چند وقتی از ماجراهای ایجادشده حول پیامرسان واتسآپ و سردرگمی کاربران بین استفاده یا عدماستفاده از این برنامه میگذرد. شاید کمی دیر بهنظر برسد که حالا قصد پرداختن به این موضوع را داشته باشیم، منتها آنقدر واکنشها همچنان سینوسی و هیجانزده است که خود ما هم که بهدنبال راهکاری برای خروج از این بلبشوی نرمافزاری و امنیتی هستیم که نمیدانیم چه نسخهای بپیچیم و چه تجویزی برای کاربران داشته باشیم.
روزنامه «فرهیختگان» در ادامه نوشت: با این اوصاف ابتدا بد نیست مروری بر آنچه تا به امروز گذشته است و واکنشها و حواشیای که حول استفاده از یک پلتفرم ایمن به راه افتاده، داشته باشیم و بعد هم برسیم به اصل ماجرایی که قصد کنایه به آن با تحلیل وضعیت ایجادشده توسط واتسآپ داریم. تمام ماجرا بر مدار یک اصل میچرخد و آن هم امنیت و حفظ حریم شخصی کاربران است. ماجرایی که در ایران خیلی وسواسی نسبت به آن وجود ندارد و آن هم بهخاطر آن است که نه نهادی حساسیتی را ایجاد کرده است و نه مردم دغدغه خاصی دارند. بهعلاوه اینکه هر نرمافزار و برنامهای را هم که روی ابزار خود نصب میکنیم، انواع و اقسام دسترسیها را مطالبه میکند و خیلی هم برای ما مسالهای نیست که این دسترسیها را بدهیم! البته این به معنی نوعی ناآگاهی و بیتفاوتی خطرناک است وگرنه در تمام دنیا یکی از خطوط قرمز اصلی در فضای تبادل اطلاعات در بستر اینترنت و در استفاده از پلتفرمهای گوناگون، امنیت و حفظ حریم شخصی کاربران است.
القصه اینکه همین مساله نهچندان مهم برای ما و مهم برای خارجیها سرآغاز ماجرای واتسآپ با کاربرانش بود. واتسآپ در ششم ژانویه اعلام کرد کاربران باید تا هشتم فوریه با تغییر شرایط استفاده از سرویس این پیامرسان که شامل جمعآوری اطلاعات نظیر شماره تلفنها و اطلاعات مکان توسط فیسبوک – شرکت مادر واتسآپ – و زیرمجموعههایش است، موافقت کنند در غیر این صورت دسترسی به این برنامه را از دست میدهند. همین مطالبه و خط و نشان واتسآپ برای کاربرانش مقدمه یک کوچ گسترده و همگانی از این نرمافزار را فراهم کرد. آنقدر به یکباره فضا ملتهب شد که کاربران دستپاچه و با هیجان فراوان بهدنبال جایگزین مناسبی برای واتسآپ میگشتند. اتفاقی که مدیران واتسآپ را شوکه و مدیران تلگرام و سیگنال را شگفتزده کرد؛ چراکه بعد از این اتفاق برخی از چهرههای شاخص و تاثیرگذار بینالمللی بلافاصله اقدام به معرفی این دو پیامرسان بهعنوان جایگزینهای مناسب واتسآپ کردند. ایران و ایرانیها هم از این قاعده مستثنی نبودند و با اینکه خودشان بارها و بارها دسترسیهای نامحدودی به انواع و اقسام نرمافزارها ازجمله VPNها داده بودند، ناگهان نگران دسترسی واتسآپ و فیسبوک به اطلاعاتشان شدند و تن به نصب و راهاندازی سیگنال دادند.
واتسآپ بعد از از دست دادن تعداد زیادی از کاربرانش در یک عقبنشینی محسوس اعلام کرد اجرای سیاستهای خود مبنیبر دریافت دسترسیهای اطلاعاتی کاربرانش را به تعویق انداخته است. آدام موسری، مدیر فیسبوک و رئیس اینستاگرام در توئیتی گفت: «اطلاعات غلط زیادی درمورد بهروزرسانی خدمات واتسآپ بهوجود آمده است. بهروزرسانی سیاست به هیچوجه برحریم خصوصی پیامهای شما با دوستان یا خانوادهتان تاثیری ندارد. ما نمیتوانیم پیامهای خصوصی شما را ببینیم یا تماسهای شما را بشنویم، چنانچه فیسبوک نمیتواند آن را بشنود.» خلاصه اینکه این وضعیت زمینی را برای کاربران ترسیم کرد که هیچکدام نمیدانستند حالا باید به کدام سو بروند و به کدام نرمافزار اعتماد کنند. این فضای غبار آلود برای ایرانیها عجیبتر و پرمخاطرهتر هم بود. ایرانیهایی که مدتهاست با فیلترینگ دستوپنجه نرم میکنند تا میآیند با یک نرمافزار انس بگیرند، تیغ فیلترینگ سرش را میبرد و آنها ناکام میمانند. حالا این واتسآپ با آن امکانات حداقلی هم بازیاش گرفته بود و سر سازگاری نداشت. سیگنال، تلگرام و پیامرسانهای داخلی؛ ایرانیها محکوم به استفاده از اینها بودند اگر قرار بود پای مطالبه واتسآپ را امضا نکنند. همین شد که مطالبه برای نصب سیگنال و دور زدن فیلترینگ برای رسیدن به تلگرام بالا گرفت و بازهم در این شرایطی که خود واتسآپ پاس گل خوبی به داخلیها داد، پنج پیامرسان داخلی که زیر سایه حذف رقیب قدرتمند سری بین سرها درآورده بودند، بازهم جا ماندند و نتوانستند از کاربران مهاجرتکرده، سهم قابل توجهی را به سبد خود بریزند! همین وضعیت شد که حالا ما میتوانیم ادعا کنیم، توان داخلی برای معرفی و مدیریت یک پیامرسان قدرتمند، توان درخور و بالایی نیست و انتهای بازدهی آنها، همینجایی است که حالا ایستادهاند، نه بیشتر و نه کمتر!
محله برو و بیای اپهای خارجی
پیرو آنچه بالاتر گفتیم، بد نیست ابتدا نگاهی به وضعیت امنیت پیامرسانهای مطرح بینالمللی بیندازیم و بعد دوباره به تحلیل شرایط پیشآمده و وضعیت خودمان در ایران بپردازیم. در سنجشهایی که در این رابطه صورت میگیرد، رمزنگاری نقطه به نقطه (end-to-end-Encryption) یکی از مهمترین مواردی است که مورد توجه قرار میگیرد.
پیامرسان سیگنال(signal)
اپ سیگنال در تمامی متدهای ارسال و دریافت پیامها، از الگوریتمهای رمزنگاری استفاده میکند. ازجمله نقاط قوت این پیامرسان میتوان به رمزنگاری پیشفرض تمامی پیامها، پشتیبانی از انواع فرمتهای ارسال پیام، کاملا متن باز بودن، عدمذخیره اطلاعات و دادههای کاربر و تایمر خودکار پاککردن پیام اشاره کرد. کارشناسان مهمترین نقطهضعف این پیامرسان را طراحی ساده و بدون جلوههای بصری آن میدانند.
پیامرسان واتسآپ (WhatsApp)
واتسآپ علاوهبر اینکه بهعنوان محبوبترین پیامرسانها در دنیا محسوب میشود، یکی از امنترین پیامرسانها در جهان نیز شمرده میشود. این برنامه پیامرسانی محبوب دارای قابلیتهای امنیتی بسیاری است که پشتیبانی از رمزنگاری پیشفرض تمامی پیامها و همچنین احراز هویت دومرحلهای، ازجمله قابلیتهای مهم امنیتی آن است. از جمله نقاط قوت این پیامرسان میتوان رمزنگاری پیشفرض تمامی پیامها، پشتیبانی از انواع فرمتهای ارسال پیام، گسترده بودن میزان استفاده، رابط کاربری خوب، عدمدسترسی سرور به پیامهای کاربر و پشتیبانی از احراز هویت دومرحلهای اشاره کرد. کارشناسان متن باز نبودن و تحت مالکیت فیسبوک بودن را از مهمترین نقاط ضعف این پیامرسان میدانند.
پیامرسان تلگرام (Telegram)
در تمامی لیستهای معرفی امنترین پیامرسانهای جهان همیشه باید جایی برای تلگرام درنظر گرفت. این اپلیکیشن پیامرسانی دارای امنیت بالایی است که موجب شده هک کردن آن کار چندان سادهای نباشد. تنها ایرادی که بسیاری از کارشناسان امنیتی به این پیامرسان میگیرند، عدم پیشفرض بودن رمزنگاری همه پیامها و ذخیره پیامهای کاربر در سرورهای این پیامرسان است. از جمله نقاط قوت تلگرام میتوان به موارد زیر اشاره کرد: رمزنگاری پیامها در حال سکرتچت، پشتیبانی از انواع فرمتهای ارسال پیام، تا حدودی متن باز بودن، واسط کاربری فوقالعاده و دارای امکانات زیاد، تایمر خودکار پاک کردن پیام، پشتیبانی از احراز هویت دومرحلهای. کارشناسان، ذخیره اطلاعات و دادههای کاربر و عدمرمزنگاری پیشفرض تمام دادهها را از مهمترین نقاط ضعف تلگرام میدانند.
پیامرسان ویکر (Wickr)
شاید بعد تجاری اپلیکیشن پیامرسانی ویکر سبب شده است تا این پیامرسان در میان سایر پیامرسانها، کمتر شناخته شود. اما با این وجود، هنوز هم نام آن جزء امنترین پیامرسانهای دنیا قرار گرفته و نمیتوان از ویژگیهای امنیتی فوقالعاده آن چشمپوشی کرد. این پیامرسان رایگان، برای استفاده تجاری و شرکتی طراحی شده است و دارای امکانات بسیاری در این زمینه است. رمزنگاری پیشفرض تمامی پیامها، قابلیت ثبتنام با ایمیل، متن باز بودن، عدمذخیره اطلاعات و دادههای کاربران ازجمله مهمترین نقاط قوت این پیامرسان است. کارشناسان طراحی اختصاصی این اپ برای استفاده تجاری و رابط کاربری متفاوت آن را ازجمله مهمترین نقاط ضعف آن به حساب میآورند.
پیامرسان آیمسیج (imessage)
آیمسیج، سرویس پیامرسانی مختص محصولات اپل است و محصولات اپل، معمولا از امنیت بسیار بالایی برخوردار هستند. این سرویس پیامرسانی که جزء امنترین پیامرسانهای جهان محسوب میشود نیز از متدهای رمزنگاری خاص اپل بهره میبرد و میتواند بهطور پیشفرض تمامی پیامهای ارسالی کاربر را بهصورت رمزنگاری شده ارسال کند. شاید بتوان مهمترین نقاط ضعف این اپلیکیشن را مختص آیفون بودن و عدمپشتیبانی از هر نوع فایلی برای ارسال دانست. اما متن باز نبودن و ذخیره اطلاعات و دادههای کاربر را نیز میتوان جزء نقاط ضعف آن به حساب آورد. رمزنگاری پیشفرض تمامی پیامها و واسط کاربری مطلوب از جمله مهمترین نقاط قوت این پیامرسان است.
شرایط فعلی ماحصل انفعال سازمانهای متولی داخلی است
در ادامه با محمدجعفر نعناکار، کارشناس و حقوقدان فضای مجازی در رابطه با حواشی اخیر ایجادشده بعد از اقدامات بحثبرانگیز واتسآپ به گفتوگو پرداختیم. او در این رابطه گفت: «قاعده این است از زمانی که فیسبوک، اینستاگرام و واتسآپ را گرفت تمام دیتاهای ما آنجا هم ذخیره شد و هم ماین شد. در این شکی نیست. الان واتسآپ خیلی صریح و روشن بیان کرده میخواهم این کار را انجام دهم. این به معنای این نیست که تا قبل از این چنین اتفاقی نمیافتاده است. قطعا دیتاهایی که در پیامرسانها هستند براساس قوانین داخلی کشورها از حدی بالاتر میرود هم ذخیره میشود و هم مدتزمانی که نگهداری میشود مشخص است و هم چگونه ماین شدن مشخص است، دسترسیها نیز معین است. تمام مسائل مشخص شده است. بهطور مثال در برخی کشورهای اروپایی وقتی یک پیامرسان بالای ۴ درصد جمعیت را کاربر جذب میکند موظف است یکی از نهادهای امنیتی کشور در دفتر پیامرسان مستقر شود. این بدین معنا نیست بدون تشریفات قانونی قابلیت دسترسی به دادهها و غیره را دارند. اتفاقی که الان افتاد بهنظر میرسد بهدلیل منفعلبودن سازمانهای داخلی مثل شورای عالی فضای مجازی یا مرکز ملی فضای مجازی یا وزارت ITC یا جاهای دیگر است که با یک توئیت ایلان ماسک یا هرکس دیگری جهت به این داده شد کسانی که از پیامرسانهای واتسآپ یا مسنجر فیسبوک استفاده میکردند، به پیامرسانی سوق داده شوند که ما تصمیمی درخصوص آن نداریم. یعنی آنقدر منفعلانه عمل کردیم که برای ما تصمیم گرفته شد و پیشنهاد داده شد که هجوم بهسمت پیامرسان دیگری ببرند.»
مدل استفاده از پیامرسانهای خارجی در ایران صحیح نیست
نعناکار در رابطه با امنیت پیامرسان سیگنال و تبلیغاتی که برای آن میشود هم خاطرنشان کرد: «پیامرسان سیگنال هم میگوید اوپن سورس هستم و کدینگ و دیکد میکند ولی نه از لحاظ فنی گنجایش این تعداد کاربر را دارد و نه صلاح است ما مردم و کسانی که از این مسنجر استفاده میکنند را به چنین سیستمهایی سوق دهیم. تمام کشورها چه در قالب اتحادیه اروپایی و چه در قالب آمریکا و چه در قالب کشورهای شرق در داخل یک پیامرسان ژنرال دارند. کارهای داخلی و ارزشافزودهای که وجود دارد، خدمات دولتی، خدمات پولی و مالی، کیف پرداخت و... را روی پیامرسان داخلی سوار میکنند. بعد میگویند اگر میخواهید با خارج از کشور ارتباط داشته باشید از هر چیزی میخواهید استفاده کنید. ولی اینطور نیست که مثلا همه با واتسآپ اتوماسیون اداری خود را هم انجام دهند. الان در داخل کشور بهدلیل عدمفرهنگسازی و ضعف در پیامرسانهای داخلی و عدمتعریف ارزش افزوده توسط حاکمیت در پیامرسانها شاهد هستیم از پیامرسان جای ایمیل هم استفاده میکنند، یعنی کل قراردادها، اسناد مالکیت و... را با پیامرسان ردوبدل میکنند. این نوع استفاده در هیچ جای دنیا مرسوم نیست. هیچ جا نمیتوانید مثال بزنید چنین اتفاقی رخ دهد. فقط در ایران و بهدلیل زیرساختهای ضعیف و منفعلبودن مراجع تصمیمگیری است که چنین اتفاقی میافتد.»
واتسآپ نگاه تجاری دارد
این حقوقدان فضای مجازی در پاسخ به این سوال که چرا واتسآپ چنین پیامی را برای کاربران ارسال کرد و آیا چنین اقدامی در دنیا مرسوم است یا خیر گفت: «مرسوم بودن دو علت دارد؛ اول اینکه در بسیاری از سکشنهای بینالمللی در قالب اتحادیه اروپا یا خود اروپا یا آمریکا یا آسیای دور بهعلت اینکه دادگاههای حقوق بشری داریم، باید اعلام کنند. و این الزام قانون بینالمللی است. متاسفانه در ایران نه دادگاه حقوق بشری داریم و نه دادگاه قانون اساسی داریم و نه تعریفی از حریم خصوصی داریم. این هم از معایب اوضاع حقوقی و قانونی ماست. وقتی شرکت فراملی یا مولتی نشنالی میخواهد کار کند، موظف است بهخاطر اینکه تهدید قانونی نشود و به دادگاه فراخوانده نشود همه اسناد را رو کند. بگوید من چنین کاری را انجام میدهم و از الان بگوید دیتاهای کاربران بهصورت رسمی در فیسبوک یا مراکز ذخیره داده دپو میشود یا میخواهد دادهکاوی شود. اصولا اگر این را بیان نکند به تجارت خود آسیبی وارد میکند. به این دلیل که ممکن است علیه او شکایت کنند و بعد باید پاسخگو باشد و خسارت و غرامت پرداخت کند. پس اینکه میفرمایید آیا مرسوم است، از این جهت است، چون تعداد کاربر بالاتر است و در حد میلیاردی است این را اعلام میکنند تا جلوی عواقب قانونی را بگیرند و تجارت آسیب نبیند.»
اپهای داخلی بهخوبی ساماندهی نشدهاند
نعناکار در رابطه با چرایی عدماقبال عمومی نسبت به پیامرسانهای داخلی بعد از کوچ کاربران از واتسآپ گفت: «واقعیت این است که فکر میکنم ۵ پیامرسان داخلی داریم که همه حمایت دولتی اشتباه دریافت کردند. اشتباه منظورم از این جهت است که وقتی به پیامرسان وام چند میلیاردی میدهید، آن چند میلیارد را ساختمان و دفتر و غیره میخرد ولی اگر حمایت میکردید که مثلا به ازای چند فلان میزان کاربری که جذب کنید این میزان تخفیف مالیاتی را میدهم یا به ازای هر میزان ارزش افزودهای که ایجاد کنید من به شما معافیت تامین اجتماعی میدهم، این قابلیت برای او پیدا میشد که رشد کند. چون این اتفاق اصولا نیفتاد و نمیخواهم بگویم عمدی یا سهوی بوده است ولی نشان دهنده عدمتمرکز و شناخت این بستر است. بهنظرم میرسد خیلی سبد ایرانیها پر نخواهد شد. دلیل این است که این ۵ پیامرسان که سه پیامرسان را نیز شورای عالی فضای مجازی ابلاغ کرده بود که این سه امن و مورد تایید هستند، بیش از این میزانی که کاربر دارند توان پاسخگویی ندارند. مشکل در معماری نرمافزاری است. کمااینکه از سمت حقوقی هم نگاه کنید ایرادی وجود دارد که مردم بهصورت ناخودآگاه بدان واقف هستند. ممکن است علنی ندانند ولی پس ذهن آنها نیز وجود دارد. یک اینکه در پیامرسانهای داخلی هیچ نظارتی وجود ندارد یعنی شما نمیدانید یک پیامرسان آیا پیامهای شما را میبیند یا خیر و سطح دسترسی مدیر فنی آن تا کجا تعریف شده است. این مساله اساسی است. نکته دوم مجوز است اینها تحت مجوز هیچ جایی کار نمیکنند. صرفا میتوانید شرکتی بزنید و خدمات بدهید. خود این مسالهساز است، یعنی ما نمیدانیم تحت حاکمیت چه قانون و قاعدهای خدمات را میدهد. از لحاظ فنی بهنظر میرسد بیش از این ظرفیت ندارند. الان روبیکا را میبینید که سیستم شاد را بالا آوردهاند و واقعا جواب نمیدهد. گپ، بله و سروش هم همینطور هستند. فکر نمیکنم واقعا بخشی از مهاجرانی که از واتسآپ رانده میشوند به سبد پیامرسان داخلی بیایند. یکی از کشورهای موفق در این عرصه چین است. مثالی که برای آن بیان میکنند ارزش افزوده است. یعنی اگر پیامرسان را با زندگی روزمره مردم عجین کنید رشد میکند همانند ویچت میشود. پرداخت را آنجا دارید، پرداخت قبض را آنجا دارد، کند نیست، هر وقت بخواهید در دسترس است، هزینه به صرفهتر است یا بعضا رایگان است. یعنی دیتا را با شما رایگان حساب میکنند و پول آن را از کارمزد دیتای تراکنش مالی برمیدارند. تجارت آن طور دیگری تعریف میشود. تا حاکمیت این دسترسیها را ندهد، اوپن دیتا، اوپنایپی راه نیندازد و دسترسی ندهد اصولا اینها پیشرفت نمیکنند، کما اینکه متاسفانه مدل حمایت هم مدل غلطی است، یعنی مدلی است که اینها را بهسمت اضمحلال و از بین رفتن سوق میدهد، یعنی همان بلایی که سر موتور جستوجوگر داخلی آمد احتمالا سر پیامرسانها هم میآید، چون یک وام هنگفت میدهند و آنها نمیتوانند این را تبدیل به ثروت کنند و در بازپرداخت دچار مشکل میشوند و بهسمت انحلال میروند.»