روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ توسعه‌دهندگان تلگرام همیشه محصولات خود را امن و محافظت‌شده معرفی می‌کنند. اما در عمل این صحت ندارد: واقعیت این است که پیام‌رسان تلگرام یک سری ایراداتی دارد که همین محافظت از پیام‌ها را برای کاربر سخت می‌کند و البته این هیچ ربطی هم به پیچیدگی‌های کریپتوگرافی ندارد بلکه مشکل بیشتر بر سر یک سری مسائل پیش‌پاافتاده و حوصله‌سربر است. در ادامه با ما همراه شوید تا نگاهی بیاندازیم بر قابلیت‌های عجیب رابط این مسنجر و نیز منطق کلی‌ِ آن که امنیت این پیام‌رسان‌ را از آنچه افراد باور دارند کمتر می‌کند.

طیف‌های پیام‌رسان امن

برای شروع، بیایید به این پی ببریم که چطور یک مسنجر امن کار می‌کند. اولین چیز که باید به یاد داشته باشیم این است که تقریباً همه مسنجرهای مدرن از خیلی وقت پیش به تبادل داده رمزنگاری‌شده بین دستگاه‌های کاربر و سرورها سوئیچ کرده‌اند. این حداقل کاری است که هر پیام‌رسانی باید انجام دهد. با این همه نمی‌شود آن را سیستمی امن دانست زیرا هنوز امنیت کامل پیام تضمین نشده است. دلیل هم این است: اگر نه تنها شرکت‌کنندگان پیام که همچنین خود سرویس نیز به چت‌ها دسترسی داشته باشید آنوقت این ریسک‌ها بیشتر نیز می‌شوند.

برای مثال، دارندگان خود سرویس شاید کنجکاو یا طمعکار باشند و یا حتی اگر اینطور فرض بگیریم که آن‌ها بسیار صادقند و همیشه سرشان به کار خودشان است هم باز تضمینی نیست که روزی سرویس فروخته شود و دارندگان بعدی هم همین اندازه صادق باشند! و بعد تازه سناریو هک احتمالی سرویس را دارم که در این صورت هکرها خود به مکاتبات دسترسی پیدا می‌کنند. با این وجود، یک راه مؤثر برای جلوگیری از همه این خطرات وجود دارد و با آن می‌شود جواب این سوال را که آیا سرویس می‌تواند یک بار برای همیشه مورد اعتماد قرار گیرد یا نه می‌دهد: رمزنگاری پایان به پایان[1]. این راهکار تضمین می‌دهد اطلاعات روی دستگاه فرستنده رمزنگاری شده و فقط روی دستگاه گیرنده رمزگشایی می‌شود.

در نتیجه، سرویس تنها کارش ارسال پیام‌های رمزنگاری‌شده است و نمی‌تواند به محتوا دسترسی داشته باشد. این خودکار از مکاتبات محافظت می‌کند و نمی‌گذارد دارندگان کنجکاو (چه در حال حاضر چه در آینده) بدان دست یابند. پس به این فرمول ساده می‌رسیم: یک پیام‌رسان امن آنی است که از رمزنگاری پایان به پایان استفاده می‌کند. اکنون بیاید ببنیم تلگرام چطور همه اینها را مدیریت می‌کند:

1.      همه چت‌های تلگرام به طور یکسان امن نیستند

بگذارید مستقیم برویم سراغ ریشه مشکل: تلگرام مسنجری است منحصر به فرد با دو نوع چت: معمولی و محرمانه. چت‌های معمولی رمزنگاری پایان به پایان نمی‌شوند و فقط چت‌های محرمانه از چنین فناوری بهره می‌برند. هیچ مسنجر دیگری این کار را نمی‌کند: حتی واتس‌اپ که اسمش بد رفته نیز پیش‌فرض از این فناوری استفاده می‌کند. کاربر به هیچ‌چیزی نیاز ندارد و هیچ چک‌باکس ویژه‌ای هم لازم نیست: پیام‌ها از همان ابتدا از گزند هر مهاجمی مصون هستند (از جمله دارندگان سرویس). در مورد مسنجرهایی هم که صراحتاً خود را امن و محافظت‌شده اعلام می‌کنند مانند سیگنال یا تریما نیز هیچیک چنین نیستند که پیام‌هایشان از دو نوع باشند.اصلاً چرا همه چت‌ها نباید امن باشند تا بدین‌ترتیب کاربر از این سردرگمی بیرون بیاید؟ تلگرام همان مسنجری است که کاربر خود را در سردرگمی رها کرده است!

2.      در مورد آن پیش فرض‌ها...

به طور پیش‌فرض، تلگرام از رمزنگاری پایان به پایان استفاده نمی‌کند و تازه در مورد گزینه چت امن نیز چندان اطلاعاتی به کاربر نمی‌دهد. مگر کاربری داریم که دقیقاً به دلیل تبلیغاتی که در خصوص امن بودن مکاتبات مسنجری را نصب کرده باز هم برای داشتن چتی امن تلاش کند؟! نتیجه اینکه وقتی کاربری چت جدیدی می‌سازد، تلگرام نه آن را امنیت می‌بخشد و نه در مورد وجود گزینه‌ای غیر از گزینه پیش‌فرض به او خبر می‌دهد. شرط می‌بندیم اگر میلیون‌ها اغراق باشد، هزاران نفر هستند که فکر می‌کنند تلگرام از چت آن‌ها به طور پیش‌فرض محافظت می‌کند و خبر ندارد چت‌های معمولی با رمزنگاری پایان به پایان پشتیبانی نمی‌شوند. جالب اینکه دکمه secret chat تا آنجا که شده آن اعماق است و نمی‌شود در رابط کاربری پیدایش کرد! حتی در مرحله بعدی سرچ هم نمی‌شود پیدایش کرد:  اگر نام شریک چت خود را نیز بزنید و به پروفایل او هم بروید باز دکمه مخفی را پیدا نخواهید کرد. باید خیلی عمیق‌تر شوید: روی منی سه نقطه زده، در قابلیت‌های ثانویه چرخ بزنید و حالا گزینه چت محرمانه با رمزنگاری پایان به پایان رضایت می‌دهد که در خدمتتان باشد!

3.       چرا کلمه‌ی «محرمانه»؟

شکایت دیگر در مورد نحوه‌ای اسم‌گذاری این قابلیت است. چرا از واژه‌هایی چون «امن»، «محافظت‌شده» یا «خصوصی» استفاده نشد؟ توسعه‌دهندگان می‌توانستند آن را چیز دیگری غیر از «محرمانه» بگذارند: این واژه روی روان و برداشت افراد اثر می‌گذارد. خیلی پیش می‌آید که فرد بعد از ساخت چت محرمانه در تلگرام از طرف دوستان و افراد دیگر تکه‌کلام‌هایی مثل «اوه خدای من چه جاسوس‌مأبانه»، «چه چیزهایی را قرار است از بقیه قایم کنی که اینجا آمدی؟» و ... دریافت می‌کند. البته این اتفاق همیشه نمی‌افتد اما حقیقت این است که وقتی از چت معمولی به چت محرمانه وارد می‌شویم همه‌مان یک جور درگیر واکنش عاطفی می‌شویم. حس جاسوسی، فضولی یا عملیات دزد و پلیسی بهمان دست می‌دهد. این واژه ساده و به ظاهر بی‌گناه درست مغز افراد را هدف می‌گیرد.

بگذارید تأکید کنیم که این حس دلیل خاصی هم ندارد اما تجربه می‌شود. وقتی در واتس‌اپ یا سیگنال چت می‌کنید هیچ کس نه می‌پرسد و نه برایش مهم است که از رمزنگاری پایان به پایان استفاده می‌شود یا نه. دلیلش این است که همه چت‌های این پیام‌رسان‌ها بدون اینکه کسی ازشان درخواست کند پیش‌فرض وجود دارند اما تلگرام که ذاتش می‌طلبد چت را به چتی از آن خود تبدیل کند کاری می‌کند کاربرانش معذب شوند (تازه اگر نخواهیم بگوییم باعث می‌شود آن‌ها حس حماقت محض بهشان دست دهد).

4.      بی‌رنگ شدن

وقتی می‌فهمیم که چت‌های محرمانه تلگرام قابلیت‌های چت‌های معمولی‌اش را ندارند که تازه سناریو وخیم‌تر نیز می‌شود. و گرچه این فهرست طولانی نیست –نه واکنش با اموجی‌ای هست و نه پیام‌های پین‌شده- اما نبود آن‌ها حسابی افراد را کِنِف می‌کند. و این قابل‌درک است: نبود حریم خصوصی کامل، انتزاغی است و این درحالیست که نداشتن امکانات و قابلیت‌های مذور کاملاً ملموس و محسوس است. باری دیگر بگوییم که هیچ دلیلی برای این واکنش‌های عاطفی وجود ندارد. در واتس‌اپ واکنش‌های اموجی عالی عمل می‌کنند –رمزنگاری پایان به پایان ذره‌ای در روند آن تداخل ایجاد نمی‌کند. حتم داریم توسعه‌دهندگان چت محرمانه تلگرام انقدر از تعبیه چنین ویژگی‌ای دل‌چرکین بودند که حاضر نشدند برایش وقت بگذارند و بدان شاخ و برگ اضافه کنند!

5.      بیش از دو نفر بیایند، مزاحمند

فرض کنید می‌خواهید با چند نفر در چت محرمانه تلگرام گروهی صحبت کنید (تازه با نبود امکانات چت‌های معمولی هم کنار آمده‌اید): جا نخورید! چنین قابلیتی وجود ندارد! در واقع چت‌های گروهی تلگرام هیچیک به رمزنگاری پایان به پایان مجهز نستند. اصلاً چنین گزینه‌ای وجود ندارد. برای صحبت کردن گروهی در تلگرام یا باید به چت معمولی تن دهید یا زحمت دهید همگی به مسنجر دیگری مهاجرت کنید که اینجا تازه داستان دیگر شروع می‌شود: فقط کافیست یکی از اعضای گروه سر نساز داشته باشد و شروع کند غر زدن. راستش اگر دید فنی به ماجرا نگاه کنیم پیاده‌سازی رمزنگاری پایان به پایان برای چت‌های گروهی کار آسانی نیست ولی شاهدیم که واتس‌اپ، سیگنال و تریما هر سه این ویژگی را پیش‌فرض ارائه می‌دهند. حتی برای ویدیو کنفرانس هم این قابیت را گذاشته‌اند.

6.      بیشتر همیشه به معنای بهتر نیست

تلگرام یک کار دیگر هم بلد است که نهایتاً به گیج شدن بیشتر کاربرانش منجر می‌شود: توانایی در ساختن هر چند تعداد چت محرمانه با یک نفر واحد! دلیل هم واضح است: چت‌های محرمانه به کلید رمزنگاری گره خورده‌اند؛ همان کلیدی که روی دستگاه ذخیره شده و نمی‌شود جای دیگری انتقالش داد. بدیهی است که توسعه دهندگان تلگرام می‌خواستند امکان استفاده از این پیام‌رسان را در چندین دستگاه به طور همزمان فراهم کنند. از این رو کثرت گفتگوهای رمزگذاری شده: برای هر دستگاه جدید باید یک چت مخفی جدید ایجاد کنید (اگرچه WhatsApp به نوعی توانست این مشکل را بدون چند برابر کردن چت ها حل کند).

و از آنجایی که به هر حال چنین گزینه ای وجود دارد، چرا ادامه ندهیم؟ بیایید به کاربران اجازه دهیم تا به تعداد دلخواه چت مخفی ایجاد کنند (در کنار چت های معمولی). اعتراف می‌کنیم در برخی شرایط عجیب و غریب، ممکن است چندین چت جداگانه با یک شخص مفید باشد.  اما در بیشتر موارد بسیار ناخوشایند است و سردرگمی غیر ضروری را اضافه می‌کند. به ویژه چالش برانگیز است که سعی کنید به خاطر بیاورید در کدام دستگاه و در کدام چت شخصی شماره تلفن یا اطلاعات دیگری (لینک، ایمیل، شماره حساب، آدرس) را که در حال حاضر مورد نیاز است برای شما ارسال کرده است. برای برخی، این سردرگمی استدلال قانع کننده ای علیه استفاده از حالت چت مخفی است.

7.      باز هم بگوییم؟

چت‌های معمولیِ رمزنگاری‌نشده روی سرورهای تلگرام ذخیره می‌شوند و خودکار بعد از sign in شدن در مسنجر روی همه دستگاه‌ها ظاهر می‌گردند. همانطور که بالاتر گفتیم این روی چت‌های محرمانه رمزنگاری‌شده صدق نمی‌کند: اینها روی دستگاه می‌مانند. اگر گوشی جدید خریدید و خواستید همه داده‌ها را روی آن ببرید چه؟ (مانند دیالوگ‌های رمزنگاری‌شده تلگرام)؟: کاری نمی‌شود کرد. تلگرام به شما اجازه نمی‌دهد چت های مخفی را به یک دستگاه جدید انتقال دهید. برای اندروید شاید راهکارهای اصطلاحاً خانگی وجود داشته باشد، اما استفاده از آنها نه ساده است و نه بی خطر. و برای کاربران آیفون چنین روش های مشکوکی اصلا وجود ندارد. بنابراین، اگر به یک تلفن جدید سوئیچ کنید، تمام پیام‌های تلگرام در چت‌های مخفی برای همیشه از بین خواهند رفت.

چند نکته دیگر: ابتدا باید همه چت های مخفی خود را دوباره راه اندازی کنید و به یاد داشته باشید که با چه کسی در دستگاه قدیمی خود چت کرده اید. دوم، باید به همه مخاطبین خود توضیح دهید که یک تلفن جدید دارید و آنها باید در یک چت جدید بنویسند زیرا دیگر به چت های قدیمی دسترسی ندارید. فکر نکنید که تلگرام این کار را برای شما انجام می‌دهد. دوستان شما همچنان چت‌های قدیمی را در دستگاه های خود خواهند داشت. آنها حتی می‌توانند چیزی را در آنها ارسال کنند، اما شما هرگز آن را نخواهید دید.

راز ممنوع

اگر بخواهیم خلاصه‌اش کنیم: اگرچه از نظر تئوری امکان برقراری ارتباط امن در تلگرام از طریق چت های مخفی وجود دارد، اما در عمل همه چیز چندان ساده نیست. از آنجایی که اکثر مردم همیشه مسیر کمترین مقاومت را ترجیح می‌دهند، در نهایت از چت‌های معمولی بدون رمزگذاری پایان به پایان استفاده می‌کنند. بسیاری احتمالاً حتی متوجه نمی‌شوند از یک کانال محافظت‌نشده استفاده می‌کنند. اما حتی اگر این کار را انجام دهند، به احتمال زیاد به خاطر حفظ حریم خصوصی، درد و رنج را نمی‌بینند و با تلاش برای برقراری ارتباط امن با شک و تردید برخورد می کنند.

یک بار دیگر: محافظت از تمام ارتباطات تلگرام شما کار آسانی نیست. این کار مستلزم تلاش فراوان از سوی شما و بدون تضمین موفقیت است. و حتی اگر با تلاش بسیار بتوانید چت‌های خود را مخفی کنید، چت‌های گروهی شما بدون توجه به هر اتفاقی رمزگذاری نشده باقی می‌مانند.

[1] end-to-end encryption

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.