حدود دو هفته پیش بود که دیدم آرش زاد گزارشی از بیت دیفندر (Bitdefender) توییت کرده مبنی بر اینکه یک جاسوسافزار تحت پوشش یک سرویس دهنده وی پی ان ایرانی فعالیت میکند. وی پی ان 20speed به کاربرانش برای متصل شدن یک نرمافزاری ارائه میکند که در قالب آن روی دستگاه کاربر نرمافزار جاسوسی نصب شده و فعالیت میکند. لینکها را گذاشتم و خودتان میتوانید جزییات بیشتر را دنبال کنید. فقط بگویم که اگر از نرمافزار اختصاصی آنها روی سیستم عامل ویندوز استفاده کردید بهتر است سیستم عامل خود را از ابتدا نصب کنید.
من در این نوشته میخواهم چند نکته ابتدایی که باعث میشود وی پی ان نسبتا امنتری داشته باشید را بگویم.
نکتههای من با این پیش فرض هستند که در ایران زندگی میکنید و هدف شما برای استفاده از وی پی ان دور زدن سانسور داخلی و شاید تحریم خارجی است. توصیهها هم بر مبنای تجربه خودم و اینکه چون تا حدی فنی هستم یک سری موارد ابتدایی را میدانم. خود بیت دیفندر یک سری توصیه دارد (اینجا) که به دلیل شرایط جمهوری اسلامی همه آنها به کار ما نمیآید.
متوجه هستم که توصیههای من هم اما و اگرهایی دارند و شرایط سانسور اینترنت در جمهوری اسلامی هم ثابت نیست. خود من هم گاهی مجبور میشوم از خطوط زرد و حتی برخی مواقع قرمز امنیتیام کوتاه بیایم. وی پی انها معمولا دسترسی سطح بالاتری لازم دارند و ما هم راحتتر به آنها این سطح دسترسی را میدهیم. بنابراین موقعیت خوبی برای سوء استفاده کنندگان است.
دو سطح خطر امنیتی وجود دارد، یکی خود سرور، یکی در قالب نرمافزاری که برای وصل شدن استفاده میکنید. در مورد 20Speed جاسوسافزار افشا شده در سطح دوم یعنی نرمافزار است. البته که با توجه به این، اطمینانی به سرورهایشان هم نیست.
تا جایی که من میدانم در حالت عادی و پروتکلهای متداول به دلیل اینکه ترافیک شما رمزنگاری میشود. سرور وی پی ان تنها به آدرس کلیای که شما درخواست کردهاید دسترسی خواهد داشت نه محتوای اطلاعات شما. مثلا میتواند بداند شما از Wikipedia صفحهای را درخواست کردهاید، نه اینکه دقیقا چه صفحهای را درخواست کردهاید یا اگر اطلاعات کاربری خود را به آن فرستادهاید دسترسی به اطلاعات ندارد.
نکاتی که من در ادامه آوردهام بیشتر سطح نرمافزار را پوشش میدهند.
از سرویسدهندههای خارجی معتبر تهیه کنید
سرویسدهندههای خارجیای مانند Nordvpn و Expressvpn تضمینهایی دارند و به لحاظ قانونی در مقابل کاربران دیگر خود مسئول هستند. وی پی ان یک کسب و کار رسمی و جدی برای آنهاست. کاربران زیادی از سراسر دنیا دارند و انگیزههایشان با کسی که فقط برای مردم ایران سرویس میدهد متفاوت است. بسیاری از آنها به کاربران تعهد قانونی میدهند که هیچ اطلاعاتی (به غیر از موارد پایهای مشخص برای خرید سرویس) از کاربران و ترافیک آنها جمعآوری نکنند. مثلا ذخیره نکنند که فلان کاربر چه آدرس کلیای را در فلان ساعت درخواست کرده.
از برنامه اختصاصی استفاده نکنید
پروتکلها مشخص هستند و برنامههای شناخته شدهای وجود دارند که از پروتکلهای مختلف پشتیبانی میکنند. اگر فروشندهای میگوید حتما باید برنامه خاص من را که با بقیه متفاوت است استفاده کنید به آن شک کنید. آدرس سرور و پروتکل را گرفته و در برنامه شناخته شده خود آن را استفاده کنید.
مورد 20speed در قالب نرمافزار اختصاصیاش جاسوسافزار روی دستگاه قربانی اجرا میشد. آنهایی که فقط پروتکل و آدرس سرور را از 20speed میگرفتند (امکان گرفتنش به نظر وجود داشت) و روی نرمافزار عمومی دیگر استفاده میکردند در معرض جاسوسافزار نبوده و احتمالا به مراتب آسیب کمتری خورده و خواهند خورد.
یک شرکت فراهم آورنده وی پی ان معقول که نرمافزار اختصاصی ارائه میکند، امکان استفاده از آن بر روی نرمافزارهای دیگر را فراهم کرده و راهنمایی لازم را هم خواهد کرد. مثلا Nordvpn این کار را میکند.
موبایل
در موبایل من بیشتر دیدهام که وی پی انها همراه با اپلیکیشن اختصاصی هستند، موارد مجانی هم بیشتر است. در صورتی که در همان موبایل هم پروتکلهای متداول مختلف مانندOpenVpn AnyConnect و … معمولا نرمافزار متنباز اختصاصی دارند که میتوانید از آنها استفاده کنید (این و این). نرمافزارهای متنباز دیگری هم وجود دارند که از طیف زیادی از پروتکلها پشتیبانی میکنند. مانند Sagernet. در دستگاههای دیگر هم برنامهها وجود دارند و حتی متنوعتر.
وی پی ان مجانی استفاده نکنید
راه انداختن و برقرار نگاه داشتن وی پی ان هزینه دارد. اگر میبینید یکی از اینها هیچ روش درآمدزایی ندارد به آن شک کنید. اگر مجانی سرویس میدهند تبلیغ حداقل چیزی است که باید داشته باشند :). یا مثلا موقت و برای شرایط خاص سرویس بدهند. اگر هم سرویس مجانی استفاده میکنید درخواست شفافیت حداکثری در مورد پروتکل، نحوه درآمد و … داشته باشید.