فصل اول

اثر دانینگ-کروگر نشان می‌دهد که وقتی شروع به یادگیری یک مهارت می‌کنید، اغلب اعتماد به نفس بسیار بالایی در خود و مهارت‌تان دارید، زیرا مقدار کمی در مورد کاری که انجام می‌دهید، می‌دانید. اما با شروع یادگیری واقعی، اعتماد به نفس شما کاهش پیدا می‌کند و در طول زمان، وقتی مهارت خود را بهبود می‌دهید، اعتماد به نفس‌تان دوباره افزایش می‌یابد، اما این بار این اعتماد به نفس بر پایه مهارت واقعی شما استوار است. همین مسئله در مورد حریم خصوصی و امنیت نیز صدق می‌کند. در ابتدا ممکن است فکر کنید که با باز کردن یک تب ناشناس (Incognito) ایمن هستید و هیچ‌کس نمی‌داند چه کاری انجام می‌دهید. اما با افزایش آگاهی، ممکن است نوعی اضطراب پیدا کنید، زیرا متوجه می‌شوید چقدر واقعاً آسیب‌پذیر هستید. با این حال، در طول زمان، با کسب مهارت بیشتر، احساس امنیت و اعتماد به نفس بیشتری خواهید داشت و این بار واقعاً نسبت به گذشته امنیت بیشتری دارید.

در این فصل، تمرکز بر افشای برخی از افسانه‌های مربوط به حریم خصوصی و امنیت خواهد بود که اکثر تازه‌کاران در دنیای حریم خصوصی به آن‌ها باور دارند، اما در واقع می‌توانند حریم خصوصی شما را بدتر کنند، زیرا شما را منحصربه‌فردتر می‌کنند بدون اینکه فایده‌ای واقعی برایتان داشته باشند.

من دشمنی ندارم

اولین افسانه، و ظاهراً بزرگ‌ترین آن در دنیای حریم خصوصی، چیزی است که من آن را پدیده "من دشمنی ندارم" می‌نامم، یا همان چیزی که شاید به نام "من چیزی برای پنهان کردن ندارم" بشناسید.

همان‌طور که در مقدمه اشاره کردم، حتی اگر چیزی برای "پنهان کردن" نداشته باشیم، قطعا چیزهایی داریم که می‌خواهیم از آن‌ها محافظت کنیم. یا شاید موضوع فقط در مورد ما نیست؛ شاید افرادی که ما می‌شناسیم و برایمان اهمیت دارند، چیزهایی برای پنهان کردن داشته باشند و ما می‌توانیم حلقه ضعیف در زنجیره حریم خصوصی آن‌ها باشیم.

شما و من امروز دشمنی نداریم؛ امروز چیزی برای پنهان کردن نداریم. اما آیا می‌توانیم با اطمینان بگوییم که این در پنج یا ده سال آینده هم صادق خواهد بود؟ قطعا نه. ما نمی‌دانیم و نمی‌توانیم بدانیم که چه اتفاقی خواهد افتاد. حریم خصوصی فعلی ما می‌تواند به عنوان بیمه‌ای برای آنچه ممکن است در آینده رخ دهد، عمل کند.

تصور کنید کسی موفق به جمع‌آوری اطلاعات شخصی شما شده و از آن برای فعالیت‌های غیرقانونی استفاده می‌کند. آیا قانع کردن پلیس یا اف‌بی‌آی که شما آن کار را انجام نداده‌اید سخت‌تر است یا محافظت از اطلاعات شخصی خودتان در وهله اول؟ یا شاید ده سال بعد، اگر گوگل به یک ابزار شناسایی تروریست برای دولت تبدیل شود، و در حین سفر با همسر و فرزندانتان، ایمیل‌ها، تاریخچه جستجوها و پیشنهادهای تبلیغاتی شما را بررسی کنند. اگر به دلیل جستجوی شما درباره مواد منفجره برای جشن تولد فرزندتان در سال گذشته و تبلیغاتی که دریافت کرده‌اید، به عنوان تروریست شناسایی شوید، ممکن است بقیه عمرتان را در یک لیست مراقبتی بگذرانید.

اما فرض می‌کنم اگر شما در حال خواندن این کتاب هستید، احتمالاً اهمیت حریم خصوصی را به‌خصوص در این روزها که یکی از کم‌احترام‌ترین حقوق انسانی است، درک می‌کنید. با این حال، همه ما می‌توانیم این وضعیت را تغییر دهیم. مقصر این وضعیت، دولت‌ها، داکسرها، شرکت‌ها و آنچه به عنوان "آژانس‌های امنیت ملی" شناخته می‌شوند، هستند. با این حال، مسئولیت درست کردن این وضعیت بر عهده ما است. ما باید از حریم خصوصی خود محافظت کنیم.

من فقط در حالت ناشناس می‌روم

اگر از کسی که با اینترنت آشنا نیست بپرسید برای اینکه به‌طور کامل ناشناس آنلاین شود چه کاری می‌کند، ممکن است بگوید: "من فقط حالت ناشناس (Incognito) را باز می‌کنم." این احتمالاً رایج‌ترین افسانه در دنیای حریم خصوصی در میان کسانی است که با تکنولوژی آشنایی ندارند — اینکه حالت ناشناس یعنی هیچ‌کس نمی‌تواند آنها را ردیابی کند یا فعالیت‌های آنلاین آن‌ها را ببیند. اما این بسیار دور از واقعیت است. تمام کاری که حالت ناشناس انجام می‌دهد، این است که از ذخیره تاریخچه مرورگر و ورودهای شما جلوگیری می‌کند.

ارائه‌دهنده اینترنت شما هنوز هم می‌داند چه کارهایی انجام می‌دهید، وبسایت‌هایی که بازدید می‌کنید، آی‌پی شما را می‌دانند و شما همچنان قابل ردیابی و منحصربه‌فرد باقی می‌مانید. البته حالت ناشناس برخی مزایای حریم خصوصی دارد، به‌ویژه اگر از کامپیوتر شخص دیگری استفاده کنید؛ در این صورت، نمی‌خواهید کوکی‌ها، تاریخچه جستجوها یا ورودهایتان روی دستگاه آن‌ها ذخیره شود. اما به‌جز این، کمک چندانی به حریم خصوصی یا امنیت کلی شما نمی‌کند.

برای مخفی کردن فعالیت‌هایتان، به چیزی نیاز دارید که درخواست‌هایتان را رمزگذاری کند و آن‌ها را به مقصدی که می‌خواهید برساند، مانند یک پروکسی امن، یک تونل SSH یا یک VPN. با این حال، وبسایت‌هایی که بازدید می‌کنید، همچنان می‌توانند شما را ردیابی کنند و شما را در وبسایت‌های دیگر دنبال کنند. من این موارد را به‌طور مفصل در فصل‌های بعدی پوشش خواهم داد.

VPN ها ناشناس هستند

این یکی از بزرگ‌ترین افسانه‌ها در دنیای حریم خصوصی و ناشناس بودن است: اینکه اگر از یک VPN استفاده کنید، هیچ‌کس نمی‌داند چه کار می‌کنید و کاملاً ناشناس خواهید شد. اما این کاملاً اشتباه است. به VPN به عنوان تغییری در اعتماد از ارائه‌دهنده اینترنت خود (ISP) به ارائه‌دهنده VPN خود نگاه کنید. وقتی به VPN متصل می‌شوید، اکنون به آنها اجازه می‌دهید چیزهایی را ببینند که پیش از این ISP شما می‌دید.

علاوه بر این، VPN ها در مخفی نگه داشتن آی‌پی واقعی شما عملکرد خوبی ندارند. با اکثر شرکت‌های VPN، یک حکم قضایی می‌تواند آنها را مجبور به ارائه تمام لاگ‌ها و اطلاعاتی کند که درباره شما دارند، و معمولاً آنها اطلاعات زیادی دارند. البته استثنائاتی هم وجود دارد؛ برخی شرکت‌ها مانند Mullvad، ProtonVPN و Windscribe کسب‌وکار خود را بر اساس حریم خصوصی کاربران خود ساخته‌اند. شما می‌توانید به‌صورت ناشناس در این سرویس‌ها ثبت‌نام کنید، با پول نقد یا ارز دیجیتال پرداخت کنید و آنها لاگ‌های ترافیک کاربران و فعالیت‌ها را ذخیره نمی‌کنند. اما اینها هم ابزار ناشناس بودن نیستند.

حتی اگر ارائه‌دهنده VPN شما هیچ‌چیز را لاگ نکند، دیتاسنترهایی که سرورهای آنها را میزبانی می‌کنند، حتماً این کار را خواهند کرد. مسئله دیگر این است که VPN ها در برابر تحلیل ترافیک آسیب‌پذیر هستند. ترافیک VPN می‌تواند تحلیل شود تا الگوهایی شناسایی شود که منبع و مقصد ترافیک شما را نشان دهد، و این مشکلی نیست؛ بعد از همه این‌ها، VPN ها برای ناشناس بودن طراحی نشده‌اند.

مشکل دیگر با VPN ها، ردیابی اثر انگشت دیجیتال (Fingerprinting) است. در تور (Tor)، شما مرورگر تور دارید که به‌گونه‌ای طراحی شده تا تمام کاربران تور شبیه به هم باشند. اما در VPN ها، شما منحصربه‌فردترین فرد روی زمین هستید، به‌خصوص اگر مرورگری داشته باشید که به هر شکلی تغییر داده شده باشد یا اگر از سیستم‌عاملی مانند لینوکس یا BSD استفاده می‌کنید. کوچک‌ترین تغییرات می‌تواند شما را به‌شدت منحصربه‌فرد کند، و این همان چیزی است که شما برای ناشناس بودن نمی‌خواهید. اما برای حریم خصوصی، این مشکلی ندارد. شما می‌توانید با خیال راحت از فایرفاکس تقویت‌شده (Hardened Firefox) برای استفاده شخصی خود، مانند تماشای یوتیوب و پرداخت صورت‌حساب‌هایتان استفاده کنید. این در واقع یک حرکت خوب است. در این سناریو، نیازی ندارید که شبیه به بقیه باشید؛ شما می‌توانید منحصربه‌فرد باشید. من در فصل‌های بعدی به تفصیل درباره ردیابی اثر انگشت دیجیتال صحبت خواهم کرد.

اگر می‌خواهید ناشناس بمانید، باید از ابزارهایی استفاده کنید که مخصوص این کار طراحی شده‌اند، مانند تور (Tor) و مرورگر تور. کاری که تور انجام می‌دهد، همان چیزی است که نامش نشان می‌دهد: The Onion Router. این شبکه مانند یک پیاز عمل می‌کند؛ داده‌های شما را در سه لایه رمزگذاری می‌کند. وقتی داده‌ها از هر یک از Tor relay عبور می‌کنند، یک لایه رمزنگاری برداشته می‌شود و آدرس relay بعدی در زنجیره را فاش می‌کند تا زمانی که داده‌ها به مقصد نهایی برسند. وقتی با تور در شبکه معمولی (Clearnet) گشت می‌زنید، آخرین رله شما نودی به نام نود خروجی (Exit Node) خواهد بود. نود خروجی می‌تواند داده‌های داخل بسته شما را ببیند، اما نمی‌تواند به‌طور قطعی بداند که مبدأ بسته از کجا بوده است. برای ردیابی یک بسته تا فرستنده آن، تمام رله‌هایی که ترافیک شما از آن‌ها عبور می‌کند باید تحت کنترل یک نفر باشد، و این بسیار بعید و پرهزینه است. وقتی وبسایت‌هایی که روی شبکه تور میزبانی می‌شوند را مرور می‌کنید، داده‌های شما به‌صورت انتها به انتها با کلید عمومی وبسایت رمزگذاری می‌شود (آدرس وبسایت همان کلید عمومی است و به همین دلیل است که آدرس‌های تور بسیار طولانی و سخت برای به‌خاطر سپردن هستند). بنابراین هیچ‌کس در میان مسیر نمی‌تواند ترافیک را باز کند؛ آن‌ها فقط آن را تا رسیدن به مقصد عبور می‌دهند.

ابزارهای دیگری برای ناشناس بودن نیز وجود دارند، مانند Lokinet (که جدیدتر است) و I2P. از نظر فنی، هر دو ناشناس‌تر از شبکه تور هستند، اما فنی بودن همه چیز نیست. I2P و Lokinet هر دو نودهای بسیار محدودی در مقایسه با تور دارند که شبکه را آسیب‌پذیرتر می‌کند. علاوه بر این، هیچ‌کدام مرورگری مانند مرورگر تور ارائه نمی‌دهند که از ردیابی اثر انگشت دیجیتال کاربران جلوگیری کند. در حال حاضر، بهترین گزینه تور است، هم به دلیل سابقه اثبات‌شده‌اش در طول سال‌ها و تعداد قابل‌توجهی از نودها و رله‌های داوطلب، و هم به دلیل اینکه مرورگر تور کار بسیار خوبی در یکسان‌سازی اثر انگشت کاربران تور در هنگام استفاده از شبکه تور انجام می‌دهد.

چیزی که باید هنگام استفاده از مرورگر تور به خاطر داشته باشید این است که نباید هیچ‌چیزی را تغییر دهید. آن را به همان شکل که هست رها کنید؛ افزونه‌ای نصب نکنید یا تنظیماتش را دستکاری نکنید. مرورگر تور برای داشتن اثر انگشت مشابه با دیگر مرورگرهای تور طراحی شده است و حتی کوچک‌ترین تغییرات ممکن است شما را به منحصربه‌فردترین فرد در شبکه تور تبدیل کند.

من از یک رمز عبور قوی استفاده می‌کنم

یکی دیگر از افسانه‌هایی که زیاد در میان افراد معمولی می‌بینم این است که آن‌ها فکر می‌کنند باید یک رمز عبور قوی‌ای داشته باشند—چیزی تصادفی و سخت برای به‌خاطر سپردن. داشتن رمزهای عبور قوی ضروری است، اما داشتن یک رمز عبور قوی برای همه چیز نه تنها کمک چندانی به امنیت شما نمی‌کند، بلکه شما را بسیار آسیب‌پذیر می‌کند.

تصور کنید از رمز عبور قوی و پیچیده خود برای هر سایتی که تاکنون ثبت‌نام کرده‌اید، استفاده کرده‌اید. اگر یکی از این سایت‌ها رمز عبور شما را به درستی ذخیره نکرده و هک شود، و پایگاه داده آن به‌صورت عمومی منتشر شود، حالا هر کسی می‌تواند از همان رمز عبور برای هر وبسایت یا سرویسی که شما در آن ثبت‌نام کرده‌اید استفاده کند و وارد شود.

به‌جای اینکه خودتان را با حفظ یک رمز عبور واقعاً سخت اذیت کنید، باید از یک مدیر رمز عبور (Password Manager) استفاده کنید، چیزی که به‌صورت محلی ذخیره شود مانند KeePass یا چیزی که آنلاین باشد مانند Bitwarden.

ابزارهای مدیریت رمزعبور که به‌صورت لوکال (روی دستگاه شما) رمزهای عبور را ذخیره می‌کنند، قطعاً از آن‌هایی که آنلاین هستند امن‌ترند، به این دلیل ساده که اگر کسی بخواهد به پایگاه داده آن‌ها دسترسی پیدا کند، باید به کامپیوتر شما دسترسی پیدا کند. من نمی‌گویم دسترسی به کامپیوتر شما غیرممکن است، اما سرورهای Bitwarden ممکن است بسیار بیشتر از دستگاه شخصی شما هدف قرار گیرند. به‌جز این، هر دو کاملاً رمزگذاری شده‌اند. حتی اگر یک روز چیزی فاش شود، داده‌های شما به‌صورت ایمن ذخیره شده و تقریباً غیرقابل دسترسی خواهند بود، حداقل با ابزارها و کامپیوترهایی که امروزه داریم.

سپس می‌توانید به مدیریت رمز عبور خود با استفاده از یک عبارت عبور (Passphrase) دسترسی پیدا کنید (نه یک رمز عبور). عبارت‌های عبور به‌مراتب به‌خاطر سپردنی‌تر هستند درحالی‌که امنیت بیشتری دارند. یک عبارت عبور می‌تواند چیزی مثل: Name-Seat-Look-Chair-Plane7-Stree7 باشد—فقط شش کلمه، یک علامت نگارشی و عدد 7 به‌جای حرف T. در مقایسه با یک رمز عبور مانند *&(*747983HJGHgdgsutpshlnb، عبارت عبور هم امن‌تر خواهد بود و هم به‌یادماندنی‌تر.

شرکت‌های بزرگ فناوری بد هستند

این ایده وجود دارد، حتی در میان افرادی که افراد معمولی نیستند، که شرکت‌های بزرگ فناوری بد هستند و امنیت و حریم خصوصی ضعیفی دارند. این ممکن است در مورد حریم خصوصی درست باشد، اما نه زیاد در مورد امنیت. شرکت‌هایی مانند گوگل و مایکروسافت احتمالاً امنیت خوبی دارند، اما ما هرگز نمی‌توانیم مطمئن باشیم.

این به این دلیل است که آن‌ها شفاف نیستند درباره اینکه چگونه چیزها را پیاده‌سازی کرده‌اند. ما نمی‌توانیم ببینیم که آن‌ها چه کاری برای محافظت از داده‌های ما انجام می‌دهند، و این همان چیزی است که باعث می‌شود به آن‌ها اعتماد نکنیم. شرکتی مانند سیگنال (Signal)، سرور، کلاینت و طرح‌های رمزنگاری خود را برای عموم به‌صورت متن‌باز (Open-source) منتشر کرده است. از سوی دیگر، چیزی مانند تلگرام فقط کلاینت خود را به‌صورت متن‌باز کرده و همین. ما چیز زیادی درباره سرور یا حتی طرح رمزنگاری آن‌ها که ادعا می‌کنند غیرقابل شکست است، نمی‌دانیم. در این وضعیت، ما می‌گوییم تلگرام برای هدف خود که پیام‌رسانی به مردم است، مناسب نیست. این برنامه ایمن نیست.

با این حال، در مورد چیزی مانند گوگل درایو، که مقدار مناسبی فضای ذخیره‌سازی ابری رایگان ارائه می‌دهد، می‌توانید از آن استفاده کنید. اگر قبلاً حساب گوگل دارید که به هویت شما مرتبط است، می‌توانید از گوگل درایو برای آپلود برخی از داده‌های رمزگذاری شده که فضایی برای آن‌ها ندارید، استفاده کنید. فقط به این دلیل که گوگل است به این معنا نیست که کاملاً بد است و می‌توان برای آن استفاده‌هایی پیدا کرد. شما می‌توانید از گوگل استفاده کنید، به شرطی که به حریم خصوصی خود آگاه باشید.

اگرچه هر روز جایگزین‌های بیشتر و دوستانه‌تر با حریم خصوصی در حال ظهور هستند، بنابراین ممکن است در آینده نزدیک دیگر نیازی به استفاده از گوگل یا شرکت‌های مشابه آن نداشته باشید.

متن‌باز یعنی خصوصی

بله، نرم‌افزار متن‌باز شفاف‌تر از نرم‌افزار اختصاصی است و پتانسیل بیشتری برای امن و خصوصی بودن دارد، اما شفافیت و پتانسیل به‌تنهایی آن‌ها را خصوصی‌تر یا امن‌تر نمی‌کند. شما باید به دنبال بررسی‌های مستقل از نرم‌افزاری که می‌خواهید استفاده کنید، باشید. همچنین، اختصاصی بودن به این معنا نیست که آن‌ها کمتر ایمن هستند. به دنبال اعتبار نرم‌افزار و نگهدارندگان آن باشید و اینکه آیا مورد بررسی قرار گرفته‌اند یا نه.

این‌ها برخی از رایج‌ترین افسانه‌ها درباره حریم خصوصی و امنیت آنلاین بودند. افسانه‌های بی‌پایانی وجود دارند که مردم به آن‌ها باور دارند. در این شرایط، باید به‌جای تعصب، منطقی باشیم. ما باید برنامه‌ریزی کنیم که چه کاری نیاز است انجام دهیم، چه چیزی ارزش زمان و انرژی ما را دارد، و فصل بعدی درباره همین موضوع است—درباره مدل‌سازی تهدید و تهدیدهای رایجی که باید قبل از شروع طراحی مدل تهدید خود بدانید.