متن شماره 5 – اینترنت و امنیت

اول از همه اینو بدون که وقتی پاتو میزاری توی اینترنت و هر نتورک دیگه ای، هم چیزت رو همه کس میتونن بخونن و میخونن. پس شل کن یا اصلا نیا.

وقتی یکی با ی چیزی میاد تو اینترنت اینو باید قبول کنه که همه میتونن از ارتباطش با هر کس/چیز دیگه ی کپی بردارن و برن بعدها بخونن و ازش استفاده کنن. وقتی وصل میشی به یک شبکه ای حتی اگر یه سیستم با سکوریتی خفن باشی (مثل بانک) تیز هوشی هایی وجود داره همیشه که میشه این همه تدابیر امینتی رو کنار بزنه. وقتی دستگاهت به هر شبکه ای وصل میشه بالاخره ی جوری به بقیه کلاینت هایی که توش هستن ی خبر میرسه که ی عضو جدید داریم. از broadcast ها بگیر تا پکت هایی که میرور میشن.

حالا ی شکبه مثل اینترنت رو در نظر بگیریم. برای حفظ امنیتمون باید اول از هم از درست و حسابی بودن کلاینت خودمون مطمئن بشیم. شما رفتی توی ی شرکت که همه سیستم ها ویندوز دارن و روی اکتیودایرکتوری هستن. اگه به دامین وصل نبودن 50 درصد آدم خیالش راحت بود. حالا که وصله باید بدونیم که ادمین دامین بدون اینکه بفهمه میتونه کل تنظیمات سیستمت رو بدون اینکه بفهی از راه دور عوض کنه. مثلا نرم افزار جدید نصب کنه، ریموت دسکتاپت رو باز کنه و نذاره ببندیش، ویندوزت رو آپدیت کنه، فایل هاتو ببینه و هزار تا چیز دیگه به مخیله ات نمگنجه. این همه رو هم اگه فکر کردی با دسترسی لوکال ادمین میتونی عوض کنی کور خوندی. سر خودم اومده. پس این از سیستم عاملت و برنامه های کاربردیت.

دوم، وقتی کلاینتت به ی سویچ وصل میشه که ته سویچ رو میشه وصل کرد به ی دستگاهی و از هرچی که توش راه رد میشه ی کپی برداشت کرد. اگر هم به مودم adsl خونه وصل میشی بدون اونور خط تلفن رو ندیدی و نمیدونی چه خبره.

سوم، وقتی اطلاعاتت داره مسیریابی میشه و میره بیسن روتر ها میگرده، هر کی میتونه ی کپی ازش برداره. پس پکتی نفرست که دیتای توش plaintext باشه. از الگوریتم های des و این خز و خیلا هم استفاده نکن. کارت گرافیک هست دو سوت بازش میکنه.

چهارم، وقتی پکتت رسید به مقصد، از کجای میدونی برنامه نویس اون سروره ی کپی نگیره برا خودش؟ حالا گیریم برنامه خوب نوشته شده باشه، دیتای توی دیتابیس رو میخوای چی کار کنی. اعتقاد من اینکه هر سایتی رو میبینی داره ازت رمز میگره بدون که داره plaintext ذخیره میکنه. مغز خر خورده بیاد hash کنه یا رمزش کنه. اورهد داره میفهمی. نباید این کارو بکنی. حالا میخوای بگی نه دیتابیسمم safe عه و عالیه. بالاخره ی خری داره دیتای رمز شده رو باز میکنه و این عملیات نتیجه دیتای بدون رمز رو برای چند لحظه هم که شده میریزه توی RAM که اگه دیباگر سخت افزاری داشته باشی اطلاعات اون هم میشه دید. پس اینو بدون که همه چیز رو همه کس میتونن بخونن و it is the matter of time زمانش متفاوته.

حالا چجوری از اتباط بین راه مطئن بشیم که امنه و واقعا امنه تا وقتی که به برسه به سرور؟

از وی پی ان استفاده کنیم؟/؟؟؟؟؟ .. . . . . . . نه

وی پی ان هم درسته بین خودت و وی پی ان سرورت دیتا رمز میره میاد ولی از وی پی ان به بعدت چی؟ اینم failed.

ابزار دیگه هست به نام Tor که یک نتورک روی نتورک فعلیته. اوپن سورسه و خوبه. حتما برین در موردش بخوننین تا ببینین چجوری اطلاعات رو جابجا میکنه. سرعتش به خاطر رمزنگاری هایی که داره پایینه و گوگل و cloudflare میفهمن و کپچا های طولانی برات لود میکنن. شاید ی سایتی هم نتونی بری.

روی Tor هم اینترت رو داری و هم شبکه ی دیگه رو. میتونی روی اون شبکه دیگه سرورت رو بیاری بالا و توش مواد مخدر بفروشی (silk road) و میتونی (child porn) بذاری با بیت کوین که اونم مثل Tor اما تو شبکه ارزی هست، درآمد داشته باشی.

وقتی با Tor میخوای سایت معمولی اینترنت بری حواست به HTTPS بودنش باشه. و گرنه کسی که توی نود آخر مدار Tor نشسته دیتات رو مث کف دست میخونه.

امثال Tor زیادن ولی خصوصی ان. شبکه وزارت دفاع آمریکا و اینا مال خودشونو میارن بالا.

حواست به جمع شدن دیتات توی مقصد هم باشه. کسی وسط راه نتونه برداره توی مقصد میتونه.

تلفن عمومی ی ویژگی داشت قبلنا که ی کارت از دکه میخردی بدون اینکه هویتت فاش بشه زنگ میزدی به این و اون و تهدید میکردی و مواد جابجا میکردی و اینا. ولی الان این آدم های فلان فلان شده کارت تلفن رو با کد ملیت و رمز صادر میکنن که رد تماست هم باشه و پای تو گیر باشه.

به امید روزی که هیچ لاگی نباشه و هر ارتباطی ناشناس باشه.

کسی هم راه دور زدن این تلفن کارتی ها رو پیدا کرد بیاد کامنت بذاره بقیه بدونن تا راحت تر به کارشون برسن.

https://github.com/morabayealbalou/open-notes/blob/master/note-5-internet-and-security.txt