توجه به امن بودن وی پی ان

حدود دو هفته پیش بود که دیدم آرش زاد گزارشی از بیت دیفندر (Bitdefender) توییت کرده مبنی بر اینکه یک جاسوس‌افزار تحت پوشش یک سرویس دهنده وی پی ان ایرانی فعالیت می‌کند. وی پی ان 20speed به کاربرانش برای متصل شدن یک نرم‌افزاری ارائه می‌کند که در قالب آن روی دستگاه کاربر نرم‌افزار جاسوسی نصب شده و فعالیت می‌کند. لینک‌ها را گذاشتم و خودتان می‌توانید جزییات بیشتر را دنبال کنید. فقط بگویم که اگر از نرم‌افزار اختصاصی آن‌ها روی سیستم عامل ویندوز استفاده کردید بهتر است سیستم عامل خود را از ابتدا نصب کنید.

من در این نوشته می‌خواهم چند نکته ابتدایی که باعث می‌شود وی پی ان نسبتا امن‌تری داشته باشید را بگویم.

نکته‌های من با این پیش فرض هستند که در ایران زندگی می‌کنید و هدف شما برای استفاده از وی پی ان دور زدن سانسور داخلی و شاید تحریم خارجی است. توصیه‌ها هم بر مبنای تجربه خودم و اینکه چون تا حدی فنی هستم یک سری موارد ابتدایی را می‌دانم. خود بیت دیفندر یک سری توصیه دارد (اینجا) که به دلیل شرایط جمهوری اسلامی همه آن‌ها به کار ما نمی‌آید.

متوجه هستم که توصیه‌های من هم اما و اگرهایی دارند و شرایط سانسور اینترنت در جمهوری اسلامی هم ثابت نیست. خود من هم گاهی مجبور می‌شوم از خطوط زرد و حتی برخی مواقع قرمز امنیتی‌ام کوتاه بیایم. وی پی ان‌ها معمولا دسترسی سطح بالاتری لازم دارند و ما هم راحت‌تر به آن‌ها این سطح دسترسی را می‌دهیم. بنابراین موقعیت خوبی برای سوء استفاده کنندگان است.

دو سطح خطر امنیتی وجود دارد، یکی خود سرور، یکی در قالب نرم‌افزاری که برای وصل شدن استفاده می‌کنید. در مورد 20Speed جاسوس‌افزار افشا شده در سطح دوم یعنی نرم‌افزار است. البته که با توجه به این، اطمینانی به سرورهایشان هم نیست.

تا جایی که من می‌دانم در حالت عادی و پروتکل‌های متداول به دلیل اینکه ترافیک شما رمزنگاری می‌شود. سرور وی پی ان تنها به آدرس کلی‌ای که شما درخواست کرده‌اید دسترسی خواهد داشت نه محتوای اطلاعات شما. مثلا می‌تواند بداند شما از Wikipedia صفحه‌ای را درخواست کرده‌اید، نه اینکه دقیقا چه صفحه‌ای را درخواست کرده‌اید یا اگر اطلاعات کاربری خود را به آن فرستاده‌اید دسترسی به اطلاعات ندارد.

نکاتی که من در ادامه آورده‌ام بیشتر سطح نرم‌افزار را پوشش می‌دهند.

از سرویس‌دهنده‌های خارجی معتبر تهیه کنید

سرویس‌دهنده‌های خارجی‌ای مانند Nordvpn و Expressvpn تضمین‌هایی دارند و به لحاظ قانونی در مقابل کاربران دیگر خود مسئول هستند. وی پی ان یک کسب و کار رسمی و جدی برای آن‌هاست. کاربران زیادی از سراسر دنیا دارند و انگیزه‌هایشان با کسی که فقط برای مردم ایران سرویس می‌دهد متفاوت است. بسیاری از آن‌ها به کاربران تعهد قانونی می‌دهند که هیچ اطلاعاتی (به غیر از موارد پایه‌ای مشخص برای خرید سرویس) از کاربران و ترافیک آن‌ها جمع‌آوری نکنند. مثلا ذخیره نکنند که فلان کاربر چه آدرس کلی‌ای را در فلان ساعت درخواست کرده.

از برنامه اختصاصی استفاده نکنید

پروتکل‌ها مشخص هستند و برنامه‌های شناخته شده‌ای وجود دارند که از پروتکل‌های مختلف پشتیبانی می‌کنند. اگر فروشنده‌ای می‌گوید حتما باید برنامه خاص من را که با بقیه متفاوت است استفاده کنید به آن شک کنید. آدرس سرور و پروتکل را گرفته و در برنامه شناخته شده خود آن را استفاده کنید.

مورد 20speed در قالب نرم‌افزار اختصاصی‌اش جاسوس‌افزار روی دستگاه قربانی اجرا می‌شد. آن‌هایی که فقط پروتکل و آدرس سرور را از 20speed می‌گرفتند (امکان گرفتنش به نظر وجود داشت) و روی نرم‌افزار عمومی دیگر استفاده می‌کردند در معرض جاسوس‌افزار نبوده و احتمالا به مراتب آسیب کمتری خورده و خواهند خورد.

یک شرکت فراهم آورنده وی پی ان معقول که نرم‌افزار اختصاصی ارائه می‌کند، امکان استفاده از آن بر روی نرم‌افزارهای دیگر را فراهم کرده و راهنمایی لازم را هم خواهد کرد. مثلا Nordvpn این کار را می‌کند.

موبایل

در موبایل من بیشتر دیده‌ام که وی پی ان‌ها همراه با اپلیکیشن اختصاصی هستند، موارد مجانی هم بیشتر است. در صورتی که در همان موبایل هم پروتکل‌های متداول مختلف مانندOpenVpn AnyConnect و … معمولا نرم‌افزار متن‌باز اختصاصی دارند که می‌توانید از آن‌ها استفاده کنید (این و این). نرم‌افزارهای متن‌باز دیگری هم وجود دارند که از طیف زیادی از پروتکل‌ها پشتیبانی می‌کنند. مانند Sagernet. در دستگاه‌های دیگر هم برنامه‌ها وجود دارند و حتی متنوع‌تر.

وی پی ان مجانی استفاده نکنید

راه انداختن و برقرار نگاه داشتن وی پی ان هزینه دارد. اگر می‌بینید یکی از این‌ها هیچ روش درآمدزایی ندارد به آن شک کنید. اگر مجانی سرویس می‌دهند تبلیغ حداقل چیزی است که باید داشته باشند :). یا مثلا موقت و برای شرایط خاص سرویس بدهند. اگر هم سرویس مجانی استفاده می‌کنید درخواست شفافیت حداکثری در مورد پروتکل، نحوه درآمد و … داشته باشید.

دیدگاهتان را بنویسید