آشفته بازار فیلترشکن‌ها؛ کدام وی‌پی‌ان‌ها امن و کدام ناامن هستند؟

۲۴ آبان ۱۴۰۱

خواندن در ۱۲ دقیقه

گزارش‌هایی که از ایران به دست «ایران‌وایر» رسیده، نشان می‌دهد که اگرچه قطعی و خاموشی مطلق اینترنت کم و بیش در روزهای اخیر به‌ندرت اتفاق افتاده است، اما سرعت اینترنت به قدری کم است که استفاده از فیلترشکن‌ها و وی‌پی‌ان‌ها، در برخی استان‌های ایران که اعتراضات بیشتر هستند، هنوز جواب نمی‌دهد

«پس‌کوچه»، گروهی از کارشناسان امنیت دیجیتال و آزادی بیان و اینترنت هستند که ابزارهای دور زدن فیلترینگ، اپلیکیشن‌های ارتباطی امن، حفظ حریم خصوصی و امنیت دیجیتال را به کاربران ارائه می‌دهد

پروتون وی‌پی‌ان، از جمله فیلترشکن‌های امن معرفی شده است

با شروع اعتراضات در ایران، دور جدید از سرکوب فضای مجازی، فیلترینگ پلتفرم‌های محبوب مردم مانند اینستاگرام و واتس‌اپ، کاهش سرعت اینترنت و قطع آن آغاز شده است.

در شرایط کنونی، بسیاری از شهروندان فقط به‌دنبال اتصال به اینترنت و انجام امور روزمره خود، ارتباط با عزیزان خود در خارج از ایران و دسترسی به اخبار و اطلاعات هستند. این مهم باعث می‌شود که اغلب به‌دنبال وی‌پی‌ان‌هایی بروند که کار می‌کنند و البته که همیشه این وی‌پی‌ان‌ها امن نیستند.

در این گزارش با مشورت و هم‌فکری با کارشناسان امنیت دیجیتال، لیستی از وی‌پی‌ان‌های امن و ناامن را تهیه کرده‌ایم. «ایران‌وایر» پیش از این نیز در گزارشی به بررسی وضعیت سرکوب فضای مجازی، الگوی زمانی و جغرافیایی حکومت برای قطع اینترنت و راه‌های دور زدن این شرایط پرداخته بود.

***

وی‌پی‌ان امن یا نا‌امن؛ از کجا تشخیص بدهیم؟

کارشناسان امنیت دیجیتال، وی‌پی‌ان‌هایی که از کاربران اطلاعات شخصی جمع‌آوری نکرده و آدرس آی‌پی (IP) یا پروتکل اینترنتی دقیق و منطقه‌ای که از طریق آن به جهان آزاد اطلاعات وصل می‌شویم نداشته باشد؛ امن می‌دانند. برعکس، فیلترشکن‌ها یا وی‌پی‌ان‌هایی که در داده‌های شخصی ما جاسوسی می‌کنند یا آی‌پی ما را برای سرور ارسال می‌کنند، ناامن می‌دانند.

آدرس آی‌پی، یک آدرس منحصر به فرد است که یک دستگاه را در اینترنت، یا یک شبکه محلی شناسایی می‌کند. آدرس آی‌پی، به عواملی مانند منطقه جغرافیایی، اپراتور ارائه دهنده خدمات اینترنتی و حتی دستگاهی که از طریق آن به اینترنت متصل می‌شویم، وابسته است. درواقع، آی‌پی است که قواعد ارسال و دریافت اطلاعات را در اینترنت و شبکه‌ای محلی تعیین می‌کند. به همین دلیل هم با فیلترینگ، افرادی که آدرس آی‌پی آن‌ها، مثلا مربوط به جغرافیای کشور ایران است، از دسترسی به محتوا و پلتفرم‌های خاصی در اینترنت محرومند؛ یعنی نمی‌توانند سایت‌های خاصی را که حکومت آن‌ها را فیلتر کرده باز کنند، یا از اپلیکیشن‌هایی مانند اینستاگرام و واتس‌اپ استفاده کنند.

کار اصلی وی‌پی‌ان‌ها اما، اتصال ما با همان دستگاه در همان محدوده جغرافیایی و در حالی‌که با همان اپراتور همیشگی به اینترنت وصل شده‌ایم، از طریق آدرس‌های آی‌پی دیگری در نقاطی از دنیاست، که ممکن است ده‌ها هزار کیلومتر با ما فاصله داشته باشند.

با این توضیح، وی‌پی‌ان‌هایی که آدرس منحصر به‌فرد پروتکل اینترنتی شما را برای سرور نفرستند، یا حداقل آدرس پروتکل اینترنتی که در محله شما مشترک است را برای سرور تامین‌کننده نفرستند، امن هستند.

البته تشخیص این موضوع کار بسیار دشواری است. معمولا زبانی که در بخش Terms and Conditions یا شرایط و ضوابط وی‌پی‌ان‌ها قرار دارد و ما برای اتصال به آن‌ها باید با آن‌ها موافقت کنیم، بسیار پیچیده است.

بنابراین، تشخیص این‌که آیا وی‌پی‌ان از ما اطلاعات شخصی جمع می‌کند یا نه، کار ساده‌ای نیست.

به همین‌دلیل برای تشخیص امن یا ناامن بودن یک وی‌پی‌ان، بهترین کار مراجعه به کارشناسان و فعالان آزادی بیان و آزادی اینترنت شناخته شده است. گاهی اوقات سرچ اینترنتی نیز می‌تواند به کاربران در تشخیص امنیت یک وی‌پی‌ان کمک کند.

Watch on vimeo

کدام وی‌پی‌ان‌ها امن و کدام ناامن هستند؟

برای پاسخ به این سوال، «ایران‌وایر» در عرض چند هفته، با چندین سازمان و فرد فعال در زمینه آزادی اینترنت و آزادی بیان گفت‌وگو و مشورت کرده است. خوشبختانه، علی‌رغم وفور فیلترشکن‌های ناامن و وابسته به حکومت ایران، فعالان می‌گویند که وی‌پی‌ان‌های امنی که کار می‌کنند نیز کم نیست.

«علیرضا منافی»، کارشناس امنیت اینترنت درباره امن بودن و ناامن بودن وی‌پی‌ان‌های موجود در ایران، ضمن اشاره به تعدادی از این وی‌پی‌ان‌های امن به «ایران‌وایر» می‌گوید: «چند فیلترشکن هستند که علاوه‌بر این‌که امن هستند، سرویس‌های ویژه‌ای را نیز در این شرایط برای ایرانیان در نظر گرفته‌اند. مثلا «وینداسکریب» (Windscribe) در حالت عادی محدودیت مصرفی دارد، ولی الان برای ایران محدودیت را کمتر کرده و کاربران می‌توانند از ایران به اندازه ۳۰ گیگ از آن استفاده کنند.

وی‌پی‌ان امن دیگر که به نظرم می‌رسد، «پروتون وی‌پی‌ان» (Proton VPN) است، که یکی از امن‌ترین وی‌پی‌ان‌های جهان است که در سوئیس فعالیت می‌کند. بعد از اعتراضات، پروتون علاوه‌بر این که سرویس خود برای ایران را رایگان کرده، پروتکل جدیدی به‌نام Stealth را برای ایران معرفی کرده که شناسایی کردن و مسدود کردن آن خیلی سخت است، و هنوز حکومت ایران نتوانسته آن را مسدود کند و درحال حاضر کار می‌کند.

فیلترشکن دیگری که هنوز کار می‌کند، اوربات (Orbot) است و از سیستم «تور» استفاده می‌کند و در به‌روزرسانی جدید خود، قابلیت‌های پل از خارج را نیز اضافه کرده است.»

منافی در ادامه با تاکید بر این‌که «چیزی به نام وی‌پی‌ان مورد تایید جمهوری اسلامی وجود ندارد، ولی برخی سرویس‌ها هستند که داخل ایران فعالیت می‌کنند و بدون مشکل از طریق درگاه‌های پرداخت بانکی سرویس‌هایشان را می‌فروشند»، به «ایران‌وایر» می‌گوید: «تعداد این وی‌پی‌ان‌ها خیلی زیاد است، ولی ما به همه اسامی دسترسی نداریم و فقط توانسته‌ایم برخی از آن‌ها را بررسی و اسامی‌شان را منتشر کنیم.»

«سیامک آرام»، استاد دانشگاه در آمریکا نیز به «ایران‌وایر» می‌گوید: «در مورد وی‌پی‌ان اصولا خیلی نمی‌شود اطمینان خاصی کرد. اما من توصیه می‌کنم کسانی که می‌توانند، وی‌پی‌ان‌های خارجی بگیرند که معروف هستند. مثلا «نورد وی‌پی‌ان» (Nord VPN) یا «مازیلا وی‌پی‌ان» (Mozilla VPN) یا پروتون وی‌پی‌ان (Proton VPN). البته این وی‌پی‌ان‌ها رایگان نیستند و باید خریداری شوند.»

Watch on vimeo

از کافه بازار وی‌پی‌ان نگیرید

«الف»، کارشناس امنیت اینترنت که به‌دلایل امنیتی نخواسته نام او منتشر شود می‌گوید که «کافه بازار»، این مجموعه خرید نرم‌افزار و اپلیکیشن‌ها که در ایران، در پی فیلترینگ «گوگل پلی»، محبوبیت زیادی پیدا کرده، سازوکاری برای ارائه سرویس‌های مورد تایید جمهوری اسلامی است، و وی‌پی‌انی که افراد می‌خواهند از آن استفاده کنند، به هیچ‌وجه نباید از مجموعه‌های نرم‌افزاری مثل کافه بازار و «مایکت»، تهیه شوند.

او با اشاره به همکاری مجموعه‌های استارتاپی در ایران با حکومت، که گاه به‌ منظور بقای این سازمان‌ها بوده، می‌گوید: «در همین چند هفته چندین مورد گزارش جاسوسی اپلیکیشن‌های داخلی وجود داشته است. مثلا گفته می‌شود که نیک یوسفی، عکاس و فیلمساز را از طریق اسنپ‌فود بازداشت کرده‌اند. بنابراین خیلی مهم است که وی‌پی‌ان‌ها را از جاهایی تهیه کنید که مورد اعتماد هستند.»

وی‌پی‌ان‌هایی که مقر آن‌ها در ایران یا کشورهای همسایه است، امن نیستند

«پس‌کوچه»، گروهی از کارشناسان امنیت دیجیتال و آزادی بیان و اینترنت هستند که ابزارهای دور زدن فیلترینگ، اپلیکیشن‌های ارتباطی امن، حفظ حریم خصوصی و امنیت دیجیتال را به کاربران ارائه می‌دهد و مطالب آموزشی متنوع تولید و راه‌کارهای عملی برای دسترسی آزاد به محتوای اینترنت، به‌ویژه به کاربران ایرانی معرفی می‌کند.

این گروه نسبت به استفاده از وی‌پی‌ان‌های ناامن هشدار داده و به «ایران‌وایر» می‌گویند: «با ایجاد محدودیت‌های گسترده و مسدود سازی دسترسی به فیلترشکن‌های امن و قابل اعتماد، تعداد قابل توجهی از کاربران به‌ ناچار رو به استفاده از اپلیکیشن‌های ناامن و مشکوک آورده‌اند.»

این‌ گروه که اطلاعات خود را از طریق ارتباط مستقیم با کاربران و همچنین بررسی هفتگی اپ‌های پرطرفدار در فروشگاه گوگل‌پلی، به‌دست آورده، می‌گویند که «صدها فیلترشکن و پراکسی ناامن بین کاربران دست به دست می‌شود که استفاده از آن‌ها، قطعا خطراتی را برای داده‌ها و اطلاعات شخصی و همچنین حریم خصوصی کاربران دارد.»

«پس‌کوچه» در پاسخ به سوال «ایران‌وایر» که کدام وی‌پی‌ان‌ها امن و کدام ناامن هستند، می‌گویند: «فیلترشکن‌هایی که مقر آن‌ها در ایران است و نمی‌دانیم توسط چه افرادی یا گروه‌هایی مدیریت یا سازماندهی شده‌اند، یعنی آن‌هایی که معمولا برای خرید حساب کاربری از درگاه‌های آنلاین داخل کشور استفاده می‌کنند، چون هویت کاربر، آدرس و نشانی‌اش را دریافت می‌کنند، می‌توانند خطرآفرین باشند.»

این گروه که پلتفرمی مختص این‌کار دارد و به صورت مستقیم فیلترشکن‌هایی را معرفی و در دسترس عموم قرار می‌دهد، تایید می‌کند که هیچ تضمین ۱۰۰‌درصدی برای امنیت آنلاین وجود ندارد و هیچ ابزاری نمی‌تواند ادعا کند که به‌‌ طور قطعی امنیت کاربران را تامین کند، اما اقداماتی را کاربران در مورد بررسی امنیت اپلیکیشن‌ها، به‌ویژه فیلترشکن‌ها می‌توانند انجام دهند تا کمتر در معرض خطر قرار بگیرند.»

کارشناسان «پس‌کوچه» همچنین می‌گویند: « فعال‌سازی خودکار پروتکل امن HTTPS روی مرورگرهای مختلف و اتصال به وب‌سایت‌هایی که این پروتکل امن پشتیبانی می‌کنند، می‌تواند از نگرانی‌های کاربران بکاهد.»

آن‌ها همچنین تایید دارند که کاربران برای انتخاب یک فیلترشکن تا حد امکان امن و مطمئن به موارد زیر دقت کنند:

۱. توسعه‌دهنده و شرکت سازنده یک فیلترشکن مشخص و در دسترس باشد.

۲. وب‌سایت رسمی و کانال‌های ارتباطی امن داشته باشد.

۳. سند حریم خصوصی شفاف و بدون ابهامی را ارائه دهد، به خصوص در مورد نحوه استفاده از داده‌های کاربران.

۴. سطح دسترسی‌ها و موارد ردیابی فیلترشکن‌ها قبل از نصب و دانلود بررسی شود.

۵. کد منبع باز و قابل دسترس باشد.

۶. پشتیبانی قدرتمند و سریع داشته باشد و به‌روز‌رسانی منظم انجام دهد.

۷. از پروتکل‌های متنوع و فناوری‌های به‌روز و قوی رمزنگاری استفاده کند.

۸. توسط یک نهاد مستقل ممیزی امنیتی شده باشد.

فهرست وی‌پی‌ان‌های امن و ناامن

جدولی که برای معرفی وی‌پی‌ان‌های امن و ناامن در ذیل می‌آید، با همکاری چندین کارشناس امنیت و فعالان آزادی اینترنت که در این گزارش هم با آن‌ها گفت‌وگو شده، تهیه شده است. «ایران‌وایر» دسترسی به لیست تمامی وی‌پی‌ان‌های ناامن در ایران را نداشته و ندارد، و این جدول فقط تعداد اندکی از بی‌شمار وی‌پی‌ان‌های ناامن را شامل می‌شود که ممکن است با حکومت جمهوری اسلامی و دستگاه‌های امنیتی نظام در ارتباط و انتقال داده باشند.