آیا نرم‌افزار امنیتی آزاد امنیت پایینی دارد؟

نرم‌افزار امنیتی شما متن باز/آزاد است آیا این (موضوع)  امنیتش را کاهش نمی‌دهد؟

این سوالی تکراری است که ما معمولا در بنه‌تک «Benetech» در ارتباط با مارتوس می‌شنویم. ابزار قدرتمند و رایگان ما برای رمزنگاری، برای امن کردن جمع‌آوری و مدیریت اطلاعات حساس است که توسط برنامه حقوق بشر بنه‌تک(۱) ‌‌‌ ایجاد و آماده شده است. سوال مهمی است برای ما و همه کسانی که توسعه‌دهنده نرم‌افزارهای متن‌باز/آزاد هستند؛ آن هم در عصر پسا-اسنودن که کاربران زیادی نگران درز اطلاعات شخصی یا شنود اطلاعاتشان توسط سرویس‌های امنیتی هستند. با این حال ما بر این باوریم که نه تنها نرم‌افزارهای آزاد امنیت بالایی دارند بلکه برای آن ضروری هستند.

اجازه دهید تا قیاس زیر را تعریف کنیم:

رمزنگاری ترکیبی امنیتی است که باعث حفاظت از اطلاعات شما می‌شود و شما تنها کسی هستید که از آن ترکیب استفاده می‌کنید. یا این که این عمل را به یکی از همکارانی که به شما نزدیک است، می‌سپارید که هدف شما دور نگاه‌داشتن افراد غیرمجاز از دسترسی به داده‌هایتان است. آن‌ها ممکن است سارقینی باشند که قصد دزدیدن اطلاعات مرتبط با کسب و کار شما را دارند یا این که کارمندان هم‌رده شما که قصد اطلاع از حقوقتان را دارند. یا موکلی که قصد دزدیدن اطلاعات مرتبط با کلاهبرداری را دارد؛ در تمام این موارد شما مجبورید اطلاعات خود را از آنان محفوظ داشته و از دسترسی افراد غیرمجاز جلوگیری کنید.

حال اجازه دهید بگویم مکانی امن برای اشیاء با ارزشم یافته‌ام. دو گزینه پیش رو دارم گزینه اول که از گاو صندوقی در تبلیغات مطلع می‌شوم که نیم اینچ  عمق دیواره آن بوده و یک اینچ ضخامت درب آن است. همچنین برای نگه‌داری اطلاعات از ۶ قفل پیچیده برخوردار است. که توسط آژانس امنیتی مستقلی تایید شده است که تا دو ساعت در آتش دوام می‌آورد. گزینه دوم این است که از گاوصندوقی استفاده کنم که سازنده آن گفته است روش امن نگاه‌داشتن چیزهایی که درون است به صورت سری است که می‌تواند اطلاعات شما را با تخته سه‌لا و استیلی نازک امن نگاه‌دارد. پس این‌که به نظر شما کدام یک امن‌تر است؛ بسیار بدیهی است.

حال باید به دلیل آن که اطلاعات طراحی گاوصندوق اول در اختیار است و می‌توان به راحتی با تجهیزات و مواد اولیه لازم همانند آن طراحی کرد، گفت که شفافیت، باعث ناامن بودن گزینه اول خواهد بود؟ خیر، امنیت اطلاعات شما در گاو صندوق اول به دو دلیل است. یکی استفاده از ترکیبات و قدرت بالای آن در حفاظت اشیاء و ترکیبات امنیتی فوق‌العاده بالا است و دیگری به خاطر در دسترس بودن اطلاعات گاوصندوق برای کارشناسان که منجر به این می‌شود که آنان با کمک به طراحی و ارائه راهکارهایی جدید همیشه آن را بهتر از قبل نگاه می‌دارند. این گزینه باعث می‌شود که راهی مخفی در گاوصندوق برای گشودن آن وجود نداشته باشد. مثلا اگر مشکلی یا ایرادی در گاوصندوق وجود داشت، که با اطلاع از آن ساق می‌توانست آن را به سرعت باز کند، فردی خبره آن را متوجه شده و راهکار آن را ارائه خواهد کرد؛ زیرا که روش طراحی آن برای افراد در دسترس است.

هدف ما از امنیت چیست؟

چیزی نیست که کامل مطلق باشد با این حال تبلیغات در حال اغراق هستند، به عنوان مثال هیچ روش امنیتی وجود ندارد تا اجازه دزدی از اشیاء سرقت شده را به سارقان ندهد و یا کاملا آنان را متوقف کند، بلکه آن‌ها فقط قادرند هزینه دزدی از شما را برای سارقین بالا برند و سرقت از شما هزینه‌ای گزاف داشته باشد. این که بدانید آن روش امنیتی چگونه کار می‌کند آن را غیر امن نمی‌سازد. ممکن است علم به مواد اولیه و نوع فلز و یا فولاد به کار رفته در گاوصندوق باعث شود سارقین از ابزار مناسب به آن بهره جویند ولی چنین چیزی نیز باعث نمی‌شود که بگوییم چنین روش‌هایی  برای سارقین کم‌هزینه باشند. گاوصندوقی با طراحی و ترکبات رمزی سخت می‌تواند هر مهاجمی را دلسرد کند.

قیاس ما از گاوصندوق و مکان امن، به راحتی می‌تواند موضوع نرم‌افزارهای امنیتی متن‌باز/آزاد را برای شما روشن کند.

همانند امنیت گاوصندوق مذکور امنیت نرم‌افزار قوی رمزنگاری به دلیل آزاد بودن برای شما پرخطر نیست. در واقع کد منبع نرم‌افزار امنیتی با دیده شدن توسط دیگران تقویت شده و بر حسب نیاز امنیت و حریم خصوص کاربران افزایش خواهد یافت.  این همان دلیلی است که مرتبا اشاره می‌شود که نرم‌افزارهای آزاد با بررسی توسط کاربر نهایی ، می‌تواند از راه‌های پنهان و درهای پشتی عاری باشد. در دنیایی که نظارت بر کاربران در حال تبدیل به یک هنجار است؛  بدیهی است کاربران خواهان شفافیت در عرضه محصولات امنیتی باشند و لزوم حفاظت از حریم خصوصی و بالا بردن امنیت بسیار حیاتی است. این موضوع برای فعالین حقوق بشر، روزنامه‌نگاران، فعالین گروه‌های مدنی و اجتماعی، سازمان‌های مردم‌نهاد «NGO‌ها» و دیگران بازیگران عرصه عدل و عدالت که امنیت و حریم خصوصی برای آنان از نزدیک ملموس است، ضروری است.

شاید موضوع متن‌باز بودن کد منبع برنامه‌ای امنیتی  منجر به بالا رفتن امنیت برنامه می‌شود را یک پارادوکس بدانید، با این حال با توجه به قیاس مذکور در ابتدای مقاله نرم‌افزاری که به صورت متن بسته عرضه می‌شود امنیت را بالاتر نخواهد برد؛  زیرا که امنیت به نحوه کار ترکیبات رمزی، الگوریتم‌های مورد استفاده و دیگر موارد موثر وابسته است. با این حال همانطور که در قیاس ذکر شد مهاجمان با مطالعه عمیق کدهای برنامه متن‌باز می‌توانند به مواردی دست‌یابند که باعث حمله به امنیت کاربران شود ولی امنیت به معنای عدم حمله و نبود ضعف نیست بلکه باعث پرهزینه شدن حمله و سرقت می‌شود.

ما در بنه‌تک بر این عقیده هستیم که استفاده از مدل متن‌باز برای توسعه به جامعه  کاربران کمک خواهد کرد تا ما را در بهبود کدهایمان یاری دهند.  در رابطه با موضوع مارتوس ما دیگر به اختراع مجدد چرخ نیازی نداشتیم و می‌توانستیم به راحتی از ابزارهای موجود مانند ابزار تور (۲) «Tor»  برای ناشناس ماندن و دیگر ابزار متن‌باز و آزاد بهره جوییم.

موضوع نرم‌افزارهای امنیتی برای فعالین حقوق بشر به موضوعی مهم برای فعالین تبدیل شده است که به طور روزافزونی خواهان پشتیبانی از فعالین امنیتی در این بخشها هستند. برخی از آنان بمانند بنیاد فن‌آوری باز که کاربران را برای بررسی کدها تشویق می‌نماید. به طور جامع  استفاده از نرم‌افزارهایی با شفافیت بالا،  مسیولیت‌پزیری بیشتر  و اثبات‌پزیری قویتر منجر به بهبود امنیت نرم‌افزار خواهد شد که تمامی این موارد در نرم‌افزارهای آزاد قابل دسترسی هستند.


1- Benetech Human Rights Program

۲− Tor- برنامه‌ای برای ناشناس ماندن در اینترنت  است که از شبکه‌ای از کاربران در اینترنت شکل گرفته است.