Some notes on article published in RadioZamaneh on Iran Internet censorship (Post in Farsi language)
توضیحاتی در مورد مطلب منتشر شده رادیوزمانه درباره فیلترینگ
در سالهای گذشته بارها شاهد بوده ایم که سایت های معتبرخبری فارسی زبان خارج از کشور، خبر های مختلف آی تی و به خصوص خبر های مرتبط با فیلترینگ و سانسور اینترنت را به همان شکل متناقض، غلط و پر از ادعاهای غیر منطقی مسئولین کشوری را که در سایت های داخلی پوشش داده میشود به همان شکل و بدون هیچ بررسی فنی بازنشر میکنند.
این مشکل و بی دقتی معمول به خصوص در زمینه اخبار مرتبط با فیلترینگ ایران، به اندازه کافی ناراحت کننده است ولی دیروز یازدهم فوریه ۲۰۱۵ رادیوزمانه مطلبی در باره فیلترینگ منتشر کرده است که متاسفانه سرشار از غلط های فنی و راهکارهای ساده انگارانه است. پروژه آی نیتا طی یادداشت کوتاهی و به طور کاملا محترمانه مشکلات خبر فوق را به صورت کامنت در پای خبر یادداشت کرد که شاید خبر حذف یا حداقل بررسی مجددی در مورد محتویات آن انجام شود که متاسفانه نه تنها خبر فوق هیچ تغییری نکرد، یادداشت محترمانه ما هم سانسور شد و تایید نشد!
به همین دلیل، تصمیم گرفتیم که بررسی دقیق تری از مطلب منتشر شده داشته باشیم:
۱- یاد آوری راهکار قدیمی وب پروکسی: در قدم اول، نگارنده راهکار بسیار ساده وب پروکسی که در اواخر دهه ۹۰ میلادی در ایران استفاده میشد را یادآوری میکند، ولی ایشان مثل اینکه فراموش کرده این راهکار نزدیک به ۱۵ سال است که کلا در ایران کار نمیکند. این سیستم با نصب سیستم های پیشرفته تر سانسور اینترنت در ایران از حدود سال ۲۰۰۰ میلادی به کل از کار افتاده و اصلا معلوم نیست که قصد نگارنده از یادآوری و مطرح کردن این تکنولوژی عتیقه و غیر قابل استفاده چیست؟
۲- وی پی ان های رایگان: تنها نکته مثبت کل مقاله همین بخش است. در اینجا نگارنده به چهار سیستم سایفون - فری گیت - تور - هات اسپات شیلد نام میبرد، که این نیز ناگفته پیداست که بخش عظیمی از مردم از این راهکار های بسیار معروف و شناخته شده استفاده میکنند و نیازی به نوشتن مقاله و ارایه آنها به عنوان راهکار جدید وجود ندارد. در صفحه اول سایت رادیوزمانه، بنری با عنوان فیلترینگ را دور بزنید وجود دارد که به این صفحه میرود و توضیحات کافی برای داونلود و استفاده از سیستم بسیار خوب سایفون وجود دارد. نوشتن یک مقاله جدا برای اشاره مجدد چیزی نامربوط و تکراری به نظر میاید.
۳- سوال چرا از فروشندگان داخلی ویپیان خرید نکنم؟ در این بخش، نگارنده با مطرح کردن ایده قدیمی و تکراری اینکه کسانی که به سرورخروجی ( Gateway ) وی پی ان شما دسترسی دارند، میتوانند کل اطلاعات شما را بخوانند مرقوم میفرمایند:
"از آنجایی که بااتصال به ویپیان تقریباً تمامی ترافیک اینترنتی شما از مجرای سرویسدهنده ویپیان عبور میکند، این سرویسدهنده بهتر از هر کسی میتواند بر روند اطلاعات شما و سایتهایی که به آن مراجعه کردهاید نظارت کند."
اولا تقریبا تمامی ترافیک از مجرای سرویس دهنده عبور میکند نه فقط بخشی از آن. دوما از نظر فنی بخشی از این کار شدنی است، و حتی برخی از پلاتفرم های خاص مثل کریو کنسول مخصوصی برای بررسی مبدا و مقصد ترافیک کاربر به مدیر سیستم میدهند. ولی این امکان در بین تکنولوژی های رایج به صورت پیش فرض فقط در کریو وجود دارد و نه در پلاتفرم های دیگر. سوما در مورد پلاترفرم هایی که بصورت پیش فرض این مورد را پشتیبانی نمیکنند راه اندازی چنین سیستم لاگ مستلزم نصب و تنظیم نرم افزار های جدید بر روی سرور است که کار بسیارآسانی نیست و از تجربه و حوصله و امکان فنی اکثریت غریب به اتفاق اپراتور های معمول خارج است. چهارما اینکه بر فرض اینکه چنین امکانی هم بر روی سرور نصب شده باشد، فقط مبدا و مقصد ترافیک برای مدیر سیستم واضح است و برای بررسی داخل پکت ها نیاز به سیستم های بسیار فنی Deep Packet Inspection نیاز دارد که سیستم های بسیار پیشرفته و گران قیمت هستند. و ششم اینکه اگر کاربر از یک راه حل ساده، مثلا استفاده از پروتوکل HTTS برای اتصال به سایت ها استفاده کند کلا بررسی پکت ها حتی بوسیله سیستم های DPI نیز منتفی میگردد!
در نهایت نگارنده به جای تمام توضیحات بالا که از حوصله کاربر عادی خارج است، میتوانست به سادگی توصیه کند کاربران از افزونه HTTPS ANYWHERE محصول سازمان EFF در بروزر خود استفاده کنند. تقریبا تمامی نرم افزار های جانبی دیگر مثل مسنجر ها و غیره به نوعی رمزگذاری داخلی دارند و مثلا نگارنده میتوانست توصیه کند کاربران به جدول امنیتی نرم افزار های پیام رسان نگاهی بیاندازند و سیستم امنی انتخاب کنند.
۴- تکرار ادعای فکاهی و سرگرم کننده ارایه سرویس وی پی ان نهاد های امنیتی: در اینجا نگارنده مرقوم میفرمایند:
"در این صورت اگر یک نهاد امنیتی به هر دلیلی یک سرویس ویپیان ارائه کند میتواند نظارت بهتری را بر روی کاربرانی که با اطمینان کامل به تمامی سایتهای ممنوعه (که حالا دیگر فیلتر هم نیستند) سر میزنند داشته باشد"
اولا در بالا به تفضیل عرض شد که اگر کاربر از انواع ساده و در دسترس رمزگذاری وب و مسنجر ها استفاده کند نهاد های امنیتی نمیتوانند محتویات آنها را به این سادگی ها و در شرایط عادی بخوانند. محکم ترین دلیل این ادعا هم درخواست نخست وزیر انگلیس برای ممنوعیت رمزگذاری اینترنتی در انگلیس بود که باعث تفریح عده زیادی در اینترنت شد!
دوما، فکر میکنید اگر مسئولین امنیتی کشورعلاقه مند به این حرکات بودند، چرا به چند سرور خاص بسنده کنند که اصلا معلوم هم نیست چقدر کاربر داشته باشد؟ چرا کلا فیلترینگ را برندارند تا از گیت وی کشوری بتوانند همه را مانیتور کنند؟ یا چرا این مانیتورینگ را در شرکت های خدمات اینترنتی انجام ندهند؟ (کما اینکه انجام میدهند!) این نوع تئوری های دایی جان ناپلئونی وادعاهای غیر منطقی وغیر فنی در سطح نویسنده رادیو زمانه که توصیه های امنیتی ارایه میکند نیست.
سوما اکثریت غریب به اتفاق سایت های معتبر مثل فیس بوک و گوگل و غیره بطور خودکار از سیستم رمزگذاری HTTPS استفاده میکنند و کاربر کاملا نامطلع هم با استفاده از این وب سایت های معتبر بطور خودکار حفاظت میشوند. ( نصب افزونه البته برای حفاظت در سایت های بیشتر ارجهیت دارد )
۴- مطرح کردن خرید وی پی ان از خارج از کشور: نویسنده در قسمت بعدی مقاله بخاطر خطرات بالا، توصیه میکند که کاربران با تهیه کارت اعتباری بین المللی به نوعی از شرکت های خارجی وی پی ان خریداری کنند. این توصیه به طور کلی غلط و پر از مشکلات متعدد است:
اولا: اگر پروسه خرید عجیب و غریب بیشتر این کارت ها را کنار بگذاریم، خرید دبیت کارت های یکبار مصرف و قابل شارژ به دلیل تحمیل هزینه های زیاد برای اکثریت مردم قابل انجام نیست. بله، شرکت ها و سایت های متعددی هستند که این کار را انجام میدهند، ولی به عنوان مثال در این سایت، شما برای یک کارت ۱۰ دلاری باید ۹۸۰۰۰ تومان بپردازید. یا برای یک کارت ۲۵ دلاری در این سایت باید ۱۴۲۰۰۰ تومان بپردازید. اینها برای مصرف کننده معمولی ایرانی مبالغ کلانی به حساب میایند و کمتر کسی قدرت پرداخت این مبالغ را دارد.
دوما: به علت تحریم های سنگین بانکی علیه ایران، تقریبا تمامی بانکهایی که این نوع کارت ها را برای ایرانی ها صادر میکنند بانک ها یا صرافی های درجه ۳ کشور های آسیای میانه یا کشورهای حوزه خلیج فارس هستند که تقریبا تمامی آنها در درگاه های پرداخت معتبر بین المللی مثل PayPal موقع پرداخت Fraud فلگ میشوند و برای تایید پرداخت، از شما درخواست اطلاعات اضافی مثل ارایه صورتحساب بانکی و غیره میکنند که برای مصرف کننده ایرانی غیر قابل ارایه است. تازه این در صورتی است که به این امر واقف باشید که برای خرید باید از آی پی کشور دیگری به جز ایران استفاده کنید، که اگر کاربر به این مورد واقف نباشد در بسیاری از موارد کلا کارت فریز شده و غیر قابل استفاده میشود!
سوما: اصلا بیاید فرض کنیم شما موفق شدید از یکی از همین فروشنده های وی پی ان خارجی که نگارنده توصیه کرده است خرید کنید. تقریبا تمامی این ارایه دهندگان خدمات وی پی ان خارج از کشور بر پایه پروتوکل های استاندارد وی پی ان مثل L2TP و PPTP و Standard OpenVPN و SSTP خدمات ارایه میکنند که تمامی این پروتوکل ها از سال ۱۳۸۹ به این سو در ایران از کار افتاده است! به عنوان مثال، Strong VPN در صفحه پکیج های خود دقیقا پروتوکل های PPTP, L2TP, SSTP را ذکر میکند، وب سایت PIA در این صفحه پروتوکل های L2TP, PPTP and SOCKS5 را ذکر میکند، TunnelBear در این صفحه اعلام میکند که از OpenVPN استاندارد استفاده میکند، Hidemyass در این صفحه ذکر میکند که از OpenVPN و L2TP و OpenVPN استفاده میکند و تور گارد نیز در صفحه پکیج های خود دقیقا از همین سه پروتوکل به علاوه دو پروتوکل دیگر StealthVPN - IKEv2 نام میبرد که در مورد کارایی این دو پروتوکل آخر در ایران اطلاع دقیقی در دست نیست.
سیستم هایی که با توجه خاص به مشکلات شبکه ایران طراحی و عرضه میگردند، مثل سایفون، فری گیت، تور (نسخه مخصوص ایران و چین) از پروتوکل های خاص یا دستکاری شده استفاده میکنند که تشخیص آن را برای سیستم فیلترینگ ایران غیر ممکن میکند. سیستم رایگان اوپن وی پی ان پروژه آی نیتا نیز استاندارد نبوده و برای استفاده در ایران تغییراتی یافته است.
به عنوان نکته آخر، یاد آوری این مورد نیز خالی از لطف نیست که اسکرین شات استفاده شده در خبر مذکور متعلق به حدود ۱۰ سال پیش در فیلترینگ ایران است!
با توجه به موارد بالا، میتوان اینطور نتیجه گیری کرد که مطلب مذکور در سایت رادیو زمانه سرشار از غلط های فنی و راهکارهای ساده انگارانه است. از سایت های معتبر فارسی که قرار بوده اطلاع رسانی دقیقی انجام دهند، انتظار بسیار بیشتری میرود و از نویسندگان و مدیران این سایت ها و سازمان های خبری حداقل این انتظار میرود که این طور مطالب فنی را قبل از انتشار با مشاورینی مطلع در سازمان مطبوع خود در میان بگذارند.