اخیراً خبری منتشر شده مبنی بر اینکه یک شرکت امنیت سایبری اسرائیلی، مالکیت ExpressVPN را به دست گرفته است. این موضوع نگرانی‌هایی را برای کاربران ایرانی این سرویس، که یکی از VPNهای پولی محبوب در کشور است، ایجاد کرده است؛ برای شفافیت این موضوع با وحید فرید، کارشناس امنیت سایبری گفت‌وگو کردیم، مشروح این گفت‌وگو را در ادامه بخوانید:

ExpressVPN به مالکیت یک شرکت امنیت سایبری اسرائیلی درآمد

وحید فرید در پاسخ به این پرسش که آیا این ادعا صحت دارد یا خیر، گفت:« بله، این موضوع صحت دارد. اخیراً یک شرکت امنیت سایبری اسرائیلی، مجموعه ExpressVPN را خریداری کرده و اکنون مالک آن محسوب می‌شود. ExpressVPN یک فیلترشکن پولی است که کاربران در ایران با پرداخت هزینه، اکانت آن را تهیه می‌کنند و ترافیک رایگان آن بسیار محدود است. شهرت اصلی آن به دلیل سرویس پولی و باکیفیت آن است، نه یک سرویس رایگان.»

شرکت‌های ارائه‌دهنده VPN به IP، موقعیت مکانی و تاریخچه وب‌گردی کاربران دسترسی دارند

او در ادامه و در پاسخ به این پرسش که شرکتی که یک VPN را در اختیار دارد، دقیقاً به چه داده‌هایی از کاربران می‌تواند دسترسی پیدا کند، گفت:«این شرکت‌ها می‌توانند به موقعیت مکانی (Location)، آدرس IP و تاریخچه وب‌گردی (Web History) کاربر دسترسی داشته باشند. یعنی می‌توانند ببینند که کاربر کدام وب‌سایت‌ها را باز کرده است؛ برای مثال متوجه می‌شوند که کاربر وارد فیس‌بوک، توییتر یا وب‌سایت دیگری شده است. اما به محتوای فعالیت کاربر در آن وب‌سایت دسترسی ندارند و فقط نام دامنه را می‌بینند.»

محتوای تبادل‌شده در وب‌سایت‌های امن با VPN قابل مشاهده نیست

این کارشناس حوزه امنیت سایبری در ادامه و در پاسخ به این پرسش که محتوای پیام‌ها و اطلاعاتی که در وب‌سایت‌های امن رد و بدل می‌شود، قابل مشاهده است یا خیر، گفت:«خیر، به هیچ وجه. در وب‌سایت‌های امن که از پروتکل HTTPS استفاده می‌کنند، این اتفاق نمی‌افتد. تقریباً تمام سرویس‌هایی که ما امروز استفاده می‌کنیم، از جمله سرویس‌های دولتی، پیام‌رسان‌ها و شبکه‌های اجتماعی، بر بستر این پروتکل امن فعالیت می‌کنند و امکان مشاهده دیتای تبادل‌شده وجود ندارد. سرویس‌دهنده VPN فقط می‌بیند که شما مثلاً تلگرام را باز کرده‌اید، اما اینکه چه پیامی رد و بدل کرده‌اید یا چه چیزی را جستجو کرده‌اید، به هیچ عنوان قابل مشاهده نیست. البته اگر وب‌سایتی همچنان از پروتکل ناامن HTTP استفاده کند که امروز تقریباً منسوخ شده، در آن صورت امکان مشاهده همه چیز وجود دارد.»

اجبار کاربران به استفاده از فیلترشکن، آن‌ها را در معرض خطرات امنیتی قرار داده است

علاوه بر ExpressVPN که اکنون در کانون توجه قرار گرفته، احتمالاً VPNهای دیگری نیز وجود دارند که کاربران از کشور سازنده و اهداف پشت پرده آن‌ها بی‌اطلاع هستند؛ وحید فرید در پاسخ به این پرسش که استفاده از چنین ابزارهایی امنیت داده‌های کاربران را تا چه اندازه به خطر می‌اندازد، گفت:« یکی از بزرگ‌ترین مشکلات امنیتی که ما در کشور با آن مواجهیم، این است که مجموعه وزارت ارتباطات و شورای عالی فضای مجازی، کاربران را مجبور به استفاده روزمره از فیلترشکن کرده‌اند. یک کاربر متخصص که در حوزه امنیت یا IT فعالیت می‌کند، می‌داند از چه ابزاری و برای چه هدفی استفاده می‌کند. او از VPN برای داشتن وب‌گردی امن‌تر و پاک کردن ردپای خود استفاده می‌کند و این کار امنیت او را ارتقا می‌دهد. اما کاربر ناآگاهی که صرفاً هر فیلترشکنی را دانلود و امتحان می‌کند تا کار روزمره‌اش را انجام دهد، دقیقاً توسط همین نهادها در معرض خطر قرار گرفته است.»

حتی VPNهای متن‌باز هم می‌توانند آدرس IP کاربران را مشاهده کنند

او در ادامه افزود:« برخی VPNها ذاتاً امن‌تر هستند، مثلاً متن‌باز (Open Source) هستند. اما حتی در کانفیگ‌های V2Ray که ما نمی‌دانیم سرور آن کجاست، آن سرور نیز IP شما را می‌بیند. تنها مزیت، ناشناس بودن است. یعنی ارائه‌دهنده VPN نمی‌تواند IP را به هویت واقعی فرد متصل کند، کاری که اپراتورهای داخلی ما با داشتن کد ملی می‌توانند انجام دهند. با این حال، با توجه به حجم بالای هک‌هایی که اتفاق افتاده، ممکن است یک شرکت امنیتی خارجی نیز از طریق بانک‌های اطلاعاتی لو رفته، به چنین اطلاعاتی دست پیدا کرده باشد. پس این خطر وجود دارد.»

خرید VPN با کارت بانکی هویت کاربر را برای شرکت ارائه‌دهنده فاش می‌کند

در مورد VPNهای پولی، بسیاری از کاربران آن‌ها را با کارت‌های بانکی داخلی خریداری می‌کنند. این کارشناس امنیت سایبری در پاسخ به این پرسش که آیا این روش خرید، هویت کاربر را برای ارائه‌دهنده سرویس فاش نمی‌کند و خطر را دوچندان نمی‌کند، گفت:«دقیقاً. من قبلاً هم در این باره نوشته‌ام. وقتی شما یک سرویس VPN را با کارت بانکی خریداری می‌کنید، در حال ارائه هویت خود به آن شرکت هستید. البته اگر خرید با رمزارز (Crypto) انجام شود، موضوع متفاوت است. اما بسیاری از فروشندگان VPN در تلگرام، پرداخت‌ها را از طریق کارت بانکی دریافت می‌کنند. این احتمال وجود دارد که هویت شما به فعالیت‌های آنلاین‌تان گره بخورد و بعداً مشکل‌ساز شود. به عبارت دیگر، یک نفر می‌نشیند و می‌بیند شما به کجاها سر می‌زنید و گاهی همین اطلاعات می‌تواند برای افراد دردسرساز شود.»

همه VPNهای رایگان مشکوک به جاسوسی نیستند، اما فرصت سوءاستفاده را فراهم می‌کنند

فرید در ادامه و در پاسخ به این پرسش که وضعیت در خصوص VPNهای رایگان به چه شکل است؛ این سرویس‌ها بدون دریافت هزینه، خدمات ارائه می‌دهند که این موضوع کمی مشکوک به نظر می‌رسد. انگیزه آن‌ها چیست، گفت:« من معتقد نیستم که لزوماً مشکوک باشند. اولاً، نهادهایی در دنیا وجود دارند، حتی نهادهای مردم‌نهاد، که برای گردش آزاد اطلاعات تلاش می‌کنند. بسیاری از کانفیگ‌های رایگان V2Ray توسط افرادی ارائه می‌شود که چند سرور تهیه کرده و هدفشان صرفاً کمک به دسترسی آزاد به اطلاعات است، نه جاسوسی. ثانیاً، بسیاری از این سرورها و کانفیگ‌ها در اصل برای جمعیت عظیم چین طراحی شده‌اند که تحت فیلترینگ شدید قرار دارند. ما به عنوان یک جامعه کوچک‌تر، از این سرویس‌ها استفاده می‌کنیم. با این حال، نمی‌توان گفت که هدف هیچ‌کدام جاسوسی نیست. ممکن است در این میان، فرد یا سازمانی با هدف جاسوسی از این فرصت استفاده کند. این فرصت را وزارت ارتباطات و شورای عالی فضای مجازی ایجاد کرده‌اند. وقتی طبق آمارهای رسمی، بیش از ۸۰ درصد جمعیت ۸۰ میلیونی کشور از VPN استفاده می‌کنند، طعمه‌های زیادی برای افراد سودجو وجود خواهد داشت.»

این کارشناس امنیت سایبری در آخر افزود:« امیدوارم یک عقلانیتی ایجاد شود. اول از همه، شورای عالی فضای مجازی باید منحل شود، زیرا منبع اصلی تمام این ناامنی‌ها، آنجاست؛ جایی که افرادی بدون دانش IT و امنیت، با نگاهی سنتی تصمیم‌گیری می‌کنند و مسبب این مشکلات هستند. امیدوارم حداقل این بخش اصلاح شود، چرا که این یک بحث بسیار جدی برای امنیت شهروندان است.»

