مشکلات امنیتی ویندوز ۱۰
مهمترین مساله در مورد ویندوز ۱۰ آن است که کار کردن با آن را بلد باشید و بدانید که این سیستم عامل بهطور پیشفرض چگونه از دادههای شما استفاده میکند.
مایکروسافت با انتشار چند بهروزرسانی فوری برای ویندوز ۱۰ عزم خود را برای بهروزرسانی پیوسته و سریع سیستم عامل جدید خود نشان داده، اما از زمان انتشار ویندوز ۱۰ چند تهدید و دغدغه امنیتی خودنمایی کرده که مهمترین آنها کنترل دادهها روی سیستمهای کامپیوتری و دستگاههای موبایلی مبتنی بر ویندوز است.
این ماجرا بعد از انتشار این پیام کوتاه در توییتر شروع شد: «اگر برای رمزنگاری اطلاعات ۲۰۰ دلاری خرج نکنید، بهناچار باز از ابزار رمزنگاری «دستگاههای الکترونیکی» خود ویندوز استفاده کنید که تمام گذرواژههای شما را دراختیار مایکروسافت قرار میدهد.»
اما ندیم کوبیسی، نویسنده این پیام، یک کاربر عادی نیست؛ او دانشجوی مقطع دکتری در حوزه مطالعات کامپیوتری است که تحقیقات فراوانی در مورد رمزنگاری کاربردی داشته است؛ بنابراین بهتر است هشدار چنین کارشناسی را جدی بگیریم. اما ابتدا نگاه دقیقتری به ساختار رمزنگاری در ویندوز بیندازیم.
BitLocker
رمزنگاری دستگاهها ابزار جدیدی بهحساب نمیآید و ابزار رمزنگاری مایکروسافت یعنی BitLocker پیش از ویندوز ۱۰ در سیستمعاملهای دیگر هم وجود داشته است. این سرویس نرمافزاری اولین بار در ویندوز ویستا گنجانده شده بود و این یعنی با یک فناوری ۹ ساله سروکار داریم. البته این قابلیت در نسخههای حرفهای ویندوز یعنی Ultimate، Pro و Enterprise بهکار گرفته شده و شاید برخی از مصرفکنندگان تجربه کاربری با آن را نداشته باشند.
براساس توضیحات مایکروسافت درباره BitLocker، کلیدهای بازیابی بیتلاکر (BitLocker Recovery Keys) روی اکانتهای آنلاین مایکروسافت ذخیره میشود، هرچند میتوان این کلیدها را روی هارد دیسک نیز ذخیره کرد.
در قسمتی از یک مقاله که در سال ۲۰۱۳ منتشر شده آمده است: «برای ماشینهایی با دامنه اشتراکی (domain-joined)، گزینه بارگذاری کلیدهای بازیابی برای Active Directory تعبیه شده است. به بیان دیگر این کلیدها دراختیار واحد IT قرار میگیرد.»
اما بحث برانگیزترین گزینه استفاده از سرویس ابری خود مایکروسافت برای ذخیره کردن این کلیدهاست. همچنین در هر دستگاه الکترونیکی مبتنی بر تراشه TPM و ویندوز ۸.۱ یا بالاتر، کلیدهای بازیابی بیتلاکر بهطور خودکار روی سرورهای مایکروسافت ذخیره میشود.
ویندوز ۱۰ نیز از این قاعده مستثنی نابوده و کلیدهای بازیابی بیتلاکر در این سیستم عامل بهطور پیشفرض در اکانت OneDrive کاربران (سرویس ابری مایکروسافت) ذخیره میشود. این مساله سوالهای امنیتی مهمی را برمیانگیزد؛ از جمله آنکه چه کسی به کلیدهای بازیابی دسترسی پیدا میکند، هرچند بعید بهنظر میرسد که خود مایکروسافت به این کلیدها و به تبع آن به اطلاعات رمزنگاری شده کاربران دستدرازی کند.
گردآوری دادهها
این مساله امنیتی را باید از زوایای دیگر نیز سنجید. چندی پیش مقالهای در وبسایت The Next Web منتشر شد که در آن به ابزار وسیع مایکروسافت برای گردآوری اطلاعات و فعالیتهای کاربران پرداخته شده است.
در بخشی از این مقاله آمده است: «با حساب مایکروسافت خود وارد ویندوز شوید تا تنظیمات و دادههای سیستم شما بلافاصله با سرورهای مایکروسافت سینک شود. این اطلاعات عبارت است از وبسایتهای بازدید شده، فهرست وبسایتهای محبوب و وبسایتهایی که در لحظه بارگذاری کردهاید، اپلیکیشنهای ذخیره شده. رمز عبور وبسایتها و هاتاسپات موبایلی و نام و گذرواژههای شبکه Wi-Fi.» امکان غیرفعال کردن این سیستم ثبت خودکار اطلاعات وجود دارد، اما کاربران برای این کار باید در پنجرههای پیچ در پیچ تنظیمات ویندوز حسابی جست و جو کنند؛ فرآیندی که بسیاری از کاربران نه آگاهی و نه حوصله انجام آن را دارند.
اما به دستیار مجازی مایکروسافت میرسیم. تردیدی نیست که Cortana برای دستیاری شما به دادههای گوناگونی نیاز دارد. در قسمت دیگری از این گزارش آمده است: «کورتانا اطلاعات زیادی را طلب میکند؛ مکان شما، اطلاعات مربوط به تقویم، اپلیکیشنهای محبوب، اطلاعاتی از ایمیل و پیامهای متنی، افرادی که با آنها تماس میگیرید، شمارههای تماس و میزان تعامل شما با کاربران دیگر.
«کورتانا با جمعآوری اطلاعات در مورد نحوه استفاده شما از سیستم کامپیوتری یا دستگاه الکترونیکی خود و دسترسی به دامنه وسیعی از سرویسهای نرمافزاری از جمله موسیقی، تنظیمات زنگ هشدار، فعال یا غیرفعال بودن قفل صفحه نمایش، خریدهای اینترنتی، وبسایتهای پربازدید و تاریخچه جست و جوها در موتور جست و جوی بینگ به چیزهای زیادی درباره شما پی میبرد.»
در واقع کورتانا بدون دسترسی به این حجم از اطلاعات کارایی خاصی نخواهد داشت، اما گردآوری این دادهها دغدغههای امنیتی مهمی را به وجود میآورد.
اما مایکروسافت طرح جامعی را برای گردآوری اطلاعات از شما و دستگاههای الکترونیکی شما ترتیب داده است. مایکروسافت قصد دارد ویندوز ۱۰ را به یک محیط نرمافزاری مشتریک بین کامپیوترهای شخصی و دستگاههای موبایلی تبدیل کند. به این ترتیب ویندوز ۱۰ با رصد فعالیتهای نظیر اپلیکیشنهایی که اجرا میکنید و شبکههای بیسیمی که به آن متصل میشوید یک ID تبلیغاتی برای هر دستگاه و هر کاربر ایجاد میکند.
به بیان سادهتر، مایکروسافت با گردآوری اطلاعات کاربری سعی میکند تبلیغاتی را در محیط آنلاین برایتان به نمایش بگذارد که با علایق شما همخوانی بیشتری دارد. این ویژگی را نیز میتوان در ویندوز ۱۰ غیر فعال کرد، اما برای پیدا کردن کلید خاموش آن باید حسابی در ویندوز بگردید.
مساله سوالبرانگیز دیگر در مورد ویندوز ابزار Wi-Fi Sense است که به گفته کارشناسان «به شبکه دوستان فیسبوکی شما دسترسی پیدا میکند.» این ابزار در واقع یک اپلیکیشن مستقل است که اطلاعات مربوط به دوستان شما در فیسبوک را گردآوری میکند تا مایکروسافت از حلقه دوستان فیسبوکی شما نیز باخبر باشد.
این درحالیست که توضیحات خود مایکروسافت درباره Wi-Fi Sense چنین مسالهای را با کاربران در میان نمیگذارد: «Wi-Fi Sense بهطور خودکار به شبکههای Wi-Fi محلی متصل میشود … Wi-Fi Sense کارهای زیادی را بهجای شما برای اتصال به اینترنت انجام میدهد تا خودتان نگران انجام آنها نباشید.
این کارها عبارتند از:
* اتصال خودکار به شبکههای Wi-Fi عمومی
* پذیرش شرایط کاربری یک شبکه Wi-Fi از طرف شما و ارائه اطلاعات مورد نیاز
* تبادل شبکههای Wi-Fi رمزدار بین دوستان شما بدون نیاز به دیدن یا وارد کردن گذرواژهها
اینکه Wi-Fi Sense کدام یکی از این سرویسها را برایتان انجام دهد انتخاب شماست.»
این سرویس مشخصا برای کاربران تنبلی طراحی شده حوصله بالا و پایین کردن فهرست شبکههای Wi-Fi موجود را ندارند و با کمترین دردسری میخواهند به اینترنت متصل شوند. علاوه بر این تمام کانتکتهای شما در فیسبوک، اسکایپ و Outlook گذرواژه شبکه Wi-Fi شما را نمیبینند اما باید منتظر ماند و دید این سیستم تا چه اندازه در آینده امن و قابل اطمینان خواهد بود.
به چند مورد امنیتی دیگر نیز میرسیم که مربوط به سیاستهای حریم خصوصی و تفاهمنامه پذیرش خدمات میشود.
مایکروسافت در توضیح این موارد گفته است: «در مواقع لزوم و برای محافظت از مصرفکنندگان یا همخوانی آنها با شرایط استفاده از خدمات، ممکن است بهاطلاعات شخصی کاربران از جمله محتوای نرمافزاری (مانند ایمیل، تماسهای خصوصی و فایلهای شخصی) دسترسی یافته، آن را فاش کنیم و این اطلاعات را (پیش خود) نگه داریم.»
در خوشبینانهترین حالت، مایکروسافت در طرح موضوع کلیگویی کرده، اما هرچند بحث در مورد واژگان و بار معنایی آنها برعهده حقوقدانهاست، مساله اصلی به میزان کنترل کاربران بر دادههای شخصی خود برمیگردد.
نتیجه گیری
همانطور که بارها گفته شده، سطح امنیت دادههای شما تا حد زیادی به میزان کنترل شما بر دادهها بستگی دارد. شما در مقام صاحب اطلاعات باید از هرگونه دسترسی به دادههای خود، مکان آن و چگونگی دسترسی پیوسته به اطلاعات آگاهی کامل داشته باشید.
تفاهمنامه پذیرش خدمات مایکروسافت بهگونهای تعبیه شده که بعید بهنظر میرسد غول نرمافزاری در آینده نزدیک به فکر تغییر و اصلاح آن بیفتد، مگر آنکه با بازخورد بسیار منفی کاربران و رسانهها مواجه شود. اما این امر بعید بهنظر میرسد، چرا که بسیاری از سرویسهای ناقض حقوق کاربران نظیر کورتانا یا Wi-Fi Sense همان خدماتی هستند که کاربران به دنبالش هستند؛ خدماتی که عملیات روزمره را بهجای آنها انجام دهد.
اما چنین خدماتی چندان باب میل سازمانها و کسب و کارها نیست. این قابلیتهای جدید و پرزرق و برق ممکن است به راحتی امنیت اطلاعاتی سازمانها را بهخطر بیندازد. در مورد ابزار رمزنگاری مایکروسافت نیز باید به کارایی و اهمیت آن اذعان کرد، اما در صورت گمشدن یا بهسرقت رفتن کلیدهای بازیابی، قضیه فرق خواهد کرد. در مجموع بهتر است کلیدهای بازیابی دادههای رمزنگاری شده را در یک مکان مطمئن ذخیره کرد و نه در سرویسهای شخص ثالث.
ویندوز ۱۰ از نظر امنیتی وضعیت پیچیدهای دارد، بهطوریکه تمام سرویسهای بالقوه ناقض حریم خصوصی کاربران را نمیتوان در این سیستم عامل غیر فعال کرد. علاوه بر این سازمانهایی که به کارکنان خود اجازه میدهند از دستگاههای شخصی برای انجام امور اداری استفاده کنند احتمالا ابزار Wi-Fi Sense را دردسرساز خواهند دید.
مهمترین مساله در مورد ویندوز ۱۰ آن است که کار کردن با آن را بلد باشید و بدانید که این سیستم عامل بهطور پیشفرض چگونه از دادههای شما استفاده میکند. بنابراین بهتر است تفاهمنامه استفاده از سرویسهای ویندوز ۱۰ را پیشاپیش مطالعه کنید.
منبع:ایتنا