VPN ایمن نیست! در کاربردش دقت کنید!
یکی از فناوریهایی که در کشور ما یک تعریف جدا از کاربرد اصلی طراحی شده آن دارد فناوری VPN است. قصد نداریم بگوییم VPN استفاده نکنید اما قصد آن است که جنبه های ایمنی آن را بیشتر بحث کنیم تا از آن صحیح و بی دردسر استفاده کنید. کاربرد VPN از نظر فنی بر خلاف آنچه در اذهان کاربران ایرانی برای دور زدن فیلتر نقش بسته است کاربردی تجاری دارد.
VPN در واقع به کاربران یک شبکه امکان میدهد که از طریق اینترنت به طور ایمن به شبکه خود متصل شده و کارهای خود را بدون نگرانی انجام دهند. در واقع VPN از فناوریهایی است که بسیاری از کاربران عادی خارج از ایران نام آن را هم نمی دانند.
مثلا” فرض کنید یک مدیر شبکه میخواهد تنظیماتی در شبکه اعمال کند اما در خانه است و در محل کار خود نیست، در این شرایط تنها راه ایمن برای وی آن است که از طریق VPN به شبکه خود متصل شود تا مطمئن شود که ایمن می ماند. در واقع با این کار گویی یک تونل اختصاصی برای وی باز میشود که در آن به محل کار خود برود و کارهای خود را انجام دهد.
اما چرا VPN ها ایمن نیستند؟
الف-همه شبکه های VPN در واقع خودشان تامین کننده ارتباطات ایمن هستند و بنابراین اگر در بین رابطه شما با یک سایت که ارتباط ایمن طلب می کند قرار بگیرند به طور بالقوه توان خواندن همه محتویات رمز شده را دارند.
حال این یعنی چه؟
فرض کنید که شما قصد دارید به بانک خود وصل شوید. طبعا” بانک نام کاربری و رمز عبور را از طریق ایمن از شما میگیرد که در وسط راه شما تا بانک کسی نتواند نام کاربری، شماره کارت بانکی و رمز را دربیاورد.
اما وقتی شما با VPN وصل هستید عملا” سرور VPN به عنوان واسطه ایمن به همه این داده های حساس دسترسی دارد. در واقع مدیر آن سرویس VPN بالقوه امکان دسترسی به همه داده های شخصی مانند حساب بانکی، شماره کارت، رمز عبور و … شما را دارد.
صرفنظر از اینکه آن فرد آیا سوء استفاده کند یا خیر مشکل بزرگتری هم در این راه وجود دارد. مشکل بزرگتر این است که اغلب سرویس های مذکور روی هاستهای به اصطلاح Warez قرار دارند که ناقضین کپی رایت محسوب می شوند و علاوه بر آن مرکز تخلفات ویژه هکرها هم هستند.
اهمیت این موضوع وقتی است که شما از این سرویس برای دسترسی به حسابهای حاوی پول استفاده کنید: اکانتهای مالی مانند Paypal که به دلیل تحریم ایران بالاجبار با VPN باید دسترسی داشته باشند، هر گونه اکانت خرید مانند اکانت آیتیونز و آمازون گزینه های هکرها و سارقین خارجی هستند.
برای مثال در کشور چین که به طور مشابه کاربران از VPN برای دور زدن فیلتر بهره می گیرند هزاران اکانت کاربری حاوی داده های مالی مورد سوء استفاده قرار گرفته بود که در یک نوبت ۵۰ هزار اکانت خرید برنامه و موسیقی اپل و آمازون که متعلق به کاربران چینی بود سرقت شده بود.
ب-قابلیت رمزنگاری روی سرویسهای VPN معمولا” غیر فعال است!
اغلب سرویسهای موجود برای کاهش بار روی سرور و امکان سرویس دهی به کاربران بیشتر گزینه رمزنگاری داده ها را غیر فعال کرده اند. شاید برای شما که هدفتان دور زدن فیلتر و یا خرید کالا با دور زدن تحریم است این موضوع اهمیت نداشته باشد و چیزی احساس نکنید، اما علاوه بر اینکه داده های حساس شما در معرض خطر قرار می گیرند یک اتفاق دیگر هم می افتد!
بسیاری از کاربران ایرانی تصور میکنند که وقتی با VPN وصل هستند هر کاری کنند قابل ردیابی نیست. تخلفاتی مانند سرقت و کلاهبرداری اینترنتی ، توهین و انتشار مطالب خلاف عفت عمومی، بی آبرو کردن افراد با انتشار عکسهای خصوص آنها و .. همه از جرایمی هستند که کاربران مرتکب می شوند. اما باید بدانید وقتی VPN شما دارای گزینه عدم رمزنگاری است همه کارهای شما عملا” قابل ردگیری است! پس زیاد احساس راحتی نکنید که هر کاری خواستید کنید!
جالبتر اینکه اغلب این سرویسها اگر گزینه رمزنگاری را تیک بزنید اصلا” ارتباط VPN برقرار نمی شود زیرا برای کاهش بار روی سرور این گزینه غیر فعال شده است.
پس اگر به هر دلیلی از این سرویس بهره میگیرید دقت کنید که برای کارهای بانکی داخلی ایران آن را قطع کنید. برای ایمنی بیشتر در مورد حسابهای خارجی که بدون VPN کاربران ایرانی امکان دسترسی ندارند هم دقت کنید که مداوم رمز خود را تغییر دهید تا روس سرورها فقط آخرین سوابق موجود باشد. ضمنا” اگر برای کارهای بانکی از VPN استفاده می کنید از یک جای مطمئن و درست و حسابی VPN تهیه کنید.
——————————————————————–
اصلاحیه مدیر وب شهر:
مطلب فوق ارسالی یک از کاربران وب شهر بود که منتشر گردیده است.
ضمن تشکر از ایشان باید گفت که دزدیدن رمز کاربران از طریق وی پی ان ناممکن است. در واقع شما وقتی با سایتی قصد ارتباط ایمن دارید آن سایت برای شما یک کلید عمومی یا public key برای رمزنگاری میفرستد که کلید رمزگشایی آن که private key نام دارد فقط در اختیار سایت نهایی است و هیچ واسطی نمی تواند آن را رمزگشایی کند.
یک خطر بسیار بسیار نادر ممکن است رخ دهد و آن اینکه سرور وی پی ان به جای کلید عمومی سایت اصلی کلید جعلی خودش را بفرستد و سپس رمز شما را برباید و سپس با کلید اصلی رمزنگاری کند و به سایت اصلی بفرستد که آن هم به دلیل اینکه آن کلید جعلی که برای شما ارسال میکند به راحتی توسط مرورگر تشخصی داده میشود جعلی بودنش و حمله man in middle به سرعت مشخص میشود. جعل کردن گواهینامه دیجیتال کار ناممکنی است که یکبار هم که توسط هکرهای ایرانی رخ داد به سرعت باطل شد.
بنابراین اینکه وی پی ان شما بتواند رمز شما را بدزد ناممکن است.
اما میتواند:
۱-لیست و محتوای همه سایتهایی که سر میزنید را ببیند.
۲-هر چیزی که به طور رمز نشده ارسال شود و روی http و ftp باشد را ببیند.
۳-کوکی هایی که برای کامپیوتر شما ارسال میشود را برباید. البته در مورد سایت حیاتی مانند بانکها کوکی ها پیچیده تر از آن هستند که کسی با مسموم کردن کوکی ها جعل هویت کند.
۴-اگر فایروال نداشته باشید ممکن است سرور وی پی ان بتواند وارد سیستم شما شود.
در مجموع از نظر ربودن رمز خطری وارد نیست. اما در کل لازم است کاربران در مورد آن دقت کافی کنند.
اما در مورد قسمت دوم ماجرا حرف ایشان کاملا” وارد بوده و برقرار است.
با تشکر
نظرات شما عزیزان: