خطرات امنیتی استفاده از vpn و پروکسی

گفتن اینکه خطرات امنیتی استفاده از VPN و Proxy، فقط مربوط به زمانی است که ارایه آن از سرویس نامطمئن باشد. غلط می باشد و در این مطلب به شما ثابت می کنیم همیشه فیلترشکنها خطرآفرین هستند، حتی اگر توسط خودتان و روی سرور شخصی خودتان، نصب شده باشد و شخص سومی در کار نباشد.

خوب؛ لازم است بدانید که چرا حتی در این شرایط استفاده از آن خطر امنیتی حتی در سطح ملی دارد؟.

مطلبی را که در پی می خوانید برای اولین بار به این مسئله می پردازد که حتی فیلترشکن شخصی هم مخاطره آمیز است و تا حالا کسی تا این حد این مسئله را شفاف نکرده است، پس حتما مطلب را تا پایان بخوانید.

از نظر توسعه دهندگان وب که سالهای زیادی دستی در این کار دارند فیلترشکنی که خودتان راه اندازی کرده اید هیچ خطر امنیتی ندارد، چون پروکسی یا وی پی ان فقط کاری را انجام می دهند که تمام سیستمهای متصل به پورتهای ISP انجام می دهند یعنی نقش پل زدن و ایجاد اتصال.

حالا می خواهم با سابقه 20 سال فعالیت اینترنتی، برای شما اشتباه بودن این تفکر را یکبار برای همیشه ثابت کنم.

بله؛ من هم که خودم یک توسعه گر پرسابقه وب هستم، اعتقاد دارم که خود VPN و proxy خطر امنیتی ندارد. اما این حرف مثل این می ماند که بگویید چاقوی آشپزخانه هیچ خطری ندارد.

باید بپذیریم این ابزار نیستند که خطرناکند، این نحوه کاربری ابزار است که خطر را ایجاد می کند.

چطور؟ برای اینکه مثال واضحی بزنم کسی که از فیلترشکن استفاده می کند دقیقا مثل کسی است که جوراب زنانه روی سر و صورتش کشیده است و در انظار عمومی تردد میکند، اولین تصور همه این هست که این شخص برای دزدی این کار را کرده است. چرا؟ چون عملا استفاده از پروکسی و vpn را نمی توان کتمان کرد(به عبارتی همه از جمله سایتهای تحریم شده توسط گوگل هم متوجه استفاده شما از فیلترشکن میشوند. و اگر ممانعت از کارتان نمی کند دلیلش این است که همینکه شما با پروکسی دارید از گوگل خدمت می گیرید آنها را به مقصودشان که یکی تحقیر ایرانیان است و دیگری خطای امنیتی کاربر، می رساند.)

پس این خود vpn یا proxy نیست که خطرناک است، بلکه اینکه مثل جوراب زنانه ای که بر روی سرو صورت می کشید برایتان دردسرساز می شود و شما را جلوی چشم قرار می دهد.

چون سایتهایی که با فیلترشکن به آنها متصل می شوید با تشخیص این که شما از فیلترشکن استفاده می کنید ممکن است برایتان خطرناک بشوند.

اگر این مثال و توضیحاتش، قانع اتان نکرده، یک نمونه عملی از خطرآفرینی استفاده از فیلترشکن برای امنیت کشورمان را شفاف می کنم، با این نمونه عملی می بینید که چرا دولتمردان ایران اصرار دارند که فیلترشکن ها مخل امنیت ملی هستند و نباید بکار گرفته شوند و از طرف دیگر زمین و زمان از روی ناآگاهی و با طیب خاطر ادعا دارند که هیچ خطری در استفاده از پروکسی ها نیست.

نمونه ای از آسیب رسانی فیلتر شکن ها فراتر از حد امنیت ملی با راهبری گوگل.

این نمونه، هولناک ترین و بزرگترین جنگ سایبری قرن است که هیچ وقت به جزئیات آن پرداخته نشد. حتی در فیلمی که توسط هالیود از این کرم شبکه ساخته شد(مستند روزهای صفر یا Zero days ).کل فلسفه این آسیب رسانی بر تضمین در شناسایی دقیق موقعیت مکانی کاربر بنا شده است.

پس با من همراه باشیدتا با جزئیات آن، پلن به پلن آشنا شوید.

ضدویروس نورتون (به انگلیسی: Norton AntiVirus ) نرم‌افزاری است که توسط شرکت سیمانتک برای پیشگیری از ورود بدافزارها به رایانه‌ها و پاکسازی آن‌ها ارائه شده‌است. این ضدویروس با استفاده از پایگاه اینترنتی داده‌های خود ویروس‌های شناسایی شده توسط پلتفرم نصب شده روی سیستم کاربر را نابود می‌کرد و در این راه به چنان شهرتی رسیده بود که همه را جذب خود کرده بود.

همینقدر بگویم که با بودن این ویروس کش کسی سراغ نود32 و کاسپارسکی و... نمی رفت.

و در زمان خودش این ویروس یاب قدرتمندترین اش بود. نورتون ویروس جزو معدود آنتی ویروس هایی بود که هم ویروس را تشخیص می داد و هم از بین می برد و سیستم را عین روز اولش به صحت و سلامت بر می گرداند و به همین دلیل روی cd اکثر مادربوردهای آنزمان بصورت آپشن اضافی (و در مواردی اجباری ) برای نصب با درایورها قرار می گرفت.

و من شخصا خودم به این دلیل از طرفداران آن بودم که هیچ ویروسی نبود که بتواند از چنگ این ویروس کش فرار کند.

و شرط ویروس کشی با آن (و نه ویروس یابی) استفاده از اینترنت بود. و آنزمان نه سایت سیمانتک (مالک نورتون ویروس) بر روی ایرانیان بسته بود و نه سایت سایر ضدویروس ها (با وجودیکه زمان نصب اسم کشور ایران در بین کشورها نبود و باید خودت را در کشور دیگری جا می زدی) اما شما در ایران می توانستید به آن وصل شوید و در استفاده از این ضد ویروس مشکلی برای ایرانیان نبود. در کشتن ویروس با کمک دیتابیس تحت وبش بی نظیر بود.

تا اینکه طرح حملات ویروس استاکس نت در اطاق جنگ آمریکا ریخته شد.

اول بگذارید طرح ریخته شده برای فعال شدن این ویروس را بررسی کنیم:

نحوه انتقال ویروس اینترنت بود و دلیل نامگذاری استاکس نت هم این بود که برای انتشار به نت جهانی یا اینترنت نیاز داشت.

به دلیل وجود فیلترینگ و فایروالهای قدرتمند زیرساخت شبکه اینترنتی ایران عملا کار سختی در پیش بود.

و فقط یک راه برای نفوذ این کرم اینترنتی به داخل ایران بود، با بروز رسانی های یک آنتی ویروس مبتنی بر وب که چیزی نبود جز Norton AntiVirus (ساخته تیم پیتر نورتون).

اینکه در حملات ویروس استاکس نت برای از بین بردن قدرت هسته ای ایران ضدویروس شرکت سیمانتک مورد استفاده قرار بگیرد، از عجایب روزگار بود ، چرا که پیتر نورتون، مرد امنیت بود و نه ضدامنیت.

شایدم به همین دلیل سیاستمداران آمریکا وی را انتخاب کردند، چون کسی به او و شرکتش شک نداشت. و در تمام سازمانهای امنیتی ایران از جمله سازمان هسته ای ایران مورد استفاده قرار می گرفت.

پس نیاز بود که ویروس استاکس نت را آمریکا با فدا کردن یک شرکت مطرح خود در زمینه ضدویروس ها بر روی سیستم های ایرانیان قرار دهد.

و در این مسیر نقش گوگل این بود که کاربر ایرانی هر ویروس یابی را که جستجو کند نورتون ویروس در صدر نتایج جستجو قرار بگیرد و در اکثریت جستجو ها نورتون ویروس هزینه تبلیغات با ادسنس (AdSense) را از دولت آمریکا برای پرداخت به گوگل دریافت می کرد (اون قدیمی ها خوب یادشان میاید که در یک دوره ای نورتون ویروس در نتایج گوگل شد سرآمد ویروس یابها).

و جالبه که در شرایطی که هیچکدام از شرکتهای آمریکایی که فعالیت تجاری دارند در ایران نمایندگی رسمی نمی توانند داشته باشند سیمانتک از این قاعده استثنا شد، برای قدرت گرفتن این ویروس یاب و پیشبرد بهتر اهدافشان، تصمیم بر این شد که نمایندگی رسمی این شرکت به ایرانیان داده شود(برای اینکه طرح اطاق جنگ آمریکا برای همیشه پنهان بماند این حق برای سیمانتک کماکان محفوظ است)

کافیست در گوگل سرچ کنید تا متحیر شوید: «نمایندگی رسمی سیمانتک در ایران»

اما چرا این ایده شکل گرفت که از یک آنتی ویروس برای اینکار استفاده شود.

چون از یک طرف کسی به انجام عملیات ضدامنیتی از سوی یک نرم افزار امنیتی شک هم نمی کند و از طرف دیگر بستر انتخاب شده یا نورتون ویروسی از 2006 در ایران مقبول و فعالیت مفید داشته است.

به این دلایل بود که فایروال های زیرساخت اینترنتی ایران عملی برای چک کردن فایل های اجرایی این ویروس کش تحت وب انجام نمی داد این بود که بیشمار افراد با سیستم های خود این برنامه اجرایی را از سرور های ضدویروس در آمریکا به هاردیسک خود منتقل و اجرا می کردند.

پس چی شد؟ هرکس از ایران که با این ضدویروس کار می کرد یک نسخه از فعال کننده ویروس استاکس نت را بر روی سیستم خود سوار می کرد.

اما این فعال کننده ویروس چطور برای ایرانیان خودش یک ویروس خطرناک شد و قرار بود چکاری بکند؟.

این ویروس دو قسمتی بود

یک قسمتش روی سیستم و قسمت دیگرش روی اینترنت بود. قسمتی که روی سیستم بود کمتر از 2 کیلوبایت حجم داشت و تنها وظیفه اش این بود که قسمت دوم ویروس را بعد از تایید هدف تحت نظارت، از روی اینترنت دانلود و نصب کند. قسمت اول خودش با سیستم هیچ کاری که ویروس ها انجام می دهند نمی کرد و چون بصورت یک چک کننده با وقفه ها کار نمی کرد، با هیچ ویروس یابی شناسایی نمی شد و بعبارتی از نوع فوق حرفه ای بود که به دلیل حجم کم با نشستن در قطاع مرکزی سکتور هارد جزئی از سیستم می شد و سیستم برای همیشه تحت نظارت قرار می گرفت. حتی اگر هارد سیستم مجددا پارتیشن بندی میشد.

اینکه این یک برنامه کوچک چند خطی چه نظارتی روی سیستم می تواند داشته باشد را خواهم گفت. اما اول بگویم قطاع مرکزی سکتور هارد چه ویژگی دارد؟

اگر هاردتان را فرمت که چه عرض کنم، با FDISk شخم هم بزنید باز این ویروس از روی هارد حذف نمی شد (چون استفاده از FDISK بصورت معمولی اطلاعات قطاع مرکزی را تغییر نمی دهد) و باید تمام داکیومنشهای سیستم داس را زیر و رو کنید تا متوجه می شدید، تنها را از بین بردن این ویروس FDISK توام با کاربرد سوچ f یا /f بود که تا قبل از این اتفاق کمتر کسی با این سویچ آشنا بود و دلیل اینکه در حالت فرمت یا fdisk بدون استفاده از سویچ f سوزن هارد به این قطاع نزدیک نمی شد خطر گیر کردن سوزن بود .

این برنامه نظارت کننده آنقدر منتظر می ماند که بر روی سیستم نشانه ای از تاسیسات هسته ای یا دانشمند هسته ای بودن کاربر یا ارتباط کاربر با یکی از این دو دریافت شود.و چون نشانه ای از ویروس بودن نداشت (کاری با وقفه های 13 و 21 که مهمترین وقفه های عملگر ویروسهاست نداشت. ) تا زمان فعال شدن ویروس اصلی هیچگاه شناسایی نشد. و الباقی قصه را هم که خودتان می دانید.

حالا کجای این طرح اطاق جنگ آمریکا جالب بود؟

حتما و حتما باید مطئمن می شدند این ویروس در نت ایران منتشر می شود که در غیر اینصورت ناخواسته تمام دنیا به این ویروس آلوده می شد و برای تشخیص دقیق ایرانی بودن کاربر نمی شد صرفا به IP کاربر اعتماد کرد، چون ممکن است در رنج آی پی یک کشور، ip هایی بصورت شخصی و در کشور دیگری تنظیم شودمثل سوئد.

و یا ممکن بود مثلا یک مسافر اسپانیایی عبوری از ایران، در ایران از اینترنت استفاده کند و با ip ایران ناخواسته ویروس استاکس را به اروپا و یا آمریکا ببرد.

و به این دلیل لازم بود روش قوی تری از تکیه بر ip که قابل اعتماد باشد یافت.

این بود که تصمیم گرفتند برای نفوذ این ویروس، پای پروکسی ها بیاید وسط که در ادامه دلیل قابل اعتماد بودن تکیه بر این روش را خواهم گفت.

و در غیر اینصورت صرف تکیه بر ip برای شناسایی ایرانی بودن کاربر خطرناک بود.

اما کلکی بهتر از بستن سایت ویروس یابها بر روی ایران پیدا نکردن تا کاربر ایرانی را مجبور کنند که از فیلتر شکن برای بروزرسانی (و دریافت ویروس) استفاده کنند.

تا آنزمان ویروس یاب های امریکایی بر روی ایران قابل دسترس بودند تا اینکه خبری منتشر شد با این عنوان که

دسترسی ایران به ضد ویروس های آمریکایی متوقف شد و این آغاز جنگ سایبری برای نفوذ ویروس استاکس نت، به ایران بود. خطری بحث برانگیز

STOPPED ANTIVIRUS FOR IRAN, CONTROVERSIAL PENALTY

و نشریات بین المللی که از پشت پرده آن خبر نداشند آن را نقد کردند و این کار را به ضرر خود آمریکا دانستند و غافل از اینکه این آغاز یک جنگ سایبری زیرکانه و شیطانی است.

با فیلتر شدن ضدویروس ها مردم که یکیش من بودم برای رفع مشکلات ویروس سراغ پروکسی ها رفتیم.

اینجا بود که ایرانیان که برای استفاده از ضدویروس ها از جمله نورتون ویروس از پروکسی استفاده کردند در دام افتادند و طی مدت کوتاهی ویروس مهلک استاکس نت طبق عکس فوق در سراسر دنیا منتشر شد.

و حالا مطمئن بون که اگر یک سیستم ویروسی شده است قطعا یک سیستم ایرانی است. مرکز حملات به دلیل گفته شده ایران بود و اینگونه بود که توانست در نیروگاه نطنز مهمان شود و الباقی قصه که درناک بود را هم می دانید.

جالب اینکه برای گم کردن رد انتشار این ویروس، با اشائه شایعاتی از جمله انتقال ویروس با فلش یا اینکه، دانشمندان روسی را انداختند جلو.

و آنقدر احمق بودند که نمی دانستند مگر برای ایران باور پذیر است که روسیه بخواهد تاسیسات اتمی ایران را که طرف قراردادش هست از بین ببرد.

هفته‌نامه اشپیگل در مقاله‌ای این احتمال را مطرح کرده‌است که این ویروس ناخواسته توسط کارشناسان شرکت «اتم استروی اکسپورت» روسیه و به وسیله یک حافظه جانبی به رایانه‌های نیروگاه اتمی بوشهر منتقل شده‌است.

من شرح کامل از ماجرایی عملی را برای شما گفتم تا ببینید یک فیلترشکن چقدر می تواند ضد امنیت ملی باشد.

با این داستان تلخ معلوم شد که فیلترشکن خودش خطرناک نیست و زمانی خطرناک است که نیرویی مخرب برای هدف خاصی بخواهد هویت کاربر یا موقعیت مکانی کاربر استفاده کننده را بطور دقیق شناسایی کند.

این یعنی چی؟

اگر کسی به شما گفت که فلانی حتی با فیلتر شکن فلان سایت را ببین تا شناسایی نشوی، اصلا بعید نیست برعکس؛ بصورت موذیانه ای برای شناسایی موقعیت مکانی دقیق، شما را به پروکسی تشویق می کند.

برای اینکه با ساز و کاری که می تواند موقعیت دقیق کاربر را بصورت مطمئن شناسایی کند من روش های تشخیص فیلترشکن را برایتان می نویسم و انتظارم دارم با هوشتان به جواب برسید.

روشهای تشخیص vpn یا پروکسی :

اونهایی که کارشان توسه دهندگی وب است می دانند تشخیص یک VPN برای یک سایت دشوار نیست که من چند تا از روش هایی که بفکرم می رسد را برایتان می آورم.

1- با استفاده از تغییر IP و مقایسه زمان: منطق می گوید کاربری که تا 10 ثانیه پیش با IP ایران مشغول کار بوده یک دفعه وقتی با IP آمریکا کار را ادامه می دهد یعنی از vpn استفاده کرده است .چون با هواپیما هم خواسته باشید در پرواز مستقیم (که عملا چنین پروازی نداریم و باید دو مسیره رفت) هم 8 ساعت ونیم طول می کشد به آمریکا برسید.

2- با استفاده از تاریخچه کاربر : بعنوان مثال ایرانی بودن هویت کاربر حتی بدون ثبت نام یا لاگین به هیچ سایتی طی هزاران بار استفاده از گوگل بر گوگل آشکار شده است (استفاده از زبان فارسی،استفاده از سایتهای منطقه ایران، ارتباط گیری با کاربران ایرانی دیگر و...).

3- با هویت ثبت شده کاربر: وقتی شما به سایتی لاگین می شوید که آن را در ایران ساخته اید و با آی پی غیر ایرانی لاگین می کنید (یا برعکس) شناسایی ایرانی بودن شما به راحتی صورت می گیرد.

4- استفاده از ترفندهای ویژه (یک ایراد بزرگ VPN که به شناسایی کاربر توسط گوگل کمک می کند این است که همه سایتها را باز می کند خوب چه ایراید دارد، اینکه مثلا vpn می تواند فلان سایت ایرانی که بر روی آمریکا بسته شده است را باز می کند در حالیکه بدون آن در خود آمریکا باز نمی شد)

5- فیلترشکن ها خودشان هدرهایی ارسال می کنند و نقش خود را به سرور درخواست گیرنده اعلام می کند.

6- آی پی فیلترشکنی که به یکی از روش های قبلی ایرانی بودن کاربرش محرز گشته ثبت می شود و تا یک بازه زمانی در آرشیو نگهداری می شود و هر وقت کاربر جدید در بازه تعریف شده زمانی با این آی پی از فیلترشکن به سایتی وصل شود حتی اگر هیچ کدام از موارد قبلی برایش صادق نباشد ایرانی بودنش محرز می شود.

....

پس دیدید که استفاده از vpn و Proxy نه تنها همیشه خطرناک است بلکه می تواند مهلک و غیرقابل جبران هم باشد.

و هرگز در استفاده از آن اسرار نداشته باشید (شما حتی اگر کش یا تاریخچه مرورگرتان را خالی کرده باشید ) شناسایی ایرانی بودن شما برای سایت درخواست شده ممکن است یک بار دیگر بندهای بالا را مطالعه کنید تا منظورم را بفهمید.

منتظر ظهور (𝓞𝔍𝓞).