parisasalehiii550
parisasalehiii550
خواندن ۱۹ دقیقه·۴ سال پیش

دیتا هیچ جا قفل ندارد، آیفون، واتساپ، وی‌پی‌ان

علیرضا دقیقی، حقوقدان حوزه‌ی سایبری در گفت‌وگو با انصاف نیوز به دیتاها و اطلاعاتی می‌پردازد که روزانه در فضای مجازی و حقیقی آنها را از دست می‌دهیم. از انحصار آمریکا روی اطلاعات سایبری تا اثرانگشت برای خرید یک سیمکارت. فضایی که به نظر می‌رسد امکان ایجاد هرگونه حریم خصوصی را از ما سلب کرده است و امکان کنترل فضا از سمتی و جرم سابری را از سمت دیگر تقویت می‌کند. در ادامه متن کامل گفت‌وگوی انصاف نیوز با علیرضا دقیقی را می‌خوانید:


انصاف نیوز: به طور کلی چه اطلاعاتی دارای ارزش هستند؟

دقیقی: در موضوع ارزش‌گذاری یک کالا یا خدمت، باید دید که این کالا فی‌النفسه دارای ارزش است یا نه. طلا، خاک و داده؛ فی‌النفسه دارای هیچ ارزشی نیستند. شیوه‌ی استفاده و همچنین نیاز ما بسته به اینکه چه مقدار از کالا موجود باشد و چطور می‌شود از آن استفاده کرد و اصولا میزان تقاضای کالا چقدر است قیمت را مشخص می‌کند. در خصوص ارزش داده‌ها اصلی‌ترین شاخص این است که متعلق به چه شخص یا شرکت و موسسه یا حکومت قدرتمندی است و بنا بر سطح تاثیر و ارتباطات آن، ارزش داده ها فزونی پیدا می‌کند.

در شکل گیری و اداره‌ی کشور یک سری اطلاعات نقش کلیدی دارد. مثلا اسم افراد که فی‌نفسه داده است و ارزشی ندارد اما بسته به شخص شما و اینکه متقاضی این داده کجاست، دارای ارزش می‌شود و یا فرضا تاریخ تولد شما برای تمیز اسم فرد از دیگر کسانی که این نام را دارند ارزش پیدا می‌کند. اعتبار داده‌ی یک نفر مربوط به منابع مالی، روابط سیاسی و پارامترهای دیگر متغیر است. ما از داده‌هایی صحبت می‌کنیم که فی‌نفسه ارزشی ندارند اما بسته به اینکه چه کسی می‌خواهد به این داده برسد و چه منافعی پشت این داده است. داده‌هایی که ما فکر می‌کنیم بی‌ارزش است در جای خود اعتبار پیدا می‌کند. من هیچ ارتباطی با همسایه‌ی خود ندارم اما اگر یک گوشی اپل داشته باشم و کنار دیوار همسایه‌ باشم می‌توانم تحت شرایطی داده‌های او را به سرقت ببرم. اینجا است که گوشی من و محل مسکونی من اعتبار پیدا می‌کند.

گوشی‌ها بدون اینکه شما بخواهید داده‌ها را جمع‌آوری می‌کنند، برای توضیح بهتر به عقب برمی‌گردم، تمام دیتاهایی که در تلویزیون، رادیو، رادیوهای اینترنتی و کلا رسانه‌های صوتی و تصویری و هر دیتایی که از اینترنت مخابره می‌شود همه ذخیره می‌شوند. آمریکا، کانادا، آلمان و فرانسه این کار را می‌کنند. حتی اگر این اطلاعات را پاک کنید باز نگهداری می‌شوند. در دنیایی که من می‌شناسم هیچ دیتایی قفل ندارد.

پس به نوعی با یک نوع انحصار مواجه هستیم؟

می‌دانید که کشورها قادر به تولید cpu نیستند، چرا که من معتقدم چنین اجازه و دانشی را ندارند -جز امریکا جای دیگری حق تولید cpu ندارد- (یعنی یا شرکت در آمریکا است یا آمریکایی است)، شرکت‌هایی مثل سامسونگ هم که در بستر کار خود cpu تولید می‌کنند تحت لیسانس آمریکا این کار را می‌کنند. و از طرفی وسایل الکترونیکی‌ای که می‌توانند به اینترنت وصل شوند اگر بخواهد کار کند باید آدرس یکتای جهانی داشته باشد و از طرفی همه اطلاعات در کامپیوتر برای تحلیل حتما باید به زبان کامپیوتر تبدیل به صفر و یک شود. وقتی چیزی سرچ می‌کنید کامپیوتر یا هر دیوایسی آن را به کمپایلر می‌فرستد و از آنجا بدون رمزگذاری به cpu می‌رود. Cpuها دست کیست؟ همه دست آمریکا است امروزه کامپیوترها طوری طراحی شده‌اند که باید آن را وصل کنیم تا کار کند، اینجاست که اشکالات به وجود می‌آید.

با این اوصاف اطلاعات و دیتاها یا در انحصار آمریکا هستند یا در مسیر انتقال اگر کسی دانش آن را داشته باشد که در مسیر تبادل آن را بدزدد، می‌تواند از آن داده استفاده کند. به طور کلی شبکه جهانی اطلاعات سه بخش دارد؛ یک بخش آن را همه می‌بیند که این می‌تواند تا پنج درصد این اطلاعات باشد(همان جایی که مردم توسط موتورهای جستجویی مثل گوگل و یاهو و… جستجو می‌کنند) یک بخش مربوط به قسمت تاریک اینترنت می‌شود و بخشی هم مربوط به بخش عمیق آن. این دو بخش ۹۵ درصد از اطلاعات را در بر می‌گیرد؛ شرکت‌هایی و یا حکومت‌ها و یا اشخاصی هستند که اطلاعات قسمت تاریک و قسمت عمیق را در اختیار قرار دارند یا آن اطلاعات را بنا بر منافع خود می‌فروشند یا در اختیار دیگری قرار می‌دهند. یعنی یک شرکت حتی اگر سایت نداشته باشد و اطلاعاتش را به اشتراک نگذارند وقتی به اینترنت وصل می‌شود تا اطلاعاتی را بگیرد می‌توانند به اطلاعات آن دسترسی پیدا کنند.

در موضوع هواپیمای اوکراینی من معتقد بودم که داده‌های جی پی اس از طریق اختلال در سیگنالینگ توسط خرابکار، دستکاری شده بود؛ یعنی این پیام به همه دنیا داده شد که من می‌توانم داده‌های چی پی اس را دستکاری کنم و اگر این کار را کنم چه اتفاقی می‌افتد. بر همین اساس قبلا اروپایی‌ها برای خودشان یک شبکه جی پی اس مستقل راه انداخته بودند. هرچند که کل دنیا از شبکه جی پی اس آمریکا استفاده می‌کند (ایران هم باید به این سمت برود نمی‌شود که جی پی اس را به یک کشور دیگر داد و همه چیز را با آن هماهنگ کرد اگر جی پی اس را به صورت یک خوشه انگور ببینیم در جاهای مختلفی از خوشه انگور از سیگنال جی پی اس استفاده می‌شود مثلا در حمل و نقل دریایی در سیستم موشکی، در سیستم حمل و نقل شهری و …). اگر کسی داده‌ها را مختل کند فاجعه به بار می‌آید ارزش این اطلاعات زمانی که نباشد خودش را نشان می‌دهد. شما هزینه‌های زیادی برای سیستم موشکی، سیستم اتمی، حمل و نقل عمومی و غیره انجام داده‌اید، می‌بینید که در شرایط بحرانی اگر این جی پی اس دچار مشکل شود فاجعه به بار می‌آید، فاجعه‌ای که می‌تواند منجر به انقلاب و تغییر رژیم در کشورها شود یا اینکه منجر به متغیر مدیران یک شرکت شود و حتی ورشکستگی یک شرکت. (فعلا آمریکایی‌ها این قدرت را دارند اما به ندرت از آن استفاده می‌کند چون اگر از آن زیاد استفاده کند جامعه جهانی واکنش نشان می‌دهد.) می‌تواند در کشورها مولد جرم را کاهش یا افزایش دهد یا می‌تواند مسائل امنیتی به وجود بیاورد و جلوی آن را بگیرد، می‌تواند فرهنگ‌سازی کند و فرهنگ یک کشور را از بین ببرد، می‌‌‌تواند اقتصاد یک کشور را فلج کند یا نجات دهد، همه این توانمندی‌ها مبنای داده‌ای دارد.

اگر تا دیروز من جلوی یک خانم یا بچه را می‌گرفتم تا دزدی کنم، امروز شیوه‌ی کارم را تغییر داده‌ام و از داده‌ها استفاده می‌کنم تا بدانم این خانم به چه چیزهایی علاقه دارد چه عکسی را فالو می‌کند، چه کسانی او را فالو می‌کنند. اینها چیزهایی هستند که من می‌توانم به عنوان یک یوزر ثالث ببینم پس صاحبان سیستم‌ها چیزهایی را می‌بیند که کس دیگری نمی‌بیند من با فرض محرمانه بودن چتم، چت می‌کنم غافل از محرمانه بودن و نبودن آن.

با این اوصاف آیا می‌توانیم بگوییم که از اطلاعاتی که در فضای مجازی داریم نمی‌توانیم به صورت محرمانه نگهداری کنیم؟

هر چقدر هم بگوییم سکرت و محرمانه است ولی باز چت ما برای شرکت من مثلا فیسبوک سکرت نیست چون خود سازنده قفل است. از راه دیگری هم می‌شود از این داده‌ها استفاده کرد برای مثال به شرکتی که می‌تواند وارد حفره فیسبوک شود، راه نشان داده شود که وارد حفره شود و دیتاها را جمع کند یعنی همان اتفاقی که در توییتر افتاد.

این داده‌ها به حدی ارزشمند هستند که صدها ماهواره در سطح جهان به اشتراک گذاشته شده است فقط برای اینکه این داده‌ها با رایگان در اختیار گذاشتن اینترنت جهانی، جمع آوری شود. گوگل سابقه‌ی ما را می‌فهمد گذشته‌ی ما را در می‌آورد می‌تواند بفهمد که ما بیماری داریم یا نه! می‌تواند بفهمد که علاقه‌ی شما امروز چیست! می تواند بفهمد که شما ۱۰ سال پیش به چه علاقه داشتید امروز‌ علایق‌تان تغییر کرده است یا نه! گوگل می‌تواند متوجه شود که شما از اشخاصی که مثلا موی مشکی دارند خوشتان می‌آید یا بلوند یا… شما ممکن است به من یک موضوع را راست نگویید یا علاقه تان را کتمان کنید اما در گوگل آن را درست سرچ می‌کنید.چون گوگل شما را قضاوت نمی‌کند. امروز در بسیاری از آمارگیری‌ها از داده های الگوریتمی گوگل استفاده می شود. برای مثال اینکه یک کلمه مثل کرونا چند بار سرچ شده است. چند نفر دنبال عوارض آن بودند یا چند نفر دنبال جزئیات این عوارض بودند؟ با این اطلاعات مشخص می‌شود که چند نفر در دنیا با مشکلات خاص کرونا درگیر هستند.

اگر قوه‌ی قضاییه در ایران می‌خواهد اصلاح شود راه اصلاح آن از الگوریتم می‌گذرد، البته این نیاز به بحث جداگانه دارد و جایش اینجا نیست ولی این را بارها گفته‌ایم اما صدای ما به جایی نرسیده است. متخصصان زیادی در این حوزه‌ها وجود دارند که ما تربیت کننده آنا بودیم و از طرفی صادرکننده متخصصان این حوزه به اروپا و امریکا هستیم، در حالی که می‌توانیم از آنها استفاده کنیم.

در حوزه‌ی اپل، همه وسایل الکترونیکی بدون آنکه بخواهید اطلاعات را از دیوایس‌های دیگر حتی اگر نزد همسایه‌ها باشد، جمع آوری می‌کند. وقتی یک گوشی را روشن می‌کنیم بدون کسب اجازه، به دستگاه های اطرافت اتصال پیدا می‌کند. بعد از اتصال و شناسایی دیوایس هم جوار می‌پرسد نزدیک شما یک گوشی است می‌خواهید اطلاعات را از آن کپی کنیم؟ اگر من لوکیشنم را ببندم و نخواهم بگویم کجا هستم، وقتی که گوشی را تازه راه می‌اندازم اگر جی پی اس کار نکند هم به اولین وسیله الکترونیکی که نزدیکم است وصل می‌شود و داده‌ها را از آن می‌گیرد، پس به این شکل من نقطه‌ی مکانی خود را به آیفون یا هر گوشی دیگری اعلام کرده ام. اگر شما یک گوشی اپل خریده باشید و به دوربین‌ آن چسب بزنید نمی‌توانید آن را به راه بیاندازید. دوربین چهره‌ی شما را می‌بیند و بدین بهانه تشخیص می دهد که شما در هر لحظه‌ای در چه حالتی هستید. داده‌ها ریپورت می‌شوند و در یک طبقه بندی به نام مک آدرس دیوایس قرار می‌گیرند بعدها اطلاعات این طبقه بندی با داده های دیگری با نظام الگوریتمی تکمیل و اسم و مشخصات صاحب تلفن و عکس و تماس ها و شماره تلفن ها و… بدان افزوده می شود و همین تکامل می‌شود یک پیکربندی عظیم که می شود هزاران هزار کار باهاش کرد. در نهایت این اطلاعات تبدیل به کالا می‌شود و به هر کسی که متقاضی آن باشد فروخته می‌شود مثلا اگر یک کشور بخواهد این اطلاعات را بخرد و نتواند از فروشنده این اطلاعات خریداری کند. یک محلل وارد موضوع می‌شود که شرکت‌های حوزه دارک وب و دیپ وب هستند که می توانند اطلاعات را در مسیر انتقال به دست بیاورند و بفروشند. اصلا مشخص نیست چه کسانی پشت این دارک وب‌ها نشسته‌اند و کجا هستند و از چه سیستمی استفاده می‌کنند و چه طور به اشتراک می‌گذارند.

این شبکه‌ها چطور ایجاد می‌شوند؟

مگر شرکت‌های وی پی ان دیوانه هستند که خدمات رایگان دهند؟ اطلاعات شما را هم می‌گیرند و به یک نفر دیگر رایگان می‌دهند و به همین شکل یک شبکه‌ی منحصر به‌ فرد کوچک می سازند که در آن شبکه ای ساخته شده انتخاب شده تر می توان به داده ها دسترسی داشت. از طرفی همه وسایل الکترونیکی حداقل برای همگام سازی زمانشان یا هر کار دیگری مانند ایمیل و غیره، مجبور به اتصال به شبکه جهانی هستند و با مک‌ادرس واحدی که دارند (مرجع صدور مک آدرس برای هر وسیله‌ی الکترونیکی آمریکا است یعنی هر جای دنیا هم بخواهند یک وسیله‌ی الکترونیکی بسازند باید مک آدرس آن‌ را از آمریکا بگیرند تا تداخل ایجاد نشود)، وارد شبکه می‌شوند و اینجاست که را باز شده است.

اصطلاحی داریم به نام هایستیک که یک سوزن در انبار کاه است. داشتن اطلاعات به خودی خود ارزش ندارد و طبقه بندی این اطلاعات است که نشان می‌دهد چه استفاده‌ای از آن می‌شود. شما ممکن است اطلاعات زیادی روی کامپیوتر شخصی خود داشته باشید که نگه داشته‌اید تا یک روز از آن استفاده کنید و در آخر هم پاک می‌کنید. حالا اگر طبقه‌بندی درستی داشته باشند می‌بینید که می‌توانید استفاده‌ی درستی کنید. من وقتی داشتم داده‌های یک شرکت مخابراتی را بررسی می‌کردم متوجه شدم که می‌توانم از اطلاعات آن شرکت استفاده کرد یعنی با دادن شماره؛ نام و شماره پرونده شما دسترسی پیدا کنم می توان خیلی از آن سواستفاده کرد.  در یک اداره برای پروانه وکالت اطلاعاتی را می‌گیرند که نیازی به آن نیست، این اشتباه بزرگی است. آن هم در سایتی که هیچ اعتمادی به امنیت آن وجود ندارد و اگر کسی سوءنیت داشته باشد و به این اطلاعات دسترسی پیدا کند سواستفاده‌های زیادی می تواند از آنها بکند.

هر شماره ثابتی یک شماره متناظر موبایل همراه دارد و پیامک‌ها مخابرات به آن شماره موبایل ارسال می شود. متوجه شدم که شماره موبایل متناظر شرکت مخابرات به هم خورده است، این یعنی فاجعه! فکر کنید هر کاری می‌کنید به جای اینکه اس ام اس به شما بیاید به یک شماره دیگر می‌رود شنیدم یک کارشناس از روی لجبازی این کار را کرده بود. این موضوع می‌تواند باعث ورشکستگی یک شرکت شود، یکی مثل من هم می‌رود می‌گوید چرا پیام‌ها درست نیامده می‌گویند درست است حالا باید پیگیری کند تا بفهمد چه افتضاحی رخ داده است.

اینها مسائل پیچیده‌ای هستند که هزینه رو بار کشور می‌گذارند. من به یک مامور امنیتی گفتم که می‌توانم سیستمی در اختیار شما بگذارم که هر کسی که سیم کارت دومی دارد، حتی به نام خودش نیست شناسایی کنید ولی با شما قرار می‌گذارم که این فقط برای جرایمی که موجب فساد می‌شود، استفاده شود. می‌دانید کسانی که در سیستم دولتی فساد می‌کند با گوشی خودشان این کار را نمی‌کند، گفتم من به شما می‌گویم که چطور آنها را تشخیص دهید. نخواستند این را از من بخرند و عملیاتی کنند. من می‌توانم در ذهنم تصور کنم که ممکن است خودش همه گوشی ثانویه داشته باشد که از آن استفاده می‌کند اگر در یک کشوری بخواهید جرایم اقتصادی را سد کنید، می‌توانید از ابزارهای الگوریتم استفاده کنند.

یک بار یک سیمکارت ایرانسل خریدم آن را با پیک فرستادند کسی که سیم کارت را آورده بود گفت انگشت بزنید گفتم یعنی چه انگشت بزنم؟ لزومی ندارد انگشت بزنم و اگر این طور است این کارت را برگردانید کارشناس به من زنگ زد و گفت شما سیم کارت خرید کردید و آن را تحویل نگرفته‌اید، مشکل کجا بود گفتم مشکل آنجاست که از من اثر انگشت می‌خواهند، دلیلی ندارد اثر انگشت را در اختیار شرکت ایرانسل قرار دهم. وقتی این اثر انگشت‌ها را جمع می‌شود، برای نگه داری حتما آنها را اسکن می‌کنید. خوب اینجا اهمیت هایستیک پیش می آید. یعنی کسی اثر انگشت من را ندارد با اسکن برگه نشان داده می‌شود که این اثر انگشت برای علیرضا دقیقی است فکر کنید یکی از نیروهای امنیتی یک کشور سازمان‌های امنیتی نام‌های آنها را تغییر داده‌اند می‌خواهد سیمکارت بخرد یک سیمکارت را که سازمان به وی داده و اطلاعاتی در آن ثبت نشده است ولی این همسر و فرزند و مراوداتی دارد وقتی این افراد اثر انگشت داده اند و مشخصات ثبت شده دارند به تبع آن اطلاعات همه در دست است و قابلیت یکپارچه سازی دارد. ولی اطلاعات این طیف از افراد نیست و این نشان می‌دهد که اینها در چه طبقه و الگویی فامیلی و ارتباطی قرار می‌گیرند. با این روش می‌شود تمامی نیروهای امنیتی یک کشور را شناسایی کرده و این زنگ خطر است. تصور کنید شماره و مشخصات همه‌ی افرادی که در یک وزارتخانه کار می‌کنند را بشود جمع کرد خب به موقع خیلی می‌توان از این اطلاعات استفاده کرد. مثلاً یک اس ام اس را در موقعیت حساس برای آنها ارسال کرد.

ما نباید به شرکت‌ها این اجازه را بدهیم که داده‌های افراد را جمع‌آوری کنند، نیازی نیست من از شما فتوکپی شناسنامه بگیرم، این فاجعه است. فکر کنید من یک آگهی استخدام با مبلغ ۲۰ میلیون تومان حق و ماهانه بدهم، چقدر می‌توانم داده جمع کنم؟ درنهایت هم بگویم شما پذیرفته نشدید. اینکه افراد به جایی مراجعه می‌کنند و کپی کارت ملی یا شناسنامه‌ی خود را می‌دهند، یک فاجعه است. با جلوگیری از چنین کارهایی، می‌توانیم جلوی خیلی از جرایم را بگیریم. راه‌های پیشگیری از جرمی که در آینده می‌تواند اتفاق بیافتد وجود دارد.

الان اگر شما به یک بانک مراجعه کنید ظرف یک ربع به شما یک شماره حساب و کارت می‌دهد این فاجعه است. ولی در آلمان این پروسه حدود یک ماه طول می‌کشد تا اعتبارسنجی شود. دیگر نمی‌شود حساب الکی ساخت و با آن کلاهبرداری کرد. می‌شود جلوی پولشویی را گرفت. ممکن است صدها پرونده‌ی کلاهبرداری یا پولشویی شکل بگیرد.

شما چه پیشنهادی برای حفاظت از اطلاعات دارید؟

پیشنهاد من به سازمان تنظیم مقررات این بود که این سازمان دیتاها را از شرکت‌ها جمع کند، وقتی افراد در دستگاه بارکدخوان کارت ملی خود را می‌کشند بدون اینکه بستر اینترنت اطلاعات من را داشته باشد یک شناسه به اداره‌ی ثبت احوال می‌فرستد، اطلاعات از اداره ثبت احوال به سازمان تنظیم مقررات می‌رود، این سازمان تایید می‌کند که تقاضای یک کالا یا خدمت از یک شرکت مثل ایرانسل آمده، شرکت هم اطلاعات سیمکارت را به سازمان تنظیم مقررات می‌فرستد، اگر این اطلاعات با هم همخوانی داشتند سیمکارت صادر می‌شود و در اختیار شبکه پست قرار می‌گیرد، پست به فرد می‌رساند و احراز هویت می‌کند، کارت ملی در دستگاه کشیده می‌شود و اطلاعات در سازمان تنظیم مقررات رجیستری می‌شود. این کار اطلاعات را به دولت یا حاکمیت انتقال می‌دهد و او موظف است از این دیتاها محافظت کند. البته در مقابل سیستم جهانی نمی‌تواند محافظت موثری بکند اما در مقابل سارقین، چرا می‌تواند.

این کار به راحتی انجام می‌شود ما بستر و زیرساخت را داریم. قوه‌ی قضاییه یک بستر تهیه کرد که همه می‌گفتند چرا قوه‌ی قضاییه این همه هزینه می‌کند؟ در بحث کرونا در حوزه دادگاه و دادگستری از همان زیرساخت‌ها استفاده شد و مشکلات حداقلی بود. خیلی راحت قابل انجام است اگر در جایی انجام نمی‌شود به این خاطر است که منفعت عده ای از قبل آن تامین نمی‌شود.

در فضای سایبری چطور؟

در فضای سایبری عملا نمی‌شود از دادها و اطلاعات شخصی محافظت کرد مگر آنکه از گوشی‌های سبک قدیم که باطری آنها خارج می‌شود و قابلیت نصب برنامه ندارد، استفاده شود. اگر منبع تغذیه جدا شود، اطلاعات منتقل نمی‌کند. وقتی گوشی‌ها همیشه در دسترس است حتی در اتاق خواب هم می‌توان میکروفون را به نوعی باز کرد.

اگر من شرکت فراهم کننده اپلیکیشن، بخواهم در متن همه‌ی چت‌ها سرچ کنم، در عمل سردرگم می شوم؛ اما می‌توانم فضایی را به نام سکرت‌چت باز کنم، از این فضا می‌توانم همه‌ی اطلاعاتی که افراد فکر می‌کنند اهمیت بیشتری دارد را به دست بیاورم. اگر از من بپرسند فکر می‌کنی امنیت چه برنامه‌ای بالاست از تریما   Threema نام می‌برم چون حتی سیم کارت بیس و ایمیل بیس هم نیست ولی اگر بپرسند آیا این امنیت دارد یا نه می‌گویم تریما هم امنیت ندارد چون آنهم مک آدرس بیس است، داخل کشور امنیت دارد ولی در شبکه جهانی خیر! باعث تعجب است در کشور واتس آپ که اینهمه غیرامن است و بارها حفره‌های مختلف از آن درآمده، فیلتر نیست اما اپلیکیشن‌های دیگر که می‌توانند مثل تریما باشند فیلتر است.

انتهای پیام

دیتاحفاظت از دیتااطلاعاتفضای سایبری
شاید از این پست‌ها خوشتان بیاید