آیا بیت‌لاکر واقعاً امن است؟ وقتی کلیدهای رمزنگاری به دست FBI می‌رسد

بیت‌لاکر (BitLocker) یک قابلیت امنیتی در ویندوز است که اطلاعات کامپیوتر شما را رمزنگاری می‌کند تا اگر دستگاه‌تان گم شد یا به دست فرد ناشناس افتاد، نتواند به محتویات آن دسترسی پیدا کند. این ابزار مانند یک گاوصندوق دیجیتال عمل می‌کند و فقط کسی که رمز یا «کلید بازیابی» را داشته باشد می‌تواند قفل سیستم را باز کند. اما چه می‌شود اگر همین قابلیت نجات‌بخش، درِ پشتی را برای ورود غریبه‌ها باز بگذارد؟

ماجرای تحویل کلیدها به پلیس چیست؟

نشریه‌ی فوربز (Forbes) در گزارشی اعلام کرد که شرکت مایکروسافت، کلیدهای بازیابی بیت‌لاکر را برای باز کردن قفل سه لپ‌تاپ توقیف‌شده کشف‌ورمزگشایی کرده و در اختیار پلیس فدرال آمریکا (FBI) قرار داده است. این لپ‌تاپ‌ها در جریان رسیدگی به یک پرونده‌ی بزرگ کلاه‌برداری مالی توقیف شده بودند. دریافت این کلیدها به ماموران قانون اجازه داد تا به تمام اطلاعات ذخیره‌شده روی سیستم‌ها دسترسی پیدا کنند. این نخستین باری است که خبر همکاری این غول فناوری برای تحویل کلیدهای رمزنگاری به نهادهای قانونی رسانه‌ای می‌شود.

راحتیِ دردسرساز: خطر ذخیره‌ی کلیدها در فضای ابری

قفل بیت‌لاکر با استفاده از یک رمز یا همان «کلید بازیابی» باز می‌شود که معمولاً روی خود دستگاهِ کاربر ذخیره شده است. اما مایکروسافت همیشه کاربران را تشویق می‌کند تا برای روز مبادا، یک نسخه‌ی پشتیبان (Backup) از این کلید را در فضای ابری (Cloud) ذخیره کنند.

می‌توان این موضوع را به سپردن کلید یدک خانه‌تان به نگهبان ساختمان تشبیه کرد. درست است که این نگهبان در صورت گم شدن کلید اصلی به شما کمک می‌کند، اما اگر شخص دیگری از او کلید را بخواهد چه؟ ذخیره‌ی کلیدها در فضای ابری، یک مسیر پنهانی ایجاد می‌کند که از طریق آن، نهادهای دولتی و حتی هکرهای حرفه‌ای می‌توانند داده‌های شخصی شما را به سرقت ببرند.

واکنش مایکروسافت: تصمیم با خود کاربران است!

یکی از سخن‌گویان این شرکت به نشریه‌ی فوربز توضیح داده که آن‌ها در مواقعی که نسخه‌ی پشتیبانِ کلیدها در فضای ابری ذخیره نشده باشد، قادر به همکاری با پلیس نیستند. او درباره‌ی سیاست‌های این شرکت چنین توضیح داد:

«با وجود این‌که قابلیت بازیابیِ کلیدها، کار کاربران را راحت می‌کند، اما خطر دسترسی‌های ناخواسته را هم بالا می‌برد. از این رو، ما باور داریم این خودِ مشتریان هستند که در بهترین موقعیت برای تصمیم‌گیری درباره‌ی نحوه‌ی مدیریت کلیدهایشان قرار دارند.»

بر اساس گزارش‌ها، مایکروسافت سالانه حدود ۲۰ درخواست قانونی مشابه برای دریافت کلیدهای بازیابی و بررسی اطلاعات دریافت می‌کند.

چرا کارشناسان امنیت سایبری نگران‌اند؟

فراتر از ماجرای این پرونده‌ی خاص، انتشار خبرِ دسترسیِ سازمانی به اطلاعات کاربران، زنگ خطر بزرگی را در جامعه‌ی امنیت سایبری به صدا درآورده است. متیو گرین، کارشناس برجسته‌ی رمزنگاری در دانشگاه جانز هاپکینز، نگرانی‌های عمیق خود را درباره‌ی سهولت دسترسیِ نهادهای دولتی به این کلیدهای حساس ابراز کرد. او در پیام‌های خود به نکات بسیار مهمی اشاره کرده است:

خطر نفوذ هکرها: هر کسی که بتواند به سرورهای ابری مایکروسافت یا بخش پشتیبانی مشتریان آن‌ها نفوذ کند، می‌تواند به تک‌تک آن کلیدها و در نتیجه اطلاعات شخصی کاربران دسترسی داشته باشد.
سوءاستفاده با درخواست‌های جعلی: متخلفان می‌توانند با ساختن نامه‌ها و درخواست‌های قانونیِ جعلی اما متقاعدکننده، کلیدهای رمزنگاری را با فریب از شرکت‌ها دریافت کنند.
از بین رفتن اعتماد متقابل: در گذشته شاید می‌شد به این پرسش پاسخ مثبت داد که سازمان‌ها همیشه در چارچوب قانون عمل می‌کنند، اما امروزه نمی‌توان با قاطعیت چنین حرفی زد. اگر قرار باشد برای حفظ امنیت فایل‌های حساس، چشم‌بسته به بیت‌لاکر اعتماد کنیم، باید همیشه منتظر یک غافل‌گیری ناخوشایند باشیم.

در نهایت باید به یاد داشته باشیم که در دنیای دیجیتال، راحتیِ بیشتر اغلب به قیمت کاهش امنیت تمام می‌شود. اگر اطلاعات بسیار حساس و مهمی روی سیستم خود دارید، بهتر است کلیدِ گاوصندوق دیجیتال‌تان را فقط پیش خودتان نگه دارید و به فضاهای ابری اعتماد نکنید.

حکایت‌های کوتاه، حقیقت‌های بزرگ

در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.