فارسی|English

امنیت و حفاظت از حریم خصوصی در دنیای وب

نویسنده: آیدین غریب‌نواز

امروزه وب محل امنی نیست. شرکت‌های تبلیغاتی همه جا شما را دنبال می‌کنند، شرکت‌ها و دولت‌های خبیث همه فعالیت‌هایتان را زیر نظر دارند، نمی‌توانید مطمئن باشید ایمیلی که الان ارسال کردید را چه کسانی در طول مسیر خوانده‌اند. اینکه «چرا حریم شخصی در دنیای دیجیتال به خطر افتاده و چرا باید از آن محافظت کرد» خودش موضوع گسترده‌ای است، در این مقاله قصد دارم راجع به اینکه «چگونه» این کار را انجام دهیم صحبت کنم.

من را ردیابی نکنید!

وب‌سایت‌ها می‌توانند شما را همه جا ردیابی کنند. حتی اگر به اکانت فیس‌بوک‌تان لاگین نشده باشید هم، فیس‌بوک می‌تواند بفهمد از چه سایت‌هایی بازدید کرده‌اید. نه فقط فیس‌بوک و گوگل، که همه شرکت‌های دیگر که کسب و کارشان بر مبنای تبلیغات است. اینجا چند روش را ذکر می‌کنم که می‌تواند جلوی این ردیابی شدن را بگیرد. برای نتیجه بهتر، چندتا یا همه این روش‌ها را با هم به کار بگیرید.

از Firefox استفاده کنید

فایرفاکس به حریم شخصی شما بیشتر اهمیت می‌دهد. خصوصا در مقایسه با گوگل کروم (Google Chrome) که با خیلی از محصولات گوگل یکپارچه است و تقریبا نمی‌توان جلوی کروم را گرفت که اطلاعات شما را به گوگل مخابره نکند.

برای فایرفاکس، می‌توانید تنظیمات زیر را انجام دهید که آن را Private تر و امن‌تر کنید.

بخش Preferences (تنظیمات) را باز کنید، و گزینه Request that sites not track you (به وب‌سایت‌ها بگو نمی‌خواهم ردیابی شوم) را تیک بزنید. این گزینه به وب‌سایت‌ها می‌گوید که شما را ردیابی نکنند. البته، وب‌سایت‌ها اگر نخواهند به حریم شخصی شما احترام بگذارند، این کار را خواهند کرد! بنابراین، ادامه دهید تا جلوی آنها را بگیریم.

اگر از Private Browsing (مرور ناشناس) در فایرفاکس استفاده کنید، به طور خودکار بخشی از محتوای سایت‌ها که می‌توانند شما را ردیابی کنند، فیلتر خواهند شد. در اغلب موارد هم این محتویات اسکریپت‌هایی هستند که روی ظاهر سایت تاثیری ندارند، و شما تفاوتی را حس نخواهید کرد. البته گزینه Private Browsing تاریخچه (history) شما را هم ذخیره نمی‌کند. اگر عادت دارید از این تاریخچه برای پیدا کردن سایت‌هایی که قبلا رفته بودید استفاده کنید، ممکن است اذیت شوید. پیشنهاد می‌کنم عادت کنید که اینطور صفحات را bookmark (نشان گذاری) کنید، و همیشه از Private Browsing استفاده کنید.

جلوگیری از ذخیره 3rd party cookies توسط فایرفاکس

همینطور، از فایرفاکس بخواهید که اجازه ندهد Thrid-party Cookies روی سیستم شما ذخیره شود. به این معنی که، مثلا اگر سایتی را باز کردید که دکمه Tweet داشت، توئیتر می‌تواند کوکی‌ای را روی سیستم شما ذخیره کند که زمانی که به سایت دیگری می‌روید که آن هم دکمه Tweet دارد، متوجه شود و بتواند شما را ردیابی کند. برای اینکه اجازه ندهید فایرفاکس اینطور کوکی‌ها را ذخیره کند، در Preferences، بخش Privacy، گزینه History را روی Use custom settings قرار دهید و گزینه Accept third-party cookies را روی Never قرار دهید.

اگر تصمیم گرفته‌اید که همیشه از Private Browsing استفاده کنید، در همین بخش، گزینه‌ای برای فعال کردن همیشگی Private Browsing وجود دارد.

Extensions (افزونه‌ها)

فایرفاکس Extension های زیادی برای حفاظت حریم شخصی دارد

فایرفاکس Extension های خوبی دارد که به شما کمک می‌کند بتوانید در مقابل سایت‌هایی که از شما اطلاعات جمع می‌کنند از خودتان دفاع کنید. بیشتر این‌ها برای Firefox Android هم وجود دارند.

AdBlock Plus

این Extension تبلیغات را block می‌کند. block شدن تبلیغات به این معنی است که سایت‌های تبلیغاتی دیگر از این طریق نمی‌توانند شما را ردیابی کنند. و خب، از دست تبلیغات مزاحم هم خلاص می‌شوید!

بعد از نصب، در قسمت تنظیمات (Preferences) آن، در قسمت Filter Subscriptions، لیست Privacy + Easy List را انتخاب کنید. با این کار، علاوه بر تبلیغات، وب‌سایت‌هایی که از شما دیتا جمع می‌کنند هم block خواهند شد.

Disconnect

Disconnect تیمی هستند که در زمینه محافظت از حریم خصوصی دیگران فعالیت می‌کنند. یک اکستنشن هم به همین نام برای فایرفاکس نوشته‌اند.

این Extension تعداد زیادی از سایت‌هایی که شما را ردیابی می‌کنند را بلاک می‌کند. علاوه بر آن، ادعا می‌کند که سرعت load (بارگزاری) سایت‌ها را تا ۲۷ درصد بهبود می‌دهد. Disconnect اپن‌سورس هم است.

بهتر است اول Disconnect را نصب کنید، بعد AdBlock Plus را. وگرنه Disconnect به شما نشان نمی‌دهد که چه سایت‌هایی را بلاک کرده. البته، همچنان کار خود را به درستی انجام می‌دهد، فقط کاری را که می‌کند نمایش نمی‌دهد.

Decentraleyes

بسیاری از سایت‌ها، کدهای جاوا اسکریپت یا فونت‌هایی که استفاده می‌کنند را مستقیم از یک سرور دیگر مثل گوگل load می‌کنند. این کار باعث می‌شود که ترافیک سرور خودشان کاهش یابد، و از طرف دیگر همیشه آخرین نسخه رفع باگ شده این کدها را استفاده خواهند کرد.

منتهی، برای ما یک نکته منفی دارد: سرویس دهنده، مثلا گوگل، از این طریق می‌تواند فعالیت‌های ما را ردیابی کند. این افزونه، اینطور محتویات را روی هارد شما ذخیره می‌کند و همیشه از این نسخه Cache شده استفاده می‌کند. بنابراین، وقتی شما به یک وب‌سایت سر می‌زنید که از فونت‌های گوگل استفاده می‌کند، Browser شما به سایت گوگل وصل نخواهد شد و گوگل نخواهد دانست که شما از آن سایت بازدید کرده‌اید.

Privacy Badger

محصول بنیاد EFF (بنیاد خط مقدم الکترونیکی) است. این بنیاد تلاش می‌کند تا از حقوق انسان‌ها در دنیای دیجیتال حفاظت کند.

مشابه Disconnect، این Extension نیز سایت‌هایی که شما را ردیابی می‌کنند بلاک می‌کند. با این تفاوت که به شما این امکان را می‌دهد که انتخاب کنید کدام سایت اجازه دارد کوکی روی سیستم شما ذخیره کند، یا کدام سایت کاملا بلاک شود.

Ghostery

این هم مانند Disconnect و Privacy Badger، سایت‌های ردیاب را بلاک می‌کند. Ghostery بعضی محتویات سایت را هم کاملا بلاک می‌کند و گاها بعضی از بخش‌های سایت کار نخواهند کرد.

البته، بعضی‌ها به شرکت پشت Ghostery اعتماد ندارد و معتقد هستند که خودش اطلاعات جمع‌آوری می‌کند. ولی من دلیلی جهت اثبات یا رد این ادعا پیدا نکردم.

نه به JavaScript!

جاوا اسکریپت کدی است که درون Browser شما اجرا می‌شود. بیشتر وب‌سایت‌ها از جاوا اسکریپت برای اضافه کردن قابلیت‌هایی به سایت خودشان استفاده می‌کنند. اما این کدها می‌توانند خطرناک هم باشند. درست مثل ویروس‌ها که از دید کامپیوتر شما یک برنامه هستند مثل بقیه برنامه‌ها. با جاوا اسکریپت هم می‌توان کدهای مخربی نوشت که از دید Browser شما تفاوتی با دیگر کدهای جاوا اسکریپت ندارند.

اکستنشن no script جلوی اجرای کدهای جاوا اسکریپت و جاوا روی Browser را می‌گیرد، مگر اینکه کدها از وب سایت قابل اعتمادی load شده باشند.

البته no script فقط همین یک کار را نمی‌کند، بلکه جلوی بسیاری از حمله‌ها مثل cross-site scripting attacks (XSS) یا Clickjacking را می‌گیرد.

تنها نکته منفی این اکستنشن اینجاست که بعضی از سایت‌ها به جاوا اسکریپت به مقدار زیادی وابسته هستند، و غیر فعال کردن جاوا اسکریپت روی آنها باعث می‌شود عملا نتوانید از آن سایت استفاده کنید.

جایگزین‌هایی برای جستجوی گوگل

درصد زیادی از مردم جهان از گوگل برای جستجو در اینترنت استفاده می‌کنند. اما درآمد گوگل بر پایه «تبلیغات هدفمند» بنا شده و این باعث می‌شود تا جای ممکن از کاربرانش اطلاعات جمع آوری کند تا تبلیغاتی را به آنها نمایش دهد که دوست دارند ببینند. آیا تا به حال متوجه شده‌اید که اگر در گوگل راجع به «بارداری» جستجو کنید، در Gmail تبلیغات مربوط به فروش سیسمونی نوزاد به نمایش در می‌آید؟

روش‌هایی که در بالا توضیح دادیم باعث می‌شود گوگل نتواند ردپای شما را در وب‌سایت‌های دیگر دنبال کند. اما اگر مستقیما اطلاعات را در دستان گوگل قرار دهید، هیچ ابزاری نمی‌تواند جلویش را بگیرد. (البته موضوعی که توضیح دادیم منحصر به گوگل نیست. بیشتر کمپانی‌هایی که خدمات اینترنتی رایگان ارائه می‌دهند همین کار را انجام می‌دهند.)

راه حل این است که سرویس‌های جستجوی دیگری که به حریم شخصی کاربران‌شان احترام می‌گذارند استفاده کنید. سرویس DuckDuckGo جایگزین بسیار خوبی است.

DuckDuckGo قابلیت‌های منحصر به فرد بسیار خوبی هم دارد. مثلا، اگر شما یک سوال برنامه‌نویسی را جستجو کنید، پاسخ برتر Stackoverflow را نمایش می‌دهد. یا اگر یک غذا را سرچ کنید، لیستی از دستورغذاهای مرتبط را نمایش خواهد داد. و بسیاری قابلیت‌های منحصر به فرد و کاربردی دیگر که خودتان باید کشف کنید!

DuckDuckGo به شما را ردیابی نمی‌کند

می‌توانید در فایرفاکس، در Preferences در بخش Search، به طور پیش فرض DuckDuckGo را انتخاب کنید.

اما اگر اصرار دارید که حتما نتایج جستجویتان را گوگل تهیه کند، می‌توانید از سرویسی که Disconnect ارائه می‌کند استفاده کنید. Disconnect به جای شما در گوگل جستجو می‌کند و نتایج را برایتان نمایش می‌دهد. به این ترتیب، گوگل نمی‌داند شما این جستجو را انجام داده‌اید یا کاربر دیگری. از گوگل Disconnect خواهید بود!

البته جدیدا Disconnect از گوگل پشتیبانی نمی‌کند. به خاطر مشکلات قانونی‌ای که برایش پیش آمده. اما می‌توانید از نتایج Bing در آن سود ببرید.

موتور جستجوی دیگری که به حریم شخصی شما احترام می‌گذارد، searx است. این موتور نیز قابلیت‌های جالب و منحصر به فردی دارد. مثل حذف کردن tracker از URL ها، یا قابلیت دانلود نتایج در قالب CSV یا JSON.

رمزنگاری ارتباطات

فقط گوگل نیست که محتویات ایمیل‌های شما (در جی‌میل) را می‌خواند تا از آنها استفاده‌های تبلیغاتی کند، بلکه زمانی که شما ایمیل را می‌فرستید، از میان هزاران سیستم دیگر نیز عبور می‌کند که علاقه‌مند هستند بدانند شما چه محتوایی را برای چه کسی ارسال کرده‌اید. از شرکت‌های تبلیغاتی دیگر گرفته، تا دولت‌ها. همه می‌توانند مکالمات ایمیلی شما را ببینند.

نه فقط ایمیل، که چت‌های شما، مکالمات تلفنی‌تان، و غیره. مثلا، مایکروسافت می‌تواند به مکالمات شما روی Skype گوش بدهد. هر چند هنوز اثبات نشده که مایکروسافت این کار را انجام می‌دهد، اما End User License Agreement (که ما چشم بسته I Agree‌ را می‌زنیم و رد می‌شویم!) این اجازه را به مایکروسافت داده است.

گوش کردن به مکالمات تلفنی شهروندان توسط دولت‌های خبیث، یا شنود مکالمات داخلی شرکت توسط مدیران، یا جاسوسی توسط NSA از شهروندان آمریکا هم که دیگر گفتن ندارد.

راه حل این است که ارتباطات خود را رمزنگاری (Encrypt) کنید. یا از ابزارهایی استفاده کنید که به شکل خودکار رمزنگاری را انجام می‌دهند.

پروژه Guardians مجموعه اپلیکیشن‌هایی دارد که همه ارتباطات را رمزنگاری می‌کنند. برای چت و Messaging، اپ Chat Secure را دارند که با سرویس‌های چت مختلفی هم می‌تواند کار کند، و اطلاعات را از دستگاه شما تا دستگاه مقصد به شکل رمزشده ارسال می‌کند. برای مکالمات تلفنی هم Ostel را توسعه داده‌اند از پروتکل‌های استاندارد و امن استفاده می‌کند که جایگزین بهتری برای اپلیکیشن‌های مشابه است.

برای مسیج و چت، Telegram (که در زمان نوشتن مقاله همه گیر شده است) هم مناسب است، چرا که اطلاعات را رمزنگاری می‌کند. البته، پروتکل آن استاندارد نیست و تحقیقی در اواخر 2015 نشان داده که می‌توان این پروتکل را crack کرد. به عبارت دیگر، می‌تواند شنود شود، هر چند نه به سادگی.

Signal نیز اپ بسیار خوبی برای مسیج، چت و تماس صوتی است، که توسط Open Whisper Systems توسعه داده شده. این گروه نیز به شکل تخصصی روی ساخت ابزارهایی برای رمزنگاری ارتباطات استفاده می‌کنند.

GPG

بسیاری از شرکت‌ها و اشخاص علاقه به مانیتور و خواندن ارتباطات شما دارند

مسلما همه سرویس‌ها و اپلیکیشن‌ها مکالمات و اطلاعات شما را رمزنگاری نمی‌کنند. خصوصا که، شرکت‌هایی مثل گوگل و فیس بوک و توییتر و بسیاری دیگر، منبع درآمدشان از راه خواندن پیغام‌های شما و بعد هم نمایش تبلیغات هدفمند است.

راه حل این است که خودتان پیغام‌هایتان را از مبدا تا مقصد رمزنگاری کنید. به این ترتیب، مهم نیست از چه ابزاری برای ارتباط استفاده می‌کنید، هیچ کس غیر از شخص یا اشخاصی که شما می‌خواهید، نمی‌تواند پیغام‌تان را بخواند.

برای این کار، PGP (مخفف Pretty Good Privacy) تکنولوژی استاندارد و قابل اعتمادی است. این مقاله توضیحی درباره PGP و لزوم رمزنگاری ایمیل‌ها است.

Cloud Storage

امروزه، ما اطلاعات زیادی را روی فضای ابری (Cloud Storage) ذخیره می‌کنیم. اغلب سرویس‌های Cloud Storage نیز رایگان هستند، و مطابق آنچه در بالا گفتیم، اطلاعات شما را خواهند خواهند و حتی خواهند فروخت. اینجا نیز، راه حل رمزنگاری اطلاعات پیش از ذخیره روی Cloud است.

برای اینکار، Truecrypt ابزار بسیار قدرتمندی است که می‌تواند مجموعه فایل‌های شما را رمزنگاری کند. بررسی‌هایی که تا کنون انجام شده، نشان داده که فایل رمزنگاری شده خروجی از این نرم‌افزار غیر قابل Crack کردن است. به عبارت دیگر، اطلاعات شما صد در صد امن باقی خواهد ماند.

البته Truecrypt چند مدت پیش اعلام کرد که متوقف شده و دیگر نسخه جدیدی نخواهد داد. اما همچنان قابل استفاده است و باگ امنیتی شناخته شده‌ای نیز ندارد. تا زمانی که همچنان قابل استفاده است، قابل اعتمادترین ابزار موجود است. علاوه بر این، گروه‌های دیگری هستند که پروژه‌های جدیدی از آن Fork کرده‌اند. به این معنی که سورس‌کد (Source Code) آن را مطابق قوانینی که License آن اجازه داده کپی کرده و ورژن‌های جدیدی از Truecrypt ایجاد کرده‌اند. بنابراین، در آینده نیز نگرانی‌ای نخواهید داشت که فایل‌هایتان با یک ابزار قدیمی ایجاد شده‌اند و قابل استفاده نیستند. می‌توانید از یکی از این Fork ها استفاده کنید.

در این صفحه از سایت Gibson می‌توانید اطلاعات کاملی راجع به توقف پروژه Truecrypt پیدا کنید، و آخرین نسخه آن را دانلود کنید.

اگر از گنو/لینوکس استفاده می‌کنید، dm-crypt می‌تواند علاوه بر رمزنگاری یک device، یک فایل را نیز رمزنگاری کند. dm-crypt ابزاری است که از API استاندارد Kernel برای رمزنگاری استفاده می‌کند، و سرعت بالایی نیز دارد. این راهنمای خوبی برای شروع استفاده از dm-crypt است.

راه حل دیگر، استفاده از سرویس‌هایی است که encryption را سمت کلاینت انجام می‌دهند. Mega یکی از این سرویس‌هاست، که هنگام ثبت نام ۵۰ گیگابایت فضا در اختیار شما قرار می‌دهد. مرکز این شرکت در نیوزلند است که جزء کشورهایی محسوب می‌شود که شهروندانش آزادانه می‌توانند دیتاها را رمزنگاری کنند و قانون جلوی آنها را نمی‌گیرد. Mega رمزنگاری را سمت کلاینت انجام می‌دهد، و دیتاهایی که روی Cloud ذخیره شده‌اند قابل خواندن توسط admin سیستم نیز نیستند. صد البته که، در درجه اول باید بتوانید به این سرویس دهنده‌ها اعتماد کنید.

تذکر

توجه داشته باشید که در هر کشوری، قوانین متفاوتی برای رمزنگاری وجود دارد. مثلا، در ایران رمزنگاری ارتباطات (مکالمات، نامه‌ها، مستندات،…) غیر قانونی است، مگر اینکه مجوز لازم دریافت شده باشد. یا در نقطه مقابل، قوانین نیوزلند هیچ نوع محدودیتی در این زمینه ندارد.

پی‌نوشت

جادی عزیز لطف کرده و این مقاله رو در مجموعه «دوشنبه‌‌های آخر ماه» وبلاگش معرفی کرده.

صفحه نخست