رشتو: نگاهی مختصر به خطرات امنیتی استفاده از فیلترشکن/تحریمشکن ها
.
در این رشته توییت میخوایم نگاه گذرایی به خطرات امنیتی استفاده از سرویس های فیلترشکن و تحریمشکن به زبان نسبتا ساده داشته باشیم (چون حوصله ام سر رفته).
1/19
متاسفانه به دلیل محدودیت های داخلی و خارجی برای کاربران اینترنت در ایران، استفاده از فیلترشکن و تحریمشکن یک الزام برای کار کردن با اینترنت در ایران هست. اما استفاده از این روش ها و سرویس ها چه خطراتی ممکنه داشته باشن و ما باید چه چیز هایی رو رعایت کنیم؟
2/19
این ابزار ها از روش های مختلفی (VPN ها مثل وایرگارد، پروکسی ها مثل پروتکل های V2ray و...) استفاده میکنن که برای جلوگیری از پیچیدگی بحث، وارد جزئیاتشون نمیشیم.
اول مفصل به تهدیدات اصلی میپردازیم، بعد هم چند راهکار خواهیم داشت.
3/19
1. برنامه: اولین و خطرناک ترین مورد، برنامه مورد استفاده ای هست که نصب میکنیم. این برنامه ها اگر از منبع امنی مثل گوگل پلی دانلود نشن، ممکنه آلوده باشن (حتی در مواردی، داخل گوگل پلی هم فیلترشکن های آلوده پیدا شده).
دانلود برنامه فیلترشکن از جاهایی مثل چنل های تلگرامی،
4/19
یا سایت های بی در و پیکر، کار بسیار خطرناکی هست. اون برنامه ممکنه از اساس آلوده باشه یا اینکه یک نسخه آلوده از یک فیلترشکن سالم باشه.
در این حالت "ممکنه" کل گوشی/سیستم شما آلوده بشه و طبیعتا تمام اطلاعات شما در معرض خطر هست.
همیشه حواستون باشه چه چیزی رو از کجا نصب میکنید.
5/19
2. حریم خصوصی و شنود: شما با استفاده از پروکسی ها و VPN ها، کل ارتباطات اینترنتی خودتون رو از سرور های فیلترشکن رد میکنید و عملا صاحب سرور همه چیز رو میبینه؛ اما خوشبختانه این روز ها این "همه چیز" عموما رمزنگاری شده و قابل خوندن نیست.
اما چند مورد مهم وجود داره.
6/19
2.1. تقریبا در همه موارد، سرور فیلترشکن میتونه ببینه شما به کدوم سایت وصل شدید. نمیتونه ببینه اونجا چکار میکنید و نمیتونه محتوای ارتباطات شما رو بخونه، اما میدونه مثلا به فلان سایت خاک بر سری رفتید (ولی نمیدونه چه ویدئو هایی دیدید).
7/19
2.2. گاهی اوقات به علت نقص کانفیگ یا پروتکل رمزنگاری، صاحب سرور فیلترشکن میتونه ارتباط شما رو از حالت رمزنگاری خارج کنه و کل محتوای ارتباط شما رو بخونه. این مورد در سالیان دور متداول بود، اما این روز ها اگر از سیستم عامل و مرورگر به روز استفاده کنید، خیالتون تا حد خوبی راحته
8/19
2.3 واضحه که اگر شما از ارتباط رمزنگاری نشده استفاده کنید، انگار دارید لُخت کف اینترنت راه میرید و طبیعتا سرور فیلترشکن هم میتونه همه چیز رو بخونه. هیچوقت از سایت هایی که از https استفاده نمیکنن (http خالی) یا اخطار insecure دارن، استفاده نکنید (با فيلترشکن یا بدون فیلترشکن)
9/19
3. تلاش صاحب سرور برای آلودگی: ممکنه برنامه فیلترشکن آلوده نباشه، مثلا شما از v2rayNG سالم استفاده میکنید اما از یکی کانفیگ v2ray گرفتید. اینجا سرور فیلترشکن همون سرور صاحب کانفیگ هست.
علاوه بر تمام موارد بالا، صاحب سرور ممکنه تلاش کنه شما رو از طریق هدایت
10/19
به سایت های آلوده یا جعلی، آلوده کنه. این امکان اگرچه محدوده، اما شدنی هست (خصوصا روی سیستم عامل ها و مرورگر های قدیمی).
. 4. تهدیدات پیشرفته: داستانش مفصل، پیچیده و کمی خطرناکه.
11/19
صرفا بدونید که تمام این ها برای کاربر عادی بود، اما اگر قرار بر انجام حملات و شنود پیشرفته روی افراد خاص باشه، میشه کار هایی کرد. مثلا تشخیص الگوی ترافیک و حملات Side channel و...
12/19
اگر ناشناسی برای شما مهمه، باید خیلی مراقب باشید چون یک فیلترشکن بد، بدتر از فیلترشکن نداشتنه.
مثلا اگر ناشناسید و از کسی کانفیگ v2ray گرفتید، صاحب اون سرور میتونه آیپی واقعی شما رو ببینه، الگوی ترافیک و سایت هایی که میرید رو بررسی کنه و دیگه خیلی ناشناس نیستید :))
13/19
نکته کنکوری: به صورت عادی و بدون فیلترشکن/پروکسی/vpn، تمام موارد بالا توسط شرکت های ارائه دهنده اینترنت (ISP) و دولت ها قابل انجام هست.
با استفاده از این ابزار ها، صاحب فیلترشکن هم عملا تبدیل به شرکت اینترنتی دوم شما میشه و میتونه این کار هارو بکنه.
14/19
بنابراین خیلی مهمه که فيلترشکن/ابزار مورد استفاده امن باشه وگرنه عملا شرایط رو بدتر میکنه.
حالا گاهی استفاده از این ابزار ها، موارد بالا رو برای دولت ها و شرکت های اینترنتی سخت میکنه، گاهی هم نه. خیلی روش حساب نکنید :))
15/19
خب این همه روضه خوندیم، آخرش چه کنیم؟ 1. همیشه از سیستم عامل، برنامه و مرورگر به روز استفاده کنید. اگر گوشی شما دیگه آپدیتی دریافت نمیکنه، ترجیحا گوشی به روز تری بخرید. اگر اندروید 7 به پایین هستید، به شدت توصیه میکنم گوشی جدیدتری بگیرید (به دلایل امنیتی بسیار).
16/19
2. از هر جایی برنامه و فیلترشکن دانلود نکنید (خصوصا تلگرام)، هر برنامه و فیلترشکنی رو نصب نکنید. 3. از هر کسی و هر جایی کانفیگ فیلترشکن نگیرید. میدونم در شرایط فعلی عملا معیاری برای اعتبارسنجی وجود نداره ولی خب 🤷 4. از سایت های بدون https یا با اخطار insecure استفاده نکنید
17/19
5. آگاه باشید که در نهایت بعضی چیز ها رو نمیتونید از صاحب سرور پنهان کنید (کاری به تکنیک های پیشرفته ندارم، برای کاربر عادی میگم). در نهایت معلومه که شما به چه سایت هایی سر میزنید. 6. اگر ناشناسید، مراقب باشید. فیلترشکن و کانفیگ بد میتونه به راحتی ناشناسی شما رو سلب کنه.
18/19
امیدوارم براتون مفید بوده باشه.
پ.ن 1: نه، پروتکل های V2ray وی پی ان نیستن، پروکسی هستن :))
پ.ن 2: میدونم جزئیات فنی زیادی نادیده گرفته شد. هدف، قابل فهم بودن برای کاربر عادی بود.
پ.ن 3: برای کاربر عادی، افشای بعضی چیزا مثل آیپی قابل تحمله، اما برای کاربر ناشناس یا حساس نه.
19/19
• • •
Missing some Tweet in this thread? You can try to
force a refresh
یک کمپین کلاهبرداری تحت عنوان "کالا برگ" در جریان هست که @onhexgroup لطف کرد سمپل و سایتش رو به من فرستاد. این کمپین با سوءاستفاده از شرایط مالی مردم، اون ها رو به نصب یک بدافزار برای ثبت نام کالابرگ هدایت میکنه و حسابشون رو خالی میکنه. اینجا یکم این بدافزار رو آنالیز میکنیم
1/11
شیوه کلی دزدی این کمپین، مشابه موردی هست که دو سال پیش بررسی کردم (). براتون پیامک میاد که بیاید کالابرگ بگیرید، اونجا میگه بدافزار رو نصب کنید، دسترسی پیامک از شما میگیره، داخل بدافزار شما رو به یک درگاه پرداخت جعلی هدایت میکنه (برای یک مبلغ کم)
2/11 vrgl.ir/r1lgK
ممکنه در اون درگاه جعلی واقعا پولی کم بشه، اما معمولا این اتفاق نمیفته و صرفا اطلاعات کارت شما رو ذخیره میکنه (در مورد این بدافزار نتونستم بررسی کنم که در درگاه جعلی تراکنشی میزنه یا نه). در نهایت به شما میگه که خطایی رخ داده و بعدا تلاش کنید. کار اصلی اینجا رخ میده.
3/11
(رشته توییت بسیار طولانی حاوی اطلاعات فنی و کم اهمیت؛ نمیدونم چرا نوشتم)
دیشب شخصی به من اطلاع داد که یک کانال حدودا یک میلیون نفری، احتمالا در حال پخش فیلترشکن و VPN آلوده به بدافزار هست.
تصمیم گرفتم همون موقع بررسی کنم. اسکن های اتوماتیک هیچ نشانی از آلودگی نداشتن.
1/21
پس سمپلی که برام ارسال شده بود رو دیکامپایل کردم و هم زمان روی vm بالا آوردم. با دو تا پاپ آپ مواجه شدم که اولی داینامیک بود و لینکش رو پیدا کرده بودم.
توی پاپ آپ دوم نوشته بود "عضویت اجباری"، برام خنده دار بود تا زمانی که متوجه شدم چنین عبارتی در سورس اپ نیست.
2/21
و بعدتر، بدتر شد چون دیدم این عبارت با کلید AES انکریپت شده و حین اجرای اپ دیکریپت میشه. آخه چرا؟ چه ریگی به کفش این اپ بود؟
با کمی بررسی سورس، متوجه obfuscation شدید اپ شدم که داشت بهم سردرد میداد. اما اوضاع باز هم عجیب تر شد.
3/21
ظاهرا مدتی هست که "دوباره" IPv6 در اینترنت ایران داره به صورت گسترده فعال میشه و خیلی ها خوشحالن برای دور زدن فیلترینگ.
اما نمودار زیر که میزان استفاده و پیاده سازی IPv6 در ایران رو نشون میده، نکته بسیار جالبی داره
این نمودار به شدت غیرعادی هست. چرا؟ 1/8
روند عادی باید مشابه نمودار زیر (روند استفاده و پیاده سازی IPv6 در عربستان سعودی که بهترین روند در منطقه رو داره) باشه. یک روند نسبتا پیوسته رو به رشد.
اما در مورد ایران در چند مقطع، این روند متوقف و حتی برعکس شده. 2/8
مهم ترین مقطع، اواخر مهر ماه 98 (حدود یک ماه قبل از قطعی سراسری اینترنت در آبان 98، اگرچه لزوما مرتبط نیستن) هست که ناگهان IPv6 در ایران با خاک یکسان میشه و تا حدود یک سال این وضعیت ادامه پیدا میکنه.
اما چرا؟ 3/8
یک کمپین بزرگ بدافزار های بانکی علیه کاربران ایرانی کشف شده. متاسفانه نسبت به چند سال پیش که در پروژه تلسکم این موارد رو رصد میکردیم، گستردگی و پیچیدگی به شدت بیشتری دارن.
با توجه به مواردی که در گزارش Zimperium ذکر شده با اطمينان خوبی میتونم بگم هکر ها داخل ایرانن.
تلخه چون 1/5
جای تعجب نداره. وقتی تلسکمِ @s7az2mm (به عنوان یک پروژه مستقل) که هدفش رصد و مبارزه با چنین مواردی بود، فیلتر میشه و دامینش به دستور سیستم قضایی همین کشور مسدود میشه، وقتی رصد و مبارزه با چنین مواردی اولویتش پایین تر از بگیر و ببند درباره اینترنت هست، وقتی توان امنیتی مملکت
2/5
صرف برخورد و بازداشت امثال من و حسین درواری میشه (که هر دو در پروژه تلسکم فعال بودیم)، جای تعجب نداره که نه تنها چنین کمپین بدافزاری وسیعی ماه ها است که فعاله (اونم با ریشه احتمالی داخلی!)، بلکه اول یک شرکت امنیتی خارجی کشف و گزارشش میکنه.
3/5
یکی از چیز هایی که تو این مدت بهش فکر کردم و دوست داشتم با شما به اشتراک بذارم، داستان ناهنجاری های روانیم هست، اینکه چطور مطمئن شدم نجاتدهنده جهانم.
میخوام این داستان طویل رو در این رشته توییت خلاصه کنم چون معتقدم جامعه ما نیاز به آگاهی بیشتری درباره #سلامت_روان داره، خصوصا
1/
درباره کودکان و نوجوانان، و بیماری های پیشرفته.
تا حالا این آدم های عجیب و غریب، و "دیوونه" رو دیدید که مرتب به همه چیز مشکوکن و علاقه شدیدی به استاکر بازی دارن؟
من در اوایل نوجوانی یکی از این آدم ها بودم، از نوع پیشرفته اش (دلیل ورودم به دنیای هک و امنیت همین بود).
2/
به همه چیز شک داشتم و میل سیری ناپذیری به جمع آوری اطلاعات داشتم. خانواده من معتقد بودن دلیل شک داشتن من به همه چیز (پارانویا) در سن 12 سالگی، کنجکاوی کودکانه است. متاسفانه گوشه گیری و ضداجتماع بودن شدید من در سنین پایین تر هم دلیل نگرانی و مراجعه به روانشناس نشد.
3/
سلام، و خداحافظ...
طی چند سالی که فعالیت تخصصی در توییتر داشتم (از ۲۰۱۷)، دغدغه ام آموزش و آگاهی بخشی بوده، به هر طریقی که میتونستم. از میکروبلاگینگ و بلاگینگ درباره نکات امنیت سایبری و مسائل مرتبط روز، تا حرف زدن درباره صیانت و بررسی سیستم تخصصی فیلترینگ و
1/7
بررسی و مهندسی معکوس اپ هایی مثل تلگرام طلایی و teledr و کافه بازار و...
طی این مدت هزاران بدافزار فارسی و تعداد قابل توجهی کمپین فیشینگ و کلاهبرداری رو بررسی و به رایگان گزارش کردم. تمام این کار ها از سر علایق فنی من و به عشق مخاطبينم و به عشق کشورم بود، اما
2/7
زندگی بعضی درس ها رو خیلی سخت به آدم میده. من یک احمق بودم/هستم. روزی که وارد این حوزه شدم خیلی ها بهم گفتن نمیتونی تو ایران تو حوزه هک و امنیت فعالیت کنی و به دردسر نیفتی، اما من احمق بودم و از حماقتم فکر کردم میشه همزیستی کرد. من احمق بودم و مسئولیتش رو میپذیرم.
3/7