از همون اول هم تلگرام خوب نبود؛ وقتی که دید استقبال خوبی داره ازش میشه ، شروع کرد به کار کردن روی قابلیت های جدید ، و واقعا میتونم بگم نو آوری های خیلی خوبی هم ارائه کرد ، تا الان که تقریبا کمتر کسی رو میشه پیدا کرد که اسم تلگرام نشنیده باشه !
البته مشخصه همون اول هم روی بحث امنیت به خوبی کار کرده بودند، البته بگذریم از گندی که توی نرم افزار دیسکتاب زده بود و کد تایید هویت رو هم لاگ می گرفت. می خوام بگم همچین تلگرام هم مقدس نیست و باگ داشته و داره و خواهد داشت. مساله اصلی وجود باگ نیست ، سورش هم باگ های خنده داری داره و داشته و خواهد داشت. اصل مساله جای دیگه ای است.
حالا بگذریم که چقدر تو سطح تفکر سازنده های این دو نرم افزار تفاوت وجود داره ، که فکر میکنم به خوبی هم مشهود باشه ، ولی اگر مشخص نیست ، بذارید یکی دو مورد رو بگم
خنده دار تر از این نیست که توی قرن 21 ، نرم افزاری که اطلاعات حساس کاربری رو تبادل میکنه از http استفاده کنه ، بله درسته سروش الان از https استفاده میکنه ، ولی در دی ماه 1396 که تلگرام بسته شد ، سروش از http استفاده می کرد، به شخصه وقتی http رو در آدرس پیام رسان سروش دیدم ، حتی وارد صفحه اش هم نشدم ، چه برسه که بخوام ازش استفاده هم بکنم ، و بسیار جای فکر داره که حتی الفبای امنیت توسط این پیام رسان نادیده گرفته شده ، الان چطور ادعای تامین امنیت رو داره ، حتی شک دارم چیزی از امنیت بدانند. بگذریم.
از دیگر شاهکار های تیم سروش ، استفاده از شماره تماس به عنوان شناسه یونیک در سطح API هست، این اتفاقات هست که میگم حتی نمی فهمند امنیت چیست ، در ضمن آقای میلاد نوری هکر کلاه سفید بود و نقص رو بهتون نشون داد ، هکر های کلاه سیاه باگ رو رو نمی کنن و ازش استفاده خواهند کرد. یعنی میخوام اشاره کنم ، خدا میدونه چقدر دیگه از این باگ های خوف انگیز خنده دار داره.
یکی دیگه از شاهکار های تیم سروش ، عدم پیش بینی ظرفیت مورد نیاز است ، وقتی که توی دی ماه تلگرام بسته شد و تقریبا 80 درصد افراد از فیلتر شکن استفاده می کردند ، 20 درصد درست کار همیشه همراه که رفتن سراغ سروش ، کلا سرویس سروش از دسترس خارج شد ، شاید این خنده دار نباشه ، و بشه گذاشت پای بی تجربگی ، اما اصلا قابل پذیرش نیست ماه ها بعد با خبر فیلتر شدن تلگرام دوباره سرویسشون بخواد از دسترس خارج بشه ! اینو دیگه خودتون تفسیر کنید...
خوب تلگرام از همون اول از MTProto برای رمز کردن پیام ها استفاده می کرد ، MTProto یه الگوریتم من در اوردی است که توسط برادر پاول درف طراحی شده و بر اساس AES و RES هست و جایزه میلیون دلاری برای شکستنش تعیین کردند ! خوب ظاهرا تا حالا کسی جایزه رو نبرده ، حالا یا کسی تلاشی نکرده یا جایزه کم تر از اون چیزی بوده که اطلاعات ارزشش رو دارن!
اما سروش چی ؟ ، هیچی حتی یه TLS ساده هم نداره ، یعنی به سادگی هرچه تمام تر هرکسی ترافیک شما رو شنود کنه ، چت های شما رو هم شنود میکنه !
ممکنه با خودتون بگید ، من که چیزی نمیگم و یا کاری نمی کنم که بخواد اطلاعاتم لو بره و ناراحت بشم ، خوب به شخصه با این تفکر خیلی مشکل دارم ، ولی فرض میکنم مشکل ندارم، اوکی ! ، اما آیا میدونید توی سروش می تونید تراکنش های مالی انجام بدید ؟ ، خوب حالا بازم این حرفو میزنید ؟ ، اگه یه روز صبح بهاری پیامکی دریافت کنید که حسابتون خالی شده بازم این حرف رو می زنید ؟!
خوب حالا فرض کنید چشممون رو همه اینا ببندیم و فرض کنیم سروش انتهای امنیت و سرعت ، اون موقع چی ، اون موقع میشه بهش اعتماد کرد ؟
خوب بذارید قبل از جواب به این سوال چند تا نکته رو مطرح کنم ! ، اول این پست رو یه نگاهی بندازید و در ضمن دی ماه 1396 ، نشون داد که هیچ مرزی برای برای ورود به حریم شخصی وجود نداره ، چطور؟
پیام های ارسالی از سوی تلگرام که کد احراز هویت رو ارسال می کرد توسط شرکت مخابرات ایران و ایرانسل و ... فیلتر شد ، یا وقتی خبر انتشار نسخه ای از تلگرام که فیلترینگ رو در روسیه دور میزد ، منتشر شد ، نسخه مذکور در گوگل پلی موجود بود ولی مارکت های ایرانی نسخه موجود روی سایتشون رو حتی دانگرید کردند!
امروز خبری خوندم در رابطه با این که اکانت ایمیل و تلگرام عده ای از جمعیت امام علی هک شده که ظاهرا ورود دو مرحله ای هم داشته اند ، خوب چطور ممکن است جز استفاده از رخته امنیتی SS7 که نیاز به تجهیزات بسیار گران قیمت دارد یا همکاری نهادی که پیامک ها رو رصد می کند ؟ - حالا قضاوت با خودتون اگر این اتفاق واقعا افتاده باشه ، کدوم راه طی شده ؟
الان میتونم با خیال راحت به سوال قبل جواب بدم و بگم ، خیییییر ، قابل اعتماد نیست ! ، نه این ذاتن نباشه ، ولی شرایط جوری هست که که نیست :|
تنها یک نامه از یک ارگان خاص کافیه که اطلاعات دیگه محرمانه نباشه یا باشه :/