بعد از افشاگری های جنجال برانگیز ادوارد اسنودن، کارمند سابق سازمان امنیت ملی ایالات متحده در مورد جاسوسی های گسترده این نهاد امنیتی، حالا کاربران اینترنت بیش از پیش نسبت به امنیت حریم خصوصی شان نگران هستند. بسیاری از آنها به این فکر میکنند که چه سازمان هایی به اطلاعات خصوصی و محرمانه آن ها دسترسی دارند و با این اطلاعات چه خواهند کرد…

 اکثر کاربران به منظور ایجاد محیطی امن در سیستم های رایانه ای خود، از نرم افزارهای امنیت اینترنت و یا برنامه های ضدویروس استفاده می کنند، که نقش مهمی در حفاظت از حریم خصوصی کاربرانشان بر عهده دارند. البته به همان میزان مهم است که کاربران هم به محصولات امنیتی مورد استفاده خود، اعتماد و اطمینان داشته باشند.
 keyboard security
 سال ها، همه ما از ترس ربوده شدن اطلاعات خصوصی و محرمانه مان در فضای مجازی و اینترنت، تنها به نرم افزارهای امنیتی اطمینان کرده ایم، اما آیا حالا با مطرح شدن جاسوسی های وسیع سازمان های امنیتی در سراسر جهان، می توانیم به نرم افزار حفاظتی نصب شده در رایانه خود، اعتماد کنیم؟
 ارسال اطلاعات محرمانه! 
 
 شرکت های امنیت اینترنت، طبق قوانین بین المللی حق دارند تا برای تأمین امنیت ما،‌ به اطلاعات فنی رایانه ها، فایل های اجرایی و سیستمی و یا سایر اطلاعات محرمانه دسترسی داشته باشند و “برخی” از آن ها را برای تجزیه و تحلیل بیشتر به آزمایشگاه های فنی خود ارسال کنند.  
 اما مشکل اینجاست که نظارت خاصی بر نوع،‌ نحوه، مقدار و اهمیت اطلاعات ارسال شده به آزمایشگاه های ضدبدافزار وجود ندارد.
 “واقعیت این است که متاسفانه “برخی” از شرکت های ضدویروس و امنیت اینترنت، اطلاعات مهم اما غیر ضروری که بعضاً شامل اطلاعات خصوصی ما می باشند را به پایگاه های اطلاعاتی خود ارسال و در آن ذخیره می کنند.”
 اینکه این شرکت ها حق قانونی برای مخابره “برخی” اطلاعات فنی رایانه ها را دارند، تا حدی منطقی ست؛ اما این بدان معنی نیست که آن ها باید اختیار کامل رایانه های خانگی یا سازمانی ما را در دست داشته باشند؛ با این توجیه که امنیت مجازی ما را تأمین می کنند.
 بررسی های جدید انجام شده توسط پایگاه اینترنتی AV-Comparatives، مرکز ارزیابی عملکرد برنامه های امنیت اینترنت، نشان می دهد که متاسفانه “بعضی” از نرم افزارهای امنیتی محبوب، برخی اطلاعات محرمانه و خصوصی کاربران اینترنت را برای سازندگان خود مخابره میکنند!
  
واضح است که تولید کنندگان ضدویروس و ابزارهای امنیتی باید مطابق با قوانین کشور خود عمل کنند. برای مثال بعضی از شرکت های امنیتی طبق حکم صادر شده از دادگاه کشور خود، برای فروش محصولاتشان باید اطلاعات هویتی مشتری مثل “نام کامل کاربر، پست الکترونیک، شماره تماس و…” را در پایگاه اطلاعاتی خود ذخیره کنند.
 این دلیل حقوقی، می تواند جمع آوری اطلاعات شخصی کاربران رایانه ای را توجیه کند. بسیاری از شرکت های امنیتی هم بر همین اساس ادعا میکنند که تنها همین اطلاعات شخصی، جمع آوری و به شرکت هایشان ارسال می شود.
 
 اما … چه نوع اطلاعاتی برای شرکت های امنیت اینترنت مخابره میشود؟!
 
 AV-Comparatives برای بررسی، نوع، نحوه و اهمیت اطلاعات خارج شده از سیستم های مجهز به نرم افزارهای امنیتی، ابتدا ترافیک شبکه این سیستم ها را بطور آزمایشی و برای هر نرم افزار امنیتی بصورت جداگانه مورد بررسی قرار داده است.
 همچنین متن توافقنامه استفاده از نرم افزار (EULA)که باید به تأیید کاربر یا مدیر شبکه برسد نیز برای هر شرکت امنیتی به طور جداگانه مورد بررسی قرار گرفته است. در این توافقنامه ها باید حتماً ذکر شود که چه اطلاعاتی پس از نصب نرم افزار امنیتی و توسط آن از سیستم کاربران خارج می شود و آیا کاربران از این مسئله رضایت دارند یا خیر؟
 در بررسی های AV-Comparatives، انواع داده هایی که شرکت های سازنده ضدویروس جمع آوری و برای سرورهای خود مخابره می کنند به 5 دسته جداگانه تقسیم شده است:
       1-      اطلاعات مربوط به لایسنس و نسخه محصول و شماره کاربری
 درمیان شرکت های امنیتی، تقریباً تمام آنها اطلاعات مربوط به مجوز (لایسنس) و نسخه محصول را برای خود ارسال می کنند. علاوه بر این تقریباً تمام این شرکت ها، ارسال شماره های کاربری منحصر به فرد (UID) هر کاربر را تأیید کرده اند. این کار میتواند به منظور اهداف مربوط به صدور مجوز (لایسنس) مورد استفاده آنها قرار گیرد.
 2-      اطلاعات مربوط به مشخصات سخت افزاری و نرم افزاری سیستم:
 اطلاعاتی فنی و سیستمی مثل “نوع قطعات سخت افزاری و برخی اطلاعات نرم افزاری مانند نسخه برنامه های نصب شده” در این گروه جای می گیرند. ارسال این اطلاعات نمی تواند برای کاربر ضرری به همراه داشته باشد؛ چرا که اطلاع از محصولات نرم افزاری نصب شده روی سیستم وی باعث می شود تا شرکت های امنیتی بتوانند کاربران را از آسیب پذیری ها و حفره های امنیتی مطلع سازند.
 در مقابل، اما بیشتر تولید کنندگان برنامه های امنیتی، اطلاعات شخصی دیگری مثل نام شبکه محلی به همراه کامپیوترهای متصل به آن، آدرس آی پی محلی کاربران و نام دامنه میزبانی شده را برای سرورهای خود ارسال می کنند. به نظر می رسد ارسال اینگونه اطلاعات، آنقدرها ضروری نباشد و حریم خصوصی کاربران را تهدید کند.
 برخی از شرکت ها اینطور بیان میکنند که ارسال نام دامنه بمنظور مدیریت بر روی لایسنس های نرم افزار صورت میگیرد درحالیکه بیشتر شرکت ها برای مدیریت لایسنس، از شماره اختصاصی کاربر (UID) استفاده می کنند.
 
3-      اطلاعات خصوصی و هویتی کاربر :
 از مهم ترین اطلاعات شخصی کاربر در این مجموعه می توان به “نام کاربری سیستم عامل” اشاره کرد. استفاده از نام کاربری سیستم عامل را می توان در مواقع استفاده از ویژگی “کنترل والدین” در برنامه های امنیتی موثر دانست. با این وجود، برخی از ضدویروس ها پس از فعال شدن ویژگی “کنترل والدین” نیز، نام دامنه میزبانی شده یا نام کاربری سیستم عامل را برای شرکت های سازنده خود ارسال نمی کنند.
 گروهی دیگر از ضدویروس ها اطلاعاتی نظیر “تنظیمات کشور، منطقه و زبان سیستم” را برای شرکت های سازنده خود ارسال میکنند. آنها توجیه می کنند که اینکار جهت کنترل بهتر لایسنس، ارائه زبان محلی کاربر در محیط برنامه و حفظ امنیت بر روی وب سایت های مخربی که تنظیمات منطقه ای کاربر را تحت تاثیر قرار می دهند و بصورت کاملاً قانونی انجام می گیرد.
 4-      اطلاعات مربوط به فایل ها :
 طبیعتاً تمام ضدویروس ها جهت کنترل بهتر و برقراری امنیت بیشتر در سیستم کاربرانشان، اطلاعاتی درباره فایل های مشکوک یا آلوده را به شرکت های سازنده خود ارسال می کنند. این اطلاعات شامل نام شناسایی شده فایل مخرب، خصوصیت های ویژه شامل “MD5 Hash”، مسیر و حجم برنامه مخرب و… می باشد که جهت مقابله با نفوذ بدافزارها مخابره می شوند. بدیهی است که اینگونه اطلاعات برای شرکت های سازنده ضدویروس اهمیت فراوانی دارد، اما آنچه قابل توجیه نبوده، این است که برنامه های امنیتی گاهی داده های شخصی آلوده نشده کاربر را برای شرکت های سازنده ارسال می کنند که هیچگونه ضرورتی برای ارسال آنها نبوده است.
 بر اساس اعلام AV-Comparatives، کاربران باید بتوانند تا برای خارج شدن هر کدام از فایل های موجود در سیستم خود تصمیم گیری کنند. در واقع باید تنظیماتی برای برنامه های امنیتی وجود داشته باشد تا از طریق آن، برنامه های امنیتی قبل از ارسال هرگونه فایل (به ویژه فایل های غیراجرایی)، کاربران را مطلع سازد. البته بسیاری از برنامه های امنیتی قبل از نصب شدن در سیستم و در متن توافقنامه نصب نرم افزار خود، موارد لازم را به اطلاع کاربر می رسانند.
 5-      اطلاعات و داده های عمومی :
 بسیاری از ضدویروس ها بدون نمایش هشدار به کاربر، به محض شناسایی یک بدافزار آن را پاک می کنند و جزئیات فایل آلوده را نیز به شرکت سازنده خود مخابره می کنند. حتی ممکن است فایل فرستاده شده برای شرکت سازنده ضدویروس، یک تشخیص اشتباه باشد و به بهانه این، برخی فایل های محرمانه دیگر نیز یک به یک به آن شرکت ارسال شوند.
 اغلب شرکت های امنیت اینترنت، در اینباره می گویند که جمع آوری این اطلاعات بمنظور اهداف امنیتی و کاملاً قانونی بوده است. در بسیاری از کشورها این قوانین وابسته است به قوانین کشوری که برای اولین بار نرم افزار ضدویروس در آنجا تولید و نصب شده و به تدریج برای کشورهای دیگر هم به اجرا درآمده است.
 چرا بعضی کاربران به بعضی از برنامه های امنیتی بی اعتماد شده اند؟
 
 یکی از مدیران ارشد یک شرکت بزرگ امنیت اینترنت، در اعتراض به همکاری های سازمان های امنیتی ایالات متحده با آژانس امنیت ملی این کشور، در کنفرانس مهم RSA که در ماه های پیش برگزار شد شرکت نکرد. به گفته وی، این سازمان ها و به ویژه شرکت RSA در تضعیف امنیت سیستم های رمزنگاری نقش بسزایی داشته اند.
 او اظهار داشت اگرچه سازمان امنیتی RSA، یکی از دقیق ترین مراکز تحقیقاتی و امنیتی جهان برای رمزگذاری اطلاعات است، اما این روزها اعتماد کاربران اینترنت، بطور قابل ملاحظه ای نسبت به این سازمان امنیتی کاهش یافته و مراکز دیگر امنیتی و دولتی ایالات متحده نیز به نقض شدید حریم خصوصی متهم هستند.
 وی در ادامه به نامه محرمانه ای اشاره می کند که سازمان هلندی Bits of Freedom به عنوان یکی از بزرگترین سازمان های حامی حقوق بشر در دنیای مجازی و اینترنت، به 20 شرکت بزرگ امنیتی در سراسر جهان ارسال کرده بود.
Bits of Freedom
 در این نامه از شرکت های امنیتی سئوال شده بود که آیا در برابر فشار دولت ها برای عدم شناسایی عمدی برخی از جاسوس افزارها، تسلیم خواهند شد؟ پاسخ اغلب این شرکت ها، طبیعتاً و قطعاً منفی بود اما شرکت هایی هم بودند که هیچ واکنشی نسبت به این نامه نشان ندادند.  
 از طرف دیگر نیز سازمان های قضایی و اطلاعاتی در برخی کشورها مانند ایالات متحده، از فاش شدن همکاری شان با شرکت های تولید کننده ضدویروس و ابزارهای امنیت اینترنت جلوگیری کرده اند.
 بنابراین شاید بتوان این سئوال را مطرح کرد که چرا برخی بدافزارها مثل , Flame, Stuxnet و R2D2 ، ماه ها یا شاید سال ها توسط “بعضی” از نرم افزارهای قدرتمند ضدبدافزار شناسایی نمی شدند؟
 البته موضوع فشارهای سیاسی بر روی شرکت های امنیت اینترنت چیز تازه ای نیست. اما این مسئله بیشتر معطوف کشورهایی ست که از قدرت سیاسی یا نظامی بالاتری برخوردارند و در اصطلاح ابرقدرت خوانده می شوند؛ کشورهایی مانند ایالات متحده، روسیه، بریتانیا و …
 
برعکس شرکت هایی که به کشورهای مستقل و آزاد تعلق دارند، قوانینی هم برای نظارت سفت و سخت بر روی خود نمی بینند و در نتیجه کار خود را بر اساس منشور سازمانی و تعهد اخلاقی خود، انجام می دهند. درست به همین دلیل، لزوماً تمام شرکت های ضدویروس و امنیت اینترنت سیاسی کاری نمی کنند و در نتیجه می توانند اعتماد نسبی کاربران را به دست آورند.
 در مورد انتشار ویروس “فلیم” در سال 1391 هم شاهد بودیم که برخی از شرکت های تابعه وزارت نفت ایران که از محصولات دیگری غیر از محصولات نصب شده در سازمان های مرکزی این وزارتخانه استفاده می کردند، به این بدافزار خطرناک آلوده نشدند.
 نتایج بررسی های اخیر AV-Comparatives نیز تا حدود زیادی، همین نظر را تأیید می کند.
 بر این اساس، شرکت های AhnLab از کره جنوبی، Avira از آلمان، eScan از هند،Emsisoft  از اتریش، Panda Security از اسپانیا و شرکت Fortinet از ایالات متحده در ارسال اطلاعات محرمانه کاربران به سرورهای خود بسیار محتاط تر و حساس تر از سایر برندها هستند. اما در مقابل، شرکت های آمریکایی Microsoft، McAfee، Symantec، Trend Micro و Webroot و شرکت روسی Kaspersky، اطلاعات محرمانه بیشتری از سیستم های رایانه ای شخصی یا سازمانی خارج می کنند.
در جداول زیر میتوانید به نحوه پاسخ دهی شرکت های سازنده ضدویروس، درباره نوع و میزان اطلاعات ارسالی به سرورهای شان را با هم مقایسه کنید…
 
 http://www.av-comparatives.org/wp-content/uploads/2014/04/avc_datasending_2014_en.pdf