سِلِب‌گیت: اخبار و درس‌هایی از جریان درز عکس‌های ستارگان مشهور آمریکایی

بسیاری از سایت‌ها و وبلاگ‌های ایرانی به خاطر رعایت ملاحظاتی از بررسی ابعاد مختلف جنجال اخیر در مورد هک شدن آی‌کلاد تعدادی از ستارگان مشهور آمریکایی که در صدر آنها هنرپیشه برنده جایزه اسکار -جنیفر لارنس- قرار دارد، خودداری کرده‌اند. به دنبال این امر، تعداد زیادی از عکس‌های خصوصی این ستاره‌ها، در فضای اینترنت منتشر شده است و نام جالب سلب‌گیت Celebgate بر داستان نهاده شده است.

اما ما در «یک پزشک» فکر می‌کنیم که این مطلب می‌تواند حاوی درس‌ها و نکاتی برای همه کاربران باشد و اتفاقا رسالت رسانه‌ای حکم می‌کند که به کاربران ایرانی هشدارهای لازم را بدهیم.

در پی این امر و حتی وارد شدن FBI در تحقیقات، همان طور که انتظار می‌رفت، اپل رویکردی محافظه‌کارانه را در پیش گرفت.

اپل در بیانیه‌ای اعلام کرد که بعد از اطلاع از قضیه، مهندسانش به سرعت مشغول تحقیق شدند. اپل تأکید کرد که امنیت و حریم خصوصی کاربرانش، برای این شرکت اهمیت بسیار زیادی دارد. مهندسان این شرکت بعد از 40 ساعت تحقیق متوجه شدند که سرویس‌های آی‌کلاد یا Find My iPhone هک نشده‌اند، بلکه صرفا اکانت‌های قربانی‌ها مورد حمله قرار گرفته‌اند.

به عبارت دیگر هکر یا هکرها با آزمون و خطا و حدس، توانسته‌اند، نام و نام کاربری یا پاسخ به سؤالات امنیتی را پیدا کنند و وارد اکانت‌های قربانی‌ها شوند.

به گمانم، ادعای اپل شفاف و صادقانه نیست:

در رمزنگاری، حمله جستجوی فراگیر brute-force attack یا حمله جستجوی فراگیر فضای کلید exhaustive key search attack حمله‌ای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی می‌شود.

برای هر الگوی رمزنگاری می‌توان زمان لازم برای آزمودن کلیه حالات ممکن برای کلید را محاسبه نمود و معمولاً الگوهای رمزنگاری آنچنان طراحی می‌شوند که آزمودن تمامی حالات ممکن در یک زمان قابل قبول غیر ممکن و یا غیر مؤثر باشد. به طور معمول نرم‌افزارها پس از چند بار وارد کردن گذرواژه نادرست حساب کاربر را مسدود نموده و یا در فرآیند اعتبارسنجی تأخیر زمانی ایجاد می‌کنند تا از آزمودن دیگر حالات جلوگیری شود.

تجربه شخصی ما نشان می‌دهد که هنگام کار با آی‌دیوایس‌ها، بعد از چند بار درج اشتباه پسورد حساب‌های آی‌تونز، جلوی وارد کردن مجدد پسوردها گرفته می‌شود، پس باید مشکل چیزی فراتر از اینها باشد و برخلاف ادعای محافظه‌کارانه اپل قضیه چیزی فراتر از «حملات هدفدار روی نام‌های کاربری، پسورد و سؤالات امنیتی» بوده است.

در همین راستا در سایت Github یک اسکریپت پیدا شده است که به هکرها از طریق یک رخنه امنیتی در Find My iPhone امکان حمله جستجوی فراگیر را می‌داده است.

از سوی دیگر سایت Wired خبر جالب‌تری منتشر کرده است، این سایت ادعا کرده است که اصولا مقامات قانونی آمریکا مجهز به ابزاری برای دانلود بک‌آپ‌های حساب‌های آی‌کلاد مجرمین هستند و هکرها موفق شده‌اند از همین ابزار استفاده کنند.

یکی از این ابزارها نرم‌افزاری به نام شکننده رمز گوشی Elcomsoft یا به اختصار EPPB است. این ابزار محبوبیت زیادی در بین مقامات قضایی و امنیتی دارد، اما در عین حال به دست آدم‌های دیگر هم افتاده است.

این ابزار، اجازه‌نامه ورود یا authentication token را از پی‌سی یا مک سینک شده با آی‌دیوایس می‌دزدد.

جالب است بدانید که این ابزار اصلا چیز تازه‌ای نیست و سال‌هاست که وجود دارد.

حالا سؤالی که پیش می‌آید این است که آیا نگرانی ما از هک شدن فضاهای ابری به صورت عام و آی‌کلاد به صورت خاص، باید باعث شود که کار کردن با آنها را کنار بگذاریم.

من و شما ممکن است اطلاعات محرمانه خاصی نداشته باشیم، اما کار از محکم‌کاری عیب نمی‌کند.

هر کسی که عکس یا سندی را در در هارد دیسک یا حافظه گوشی خود ذخیره کرده باشد و بعد آنها را از دست داده باشد، می‌داند که فضاهای ابری، از این مشکل جلوگیری می‌کنند.

قدم اول امنیتی همه ما باید این باشد که پسوردهای قوی‌ای انتخاب کنیم. این پسوردها بهتر است که آمیزه‌ای از حروف، علایم و اعداد باشند. این پسوردها نباید چیزهای مثل تاریخ تولد یا شماره پلاک یا گوشی موبایل باشند. این پسوردها اصولا نباید قابل حدس زدن باشند.

از سوی دیگر قویا به شما توصیه می‌کنم که برای ورود به کلیه حساب‌‌های کاربری‌تان از سیستم احراز هویت دومرحله‌ای استفاده کنید.

در شیوه معمول برای ورود به مثلا جی‌میل، شما باید نام کاربری و پسورد خود را وارد کنید، اما در سیستم در مرحله‌ای بعد از ورود نام کاربری و پسورد، کدی برای شما پیامک می‌شود و تنها بعد از وارد کردن این کد است که می‌توانید وارد حساب جی‌میل بشوید.

از آنجا که یک هکر حتی با دانستن نام کاربری و پسورد شما، به خاطر در دست نداشتن گوشی شما، نمی‌تواند به این کد دسترسی داشته باشد، از ورود به حساب شما، بازمی‌ماند.

اما جالب است بدانید که علاوه بر عکس‌های خصوصی و نامناسبی که از ستارگان آمریکایی در فضای اینترنت منتشر شده است، در این قضیه سلب‌گیت، اطلاعات دیگر هم درز کرده است که اندکی داستان را بامزه می‌کند!

مثلا مشخص شده که یکی از این ستاره‌ها حداکثر امتیازی که در بازی Flappy Bird کسب کرده، تنها 6 بوده است! حتی مشخص شده که دیگر چه کتاب الکترونیکی می‌خوانده و چند صفحه از کتاب باقی مانده بود.

در پایان باید بگویم این جنجال، حاوی درس‌هایی برای کاربران آماتور و عادی ایرانی هم هست:

1- در هنگام کار در شبکه‌های اجتماعی و اپلیکیشن‌های پیام‌رسانی چنان رفتار کنید که انگار در برابر توده‌ای از مردم هستید. همیشه امکان ردیابی شما وجود دارد.

در اینترنت هیچ چیزی خصوصی‌ای وجود ندارد و هر سرویسی قابل هک شدن است.

2- هیچ سند و اطلاعات مهمی را در فضای اینترنت آپلود نکنید! برای داشتن یک بک‌آپ از اطلاعات حساس خود بهتر است به هارد دیسک‌های غیرمتبط به اینترنت تکیه کنید و اطلاعات خود را با استفاده از نرم‌افزارهای معتبر، رمزنگاری کنید.

3- تصاویر خجالت‌آور از خود تهیه نکنید! روی رفتار کودکان و نوجوانان نظارت داشته باشید و دقت کنید که آنها مورد سوء استفاده قرار نگیرند.

4- اپلیکیشن‌های پیام‌رسانی از نظر امنیتی، بسیار ضعیف هستند، به آنها اعتماد نکنید. حتی آن دسته‌ای که مشکل امنیتی کمتری دارند، باز هم در صورت تمایل پیشبینی‌نشده مخاطب شما، برایتان دردسر درست کنند: گرفتن یک اسکرین‌شات از حرف‌ها و عکس‌های شما توسط مخاطب شما که کاری ندارد!

5- همان طور که اشاره کردم، از سیستم تأیید دومرحله‌ای استفاده کنید.

6- دوست و همراه قابل اعتماد فعلی شما، می‌تواند فردا تبدیل به یک مزاحم و باجگیر شود!

7- در صورتی که سرویس‌های ابری مثلا آی‌کلاد برای بک‌آپ گرفتن از عکس‌هایتان استفاده می‌کنید، به یاد داشته باشید که حذف کردن عکس‌ها از گوشی و Camera Roll لزوما باعث حذف کامل عکس نمی‌شود.

8- یک مطلب قدیمی اما مهم: گوشی‌های خود را برای تعمیر به دست هر کسی ندهید، اطلاعات روی مموری کارت‌ها قابل بازیابی هستند. در مورد هارد دیسک‌ها هم وضعیت مشابهی حکم‌فرماست، ترفندها و نرم‌افزارهایی برای غیرقابل بازیابی کردن اطلاعات روی حافظه وجود دارند، اما شاید بهتر باشد اگر آدم بی حوصله‌ای هستید کلا هنگام فروش سیستم‌های قدیمی خود، هاردهای خود را نفروشید و کنار بگذارید!