به دلیل مسدود شدن دسترسی به بسیاری از وب‌سایت‌ها و سرویس‌های پرمخاطب، استفاده از فیلترشکن برای فعالیت‌های آنلاین روزمره در ایران به یک روند معمولی تبدیل شده است اما در این میان، افراد اندکی به امنیت فیلترشکن‌ها توجه می‌کنند و به کار بردن عناوینی همچون «فیلترشکن قوی و پرسرعت» ابزاری برای سودجویان اینترنتی شده است که کاربران را به استفاده از فیلترشکن‌هایی با امنیت نامشخص سوق دهند.

آمار و اظهارات مسئولان نشان می‌دهد که نزدیک به ۸۰ درصد ایرانی‌ها از فیلترشکن استفاده می‌کنند. اما آیا فیلترشکن‌هایی که ایرانیان برای دسترسی به اینترنت آزاد استفاده می‌کنند، امن و قابل‌اعتمادند؟

در چند ماه اخیر، مسدودسازی و ایجاد اختلال بر وی‌پی‌ان‌های امن افزایش چشمگیری داشت؛ این اتفاق باعث شد بسیاری از افراد با جست‌وجوی کلیدواژه‌هایی همچون «فیلترشکن قوی» یا «فیلترشکن پرسرعت» در فروشگاه‌های دانلود اپلیکیشن و موتورهای جست‌وجوگر شانس خود را برای یافتن یک وی‌پی‌ان که از کار نیفتاده باشد، امتحان کنند. این اتفاق دقیقا همان چیزی است که توسعه‌دهندگان وی‌پی‌ان‌های ناامن به دنبال آن‌اند تا ابزارهای بی‌نام‌ونشان خود را به دست کاربران برسانند و بعد از آن، جمع‌آوری اطلاعات آن‌ها را شروع کنند.

«فیلترشکن پرسرعت قوی»، تله‌ای برای کاربران ایرانی

با جست‌وجوی واژه «فیلترشکن قوی» یا «فیلترشکن پرسرعت»، فروشگاه دانلود گوگل‌پلی وی‌پی‌ان‌های رایگان با نام‌هایی از این دست را نمایش می‌دهند که برخی از آن‌ها بیش از یک میلیون بار دانلود شده‌اند. نکته حائز اهمیت آن است که بسیاری از این وی‌پی‌ان‌ها نه تنها شرکت رسمی ثبت‌شده ندارند بلکه از سازندگان آن‌ها نیز هیچ اطلاعاتی در دسترس نیست.

نتایج بررسی سه وی‌پی‌ان با ویژگی «پرسرعت و قوی» که هر کدام بیش از یک میلیون بار دانلود شده‌اند، به اختصار به شرح زیر است:

اولین مورد، وی‌پی‌‌انی است که سه نام مختلف دارد. در عنوان این سرویس در گوگل‌پلی، «فیلترشکن پرسرعت قوی جدید» درج شده و در توضیحات، از آن با نام آلفا وی‌پی‌ان (Alpha VPN) یاد شده است. در سند حریم خصوصی این سرویس که اکنون به دلیل نقض قوانین گوگل از دسترس خارج شده، نام این فیلترشکن اسپید وی‌پی‌ان (Spade vpn) ذکر شده است. در صفحه گوگل‌پلی این سرویس «میشا اپ‌استلا» (misha appstela) به عنوان توسعه‌دهنده این وی‌پی‌ان معرفی شده اما در سند حریم خصوصی، از «وی‌پی‌انیبل لیمیتد» (Vpnable Limited) به عنوان توسعه‌دهنده نام برده شده است.

در قسمت «افشای داده‌ها» در سند حریم خصوصی این سرویس که اکنون در دسترس نیست، نوشته شده بود که در صورت لزوم برای رعایت تعهد قانونی و در زمان مواجهه با مسئولیتی قانونی به افشای اطلاعات کاربران اقدام خواهد کرد. نکته جالب دیگر آن است که سند حریم خصوصی این فیلترشکن به دلیل نقض قوانین گوگل از دسترس خارج شده، اما خود این وی‌پی‌ان هنوز در گوگل‌پلی موجود است.

دومین مورد «فیلترشکن پرسرعت قوی» لا یواس‌آ (La USA) است. در سند حریم خصوصی این سرویس عنوان شده که برای ارائه خدمات بهتر ممکن است «اطلاعات شخصی قابل شناسایی» کاربران را دریافت کند. همچنین این وی‌پی‌ان از خدمات طرف سوم نیز استفاده می‌کند که آن‌ها نیز اطلاعات موردنیاز برای شناسایی کاربران را جمع‌آوری می‌کنند. در وب‌سایت این سرویس، در مورد سازندگان این وی‌پی‌ان و محل فعالیت آن‌ها هیچ اطلاعاتی ذکر نشده است.

سومین مورد «فیلترشکن پرسرعت قوی»، رپید کانکت (Rapid Connect) است که شرکت ساترن دولوپمنت (Saturn Development) ساخته است؛ سند حریم خصوصی این سرویس دقیقا شبیه سند حریم خصوصی لا یواس‌آ است و در آن عنوان شده که برای ارائه خدمات بهتر ممکن است «اطلاعات شخصی قابل شناسایی» کاربران را دریافت کند. این وی‌پی‌ان نیز از خدمات طرف سوم استفاده می‌کند که آن‌ها نیز اطلاعات موردنیاز برای شناسایی کاربران را جمع‌آوری می‌کنند.

در تمام فیلترشکن‌های مذکور، سند حریم خصوصی مختصر و مبهم، فقدان شفافیت در قبال اطلاعات دریافتی از کاربران و مشخص نبودن محل فعالیت مشهود است. همچنین در هیچ کدام از نمونه‌های بررسی‌شده، سازوکار این سرویس‌ها برای پنهان کردن هویت کاربران مشخص نیست و درباره پروتکل وی‌پی‌ان توضیحی داده نشده است. پروتکل وی‌پی‌ان نشان دهنده فرایندها و دستورالعمل‌های ارائه‌دهندگان وی‌پی‌ان است تا اطمینان حاصل شود که ارتباطات بین سرور و کاربر به صورت پایدار و امن برقرار است.

برای انتخاب یک فیلترشکن امن به چه مواردی باید توجه کرد؟

نبود اطلاعات دقیق در مورد سازندگان سرویس، مشخص نبودن نحوه رمزنگاری داده‌ها و فقدان شفافیت در اطلاعات دریافتی از کاربران و مدت زمان و محل ذخیره آن‌ها نقاط مشترک همه فیلترشکن‌های مشکوک و ناامن‌اند. به همین دلیل اولین گام برای اطمینان از سلامت یک فیلترشکن مراجعه به وب‌سایت و بررسی سند حریم خصوصی فیلترشکن است.

یک سرویس امن میزان دریافت داده‌های کاربران را با جزئیات و ذکر دلیل برای جمع‌آوری مشخص و مدت زمان و محل نگهداری آن‌ها را نیز اعلام می‌کند. همچنین هر سرویسی موظف است در مورد سازندگان آن اطلاعات دقیق ارائه کند. نبود اطلاعات در مورد شرکت سازنده یک سرویس می‌تواند یکی از نشانه‌های قابل‌اعتماد نبودن یک سرویس باشد.

گام بعدی برای اطمینان از امنیت یک وی‌پی‌ان بررسی پروتکل وی‌پی‌ان است. وی‌پی‌ان‌های برتر دنیا نه تنها پروتکل‌های مورداستفاده خود را به طور شفاف معرفی می‌کنند بلکه چندین پروتکل مختلف را به کار می‌گیرند و به کاربران خود این امکان را می‌دهند که برای اتصال به وی‌پی‌ان، بر اساس نیازها و محدودیت‌های خود پروتکل موردنظرش را انتخاب کند.

علاوه بر موارد ذکرشده، بررسی میزان دسترسی یک فیلترشکن هم دارای اهمیت است. تمام برنامک‌ها برای فعالیت، دسترسی‌هایی را از کاربران درخواست می‌کنند؛ اما در این میان، درخواست دسترسی برخی از سرویس‌ها بیش‌ازحدنیاز است. برای نمونه، دسترسی «دریافت داده‌ها از اینترنت» برای یک فیلترشکن معمول است اما دسترسی به «لیست مخاطبان» یا «دسترسی به اطلاعات تماس» برای فیلترشکن درخواستی زیادی است. در بخش مدیریت برنامک‌های (app management) تلفن همراه خود می‌توانید میزان دسترسی برنامک‌ها را مشاهده و آن‌ها را محدود کنید.

در کنار فیلترشکن‌های رایگان موجود در فروشگاه‌های دانلود برنامک‌ها، برخی سرویس‌های غیررایگان فعال در داخل ایران نیز با استقبال مردم مواجه شده‌اند. باید توجه داشت که طبق قانون جرائم رایانه‌‌ای، فروش هر ابزار الکترونیکی برای دور زدن فیلترینگ در ایران جرم محسوب می‌شود. 

سرپرست سابق معاونت فضای مجازی دادستان کل کشور نیز در سال‌ ۱۳۹۸ اعلام کرده بود که «بخش اعظم اطلاعات فنی فروشندگان وی‌پی‌ان و حجم ترافیک مصرفی آن‌ها در اختیار وزارت اطلاعات و ارتباطات است». به همین دلیل استفاده از سرویس‌های ارائه‌دهنده وی‌پی‌ان مستقر در ایران پرخطر است؛ زیرا نحوه فعالیت و هدف این شرکت‌ها که برخلاف قانون به‌طور علنی به ارائه خدمات برای دور زدن سیستم سانسور حکومتی مشغول‌‌اند، مشخص نیست.

نکته قابل‌توجه دیگر استفاده این سرویس‌ها از بسترهای رسمی پرداخت بانکی برای فروش فیلترشکن است. این بدان معنا است که پیگیری تراکنش‌ مشتریان این سرویس‌ها می‌تواند به فاش شدن هویت کاربران منجر شود.

 بسیاری از کارشناسان امنیت دیجیتال به اکثر وی‌پی‌ان‌های رایگان همواره با دیده تردید می‌نگرند، زیرا نگهداری از سرورهای وی‌پی‌ان و حفظ امنیت کاربران پرهزینه است و وقتی یک سرویس در ازای خدماتی که ارائه می‌دهد، هزینه‌ای دریافت نمی‌کند، احتمالا منبع درآمد آن اطلاعات کاربران است.

براساس مطالعه موسسه سی‌اس‌آی‌آراو (CSIRO)، اغلب وی‌پی‌ان‌های رایگان برخلاف ادعاهایشان، ترافیک کاربران را رمزگذاری نمی‌کنند یا اینکه از پروتکل‌های رمزگذاری نامرغوب استفاده می‌کنند که به نشت آپی‌وی۶ (IPv6) و «دی‌ان‌اس» (DNS) منجر می‌شود. این بدان معنی است که فعالیت‌ها و داده‌های آنلاین افراد محرمانه نمی‌ماند.

همچنین بسیاری از وی‌پی‌ان‌های رایگان از قابلیت تعبیه‌شده ردیابی کاربران برای فروش داده‌های کاربران به تبلیغ‌کنندگان استفاده می‌کنند. برخی از آن‌ها حتی بدون اطلاع مشتریان، به شرکت‌های طرف سوم امکان دسترسی به داده‌های کاربران را می‌دهند. بررسی‌های موسسه سی‌اس‌آی‌آراو نشان می‌دهد که ۷۵ درصد وی‌پی‌ان‌های رایگان حاوی کتابخانه‌های ردیابی شخص سوم‌اند.