امنیت در باهمستان آزادی
2025-11-19
مقدمه
از ابتدای راهاندازی باهمستان آزادی، موضوع امنیت یکی از دغدغههای اصلی تیم اجرایی و اعضای باهمستان بوده است. در این نوشته به جنبههای مختلف بحث امنیت میپردازیم. نسخه اولیهای در این باره، بیش از دو سال پیش در این رشته توییت ارائه شد. اصل بنیادین امنیتی در طراحی باهمستان آزادی این است:
«حتی اگر کل اطلاعات باهمستان بهدست جمهوری اسلامی بیفتد، کنشگران ناشناس باهمستان نباید قابل شناسایی باشند.»
محورهایی که در این نوشته بررسی میکنیم چنین است:
۱) خطرات احتمالی عضویت در باهمستان آزادی
۲) اتصال از ایران و خطر شناسایی از طریق آدرس شبکه
۳) هک شدن کل سامانه (یا چرا اعتماد زیاد به تیم اجرایی لازم نیست!)
۴) خطر نفوذ عوامل ج.ا. در باهمستان
۵) ناشناس ماندن شرکتکنندگان در نظرسنجیها
۱) خطرات احتمالی عضویت در باهمستان آزادی
مبنای عضویت در باهمستان آزادی، باور به گذار از جمهوری اسلامی به یک دموکراسی سکولار است. طبیعیست که قبول این اصل به تنهایی میتواند در حکومتی مانند ج.ا. جرم تلقی شود. بنابراین طراحی باهمستان بهشکلی است که بتوان بهشکل ناشناس در آن فعالیت کرد و حتی گردانندگان باهمستان هم امکان یافتن هویت کاربران ناشناس را نداشته باشند. برای عضویت بدون دعوت، داشتن یک آدرس جیمیل کافیست. طبیعیست که برای ناشناس ماندن، شناسه این آدرس نباید هیچ نسبتی با هویت شخص داشته باشد.
اعضای غیر مدعو از بعضی از امکانات، از جمله شرکت در تصمیمگیریها محروم اند. این محدودیت برای ایجاد توازن بین سادگی عضویت و مقابله با حملات لشکر سایبری است. اما حتی برای اعضای مدعو، هویت هر عضو، تنها برای دعوتکننده و دعوتشدگان او مشخص است. بنابراین خطر اصلی زمانی است که حساب کاربری یک نفر به دست حکومت بیفتد. در این حالت دامنه آسیب به دعوتکننده و دعوتشوندگان آن فرد محدود است (تصویر).
خطر احتمالی دیگر، شناسایی اعضا توسط ج.ا. با رصد کردن ترافیک شبکه ایشان است که در ادامه به آن میپردازیم.
یادآوری: در رویکرد جدید باهمستان آزادی، از بهار ۱۴۰۴ به بعد، نیاز به ضبط «صدا امضا» برای اعضای مدعو اختیاری است. علاوه بر این، همانطور که در اینجا توضیح داده شده، پیدا کردن هویت یک شخص تنها با صدای او آسان نیست.
۲) اتصال از ایران و خطر شناسایی از طریق آدرس شبکه
روش دیگری که ممکن است با آن بتوان اعضای باهمستان داخل ایران را شناسایی کرد، از طریق بررسی ترافیک شبکه است. در این روش، ترافیک فراهمکننده خدمات اینترنت (ISP) در ایران توسط ج.ا. رصد میشود. دسترسی به باهمستان یعنی دامنه azadinet.app تنها از طریق پروتکل https ممکن است، بنابراین محتوای ارتباط قابل رصد کردن نیست. تنها اطلاعی که میتوان بهدست آورد، این است که کاربر به دامنه azadinet.app سر زده است.
پیش فرض ما این است که اعضای باهمستان باید در برابر خطر شناسایی محافظت شوند. مثلا ج.ا. ممکن است به یکی از اعضا که زیاد به این دامنه مراجعه میکند مظنون شود. بنابراین، هرچند دسترسی به قسمتهای عمومی باهمستان از داخل ایران باز است، دسترسی به بخش اعضا و نظرسنجیهای باهمستان، از آدرسهای شبکه داخل ایران بسته است و تنها با فیلترشکن (ویپیان) ممکن است. در نتیجه، تنها با رصد ترافیک خروجی از ایران، نمیتوان تشخیص داد که چه کسی عضو باهمستان است یا در نظرسنجیهای آن شرکت کرده است (تصویر).
مهم: توجه کنید که فرض بر این است که ج.ا. به کارگزار فیلترشکن دسترسی ندارد؛ نباید از فیلترشکن ناامن برای اتصال به بخش اعضای باهمستان استفاده کرد.
۳) هک شدن کل سامانه
تیم اجرایی باهمستان آزادی در خارج از ایران مستقر است و زیرساخت سختافزاری آن نیز بر پایه خدمات ابری (cloud) شرکتهای بزرگ فناوریِ خارج از ایران بنا شده است. با وجود تدابیر امنیتی، خطر نفوذ یا حملات سایبری هرگز به صفر نمیرسد. در واقع، حتی شرکتهای بزرگ فناوری در جهان نیز در گذشته هدف حملات پیشرفته قرار گرفته و بخشی از سامانههایشان دچار رخنه شده است. بههمین دلیل، طراحی باهمستان براساس همان اصل بنیادینِ مطرحشده در مقدمه است: حتی در صورت دستیابی کامل به دادهها، شناسایی کنشگرانِ ناشناس نباید ممکن شود. یک هدف دیگر این اصل این است که نیازی به اعتماد زیاد به تیم اجرایی نباشد. یعنی، حتی اگر کسی به کل اطلاعات باهمستان دسترسی داشته باشد (خواه ج.ا. خواه عضوی از تیم اجرایی) نباید بتواند با اطلاعات موجود، هویت اعضای ناشناس را شناسایی کنند. یک مرور دوباره کنیم که چرا چنین است:
- عضو ناشناس، با آدرس جیمیل ناشناس عضو میشود، بنابراین از روی آدرس ایمیل نمیتوان او را شناسایی کرد.
- چون دسترسی مستقیم (بدون ویپیان) به بخش اعضا از داخل ایران ممکن نیست، بنابراین آدرس شبکه مربوط به ایران، در هنگام دسترسی اعضای داخل ایران به باهمستان، موجود نیست. یعنی حتی اگر ج.ا. به همه لاگ (log) کارگزار باهمستان هم دسترسی داشته باشد، از روی آدرسهای شبکه نمیتواند اعضای داخل ایران را شناسایی کند.
۴) خطر نفوذ عوامل ج.ا. در باهمستان
خطر دیگری که باهمستان آزادی را تهدید میکند، نفوذ لشکر سایبری ج.ا. در آن است. این خطر مخصوصا در مورد اعضای مدعو که روی تصمیمها تاثیر بیشتری دارند، مهم است (بهدلیل سازوکار دموکراتیک تصمیمگیری). برای مقابله با این نفوذ، حداقل سه رویکرد وجود دارد:
- بررسی الگوی دسترسی اعضا: اگر حساب کاربری یک عضو مدعو به دست لشکر سایبری بیفتد، احتمالا الگوی دسترسی (آدرس شبکه و …) تغییر میکند.
- بررسی الگوی دعوت: برای تاثیر روی سازوکار تصمیمگیری در باهمستان، لازم است که از طریق گره آلوده، تعداد زیادی از لشکر سایبری به باهمستان «دعوت» شوند. این تغییر الگوی دعوت هم تا حدودی قابل شناسایی خودکار است.
- هویت شورای مرکزی: سازوکار تصمیمگیری در باهمستان، مبتنی بر ساختار نمایندگی در حلقهها و نهایتا شورای مرکزی است. برای مقابله با نفوذ ج.ا. هویت اعضای شورای مرکزی باید مشخص باشد. در این مورد در یکی از پستهای آینده وبنوشت باهمستان، بیشتر صحبت خواهیم کرد.
۵) ناشناس ماندن شرکت کنندگان در نظرسنجیها
با توجه به اهداف باهمستان آزادی و محتوای نظرسنجیها، پاسخهایی که کاربران به نظرسنجیها میدهند، میتواند از نظر امنیتی، مخاطراتی داشته باشد؛ مثلا اگر به هر دلیلی، هویت یکی از اعضای داخل ایران فاش شود و ج.ا. به زیرساخت باهمستان هم رخنه کرده باشد، پاسخ آن شخص به نظرسنجیهای قبلی میتواند مشکلاتی برای او ایجاد کند. بههمین دلیل، و برای امنیت بیشتر، پاسخها به شناسه افراد منتسب نمیشود. به بیان کمی فنیتر، برای نگهداری پاسخها، دو جدول (table) مجزا وجود دارد، یکی مشارکت کردن یک نفر در نظرسنجی را ثبت میکند (برای جلوگیری از پاسخ تکراری) و دیگری پاسخها را بدون ثبت شناسه ثبت میکند.
در نهایت، امنیت در باهمستان آزادی نه به معنای حذف کامل خطر، بلکه به معنای طراحی محتاطانهای است که حتی در بدترین سناریوها نیز از آسیب به افراد جلوگیری کند. همانگونه که در «اصل بنیادین» طراحی باهمستان آمده است، هدف این نیست که به تیم اجرایی یا زیرساخت، اعتماد مطلق شود، بلکه ساختار بهگونهای طراحی شده که هیچ فرد یا نهادی (حتی در صورت دسترسی کامل به دادهها) نتواند هویت کنشگران ناشناس را شناسایی کند. با تداوم توسعه و بازبینی امنیتی، تیم اجرایی متعهد است این اصل را در همهی لایههای فنی و سازمانی حفظ کند.
یادآوری
اگر عضو باهمستان اید، برای بحث در مورد این نوشته، میتوانید از این موضوع گفتگوکده استفاده کنید. اگر عضو نیستید، میتوانید بدون دعوت، با یک آدرس جیمیل و با قبول شرایط عضویت از طریق این لینک عضو شوید.