x
iranicard-ads
محتوای اختصاصی کاربران ویژهورود به سایت

فراموشی رمز عبور

با شبکه های اجتماعی وارد شوید

ورود با گوگل
ورود با توییتر

عضو نیستید؟ عضو شوید

ثبت نام سایت

با شبکه های اجتماعی وارد شوید

ورود با گوگل
ورود با توییتر

عضو نیستید؟ وارد شوید

فراموشی رمز عبور

وارد شوید یا عضو شوید

جشنواره نوروزی آنر
جشنواره نوروزی آنر

فناوری

سجاد صبری پژوهشگر و فعال حوزه ارتباطات

بررسی سازوکار شنود در پیام‌رسان‌های داخلی؛ از قانون تا واقعیت‌های فنی

سجاد صبری
پژوهشگر و فعال حوزه ارتباطات

۳۱ فروردین ۱۴۰۵

زمان مطالعه : ۵ دقیقه

با افزایش قطعی‌ها و محدودیت‌های اینترنت بین‌الملل در کشور، الگوی استفاده کاربران به‌طور محسوسی تغییر کرده و سهم پیام‌رسان‌های داخلی (مانند بله، ایتا، سروش، روبیکا و غیره) در ارتباطات روزمره افزایش یافته است. در چنین شرایطی، طبیعی است که دغدغه‌هایی درباره «امنیت» و «امکان شنود» این پلتفرم‌ها بیشتر مطرح شود. بسیاری از کاربران می‌خواهند بدانند از نظر فنی چه میزان دسترسی به اطلاعات آ‌نها وجود دارد و این دسترسی چگونه اعمال می‌شود.

برای پاسخ به این سوال، ابتدا باید یک واقعیت مهم را در نظر گرفت: شنود یا دسترسی به ارتباطات، صرفا مختص یک کشور یا یک نوع پیام‌رسان نیست. در تمام دنیا، زیرساخت‌های ارتباطی بر اساس مفهومی به نام «شنود قانونی» یا (Lawful Interception) طراحی می‌شود. به این معنا که در صورت وجود حکم قضایی، نهادهای مسئول می‌توانند به بخشی از ارتباطات دسترسی داشته باشند. این موضوع در چارچوب استانداردهایی که توسط نهادهایی مانند ETSI تعریف شده، در بسیاری از شبکه‌های ارتباطی جهان پیاده‌سازی شده است.

در ایران، چارچوب شنود قانونی عمدتا بر اساس قانون جرایم رایانه‌ای (مصوب ۱۳۸۸) و با دستور صریح مقام قضایی تعریف می‌شود و اجرای آن توسط مراجع قضایی و امنیتی انجام می‌گیرد.

در پیام‌رسان‌های داخلی، به دلیل اینکه زیرساخت‌ها و سرورها در داخل کشور قرار دارند، مدیریت و نگهداری داده‌ها به‌طور کامل در اختیار ارائه‌دهنده سرویس است. این موضوع از نظر فنی باعث می‌شود که در صورت وجود الزامات قانونی، اعمال دسترسی به اطلاعات با پیچیدگی کمتری نسبت به برخی سرویس‌های خارجی انجام شود. به بیان روشن، این پلتفرم‌ها نیز مانند سایر سرویس‌های ارتباطی در جهان، از قوانین کشور تبعیت می‌کنند و در چارچوب همین قوانین، امکان اجرای شنود قانونی در آنها وجود دارد.

تفاوت کلیدی: رمزنگاری سرتاسری (E2EE) یا عدم استفاده از آن

برای درک فنی شنود، باید بین دو نوع معماری تمایز قائل شد:

پیام‌رسان‌های بدون رمزنگاری سرتاسری (حالت پیش‌فرض در بسیاری از پیام‌رسان‌ها):

در این حالت، داده‌ها روی سرور به‌صورت رمزنگاری‌شده اما قابل دسترسی برای سرویس ذخیره می‌شوند. در نتیجه، سرور ارائه‌دهنده از نظر فنی امکان دسترسی به محتوای پیام‌ها را دارد و در صورت وجود حکم قضایی، ارائه این اطلاعات الزامی است.

پیام‌رسان‌های دارای رمزنگاری سرتاسری:

در این معماری، کلیدهای رمزنگاری فقط روی دستگاه‌های دو طرف ارتباط نگهداری می‌شود و سرور به محتوای پیام‌ها دسترسی ندارد. در چنین شرایطی، دسترسی به متن پیام‌ها از طریق زیرساخت سرویس عملا ممکن نیست و معمولا تنها از طریق دسترسی به خود دستگاه کاربر (مانند بدافزار یا دسترسی فیزیکی) امکان‌پذیر است. برخی پیام‌رسان‌ها این قابلیت را در قالب «چت محرمانه» یا حالت‌های خاص ارائه می‌کنند.

نکته مهم این است که حتی در پیام‌رسان‌های دارای رمزنگاری سرتاسری نیز موضوع شنود به‌طور کامل منتفی نمی‌شود، بلکه شکل آن تغییر می‌کند. در این موارد، دسترسی به «محتوا» محدود می‌شود، اما متادیتا» مانند IP، زمان ارتباط، طرفین ارتباط و حجم ترافیک» همچنان قابل تحلیل است؛ اطلاعاتی که در بسیاری از موارد برای شناسایی الگوی ارتباطی کاربران کافی است.

سازوکار فنی شنود در چند لایه

اگر بخواهیم این موضوع را دقیق‌تر بررسی کنیم، سازوکار شنود در پیام‌رسان‌ها معمولا در چند لایه قابل تحلیل است:

لایه سرور:

اگر پیام‌ها به‌گونه‌ای ذخیره شود که سرور به آ‌نها دسترسی داشته باشد، امکان استخراج و ارائه محتوای پیام‌ها وجود خواهد داشت. مانند چت ساده در بله و تلگرام.

لایه انتقال داده:

اطلاعات در مسیر بین کاربر و سرور جابه‌جا شده و معمولا با استفاده از پروتکل‌های امن مانند TLS رمزنگاری می‌شود. با این حال، در سطح زیرساخت شبکه، امکان استخراج متادیتا همچنان وجود دارد.

لایه کاربر (Endpoint):

لایه کاربر، مهم‌ترین و در عین حال آسیب‌پذیرترین نقطه است. در صورت دسترسی به دستگاه کاربر (از طریق بدافزار، دسترسی فیزیکی یا بکاپ‌های ناامن) تقریبا تمام اطلاعات قابل مشاهده خواهد بود.

برداشت اشتباه رایج: شنود همگانی نیست

بسیاری از کاربران تصور می‌کنند که این نوع دسترسی‌ها به‌صورت گسترده و دائمی برای همه افراد اعمال می‌شود، در حالی که در عمل چنین نیست. شنود قانونی یک فرآیند هدفمند، زمان‌بر و وابسته به مجوزهای مشخص قضایی است و معمولا برای موارد خاص مانند جرایم سازمان‌یافته یا مسائل امنیتی استفاده می‌شود. حجم بالای ارتباطات روزانه و همچنین هزینه و پیچیدگی این فرآیند، امکان نظارت فراگیر بر همه کاربران را در عمل بسیار محدود و بعید می‌کند.

توصیه عملی برای کاربران

اگرچه از نظر فنی امکان شنود در چارچوب قانون وجود دارد، اما برای اکثر کاربران عادی، نگرانی مداوم در این زمینه ضرورتی ندارد. با این حال، رعایت چند نکته ساده می‌تواند سطح امنیت را افزایش دهد:

  • برای گفت‌وگوهای بسیار حساس، فرض کنید هر پیام‌رسانی ممکن است در معرض دسترسی قرار بگیرد.
  • در صورت وجود، از حالت محرمانه یا Secret Chat استفاده کنید.
  • از ذخیره خودکار پیام‌ها در فضای ابری خودداری کنید.
  • اپلیکیشن پیام‌رسان را با رمز یا اثر انگشت محافظت کنید.
  • از نصب نسخه‌های غیررسمی یا دستکاری‌شده پیام‌رسان‌ها پرهیز کنید مثل تلگرام طلایی.
  • برای تبادل فایل‌های حساس، آنها را جداگانه رمزگذاری کرده و رمز را از مسیر دیگری ارسال کنید.

در نهایت، باید پذیرفت که امنیت مطلق در هیچ سیستم ارتباطی وجود ندارد. تفاوت اصلی میان پیام‌رسان‌های داخلی و خارجی، بیشتر در میزان دسترسی به محتوای پیام‌ها و نوع معماری رمزنگاری آنهاست، نه در اصل وجود امکان نظارت قانونی. درک درست از واقعیت‌های فنی، قوانین و محدودیت‌های هر سرویس، به کاربران کمک می‌کند تا به‌جای نگرانی‌های مبهم، تصمیم‌های آگاهانه‌تری در استفاده از ابزارهای ارتباطی خود بگیرند.

 

https://pvst.ir/nua
این مطالب را هم بخوانید:

0 نظر

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

درباره پیوست بیشتر بدانید

شما در حال مطالعه وبسایت ماهنامه پیوست هستید.

برای بوکمارک این نوشته
Back To Top
جستجو