شناسه خبر : 21224 لینک کوتاه
تاریخ انتشار:

سامانه‌های پایش ترافیک، داده‌های رمز‌نشده را می‌خوانند

امکان‌سنجی نظارت بر شبکه‌های اجتماعی

به منظور درک بهتری از این مطلب، لازم است تا آشنایی اولیه‌ای با ساختار اینترنت و نحوه تعامل دستگاه‌های متصل به آن داشته باشیم.

index:1|width:45|height:45|align:right عادل افشاری‌پور / متخصص امنیت شبکه

به منظور درک بهتری از این مطلب، لازم است تا آشنایی اولیه‌ای با ساختار اینترنت و نحوه تعامل دستگاه‌های متصل به آن داشته باشیم.
برای اتصال دو یا چند رایانه به یکدیگر و انتقال اطلاعات، لازم است که این رایانه‌ها هر کدام شناسه منحصر ‌به ‌فردی داشته باشند. برای اختصاص این شناسه‌ها و نیز همچنین برای انتقال اطلاعات، نیازمند مجموعه قوانین و قراردادهایی هستیم که اصطلاحاً به آن پروتکل می‌گویند.
شبکه جهانی اینترنت از مجموعه‌ای از این قراردادها تشکیل شده است که مهم‌ترین آن، TCP/IP1 نام دارد.TCP/IP مخفف پروتکل اینترنت/پروتکل کنترل انتقال است. این پروتکل‌ها در اواخر دهه 1960 توسط سازمان دفاع آمریکا ایجاد شد.
در مدل TCP/IP، به هر وسیله‌ای که متصل به شبکه می‌شود، شناسه‌ای منحصر ‌به ‌فرد، که ‌آی‌پی نام دارد، اختصاص داده می‌شود. همچنین هر دستگاه نیازمند سخت‌افزاری است که این نقل و انتقالات اطلاعات را انجام دهد. این قطعات نیز دارای شناسه منحصر ‌به ‌فرد هستند، که به آن شناسه (آدرس فیزیکی) MAC گفته می‌شود.
از سال 1960 تاکنون تعداد دستگاه‌هایی که می‌توانند به شبکه اینترنت متصل شوند به طرز چشمگیری افزایش یافته است. بخش قابل توجهی از این دستگاه‌ها تلفن‌های همراه و تبلت‌ها هستند. امروزه کاربری‌های متفاوتی از قبیل تفریحی، سرگرمی، خدمات بانکی، خدمات دولتی و غیره از طریق اینترنت در دسترس است. همچنین طی سال‌های اخیر پدیده‌ای به نام شبکه‌های اجتماعی به وجود آمده است که در ظاهر برای نزدیک‌تر کردن فاصله انسان‌ها با یکدیگر ساخته شده‌اند و مجموعه‌ای از امکانات را در اختیار کاربران‌شان قرار می‌دهند. برخی از این شبکه‌های اجتماعی دارای چنان محبوبیتی هستند که می‌توان آنها را نمونه‌هایی از جامعه و دنیای واقعی دانست و به همین دلیل به آنها دنیای مجازی نیز گفته می‌شود.
حال با در نظر گرفتن میزان اهمیت اینترنت و نقش آن به دلیل فراهم آوردن نیازهای روزمره در زندگی ما، لازم است که ساختار کنترلی دقیق و کاملی به منظور تضمین صحت عملکرد کلی آن و نیز واکنش به اتفاقات و خطرات احتمالی آن وجود داشته باشد.
همان طور که در هر جامعه‌ای، عده‌ای دنبال سودجویی هستند، در دنیای مجازی نیز این امر رایج است و به همین دلیل نیاز است که این افراد شناسایی شوند و با آنها برخورد مناسب صورت گیرد. این سودجویی‌ها ممکن است به دلایل متفاوتی صورت گیرد، از جمله دلایل فردی یا حکومتی؛ مانند فردی که دنبال منافع مالی برای خود می‌گردد یا کشوری که با کشوری دیگر خصومت یا رقابت دارد.
در کشورهای مختلف وظیفه رسیدگی به جرائمی که در اینترنت و نیز از طریق اینترنت اتفاق می‌افتد بر عهده پلیس متناظر با آن جرائم است که پلیس اینترنتی نام دارد. در ایران نیز پلیس فتا (پلیس فضای تولید و تبادل اطلاعات) مسوول این امر است.
کشف جرم در حالت کلی به دو صورت انجام می‌گیرد: 1- به صورت پیشگیرانه 2- به صورت بررسی شواهد پس از وقوع جرم.
بدیهی است که از نظر عقلانی بهتر است تا جایی که امکان دارد قبل از وقوع یک جرم یا حادثه از آن مطلع شد و نسبت به عدم رخداد آن واکنش مناسب اتخاذ کرد. بدین منظور پلیس فتا با امکاناتی که در اختیار دارد، با رصد دائمی فضای مجازی نسبت به این امر اقدام می‌کند.
همان طور که پیشتر گفته شد، هر دستگاهی که به اینترنت وصل می‌شود، دو شناسه منحصر ‌به ‌فرد دارد. طبق قوانین جاری کشور، ادارات، شرکت‌ها، سازمان‌ها و نیز مراکزی که خدمات اینترت ارائه می‌دهند، می‌بایست اطلاعات هویتی کاربران، سایر اطلاعات کاربری شامل روز و ساعت استفاده،IP اختصاص‌یافته و فایل گزارش وب‌سایت‌ها و صفحات رویت‌شده را ثبت و حداقل تا شش ماه نگهداری کنند.
به منظور نظارت هرچه دقیق‌تر و بهتر بر فضای مجازی، ابزارهایی وجود دارند که قابلیت بازبینی محتوا را در پایین‌ترین سطح شبکه فراهم می‌آورند. این ابزارها قابلیت یادگیری هوشمند را نیز دارند، بدین معنی که می‌توان آنها را به گونه‌ای تنظیم کرد که به صورت خودکار موارد مشکوک را پیدا کنند و گزارش دهند. منظور از محتوا هرگونه اطلاعات قابل انتقال از طریق اینترنت، مانند تصاویر، فایل‌های صوتی، فایل‌های تصویری و نیز متن است. معمولاً سامانه‌های تشخیص جرم به صورت کشوری عمل می‌کنند، بدین معنی که تمام اطلاعات از اقصی نقاط کشور به صورت متمرکز در یک جا جمع می‌شود و سپس کنترل‌های مد نظر بر روی آنها اجرا می‌شود. لازم به ذکر است که جمع‌آوری اطلاعات الزاماً به معنی جمع‌آوری خام داده‌ها از مبدأ نیست و می‌توان بر اساس فاکتورهای متفاوتی، از قبیل منطقه جغرافیایی، به صورت محلی ابتدا پردازش اولیه‌ای بر روی آنها اعمال شود و سپس به مرحله بعدی ارسال شوند. ابزارهایی که قابلیت کنترل محتوا را می‌دهند معمولاً با نام DPI شناخته می‌شوند. این ابزارها قابلیت کپی‌برداری از تمامی اطلاعات در حال انتقال را دارند. همچنین این ابزارها می‌توانند به عنوان دستگاه‌های واسط، در شبکه قرار بگیرند که در این حالت مانند پروکسی‌ها عمل می‌کنند و می‌توانند اطلاعات در حال انتقال را رمزگشایی کنند. پروکسی‌ها به آن دسته از برنامه‌ها یا سخت‌افزارهایی گفته می‌شود که به‌جای انتقال مستقیم ترافیک از مبدأ به مقصد، در وسط مسیر انتقال قرار گرفته و بر اساس قوانین تعریف‌شده در پروکسی، ترافیک را به مسیرهای دلخواه هدایت می‌کنند. همچنین این پروکسی‌ها قابلیت تغییر محتوای اطلاعات انتقالی را نیز دارند.
اطلاعات انتقالی در اینترنت را می‌توان در حالت کلی به دو قسمت تقسیم کرد: 1- اطلاعات رمز‌شده 2- اطلاعات رمز‌نشده.
اطلاعات رمز‌شده را نیز می‌توان به دو دسته تقسیم کرد:
1- اطلاعاتی که با روش‌های رایج رمزنگاری رمز ‌شده‌اند، 2- اطلاعاتی که با استفاده از الگوریتم‌های انحصاری رمز ‌شده‌اند.
در برخی کشورها بر اساس صلاحدید مراجع قانونی آن کشور، اطلاعات طبقه‌بندی می‌شود و از دسترسی به اطلاعاتی که مغایر با قوانین و منافع آن کشور باشد ممانعت به عمل می‌آید. همچنین کشورهای مختلف بر اساس سیاست‌های داخلی خود ممکن است دسترسی به منابع اطلاعاتی کشور خود را برای افرادی که خارج از آن کشور هستند محدود یا کلاً غیرقابل استفاده کنند. نمونه بارز این گونه سیاست‌های محدود‌کننده، تحریم‌های ناجوانمردانه و یک‌طرفه‌ای است که دولت آمریکا و به تبعیت از آن، کشورهای هم‌پیمان با آمریکا، برای کاربران اینترنت ساکن در ایران وضع کرده‌اند که طی آن، حق استفاده از سرویس‌هایی که در تمام نقاط دنیا به طور رایگان در اختیار دیگران قرار داده‌اند، از ایرانیان گرفته شده است. بدین منظور و در شرایط مشابه، راهکارهایی اتخاذ می‌شود که اصطلاحاً به آن راهکارهای گذر از فیلتر گفته می‌شود و ابزارهایی برای آن وجود دارد. نحوه عملکرد این ابزارها بدین گونه است که ابتدا ترافیک را به مقصدی غیر از مقصد اولیه هدایت می‌کنند سپس از آن مقصد، به مقصد نهایی انتقال می‌دهند؛ عملکردی مشابه عملکرد پروکسی‌ها. این دسته از برنامه‌ها می‌توانند تمامی ترافیک یا بخشی از ترافیک را منتقل کنند که بر حسب نوع ترافیک انتقالی آنها، می‌توان به صورت ساده آنها را پروکسی یا VPN نامید.
دسته دیگری از این ابزارهای عبور از فیلتر (پروکسی‌ها) وجود دارد که ترافیک را بر اساس پروتکل تعریف‌شده برای انتقال آن، انتقال نمی‌دهد و به‌جای آن، ابتدا ارتباطی از نوع یک پروتکل نامرتبط با مقصدی برقرار می‌کند و سپس ترافیک اصلی را بر روی ارتباط ایجادشده، انتقال می‌دهد.
چند نکته در استفاده از این ابزارها وجود دارد که حائز اهمیت است: اولاً این ابزارها را چه فرد یا سازمانی ایجاد کرده است؟ ثانیاً این ابزارها با چه مقاصدی در اختیار عموم یا خواص قرار گرفته‌اند؟ و ثالثاً اینکه آیا این ابزارها ترافیک را به صورت رمز‌شده انتقال می‌دهند یا به صورت رمز‌نشده؟ و اگر به صورت رمز‌شده، از چه نوع رمزنگاری برای انتقال داده‌ها استفاده می‌کنند؟
سامانه‌های پایش ترافیک به راحتی‌ترافیک و داده‌های رمز‌نشده را بررسی کنند. اکثر برنامه‌های پیام‌رسان، مانند وایبر، واتس‌آپ و غیره، عمدتاً به دلیل افزایش سرعت، از ارتباطات رمز‌نشده در شبکه استفاده می‌کنند. زیرا استفاده از رمزنگاری مستلزم این است که اطلاعات در سمت کاربر (فرستنده) رمز شود و در سمت کاربری دیگر (گیرنده) رمزگشایی شود و فرآیند رمزنگاری معمولاً باعث افزایش حجم داده می‌شود و میزان بیشتر داده برای انتقال، با در نظر گرفتن زمان ثابت، نیازمند سرعت بیشتر است.
همچنین وب‌سایت‌ها و شبکه‌های اجتماعی که در ظاهر از ارتباطات امن استفاده می‌کنند، اکثراً ارتباط امن را منحصر به ورود به سایت و آن سامانه در نظر می‌گیرند و در سایر مراحل انتقال اطلاعات، مانند ایجاد مطالب جدید یا به اشتراک‌گذاری مطالب دیگران، از ارتباطات امن استفاده نمی‌کنند.
سامانه‌های پایش ترافیک قابلیت برقراری ارتباط امن را نیز دارند. بدین معنی که می‌توانند از گواهینامه‌هایی که ظاهراً اصلی بوده و برای یک سایت خاص تعریف شده‌اند، به صورت محلی و داخلی استفاده کنند تا بتوانند ترافیک‌های رمز‌شده را با استفاده از آن گواهینامه‌ها، بازگشایی و کنترل کنند. در این حالت کاربر ظاهراً با سایت مقصد خود ارتباط امن برقرار کرده است، اما در واقع با آن ابزار کنترل ترافیک ارتباط امن برقرار کرده است. این حالت در مورد ابزارهای فیلترشکن نیز صدق می‌کند. بدین معنی که ممکن است با استفاده از یک برنامه فیلترشکن، کاربر این‌گونه فکر کند که ارتباط آن به صورت رمز‌شده با سرورهای سرویس‌دهنده فیلترشکن (یا وی‌پی‌ان) برقرار شده است، اما در واقع این ارتباط با سامانه پایش ترافیک برقرار شده باشد.
سامانه‌های کنترل و پایش ترافیک همچنین قابلیت ارتباط‌دهی اطلاعات با یکدیگر را نیز دارند. بدین معنی که می‌توانند اطلاعات تقریباً مشابه را طبقه‌بندی و از مجموع آنها نتیجه‌گیری کنند. این سامانه‌ها معمولاً دارای آستانه عملکردی نیز هستند، به این صورت که اگر تعداد یک رخدادی از حدی بیشتر شد، مثلاً مشاهده یک تصویر یا یک کلمه، نسبت به دسته‌بندی و کنترل آن اقدام کند. این آستانه‌ها به محدود کردن ناحیه جرم و نیز گسترش آن کمک زیادی می‌کنند. به منظور کشف جرم و رصد برخط روش‌های دیگری نیز به کار گرفته می‌شود که از جمله آنها می‌توان به موارد زیر اشاره کرد:
1- استفاده از تکنیک‌ها مهندسی اجتماعی
در این روش، پلیس در قالب افراد عادی عضو شبکه‌های اجتماعی می‌شود تا بتوانند از نزدیک شاهد تحرکات و رفتارهای هدف مورد نظر خود باشند.
2- استفاده از ابزارهای جمع‌آوری اطلاعات
همان‌گونه که افراد سودجو ممکن است برای رسیدن به مقاصد خود از ابزارهای جمع‌آوری اطلاعات مانند بدافزارها استفاده کنند، پلیس نیز می‌تواند از این ابزارها علیه آنها استفاده کند.
3- روش‌های نفوذ
با استفاده از این روش‌ها پلیس می‌توانند به دستگاه‌های افراد مظنون و مجرم نفوذ کند و اقدامات لازم را انجام دهد.
همچنین روش‌های دیگری وجود دارد که بیان کردن آنها خارج از چارچوب این مقاله است، اما در عمل قابلیت کاربردی دارند.
1- توسعه روزافزون زیرساخت‌های فناوری اطلاعات و ارتباطات در کشور و افزایش کاربران و استفاده‌کنندگان از اینترنت و سایر فناوری‌های اطلاعاتی، ارتباطی و مخابراتی نظیر خطوط تلفن‌های ثابت و همراه، شبکه‌های دیتای کشوری و محلی، ارتباطات ماهواره‌ای از جمله دلایلی است که لزوم ایجاد و توسعه سازوکاری برای برقراری امنیت در فضای تولید و تبادل اطلاعات جمهوری اسلامی ایران را توجیه می‌کند.
همچنین توسعه خدمات الکترونیک در کشور نظیر دولت الکترونیک، بانکداری الکترونیک، تجارت الکترونیک، آموزش الکترونیک و سایر خدماتی از این دست نیز لزوم ایجاد پلیسی تخصصی در مجموعه نیروی انتظامی جمهوری اسلامی ایران را برای تامین امنیت و مقابله با جرائمی که در این فضا به وقوع می‌پیوندند آشکار می‌کند.
از سوی دیگر، رشد قارچ‌گونه‌ جرائم در حوزه فضای تولید و تبادل اطلاعات کشور (فتا) مثل کلاهبرداری‌های اینترنتی، جعل داده‌ها و عناوین، سرقت اطلاعات، تجاوز به حریم خصوصی اشخاص و گروه‌ها، هک و نفوذ به سامانه‌های رایانه‌ای و اینترنتی، هرزه‌نگاری و جرائم اخلاقی و برخی جرائم سازمان‌یافته اقتصادی، اجتماعی و فرهنگی ایجاب می‌کند که پلیس تخصصی که توان پی‌جویی و رسیدگی به جرائم سطح بالای فناورانه داشته باشد، به وجود آید.
از سوی دیگر با توجه به تصویب قانون جرائم رایانه‌ای در مجلس شورای اسلامی و لزوم تعیین ضابط قضایی برای این قانون و نیز مصوبات کمیسیون فتای دولت جمهوری اسلامی ایران مبنی بر تشکیل پلیس فضای تولید و تبادل اطلاعات، این پلیس در بهمن‌ماه سال 1389 به دستور سردار فرماندهی محترم نیروی انتظامی جمهوری اسلامی ایران تشکیل شد. ایجاد امنیت و کاهش مخاطرات برای فعالیت‌های علمی، اقتصادی، اجتماعی در جامعه اطلاعاتی، حفاظت و صیانت از هویت دینی و ملی، مراقبت و پایش از فضای تولید و تبادل اطلاعات برای پیشگیری از تبدیل شدن این فضا به بستری برای انجام هماهنگی‌ها و عملیات برای انجام و تحقق فعالیت‌های غیرقانونی و ممانعت از تعرض به ارزش‌ها و هنجارهای جامعه در فتا از جمله وظایف و ماموریت‌های پلیس فضای تولید و تبادل اطلاعات ناجاست.

دراین پرونده بخوانید ...

دیدگاه تان را بنویسید

 

پربیننده ترین اخبار این شماره

پربیننده ترین اخبار تمام شماره ها