محمدرضا گلسار
در هیچ نقطهای از جهان، فیلترشکنها جزو پرطرفدارترین نرمافزارهای عمومی نیستند. کمتر کشوری را میتوان پیدا کرد که کودکان، سالمندان، دانشجویان، کارمندان، رانندگان تاکسی و صاحبان کسبوکارهای کوچک، همگی به صورت روزانه برای انجام سادهترین فعالیتهای اینترنتی خود ناچار به استفاده از VPN باشند. فیلترشکن در اصل ابزاری تخصصی است؛ ابزاری که برای دور زدن برخی محدودیتهای سازمانی، حفظ حریم خصوصی در شرایط خاص یا انجام فعالیتهای حرفهای مورد استفاده قرار میگیرد. اما در جمهوری اسلامی این ابزار سالهاست که از یک نیاز تخصصی خارج شده و به بخشی از زندگی روزمره میلیونها نفر تبدیل شده است. این وضعیت آنقدر عادی شده که شاید بسیاری دیگر متوجه ابعاد خطرناک آن نباشند. جامعهای را تصور کنید که بخش بزرگی از شهروندانش برای دسترسی به اینترنت، هر روز مجبورند نرمافزارهایی را نصب کنند که نه سازنده آنها را میشناسند، نه از محل ذخیره اطلاعاتشان خبر دارند و نه میدانند چه مجوزهایی به این برنامهها دادهاند. در واقع میلیونها ایرانی هر روز دروازه تلفن همراه و رایانه خود را به روی برنامههایی باز میکنند که میتوانند به اطلاعات شخصی، تصاویر، رمزهای عبور، حسابهای بانکی و مکاتبات خصوصی آنها دسترسی پیدا کنند.
سالهاست که مسوولان از «امنیت» به عنوان یکی از مهمترین دلایل محدودیتهای اینترنتی نام میبرند. اما یک پرسش اساسی همچنان بیپاسخ مانده است: چگونه میتوان از امنیت سخن گفت در حالی که سیاستهای موجود، مردم را به استفاده گسترده از ابزارهایی سوق داده که خود به یکی از بزرگترین تهدیدهای امنیت سایبری تبدیل شدهاند؟ نمونه تازه این ماجرا را میتوان در گزارش محققان امنیتی شرکت سایدرز مشاهده کرد. این شرکت از شناسایی یک کمپین فعال خبر داده که در آن نسخههای جعلی نرمافزارهای محبوب برای آلودهسازی دستگاه کاربران مورد استفاده قرار گرفتهاند. در میان این برنامهها، نسخه جعلی یک VPN شناختهشده با نام X-VPN قرار دارد که برای انتشار بدافزاری به نام STX RAT طراحی شده است. بدافزاری که میتواند رمزهای عبور ذخیرهشده، اطلاعات سیستم، نشستهای فعال کاربر و بسیاری از دادههای حساس را سرقت کند و حتی امکان کنترل از راه دور دستگاه قربانی را در اختیار مهاجم قرار دهد.
نکته مهم اینجاست که در این پرونده، خود سرویس X-VPN هک نشده بود. مشکل از جایی آغاز شد که کاربران نسخههای غیررسمی و آلوده این برنامه را از منابع ناشناس دانلود کرده بودند. این دقیقاً همان نقطهای است که شرایط اینترنت در ایران آن را به یک بحران ملی تبدیل میکند. در بسیاری از کشورها کاربران میتوانند نرمافزارها را مستقیماً از وبسایت رسمی توسعهدهندگان یا فروشگاههای معتبر دریافت کنند، اما در ایران به دلیل مجموعهای از محدودیتها، تحریمها و مسدودسازیها، بسیاری از کاربران ناچارند به منابع واسطه، کانالهای ناشناس و وبسایتهایی مراجعه کنند که هیچ تضمینی برای امنیت آنها وجود ندارد. در حقیقت، سیاستی که قرار بود امنیت ایجاد کند، اکنون میلیونها نفر را در معرض ناامنی قرار داده است.
از سوی دیگر موضوع تنها به یک VPN محدود نمیشود. مهاجمان سایبری پیش از این نیز نسخههای جعلی برنامههای مالی و معاملاتی از جمله بایننس، بایبیت، متاتریدر و کیف پولهای رمزارزی را منتشر کرده بودند. هدف روشن است؛ هر جا کاربران به استفاده از مسیرهای غیررسمی وادار شوند، فرصت برای مجرمان سایبری فراهم خواهد شد. وقتی شهروندان نتوانند از مسیرهای استاندارد و امن به خدمات مورد نیاز خود دسترسی داشته باشند، بازار سیاه دیجیتال شکل میگیرد و این بازار سیاه همواره بهشت هکرها و کلاهبرداران است. اما مسئله فقط سرقت اطلاعات فردی نیست. هزینههای این وضعیت بسیار گستردهتر از آن چیزی است که در نگاه اول دیده میشود. میلیونها ساعت از زمان مردم صرف پیدا کردن VPNهای جدید، رفع اختلالات و مقابله با قطعیهای مداوم میشود. کسبوکارها هزینههای اضافی برای حفظ ارتباطات خود پرداخت میکنند. شرکتها با کاهش بهرهوری مواجه میشوند. دانشجویان و پژوهشگران برای دسترسی به منابع علمی با دشواری روبهرو هستند و استارتاپها بخشی از توان خود را صرف حل مشکلاتی میکنند که اساساً نباید وجود داشته باشند.
همچنین توسعه استفاده از فیلترشکنها به معنای انتقال حجم عظیمی از دادههای کاربران ایرانی به سرورهایی است که در اختیار شرکتها یا افراد ناشناس قرار دارند. هیچکس نمیداند چه میزان از اطلاعات کاربران جمعآوری میشود، این اطلاعات کجا ذخیره میشود و در نهایت چگونه مورد استفاده قرار میگیرد.
به بیان دیگر، سیاستی که با ادعای کنترل و مدیریت فضای مجازی اجرا شده، عملاً کنترل بخش مهمی از دادههای کاربران را به بازیگرانی واگذار کرده که هیچ نظارتی بر عملکرد آنها وجود ندارد. این تناقض را نمیتوان نادیده گرفت. اگر هدف، امنیت کاربران است، نتیجه فعلی دقیقاً در جهت عکس آن حرکت میکند. اگر هدف، حفاظت از اطلاعات مردم است، چرا میلیونها نفر مجبور شدهاند به نرمافزارهایی اعتماد کنند که نه هویت توسعهدهندگان آنها روشن است و نه سازوکار فعالیتشان؟ اگر هدف، کاهش تهدیدات سایبری است، چگونه میتوان افزایش روزافزون بدافزارها، کلاهبرداریهای آنلاین و سرقت اطلاعات را نادیده گرفت؟
واقعیت این است که امنیت را نمیتوان با ایجاد موانع گسترده برای دسترسی به اینترنت به دست آورد. امنیت زمانی ایجاد میشود که کاربران بتوانند از مسیرهای رسمی، شفاف و قابل اعتماد به خدمات مورد نیاز خود دسترسی داشته باشند. هرچه فاصله میان کاربران و مسیرهای رسمی بیشتر شود، فضای بیشتری برای فعالیت مجرمان سایبری ایجاد خواهد شد. امروز دیگر مسئله صرفاً یک VPN یا یک بدافزار خاص نیست. مسئله این است که سیاستهای محدودکننده اینترنت، میلیونها نفر را وارد چرخهای کرده که در آن ناامنی دیجیتال به بخشی از زندگی روزمره تبدیل شده است. هر بار که یک کاربر ایرانی برای دسترسی به یک سرویس ساده مجبور به نصب یک فیلترشکن جدید میشود، در واقع در معرض ریسکی قرار میگیرد که شاید هرگز از آن آگاه نشود. این ریسک نه محصول فعالیت هکرها، بلکه نتیجه مستقیم شرایطی است که استفاده گسترده از چنین ابزارهایی را به یک اجبار عمومی تبدیل کرده است.
بنابراین مهمترین پرسش این است که چه کسی مسوول این هزینههای پنهان است؟ زیرا هر بار که اطلاعات یک کاربر سرقت میشود، هر بار که یک دستگاه به بدافزار آلوده میشود و هر بار که یک کسبوکار از محدودیتهای اینترنتی آسیب میبیند، نمیتوان همه تقصیرها را به گردن هکرها یا دشمنان خارجی انداخت. بخش بزرگی از این بحران، محصول سیاستهایی است که سالهاست هشدارهای کارشناسان درباره پیامدهای آن نادیده گرفته شده است. اگر واقعیتها پذیرفته نشود، فیلترشکنها همچنان پرفروش خواهند ماند، بدافزارها قربانیان جدید پیدا میکنند و هزینه این چرخه معیوب را باز هم مردم پرداخت خواهند کرد.