راز و رمز ویژگی‌های امنیتی Mac OS و iOS

|
۰ دیدگاه
امنیت در iOS

در این مطلب از آخرین تغییراتی که اپل به منظور محافظت هر چه بیشتر کاربران خود، در سیستم‌هایش اعمال کرده است پرده بر می‌داریم.

به گزارش کلیک، در زمان کنفرانس WWDC که اخیرا برگزار شد، مدیران اجرایی اپل پیشرفت‌های اخیری که در سرویس‌های محبوب Siri، iMessage و Apple Music به وجود آمد، ستودند. آن‌ها کاربردهای جذاب و جدیدی از ویژگی‌هایی هم چون ۳D Touch به نمایش گذاشتند. با این وجود در میان این هیاهو، آن‌ها فراموش کردند تا در مورد مسایل امنیتی که قرار است در پاییز امسال در MacBook و iPhone به کار گرفته شود، صحبت کنند. مطرح نکردن این موضوع جای خجالت دارد. زیرا موارد امنیتی جای زیادی برای صحبت کردن در این کنفرانس داشتند که متاسفانه به آن‌ها بها داده نشد. البته گفتنی است که شرکت اپل تصمیم دارد تا دگرگونی‌های بسیار مهمی‌ در شیوه تعامل کاربران با دستگاهای این شرکت به وجود آورد.

در حالی که به نظر می‌رسد اپل  در ارائه پروژهای امنیتی بزرگ‌تر خود تاخیر داشته است، اما می‌توان گفت که هنوز این شرکت بلندپروازی‌های جدی در سر دارد. از جمله مهم ترین این پروژه‌های امنیتی می‌تواند به رمزگذاری فایل‌های پشتیبان iCloud اشاه کرد که حتی اپل نیز نمی‌تواند به آن دسترسی یابد.  نتیجه این کار داشتن تجربه کاربری با سیستم عامل iOS یا macOS است که در آن شما راحتی کار را با امنیت مبادله می‌کنید. در حقیقت اپل با انجام چنین کاری محرومیتی‌های کوچکی را برای کاربران به وجود می‌آورد، اما این محرومیت‌های کوچک و شاید غیرقابل انعطاف می‌تواند از محرومیت‌های بزرگ‌تر در آینده جلوگیری کند.

داستان Flash و سایر پلاگین‌ها

مبارزه اپل با فلش به سال ۲۰۱۰ باز می‌گردد. زمانی که استیو جابز نامه سرگشاده معروفی برای بیرون راندن فلش از آیفون نوشت. پس از این نامه تعداد زیادی از همکاران او با این تصمیم موافقت کردند. رئیس بخش امنیتی فیسبوک نیز پایان عمر فلش را در تابستان سال گذشته اعلام کرد. شرکت گوگل هم گام‌هایی را جهت محدود کردن هر چه بیشتر مرورگر کروم در استفاده از فلش برداشت. حتی شرکت Adobe، که تولیدکننده فلش است اخیرا از این محصول بدنام خود فاصله گرفت.

این موضوع تا زمان macOS Sierra به طول انجامید تا اپل جنگ خود با فلش را به دسکتاپ کاربران نیز بکشاند. البته این موضوع به فلش ختم نمی‌شود. نسخه بعدی مرورگر سافاری نیز از پلاگین‌هایی مانند Java،  Silverlight و حتی QuickTime که متعلق به خود اپل است، پشتیبانی نخواهد کرد. شرکت اپل به جای فلش از HTML5 که استانداردی به مراتب امن‌تر است در هر زمان و مکانی استفاده می‌نماید.

Ricky Mondello که یک طراح مرورگر وب است می‌گوید:  کسانی که از مرورگر سافای استفاده می‌کنند، چنان‌چه با سایت‌هایی روبرو شوند که محتوایات آن‌ها هم بر اساس فلش و هم HTML5 است، این مرورگر به آن‌ها محتوایات سایت را بر اساس HTML5 نمایش می‌دهد که از طرفی هم عملکرد بهتری دارد و هم باعث خواهد شد تا میزان شارژ کمتری از دستگاه کاربر مصرف گردد. این سیاست برای تمام وب سایت‌ها به کار برده می‌شود و در مرورگر سافاری هیچ وب سایتی از این قانون مستثنی نیست.

flash

اپل صریحا در مورد فلش دیدگاه خود را عنوان کرده است. او می‌گوید هیچ استثنایی وجود ندارد و به هیچ عنوان محتوایات فلش را در مرورگر سافاری نمایش نخواهد داد. حتی اگر وب سایتی جایگزینی برای محتویات فلش خود در نظر نگرفته باشد. زمانی که سافاری وب سایتی را نمایش می‌دهد که آن وب سایت خاص نیاز به فلش یا پلاگین‌های دیگری دارد، طوری عمل می‌کند که گویی آن پلاگین بر روی کامپیوتر شما نصب نشده است. در عوض، پیغامی‌ را به شما نشان می‌دهد مبنی بر این که فلش نصب نشده است و لینکی را ارائه می‌نماید که شما می‌توانید از آن طریق این پلاگین را دانلود نمایید.

بلافاصله پس از این که شما بر روی لینک ارائه شده کلیک می‌کنید، سافاری اعلام می‌کند که پلاگین فلش برای دانلود آماده است. این امکان برای شما وجود دارد که آن را برای یک بار (پیش فرض) فعال نمایید یا هر بار که آن سایت خاص را مشاهده می‌کنید این پلاگین اجرا گردد. این روش آزاردهنده به نظر می‌رسد. این طور نیست؟

اگرچه پلاگین‌هایی مانند Flash ،Silverlight ،Java و QuickTime هنوز هم در میان صفحات وب رواج دارند (به عنوان مثال ویدیوهای وب سایت آمازون با تکیه بر Silverlight در سافاری اجرا می‌شوند)، اما سایت‌هایی که از چنین پلاگین‌هایی در ساختار خود استفاده می‌کنند بسیار بستر مناسبی برای حملات هکرها هستند و با بدنامی‌ از آن‌ها یاد می‌شود. به طور خاص، فلش، به عنوان یک تجربه امنیتی وحشتناک شناخنه شده است و هم‌چنان این کابوس ادامه دارد. فقط در همین هفته اخیر، یک آسیب‌پذیری وحشتناک دیگر در آن یافت شد که به یک هکر اجازه می‌دهد تا کنترل یک سیستم آلوده را از طریق حفره امنیتی موجود در فلش به عهده بگیرد.

بسیار مهم است که اپل سخت‌گیری خود را تنها به فلش معطوف نکند. زیرا حتی اگر استفاده از فلش هم به حداقل برسد، بازیگران بد در این عرصه  به سوی پلاگین محبوب دیگری کوچ خواهند کرد که آن‌ها نیز باعث ناامنی دیگری خواهند شد. همان‌طور که جاوا مدام به عنوان یکی از بزرگ‌ترین تهدیدات امنیتی برای کامپیوترهای ایالات متحده شناخته می‌شود.

یک محافظ امنیتی (Gatekeeper) قوی‌تر

علاوه بر تمهیدات امنیتی که در بالا ذکر شد، نگهبان اپل در حال به وجود آوردن گارد امنیتی قویتری است. این نگهبان که برای اولین بار در سال ۲۰۱۲ معرفی شد به کاربران Mac اجازه می‌دهد تا تعیین کنند که آیا کامپیوتر آن‌ها تنها مجاز به دانلود اپلیکشن‌های App Store است یا علاوه بر اپ استور می‌تواند سایر اپلیکیشن‌هایی را که توسط توسعه‌دهندگان مجاز اپل منتشر شده‌اند نیز دانلود کند. یا هر اپلیکیشنی را با در نظر گرفتن عواقب جانبی دانلود کند. در macOS Sierra آخرین گزینه (دانلود هر اپلیکیشنی از هر مکانی) وجود ندارد.

شما هنوز می‌توانید اپلیکیشن‌های تایید نشده را با کلیک راست کردن و انتخاب گزینه Open اجرا نمایید. علاوه بر این کاربران حرفه‌ای می‌توانند این نگهبان را از طریق ‌ترمینال خاموش کنند. اما این کار بدان معنی است که اکثر کاربران عادی اپل می‌توانند تنها نرم‌افزارهایی را اجرا کنند که امنیت آن‌ها توسط اپل تایید شده است.

این موضوع مانند آن است که تصویر کنید، iphone یا Mac شما یک خانه هستند و اپل تا جایی که می‌تواند راه‌های خروجی‌ آن‌ها را می‌پوشاند. بنابراین زمانی که شما نیاز دارید تا چیزی را به آن‌ها متصل کنید، این عمل اپل به عنوان یک مشکل دست و پاگیر به چشم می‌آید.

کاربرد HTTPS در تمام اپلیکیشن‌ها

اهمیت کابرد HTTPS بر کسی پوشیده نیست. از زمانی که این پروتکل در  iOS به کار برده شده است، هر اپلیکیشنی که قرار باشد به صفحات وب متصل شود باید از سال آینده حتما از پروتکل HTTPS استفاده نماید.

اپل سال گذشته App Transport Security را معرفی نمود. این نرم‌افزار بررسی خواهد کرد که آیا اپلیکیشن‌ها در زمان اتصال به وب سرویس‌ها از پروتکل رمزنگاری HTTPS استفاده می‌نمایند یا خیر. به همین دلیل بسیاری از توسعه‌دهندگان به منظور آن که روند کاریشان از سوی اپل مجاز و قانونی شمرده شوند به خواسته اجباری این شرکت تن دادند. دلیل  این که توسعه‌دهندگان با این درخواست موافقت کردند، این بود که از دید آن‌ها این یک خواسته کوچک از طرف اپل محسوب می‌شود. Ada, Grossam بنیانگذار اپلیکیشن محبوب هواشناسی Dark Sky در این باره می‌گوید: ما پروتکل HTTPS در همه جا به کار می‌گیریم. این که شرکت اپل توسعه‌دهندگان را مجبور به استفاده از این پروتکل مهم می‌کند، کار درستی است.

مسئله خوشحال کننده‌تر این است که شما تاثیر استفاده از این پروتکل را در کارها و استفاده روزانه خود از نرم‌افزارها متوجه نمی‌شوید. Grossman هم‌چنین افزود: این پروتکل نیاز به دست‌دهی (Handshake) اضافی در میان سرورها دارد و مقداری نیز بار اضافی برای cpu ایجاد می‌کند. اما در عمل، اگر نگوییم در تمام شرایط، اما می‌توان گفت در اکثر اوقات این موضوع مشکلی در عملکرد سرورها به وجود نخواهد آورد.

البته همان‌طور که گفته شد ممکن است در برخی اوقات مشکلاتی نیز به وجود آید، به خصوص در اپلیکیشن‌هایی که تمایلی به استفاده از این پروتکل ندارند.

Brad Wright مدیر اجرایی Phinware، که یک شرکت متخصص در زمینه تولید نرم‌افزار‌های موبایل است، در این باره می‌گوید: اپلیکیشن‌ها می‌توانند در زمان اجرا شدن هنگ کنند یا این که تبلیغاتی که در داخل این اپلیکیشن‌ها نمایش داده می‌شوند، با مشکل مواجه شوند. که هر دو مسئله می‌توانند برای کاربران ناراحت کننده باشند. اما احتمال این که چنین اتفاقاتی رخ دهد بسیار کم است. از طرف دیگر انجمن توسعه‌دهندگان نرم‌افزار زمانی کافی برای ایجاد تغییرات در اپلیکیشن‌های خود داشته‌اند.

امنیت در iOS

گفتی است که اپلیکیشن‌هایی که از HTTPS استفاده می‌نمایند معمولا هیچ علامت خاصی ندارند (مانند آیکن قفل سبز رنگی که در گوشه بالا و سمت چپ یک نوار آدرس مرورگر نسخه دسکتاپ دیده می‌شود) تا به کاربران اطلاع دهند که آیا ارتباط آن‌ها یک ارتباط امن است یا خیر. از تاریخ ۱ ژانویه ۲۰۱۷ تمام اپلیکیشن‌ها موظف به استفاده از این پروتکل خواهند بود. بنابراین دیگر نیازی نیست که شما شک کنید که آیا اپلیکشن شما از HTTPS استفاده می‌کند یا خیر.

سیستم مدیریت فایل

این که بخواهیم درباره یک سیستم مدیریت فایل تعریف کنیم، دشوار است. اما اگر قرار باشد چنین کاری انجام دهیم طبیعتا این سیستم، APFS، که همان سیستم جدید مدیریت فایل اپل است، خواهد بود. باید گفت که استقبال بسیار زیادی از این سیستم شده است. این سیستم در تمام پلتفرم‌های اپل کار می‌کند و هم از حافظه فلش و هم از حافظه SSD پثتیبانی می‌نماید. هم‌چنین به جای کپی کردن فایل‌ها آن را کلون (clone) می‌کند. (این امر موجب صرفه‌جویی بسیاری در خانه‌هایی حافظه می‌گردد.) مهم‌تر از همه این که این سیستم بسیار جدید است و تا سال آینده جایگزین سیستم فایل کنونی، که ۱۸ سال از عمر آن می‌گذرد، خواهد شد.

در بخش زیر سیستم APFS را به صورت اجمالی و فهرست وارد مورد بررسی قرار می‌دهیم که البته در این بررسی به تمام مسایل اصلی این سیستم اشاره شده است.

در حالی که رمزگذاری کامل دیسک (full-disk encryption) یکی از ویژگی‌های OS X از سال ۲۰۱۱ تاکنون بوده است، اما APFS به شما اجازه خواهد داد تا فایل‌ها را به وسیله تنها یک کلید رمزگذاری کنید (single-key encryption) یا به هیچ عنوان رمزگذاری نکنید (اما این کار پیشنهاد نمی‌شود.) این موضوع نه تنها از لحاظ امنیتی بسیار حائز اهمیت است بلکه از نقطه نظر سهولت در کار نیز بسیار مهم و ضروری است. Greg Norcie یکی از کارمندان مرکزDemocracy & Technology  در این باره می‌گوید: پیش از این اپل از رمزگذاری FileVault در نرم‌افزار خود استفاده می‌کرد. این کار به وسیله سیستم فایل انجام نمی‌شد. بلکه توسط سیستم‌عامل صورت می‌گرفت. به طور کلی، چنان‌چه شما قصد داشته باشید تا کاری را توسط نرم‌افزار انجام دهید سرعت آن کار به نسبت سرعت انجام آن عمل توسط سیستم فایل پایین‌تر است. اما این سیستم فایل جدید تلاش دارد تا همه چیز را به نحو احسنت انجام دهد.

این سیستم فایل جهت رمزگذاری خودش در بیشتر دستگاه‌ها از روش رمزگذاری AES-XTS استفاده می‌کند که Norcie نیز در مورد این سیستم می‌گوید: این روش رمزگذاری (AES-XTS) در بالاترین سطوح دولتی جهت حفاظت از اطلاعات فوق محرمانه استفاده می‌گردد.

سیستم APFS در ابتدای راه است. بنابراین هنوز نمی‌توان آن را مورد آزمایش قرار داد، مگر اینکه شما دقیقا از کاری که می‌کنید مطلع باشید. پس از این که توسعه این سیستم تا سال آینده به پایان رسید، شما می‌توانید به وسیله آن، امنیت سیستم خود را با جزییات بیشتری نسبت به هر سیستمی‌ که اپل تاکنون داشته است، تحت کنترل خود بگیرید.

کاملا قابل درک است که این ویژگی‌ها جزو مسایلی نخواهد بود که در کنفرانس WWDC اپل به خوبی مطرح شود. (که البته همین طور نیز بود.). در واقع می‌توان گفت مسولان برگزاری مراسم در مورد این موضوع کم توجهی کردند و آن‌ها به ‌اندازه  اصطلاح “حریم خصوصی متفاوت” (differential privacy) که در صحنه مراسم WWDC به عنوان یک چیز فوق العاده از آن یاد شد، فوق العاده نبودند.

 

0 پسندیده شده
کارشناس ارشد مهندسی نرم افزار از دانشگاه MMU / مدرس زبان سی شارپ / مدیر وب سایت نیازمندی های مندبالا / علاقمند به استارتاپ ها و کسب و کارهای نوپا. پ.ن : عضو گروه موسیقی فولکلور گیله لوی :) کانال من، معرفی سایتها و اپلیکیشن های خلاق : https://telegram.me/creative_web_app
از این نویسنده

بدون دیدگاه

جهت ارسال پیام و دیدگاه خود از طریق فرم زیر اقدام و موارد زیر را رعایت نمایید:
  • پر کردن موارد الزامی که با ستاره قرمز مشخص شده است اجباری است.
  • در صورتی که سوالی را در بخش دیدگاه مطرح کرده باشید در اولین فرصت به آن پاسخ داده خواهد شد.