بیشتر و تجربه بهتری از بقیه بدهند. مخصوصاً برنامه‌های قدیمی که تجربه و کاربر بیشتری دارند، می‌توانند تجربه کاربری بهتری بدهند.

ماستادون امکانات زیادی دارد مثل: جستجو کردن هشتگ‌ها و مردم، ایجاد رأی گیری، پست خصوصی، محدود کردن پست فقط برای دنبال کننده‌ها، Timeline محلی (Local) و فدرال شده، ایموجی‌های سفارشی در اینستنس‌ها و تغییر رابط کاربری برای خودتان. نیازی نیست که به تم تاریک و چیزهای ابتدایی مثل امکان هشدار محتوا (Content Warning) اشاره کنم که شاید در شبکه‌های اجتماعی دیگر پیدا نشود.

علاوه بر آن، ماستادون برای افراد کم توان هم بهینه شده. یک انجمن بزرگ از افراد کم توان وجود داردو آن‌ها در آن احساس پذیرش و امنیت می‌کنند و می‌توانند از شبکه‌های اجتماعی Fediverse به راحتی و با مشکلات کمتر از بقیه شبکه‌های اجتماعی استفاده کنند.

یک چیز دیگر که ارزش گفتن دارد، پست در ماستادون محدود به ۵۰۰ کاراکتر است. بعضی اینستنس‌ها و شبکه‌های اجتماعی دیگر در Fedi کاراکترهای بیشتری را پشتیبانی می‌کنند.

همین بود

می‌دانم شما احتمالاً نمی‌خواهید این مقاله طولانی را بخوانید که به شما بگوید کار با Fediverse چقدر آسان است، ولی باور کنید، بیشترش خود توضیح است. واقعاً استفاده ازش آسان است. نیازی نیست که یک روز وقت بذارید تا درباره امکانات و نحوه استفاده از آن را بفهمید.

آخرین نصیحت من به شما، به خاطر Fediverse هم که شده در اینستنس‌های کوچکتر ثبت نام کنید، و مهمتر از آن، قوانین و راهنمای انجمن اینستنستان را جهت تجربه بهتر بخوانید.

اینستنس‌های Mastodon ایرانی: خیار، پرسادون (invite only)

موفق باشید و لذت ببرید و اگر ثبت نام کردید، من را هم در فدیورس دنبال کنید.

 

منبع hyti.org

شش دلیل برای اینکه استفاده از واتس اپ را متوقف کنید

در حالی که افراد بی‌شماری در سرتاسر جهان برای استفاده از برنامه محبوب موسوم به واتس اپ ثبت‌نام کرده‌اند، اخیراً اطلاعات جدیدی در مورد این محصول کشف شده است که ممکن است شما را وادار به تجدید نظر در این مورد کند.

این سرویس پیام‌رسان اخیراً مورد انتقاد قرار گرفته است زیرا گزارش‌هایی مبنی بر دسترسی اشخاص ثالث (Third parties) به پیام‌های ارسال شده از طریق این پلتفرم و سرورهای شرکت منتشر شده است. در حالی که سازمان به شدت این ادعاها را رد کرد، هنوز هم تعدادی از دلایل وجود دارد که چرا همه باید استفاده از این برنامه را متوقف کنند.

مشکل از این واقعیت ناشی می شود که این برنامه به کاربران خود فشار می آورد تا از چت های خود در سرویس های ابری شخص ثالث نسخه پشتیبان تهیه کنند. در حالی که آنها سعی می کنند این را به عنوان یک رویکرد ایمن پنهان کنند، در عوض اطلاعات خصوصی شما را در معرض خطر قرار می دهد. در اینجا شش دلیل اصلی وجود دارد که چرا هر کاربر واتس اپ باید فوراً استفاده از این برنامه را متوقف کند.

۱. این برنامه کاربران خود را گمراه می‌کند

بیشتر چت‌های واتس اپ بدون رمزگذاری ذخیره می‌شوند، به این معنی که آنها لزوما خصوصی نیستند. با این حال، کاربر معمولی بر اساس روشی که برنامه عموم را گمراه می کند، متوجه این موضوع نمی شود. متأسفانه، به دلیل اینکه برنامه بیان می کند که از رمزگذاری سرتاسری استفاده می کند، به بسیاری از کاربران احساس امنیت کاذب می دهد.

۲. واتس اپ داده های خصوصی کاربران را در معرض خطر قرار می‌دهد

واتس اپ در واقع کاربران را تشویق می کند تا داده های خصوصی خود را در معرض منابع شخص ثالث قرار دهند. رابط کاربری این برنامه به طور خاص برای پشتیبان گیری از پیام ها طراحی شده است. این برنامه به‌جای دریافت یک پاپ‌آپ که از شما می‌پرسد آیا می‌خواهید از اطلاعات خود نسخه پشتیبان تهیه کنید یا نه، به سادگی از شما می‌پرسد که هر چند مدت می‌خواهید نسخه پشتیبان تهیه کنید. در حالی که می‌توانید به تنظیمات بروید و انتخاب کنید که «هرگز» نمی‌خواهید از این داده‌ها نسخه پشتیبان تهیه شود، اکثر کاربران یکی از چند گزینه اول موجود را انتخاب می‌کنند و در نهایت از تمام اطلاعات خصوصی خود نسخه پشتیبان تهیه می‌کنند.

۳. بیشتر پیام‌های واتس‌اپ بدون رمز ذخیره می‌شوند

اکثر پیام‌های واتس‌اپ در واقع بدون رمزنگاری ذخیره می‌شوند. حتی برای کاربران آیفون که چت های خود را در فضای ابری ذخیره می کنند، خطر بیشتری وجود دارد. این بدان معناست که پیام ها در برابر درخواست های دولتی آسیب پذیر هستند. این به این دلیل است که ادغام iCloud فشرده‌تری برای کاربران اپل وجود دارد و این برنامه حتی درخواست‌های رابط کاربری بیشتری برای آیفون دارد.

4. حتی پیام های حذف شده شما در معرض خطر هستند

حتی کسانی که «پاک کردن همه چت‌ها» را انتخاب می‌کنند و تصمیم به حذف پیام‌های خود می‌کنند، لزوماً از در معرض خطر قرار گرفتن پیام‌هایشان در امان نیستند. این پیام های حذف شده همچنان قابل خواندن هستند. گزارش‌های حاوی پیام‌های حذف شده همچنان به iCloud ارسال می‌شوند و برای همیشه در آنجا ذخیره می‌شوند. بله، حتی پیام‌هایی که حذف می‌کنید همچنان در برابر درخواست‌های داده آسیب‌پذیر هستند.

5. Metadata شما می تواند به فیس بوک منتقل شود

علاوه بر اینکه پیام های شما با واتس اپ در معرض خطر هستند، هنگام استفاده از این برنامه، ابرداده (Metadata) شما نیز در معرض خطر است. زمانی که این دو شرکت یک معامله 19 میلیارد دلاری انجام دادند، متأسفانه اطلاعات بسیاری از کاربران در معرض خطر قرار گرفت. ابرداده اطلاعاتی است مانند اینکه با چه کسی چت می کنید، چند وقت یکبار چت می کنید و در کدام چت های گروهی عضو هستید. این اطلاعات توسط واتس اپ ذخیره می شود و همچنین به راحتی به فیس بوک منتقل می شود. حتی بدتر از آن برای کاربران این است که شما نمی توانید از این نیز انصراف دهید.

6. چت های گروهی شما تقریباً تضمین شده است که در فضای ابری ذخیره می‌شوند

در حالی که اکثر کاربران حتی متوجه نمی شوند، وقتی شروع به استفاده از چت های گروهی می کنند، تقریباً اطمینان هست که چت آنها در فضای ابری ذخیره می شود و راهی برای انصراف وجود ندارد.

در چت‌های گروهی سه نفره از طریق سرویس پیام‌رسانی، به احتمال 87.5 درصد چت در فضای ابری ذخیره می‌شود و با افزایش اعضایی که به چت گروهی می‌پیوندند، این تعداد افزایش می‌یابد. برای گروه های پنج نفره نزدیک به 97 درصد و برای گروه های هفت نفره 99 درصد است. به زبان ساده، عملاً چیزی به نام چت گروهی رمزگذاری شده در واتس اپ وجود ندارد.

نتیجه

واتس‌اپ با چنین رویکرد نادرستی برای ایمن نگه داشتن اطلاعات مشتریان خود، اطلاعات خصوصی بسیاری از افراد را به طور ناخواسته در معرض خطر قرار داده است. در حالی که این شرکت سعی کرده است مردم را متقاعد کند که اشخاص ثالث نمی توانند به این پیام ها دسترسی داشته باشند، آنها در واقع می توانند پیام های واتس اپ شما را بخوانند. هر زمان که برای استفاده از این برنامه وارد سیستم می شوید، این اطلاعات مهم ایمنی را در ذهن داشته باشید.

خبر خوب این است که برنامه های دیگری نیز وجود دارند که می توانند به راحتی جایگزین واتس اپ شوند و همچنان خدمات پیام رسانی ایمن مورد نیاز کاربران را ارائه دهند. اپلیکیشن‌هایی مانند تلگرام بیش از 100 میلیون کاربر دارند، بدون در نظر گرفتن ویژگی‌های امنیتی تقویت‌شده‌ای که مشتریان برای حفظ امنیت اطلاعات خود به آن نیاز دارند.

ترجمه شده از hoffpost