همه
چیز از گزارش نابغه فناوری فراری امریکا شروع شد سایت اینترسپت با انتشار
گزارشی تازه از ادوارد اسنودن پیمانکار سابق سازمان امنیت ملی امریکا (NSA)
از همکاری آژانسهای امنیت ملی امریکا و بریتانیا در هک کردن سیم کارتهای
شرکت Gemalto از سال 2010 تاکنون پرده برداشت.
انتشار گزارشی با
تیتر «جاسوسی امریکا و انگلیس از سیمکارتهای ایرانسل»، در یکی از
خبرگزاری های داخلی در چند روز گذشته، با واکنش گسترده کاربران این اپراتور
و حتی نمایندگان مردم در مجلس روبهرو شد و سؤالهای متعددی در ذهن
شهروندان ایجاد شد.
آیا براستی ماجرایی که شنود سیمکارتهای این
اپراتور توسط سازمانهای جاسوسی خارجی در ایران، آن هم به صورت گسترده،
امکانپذیر است؟ آیا تاکنون مکالمات هیچ یک از کاربران ایران مورد شنود قرار
گرفته یا اطلاعات آنها به سرقت رفته است؟
ماجرایی که ادوارد اسنودن کلید زد
همه
چیز از گزارش نابغه فناوری فراری امریکا شروع شد سایت اینترسپت با انتشار
گزارشی تازه از ادوارد اسنودن پیمانکار سابق سازمان امنیت ملی امریکا (NSA)
از همکاری آژانسهای امنیت ملی امریکا و بریتانیا در هک کردن سیم کارتهای
شرکت Gemalto از سال 2010 تاکنون پرده برداشت.
در گزارش اسنودن
آمده است آژانسهای امنیت ملی امریکا و بریتانیا یعنی(NSA) و GCHQ، با رسوخ
به شبکه داخلی رایانهای Gemalto، اطلاعات کدها و کلیدهای رمزگذاری شده را
سرقت کرده و موفق به استراق سمع گوشیهایی با سیم کارتهای این شرکت، در
سراسر جهان شدهاند.
برخی نیز عنوان میکنند GCHQ با وارد کردن
بدافزارهایی به رایانههای مختلف شبکه داخلی شرکت Gemalto، دسترسی به
اطلاعات را برای این آژانس امکانپذیر کرده است.
این شرکت فرانسوی-
هلندی یکی از بزرگترین و مشهورترین تولیدکنندگان تراشههای هوشمند برای
تلفنهای همراه، کارتهای بانکی و پاسپورتهای بیومتریک در سراسر جهان است و
مؤسسات مالی و اعتباری سراسر جهان، دولت هلند و شرکتهایی همچون وودافون،
AT&T, T-Mobile, Verizon, Sprint در میان مشتریان آن دیده میشود.
این
شرکت با درآمد سالانه بیش از 2میلیارد یورو در 85کشور جهان فعالیت میکند و
بیشتر اپراتورهای کوچک و بزرگ جهان، سیمکارتهای خود را از طریق این شرکت
تأمین میکنند. به دنبال انتشار این خبر توسط اینترسپت، سایت Forbes نیز
در مقالهای مفصل به تحلیل این ماجرا پرداخت و در بخشی از مطلب خود از MTN
Irancell به عنوان یکی از مشتریان شرکت Gemalto یاد کرد و اذعان داشت که
حریم شخصی کاربران این اپراتور ممکن است در معرض خطر باشد که البته این
موضوع نگرانیهایی را در بین مردم ایجاد کرد.
رمزگذاری سیمکارتها در داخل
آرش
کریمبیگی مدیر روابط عمومی اپراتور دوم درباره گزارش اینترسپت و همچنین
خبری که در یکی از خبرگزاریها منتشر شده است به روزنامه ایران گفت: شرکت
Gemalto از سال 2007 تاکنون، یکی از تأمینکنندگان سیمکارت این اپراتور
تلفن همراه بوده است.
هرچند از شرکتهای دیگر نیز خرید داشتهایم
اما نکته اینجاست که فرآیند خرید این سیمکارتها ویژه بوده است؛ به این
صورت که ایرانسل در این خرید، تنها چیپست سیمکارت (سیمکارت خام) را
خریداری میکند و کلیدهای رمز (ki) مربوط به همه این سیمکارتها در ایران و
توسط یک شرکت ایرانی تعیین و روی سیمکارت ثبت میشود. به بیان دیگر، از
آنجا که این شناساگرهای رمزنگاری شده در داخل ایران برنامهریزی میشوند،
عملاً چیزی در آن سوی مرزها وجود ندارد تا سازمانهای جاسوسی امریکا و
بریتانیا بتوانند با استفاده از آن، از کاربران ایرانی شنود کنند.
البته
ایرانسل، تنها اپراتور تلفن همراه کشور نیست و سعید عسکری، مدیر ارتباطات
اپراتور همراه اول نیز در مصاحبه با یکی از سایتها دراین باره گفته است که
همراه اول، هماکنون سیم کارتهای خود را از دو شرکت داخلی خریداری میکند
و پیش از این نیز هرگز به طور مستقیم از Gemalto خریدنکرد.
به
هرحال موضوع اینجاست که همراه اول به احتمال زیاد در سالهای گذشته، از
طریق شرکتهای واسطه، سیم کارتهایی را از Gemalto خریداری کرده است. حال
مشخص نیست که کلیدهای رمز (ki) مربوط به این سیم کارتها توسط Gemalto
تولید شدهاند یا همراه اول نیز مانند ایرانسل، تعیین و ثبت کدهای رمزنگاری
شده را در داخل ایران انجام داده است.
چرا پای اپراتور دوم به میان آمد؟
اپراتورهای
تلفن همراه چه تعداد سیمکارت از این شرکت خریداری کرده اند؟ دراین باره
یک منبع آگاه در شرکت Gemalto با بیان آمار فروش سیمکارتهای این شرکت به
اپراتورهای تلفن همراه ایران به روزنامه ایران گفت: در سال 2014 اپراتور
همراه اولد(MCI) حدود 9میلیون سیمکارت از این شرکت خریداری کرده است که
این رقم در سال 2013 نیز 11میلیون سیمکارت بوده است. به گفته این منبع
آگاه، خرید این اپراتور در سالهای 2011 و 2012 نیز در مجموع 20میلیون
سیمکارت بوده است.
همچنین به گفته این منبع آگاه اپراتور رایتل نیز در سال 2014 حدود یک میلیون سیمکارت از شرکت Gemalto خریداری کرده است.
اما
سؤال این است در صنعتی که همه اپراتورهای تلفن همراه کشور از شرکت Gemalto
خرید داشتهاند چرا تنها نام اپراتور دوم پررنگ شده تا جایی که در گزارش
اینترسپت هم نام ایرانسل آمد و خبرگزاریهای داخلی نیز به آن دامن زدند؟
یک
منبع آگاه در این باره گفت: در گزارش اینترسپت کلمه اپراتورهای ایرانی
آمده ولی تنها نام ایرانسل آورده شده است چون فقط ایرانسل است که به طور
مستقیم از این شرکت چیپست خریداری میکند و اسنادش نیز موجود است ولی بقیه
اپراتورها، این سیمکارتها را به صورت واسطهای توسط برخی شرکتهای
وابسته به نهادهای خاص خریداری میکنند و به همین دلیل نام این اپراتورها
در اسناد وجود نداشته است که بخواهد نامی از آنها برده شود.
شرایط شنود مکالمات تلفنی
با
شنیدن خبر هک سیمکارتها و شنود آنها این سؤال برای بسیاری از کاربران
نیز مطرح شد که اصولاً شنود مکالمات تلفنی چگونه انجام میشود و چه شرایطی
باید فراهم باشد. منابع آگاه در این زمینه نیز میگویند: شنود مکالمات
تلفنی، شرایط ویژه خود را میطلبد و تنها با در اختیار داشتن کلید رمز
(ki)، نمیتوان در این کار موفق بود. برای شنود مکالمات تلفنی غیر از
دراختیار داشتن کلید رمز، باید به شبکه زیرساخت و transmission هم دسترسی
داشته باشند؛ پس کسی که در امریکا یا بریتانیا ساکن است و به شبکه زیرساخت
ایران دسترسی ندارد، نمیتواند این شنود را انجام دهد.
تاکنون شنودی بوده؟
منابع
آگاه در این زمینه میگویند: متولی تأمین امنیت شبکههای ارتباطی،
سیستمهای امنیتی کشورها هستند و اپراتورها تنها ملزم هستند که براساس اصول
پروانه رگولاتوری، سطح امنیتی را که سیستم امنیتی برای آنها تعیین کرده
است ایجاد کنند؛ به بیان دیگر اپراتورها قفلساز نیستند که امنترین قفل
جهان را تولید کنند ولی وظایف خود را بدرستی انجام میدهند.
این
موضوع را در قالب مثالی نیز میتوان بیان کرد، فرض کنید شهرداری خیابانها
را به عنوان زیرساخت میسازد ولی اینکه در این خیابان تروریست یا آدمهای
عادی تردد کنند به شهرداری ربطی ندارد و امنیت این خیابانها را تنها پلیس
است که میتواند تأیید کند.