امینیت سایبری در8 درس - بخش اول

۱۸ تیر ۱۳۹۳

خواندن در ۱۷ دقیقه

به احتمال زیاد هر روز صبح که از خواب بیدار می شود، اینکه "چگونه فیلترینگ را دور بزنیم" یکی از مهم ترین دغدغه ها و گاه آزاردهنده ترین مسائل روزانه زندگی تان است.

در واقع این اکنون مهم ترین سوال مطرح در فضای مجازی است. همه هم می دانیم که چه بازار بزرگی در حاشیه اش راه افتاده و در بالاترین سطوح سیاسی ایران، چه ماجراها بر سر بود و نبود یا دامنه فیلترینگ در جریان است.

اما مهم ترین سوال به طور طبیعی سوال های دیگری هم ایجاد می کند. ساده ترین این است که عبور از موانع ایجاد شده توسط حکومت ایران نباید به تهدید امنیت ما منجر شود. به طور ساده اینکه وقتی شما در مسابقه دوی با مانع شرکت می کنید نباید طوری از موانع عبور کنید که در خط پایان، پاها و یا بدن تان زخمی شده باشد.

دقت در عبور از موانع یعنی اینکه شما باید حواس تان به "امنیت سایبری" باشد. در این زمینه "هزار نکته باریک تر زمو" که عدم دقت به آن می تواند برای هر کاربر، هزار و یک مشکل ایجاد کند.

ایران وایر کوشیده است در قالب ویدئوهای آموزشی راه های پیشگیری از این مشکلات را بررسی کند. هدف اصلی در این زمینه "پیشگیری" است، مانند نمی خواهیم دقیقا شبیه سیاست های وزارت بهداشت در زمینه پیشگیری از کاهش جمعیت عمل کنیم ولی واقعیت این است که در فضای کنونی اینترنت در ایران شما باید دقت کنید که گرفتار تاکتیک های جاری درباره فیلترینگ، شناسایی، هکرهای دولتی و حتی شخصی نشوید. درمان این گرفتارهای را معمولا حکومت تعیین می کند، شبیه همین حکم هایی که درباره پیشگیری از بچه دار شدن صادر کرده اند.

پس لطفا به پیشگیری فکر کنید، درباره امنیت سایبری بیشتر بخوانید، ویدئوهای ایران وایر را ببینید، ما در بخش اینترنت و تکنولوژی هم قصد داریم جدی و دقیق تر به این مسئله بپردازیم و مطالب و بخش های تازه ای در این زمینه خواهیم داشت.

درس اول: گذرواژه چیست و انتخاب آن چگونه است؟

گذرواژه (یا رمز عبور / پاسورد) را می‌توان ابتدایی‌ترین مفهوم دنیای رایانه و اینترنت دانست که در عین سادگی، دارای اهمیت فوق‌العاده‌ای است. اهمیت گذرواژه به این دلیل زیاد است که شما با داشتن گذرواژه دیگران، به راحتی و تنها با دو کلیک موشواره‌ی خود، می‌توانید وارد حساب بانکی، ایمیل، فیس‌بوک و... دیگران شوید و به این صورت به اطلاعات مختلف آنها مانند ایمیل‌های شخصی، تصاویر خانوادگی، حساب بانکی و دیگر اطلاعات خصوصی دسترسی پیدا کنید.

Watch on vimeo

از همین روی، گذرواژه یکی از مفاهیم بنیادی است که برخلاف تصور عموم، باید در انتخاب آن به شدت دقت کنید.

ویژگی‌های مهم یک گذرواژه

یک گذرواژه خوب و مطمئن، دارای ویژگی‌های مختلف است که مهمترین آنها عبارتند از:
۱- طولانی و پیچیده باشد: شاید از خودتان بپرسید که منظور از طولانی و پیچیده بودن گذرواژه چیست؟ در پاسخ به این سوال باید بگوییم که:

حداقل تعداد حرف‌هایی که برای گذرواژه‌ی خود انتخاب می‌کنید، باید ۱۰ حرف (یا کاراکتر) باشد.
و در آن از حروف کوچک، بزرگ، عدد و علامت‌های خاص (مانند ٪) استفاده کنید.

با رعایت این دو نکته، رمز عبوری که انتخاب خواهید کرد، طولانی و پیچیده خواهد بود.

۲- به اطلاعات شخصی شما مربوط نباشد: یکی از اشتباهاتی که بسیاری از افراد در انتخاب گذرواژه خود انجام می‌دهند، آن است که گذرواژه‌ای انتخاب می‌کنند که به اطلاعات شخصی‌شان مانند تاریخ تولد، محل زندگی، شماره موبایل و مثل آنها مرتبط است. مثلا اگر شماره موبایل فردی ۰۹۱۲۱۲۳۴۵۶۷۸ باشد، گذرواژه‌ی خود را به این صورت انتخاب می‌کند: a091212345678b!

دقت کنید که تحت هیچ شرایطی گذرواژه‌ای که انتخاب کرده‌اید، به اطلاعات شخصی شما مربوط نباشد.

۳- به خاطر سپردنش آسان باشد: به احتمال زیاد این مورد برای شما کاملا واضح است؛ گذرواژه‌ای که انتخاب می‌کنید را باید به راحتی بتوانید به خاطر بسپارید به طوری که برای وارد کردن آن نیاز به نگاه کردن به دفترچه یادداشت و یا تلفن همراه‌تان نداشته باشید.

۴- برای یک حساب استفاده شود: شما باید برای هر یک از حساب‌های اینترنتی خود یک گذرواژه خاص داشته باشید. به عنوان مثال، هرگز نباید گذرواژه‌ای که برای ایمیل خود انتخاب کرده‌اید را برای حساب فیس‌بوک یا دانشگاه خود استفاده کنید. علت این پیشنهاد هم به این نکته باز می‌گردد که اگر زمانی یکی از حساب‌های شما هک و گذرواژه آن لو رفت، فرد نفوذ کننده نتواند به دیگر حساب‌های شما دسترسی پیدا کند.

۵- هر ۹۰ روز یک بار تغییر کند: اگر شما تمامی مواردی را که تا اینجا اشاره کردیم را رعایت کنید اما گذرواژه‌ای که انتخاب کرده‌اید را سال به سال عوض نکنید، باید بدانید که با گذشت زمان امکان لو رفتن گذرواژه حساب‌هایتان بیشتر خواهد شد. مثلا اگر به مدت ۵ سال گذرواژه‌ی ایمیل خود را تغییر ندهید، به احتمال زیاد تنها خواجه حافظ شیرازی از آن خبر نخواهد داشت! برای همین به شما پیشنهاد می‌کنیم که هر ۹۰ روز یکبار، گذرواژه‌ی حساب‌های مختلف خود را تغییر دهید.

۶- با آن مثل یک سند محرمانه رفتار شود: یکی از اشتباهات فاحشی که برخی از کاربران انجام می‌دهند، به اشتراک گذاشتن گذرواژه‌ی حساب‌های مختلف خود با دیگران است. به عنوان مثال در بسیاری از موارد افراد گذرواژه ایمیل خود را با همسر یا دوست دختر/پسر خود به اشتراک می‌گذارند! باید همواره به یاد داشته باشید که تحت هیچ شرایطی و به هیچ عنوان نباید هیچ یک از گذرواژه‌های حساب‌های مختلف خود (به خصوص ایمیل) را با دیگران به اشتراک بگذارید. علت این پیشنهاد هم به این نکته باز می‌گردد که ممکن است فردی که از گذرواژه‌ی حساب‌های شما با خبر است، به صورت ناخودآگاه آن را با دیگران به اشتراک بگذارید و به این صورت امنیت اطلاعات آنلاین‌تان به خطر بیافتد.

Watch on vimeo

چگونگی ایجاد گذرواژه

برای ایجاد گذرواژه‌ای که ویژگی‌های بالا را داشته باشد، روش‌ها و تکنیک‌های مختلفی وجود دارد که هر فرد بسته به نظر و دیدگاه خود از آنها استفاده می‌کند.

در اینجا دو روش را به صورت خلاصه بیان می‌کنیم که به کمک هر کدام از این روش‌ها می‌توانید یک گذرواژه مطمئن ایجاد کنید. البته باز هم تاکید می‌کنیم که مفهوم امنیت یک مفهوم نسبی است و با ایجاد یک گذرواژه‌ی مطمئن، هیچ «تضمینی» برای امن بودن حساب‌های شما وجود ندارد!

الف. روش دستی: استفاده از یک جمله

این روش یکی از ساده‌ترین روش‌های ایجاد گذرواژه است و نیاز به هیچ دانش فنی‌ای ندارد و تنها نیازمندی‌اش، یک ذهن خلاق است که قطعا شما آن را دارید.

برای شروع باید یک بیت شعر یا جمله‌ای که به آن علاقه دارید و همواره در ذهن‌تان است را انتخاب کنید. مثلا فرض کنید این جمله: «توانا بود هر که دانا بود». حالا باید حرف‌های اول هر یک از کلمات این جمله را به حروف انگلیسی بنویسیم: tbhkdb.

حالا با توجه به قوانینی که در بالا گفتیم، ضمن کوچک بزرگ کردن حروف، تعداد آنها را با افزودن عدد و علامت‌های خاص به ۱۰ حرف می‌رسانیم: TbHkDb*12:)

به همین سادگی، هم اکنون گذرواژه‌ای ایجاد کرده‌اید که برای هک کردن آن دستکم ۵۰ هزار سال زمان نیاز است! (برای چک کردن میزان امن بودن گذرواژه‌ای که انتخاب کرده‌اید، می‌توانید از این وب ‌سایت استفاده کنید.)

ب. روش خودکار: استفاده از نرم‌افزارهای KeePass یا LastPass

مزیت بزرگ این روش در مقایسه با روش دستی، در آن است که شما برای ایجاد یک گذرواژه مطمئن، تنها نیاز دارید که چند کلیک کنید! برای این منظور، باید از دو نرم‌افزار معروف در زمینه‌ی مدیریت گذرواژه استفاده کنید تا به راحتی رمز عبوری مطمئن با ویژگی‌هایی که گفته شد را بسازید. یعنی: KeePass و LastPass.

اگر تاکنون نام این دو نرم‌افزار کاربردی را نشنیده‌اید، نگران نباشید زیرا با خواندن این دو مطلب در وب‌سایت «نگهبان» به راحتی می‌توانید با کارکرد هر کدام از آنها آشنا شوید:

- KeePass صندوقچه اسرار برای رمزهای عبور

- با LastPass ، فرماندهی رمزهای عبور را در دست بگیرید

اگر بخواهیم تفاوت این دو نرم‌افزار را هم بیان کنیم، باید بگوییم که:

LastPass نرم‌افزار آنلاین است به گونه‌ای که شما در هر مکان و تنها با داشتن یک خط اینترنت، می‌توانید از آن استفاده کنید؛

اما نرم‌افزار KeePass یک نرم‌افزار آفلاین است و برای استفاده از آن، باید همواره یک حافظه‌ی USB همراه خود داشته باشید

Watch on vimeo

درس دوم - ایمیل امن چیست؟

با خواندن عنوان این درس ممکن است از خودتان سوال کنید که منظور از «ایمیل امن» چیست؟ چرا اصلا امنیت ایمیل مهم است؟ فرق یک ایمیل امن با یک ایمیل ناامن در چیست؟

در پاسخ به این سوالات باید بگوییم که برخلاف تصور عموم، ایمیل امن با ایمیل ناامن تفاوت زیادی دارد مثلا هک شدن ایمیل شما به میزان زیادی به سرویس ارائه دهنده‌ی ایمیل بستگی دارد.

اما یک ایمیل امن چه ویژگی‌هایی دارد؟

۱- گواهینامه SSL: اولین و مهمترین ویژگی یک ایمیل امن آن است که کلیه‌ی اطلاعات رد و بدل شده بین کاربر و سرورهای خود را رمزگذاری کند تا به این صورت امکان اطلاع از محتوای ایمیل‌ها از بین برود. این امکان در دنیای اینترنت به کمک گواهینامه SSL ایجاد می‌شود.

روش شناسایی اتصال امن در یک مروگر نیز توجه به آدرس آن مرورگر است. اگر ابتدای آدرس مرورگر شما به صورت http بود، باید بدانید که اتصال شما امن نیست؛ اما اگر به صورت httpS بود، اتصال شما امن است و کلیه‌ی اطلاعات رد و بدل شده بین شما و مقصد رمزگذاری می شود و امکان خواندن آنها از بین می‌رود. هر چند که روش‌هایی مانند حمله‌ی Man-in-middle وجود دارد که می‌تواند باعث خوانده شدن اطلاعات شما شود!

اگر علاقه دارید که در مورد SSL بیشتر بدانید، بد نیست که این مطلب وب ‌سایت نگهبان را مطالعه کنید.

۲- گذرواژه‌ی قوی و مطمئن: در بخش اول درس در مورد گذرواژه به صورت مفصل صحبت کردیم. تنها چیزی که اینجا دوباره بر آن تاکید می‌کنیم این است که گذرواژه‌ی ایمیل خود را با دقت بسیار انتخاب کنید زیرا ایمیل خصوصی‌ترین بخش دنیای آنلاین است.

۳- انتخاب پاسخ مناسب سوال امنیتی: یکی از مواردی که در بالا رفتن امنیت و هک نشدن حساب ایمیل و به طور کلی‌تر حساب‌های آنلاین‌تان تاثیر می‌گذارد، انتخاب «سوال امنیتی» خوب و پاسخ مناسب به آن است به گونه‌ای که حدس زدن آن از طریق روش‌های مختلف کار ساده‌ای نباشد.

به عنوان مثال شما می‌توانید سوال امنیتی ایمیل خود را اینطور انتخاب کنید:

نام اولین ماشینی که داشته‌اید چه بود؟

اما پاسخ این پرسش را «غذای محبوب» تان بنویسید. مثلا: خورش قیمه!

به این صورت شما به راحتی امکان حدس زدن پاسخ سوال امنیتی حساب خود را نزدیک به صفر می‌کنید.

از چه سرویس ایمیلی استفاده کنیم؟

صدها سرویس رایگان ایمیل بر روی اینترنت وجود دارد که شما به کمک آنها می‌توانید یک حساب ایمیل ایجاد کنید، اما آنچه که در این میان مهم است، امنیت و پشتیبانی خوب است. و زمانی که این نکته پیش می‌آید، بهترین گزینه، سرویس ایمیل گوگل یعنی جیمیل است.

جیمیل با امکانات فوق‌العاده‌ی خود نه تنها مدیریت ایمیل را برای شما بسیار آسان و لذت‌بخش می‌کند، بلکه امنیت شما را بیش از پیش تامین می‌کند.

برای آنکه امنیت حساب جیمیل شما بیش از پیش شود، به شما پیشنهاد می‌کنیم قبل از هر کاری، دو کار را برای حساب جیمیل خود انجام دهید:

۱- انتخاب https برای ارتباط امن: به قسمت تنظیمات جیمیل بروید؛ با کلیک کردن بر روی آیکون چرخ دنده در گوشه بالا سمت راست و انتخاب Settings وارد تنظیمات می شوید. سپس از قسمت General گزینه‌ی Always use https را که در مقابل Browser connection قرار دارد انتخاب کنید و در نهایت بر روی Save changes کلیک کنید.

با این کار اتصال شما به جیمیل همواره به صورت httpS خواهد بود که ارتباطی امن است.

۲- ورود دو مرحله‌ای: گزینه دو مرحله ای شدن ورود به حساب گوگل/جیمیل خود را فعال کنید. با این کار برای هر بار ورود به ایمیل خود نخست کدی از طرف گوگل به موبایل‌تان فرستاده می‌شود که آن را به اضافه گذرواژه استفاده می‌کنید. برای این کار هم اکنون راهنماهای متعددی به زبان فارسی وجود دارد. یکی از روزآمدترین راهنماها راهنمایی است که در وبلاگ یک پزشک نوشته شده است و شما به راحتی می‌توانید با خواندن آن، ورود دو مرحله‌ای به حساب گوگل خود را فعال کنید.

اهمیت این ویژگی جیمیل در این است که شما با فعال کردن ورود دو مرحله‌ای، خود را در مقابل حملاتی مانند Man-in-middle که در بالا به آن اشاره کرده‌ایم، محافظت می‌کنید. زیرا در حالتی که فرد نفوذ کننده به رمز عبور ایمیل شما دسترسی پیدا کرده باشد، چون تلفن همراه شما را در اختیار ندارد، امکان نفوذ به حساب جیمیل شما را نخواهد داشت.

آیا هم اکنون امن هستم؟

نه! به همین سادگی! همانگونه که در مقدمه بیان کردیم، امنیت یک مبحث نسبی است و هیچ کسی نمی‌تواند ادعا کند که امنیت وی ۱۰۰ درصد است. زیرا بخشی از امنیت در دنیای اینترنت به شما وابسته است و بخش دیگر به شرکت ارائه دهنده‌ی خدمات. بنابراین اگر روزی سرورهای جیمیل توسط هکرهایی هک و اطلاعات شما دزدیده شود، هر قدر تمامی نکات امنیتی را رعایت کرده باشید باز در معرض خطر هستید.

چند توصیه:

علاوه بر موارد بالا که در امنیت ایمیل شما تاثیر بسزایی دارند، رعایت نکات زیر نیز شما را در برابر حملات مختلف سایبری بیشتر محافظت می‌کنند:

۱- بر روی لینک‌های داخل ایمیل خود به هیچ عنوان کلیک نکنید.

۲- در باز کردن فایل‌های ضمیمه از افراد ناشناس و شناس بسیار دقت کنید و تا جایی که امکان دارد، این فایل‌ها را دانلود و باز نکنید.

۳- ایمیل‌های دریافت شده از افراد ناشناس را بدون آنکه باز کنید، به پوشه‌ی اسپم منتقل کنید.

۴- برای کارهای مختلف، از ایمیل‌های مجزا استفاده کنید. به عنوان مثال برای ایمیل‌های خانوادگی، از یک آدرس ایمیل و برای ایمیل‌های کاری از آدرس دیگری استفاده کنید.