در سه قسمت قبل در مورد کاربران اینترنت و تاریخچه اینترنت ، توزیع اینترنت و سرعت آن و سازمان‌ها و نهادهای مرتبط با اینترنت توضیح دادیم٬ و در قسمت چهارم (و پایانی) این پرونده برای این اینترنت مظلوم به بخش فیلترینگ رسیدیم که به طور کامل آن را تشریح کنیم٬ این قسمت با همکاری دوست خوبم بهادر جهانی حاصل می‌شود.

سیستم فیلترینگ در ایران مخلوطی از قوانین قضایی، کنترل فیزیکی بر روی مسیرهایی که ترافیک اینترنت از راه آن‎ها از ایران خارج می‌شود و جایگاه نه چندان خوب بخش ارتباطات ایران در نگاه فروشندگان بین‌المللی تجهیزات مخابراتی است. نکته روشن این است که در طی سال‌های گذشته، بارها ثابت شده که چگونه با روش‌هایی بسیار ساده، امکان دسترسی به محتوایی که در ایران مسدود بوده، وجود داشته است. البته باید این نکته را در نظر داشت که سانسور اینترنت برای جلوگیری از دسترسی کاربران حرفه‌ای به محتوای مسدود شده نیست زیرا هدف اصلی آن ایجاد مشکلاتی برای کاربرانی است که نه فنی هستند و نه آنقدرها با انگیزه که از فیلترنت عبور کنند. به همین دلیل، افسانه فیلترنت، ساختاری ساده از مجموعه‌ای از ابزارهای استاندارد شبکه است تا آن چیزی که در مورد آن گفته و ادعا می‌شود. خود این مسئله نیز به سه دسته اصلی فیلترینگ و اختلال و دزدی اطلاعات طبقه بندی می‌شود.

دسته اول– فیلترینگ٬ که روزانه محتوای وب در ایران از راه یکی از چهار روش و یا مجموعه‌ای از آن‎ها انجام می‌شود که می‌تواند از سوی شرکت‌های ارایه دهنده خدمات اینترنتی (ISP- آی‌اس‌پی) و یا شرکت مخابرات ایران که کنترل زیرساخت‌های شبکه در کشور را برعهده دارد، باشد.

مسدود کردن بر اساس کلمات کلیدی

یک سری از آدرس‌ها بر اساس محتوای متن URL فیلتر می‌شوند٬ مثلاً شما اگر در آدرس سایت خود واژه sex را بیاورید با صفحه فیلترینگ مواجه خواهید شد. این روند در موتورهای جستجو نظیر گوگل هم مشخص می‌شود چرا که آدرس دهی به صورت زیر می‌باشد

http://www.google.com/search?q=keyword

و keyword مورد نظر بخشی از URL ما می‌باشد.

این روش به طور کلی آن آدرس را صرف نظر از محتوایش فیلتر می‌کند، به طور مثال اگر مقاله‌ی پزشکی در مورد مطالب جنسی در صفحه‌ای منتشر شده باشد یا حتی اگر در فرم عضویت سایتی جنسیت (sex) شما مورد سؤال واقع شود هم از این قاعده مستثنی نیستند. که البته در این صورت مسئول سایت طی مکاتباتی با مرکز فیلترینگ امکان خارج شدن سایت خود از حالت فیلتر خواهد داشت.

مسدود کردن بر اساس آدرس سایت

این روش قدیمی‌ترین  شکل فیلترینگ ایران به شمار می‌رود که نام دامنه x.com فیلتر می‌شود و نوع فیلترینگ هم همانند کلمات کلیدی خواهد بود یعنی اگر در گوگل هم آدرس سایت را سرچ کنید باز هم صفحه فیلتر را مشاهده خواهید کرد. البته این متد احتمالاً همانند Regex خواهد بود و دستورات خاص دارد مثل فقط دامنه x.com یا همه قسمت‌های دامنه *.x.com که شامل همه قسمت‌ها شود.

یکی از راه‌هایی که سایت‌ها بعد از فیلتر شدن انجام می‌دادند استفاده از (sub domain) یا زیر دامنه‌هایشان بود بدین شکل که اگر سایت x.com فیلتر شد، از این پس با آدرس جدیدی به شکل sub.x.com در دسترس خواهد بود. البته برخی از سایت‌ها به طور کلی دامنه‌ای جدید با نام‌هایی مانند x112.com یا x113.com و به همین ترتیب ثبت می‌کردند، امری که هنوز در بین سایت‌های دریافت موزیک و فیلم مرسوم است.

normal

filter

مسدود سازی بر اساس IP

هر سایتی برای خود یک آیپی دارد، به طور مثال آیپی سایت ایسنا، 164.138.23.8 می‌باشد که اگر همین آدرس آیپی را در مرورگر خود وارد کنید سایت ایسنا را مشاهده خواهید کرد. در این روش نیز آی‌پی سایت مورد نظر نیز فیلتر می‌گردد تا کاربران از طریق وارد کردن مستقیم آدرس آی‌پی یا از طریق پروتوکل اس‌اس‌ال دسترسی به سایت پیدا نکنند.

پینگ از فیسبوک

در کشور ما سایت فیسبوک، از طریق مسدود سازی بر اساس آیپی هم فیلتر شده است، شایان ذکر است که در ایران از روش‌های مختلفی آدرس وب‌سایت‌های فیلتر شده به صفحه‌ی پیوندها و یا همان آدرس آیپی 10.10.34.34 ریدایرکت می‌گردند.

مسدود سازی بر اساس DNS

 یکی از روش‌های فیلترینگ اختلال یا مسدود سازی DNS است، به زبان ساده‌تر کار دی اِن اِس تبدیل نام دامنه به آدرس آیپی و بالعکس را انجام می‌دهد (که در بالا توضیح داده شد). فرض کنید شما در مرورگر خود آدرس Facebook.com را وارد می‌کنید، این درخواست تبدیل به درخواست آدرس آیپی می‌گردد، در بازگشت آدرس آیپی به شما پاسخ داده و دوباره عملیات تبدیل آدرس آیپی به نام دامنه صورت می‌گیرد و شما سایت را مشاهده می‌کنید.

اما در حالت فیلتر بودن سایت، درخواست شما توسط مانیتورینگ موجود بررسی شده بدین شکل که شما آدرس Facebook.com را وارد می‌کنید و مانیتورینگ آدرس این سایت را شامل لیست سیاه تشخیص می‌دهد و به شما آدرس آیپی 10.10.34.34 را برمی‌گرداند و شما صفحه‌ی پیوندها را مشاهده می‌کنید. یا اینکه دی‌ان‌اس به شما هیچ آی‌پی خاصی را برنمی‌گرداند؛ تا درخواست شما Time Out شود.

dnsinterception

دسته دوم– اختلال

بستن پورت

هر ارتباطی در وب مبتنی بر پورت می‌باشد، هنگامی که شما به وب‌سایت پارسیش از طریق مرورگر خود وارد می‌شوید از پورت 80 استفاده می‌کنید. بستن پورت در ایران به راحتی همانند اضافه کردن یک فیلتر رول به دیواره آتش انجام می‌گردد و تا کنون موارد متعددی نظیر بسته شدن پورت ۲۱ (اف‌تی‌پی)٬ ۴۴۳ (اس‌اس‌ال) و پورت‌های فیلترشکن‌های مختلف دیده شده است. در لیست زیر تعدادی از پورت‌ها و سرویس‌های مربوط به آن را خواهید دید:

  • پورت 80، 8080، 8081 برای وب
  • پورت 443 برای اِس‌اِس‌اِل (SSL)
  • پورت 21 برای اِف‌تی‌پی (FTP)
  • پورت 22 برای اِس‌اِس‌اِچ (SSH)
  • پورت 1194 برای اُپن وی‌پی‌اِن
  • و …

برای دیدن لیستی از پورت‌ها و کاربرد آن‌ها می‌توانید به این آدرس مراجعه کنید.

بستن port

بستن فرمت فایل‌ها

در ۱۳ مهر ۱۳۹۱ فرمت فایل‌های mp3، mp4، flv و swf که در خارج از ایران میزبانی می‌شدند فیلتر بودند و برای سایت‌هایی که در داخل میزبانی می‌شدند مشکلی نداشت! و شما برای دریافت هر گونه فایل صوتی–تصویری باید فیلترینگ را دور می‌زدید!

دراپ کردن پکت‌ها

در ۱۴ اردیبهشت ماه سال ۱۳۹۲ در طی یک حرکت جالب٬ پکت‌های ارسالی از طرف هر ابزاری (ابزار عبور از فیلترینگ یا حتی کنسول بازی) شناسایی و دراپ می‌شدند٬ به این معنی که شما تا یک یا دو دقیقه اینترنت بی فیلتر داشتید بعد از آن دوباره دستور کانکشن ریست به سمت شما ارسال می‌شد. اگر بخواهیم روان‌تر در این مورد توضیح بدیم٬ همه‌ی پکت‌های ارسالی که شامل بین شما و سرور واسط هم می‌شود بررسی می‌شود و اگر نوع این پکت‌ها طبق الگو نباشد یا جزو لیست سیاه باشد این پکت‌ها به مقصد نخواهند رسید و جلوی ترافیک تبادل شده شما گرفته می‌شود و درست این زمان است که با TimeOut مواجه خواهید شد و بعد از چند مدت کانکشن شما ریست خواهد شد تا به حالت عادی برگردید. قابل ذکر است که این محدودیت تا اول تیر ماه ادامه داشت.

مسدود کردن VPNها

قبل از بررسی این شکل از مسدود سازی لازم دیدیم که یک توضیح اجمالی از ماهیت VPN و روند کار آن بنویسیم.

وی پی اِن یکی از راه‌های تانلینگ است که به منظورهای مختلفی اجرا و پیاده سازی می‌گردد؛ که برای پیاده سازی آن شما به یک VPS و یک کانکشن VPN نیازمند خواهید بود. روند کار وی پی اِن بدین شکل است که آدرس سرور یا همان وی پی اِس خود را در کانکشن وارد کرده، نام کاربری و گذر واژه‌ی خود را بزنید و کانکشن شما بسته به نوع ارتباط مثلاً PPTP یا L2TP از پورت مربوطه‌ی خود استفاده می‌کند. به طور مثال شما یک سرور دوربین در دفتر کار خود دارید و می‌خواهید هنگامی که در مسافرت یا در منزل هستید هم به دوربین‌های خود دسترسی داشته باشید می‌توانید از این روش استفاده کنید.

خب حالا که با روند کار و ماهیت وی پی اِن آشنایی پیدا کردید می‌توانید به راحتی موضوع قابل بحث را درک کنید. فرض کنید یک وی پی اِس در خارج از ایران است شما با کانکشن خود به آن متصل می‌گردید، کار آن وی پی اِس در این مورد تبدیل آدرس آیپی شما به یک آیپی در آن کشور است (به زبان ساده)، با اینکار شما به یک کامپیوتر در آن کشور تبدیل می‌شوید و فیلترینگ را از این طریق دور زده‌اید!

زمانی که وی پی اِن توسط نهادهای مربوط مسدود گردید، از روش بستن پورت که پیش‌تر به آن اشاره شد استفاده شده بود. این روش مشکلاتی برای کاربران به وجود آورد از جمله مادام اینکه وب‌سایت‌های غیر اخلاقی فیلتر شده بودند، کاربرانی که برای مشاهده‌ی دوربین‌های دفترکار یا کارخانه‌ی خود و یا وصل شدن به شعبات دیگر خود، که از طریق بستر اینترنت و نحوه‌ی اتصال وی پی اِنی برای اتصال استفاده می‌کردند هم دچار مشکل شدند.

مسدود کردن نرم‌افزارهای ارتباطی

نرم‌افزارهای ارتباطی نظیر اسکایپ٬ وی‌چت٬ وایبر و دیگر نرم‌افزارهای مشابه روی تلفن‌همراه یا رایانه هم به طور موقت یا دائم مسدود شده‌اند و دلیل این اقدام را اغلب «نقض حریم خصوصی»٬ «رصد ارتباطات اعضاء»٬ «انتشار بسیاری از محتواهای مجرمانه غیراخلاقی» می‌دانند. حال باید واقعاً پرسید که آیا کار شورای عالی مجازی تشخیص نقض حریم خصوصی افراد است یا اینکه بخاطر انتشار محتوای مجرمانه از سوی معدود کاربران باید دسترسی برای همگان قطع شود؟ یا شاید از دید دیگری نگاه کنیم این نرم‌افزارها ابزاری بودند که از درآمد اپراتورهای تلفن و تلفن‌همراه در ایران می‌کاستند؟

دسته سوم– دزدی اطلاعات

جعل اس‌اس‌ال سایت‌های معروف

در فروردین ۱۳۹۰ با روش MITM به گواهینامه اس‌اس‌ال گوگل حمله شد. بگذارید کمی این قضیه را بیشتر بشکافیم و این گونه حمله (man in the middle) را بررسی کنیم. در این نوع حمله، حمله کننده خود را به جای کامپیوترهای موجود جا زده و پیغام‌های جعلی را منتشر و بسته‌های مهم را دریافت می‌کند، بدون اینکه کاربر متوجه شود. در سیستم‌های داخلی که همه به یک سوییچ متصل هستند، حمله کننده با تغییر مک آدرس خود، کامپیوتر خود را به عنوان یک سیستم دلخواه موجود جا زده و پیغام‌های رد و بدل شده را دریافت کرده و از آن‌ها استفاده می‌کند.

حمله MITM

اما هنگامی که این حمله در اینترنت صورت پذیرد میزان خسارت و نوع اطلاعات دریافتی و ارسالی کاملاً متفاوت است. حساب‌های بانکی، گذر واژه‌های مهم و چه و چه. به طور مثال فرض کنید شما می‌خواهید به یک دوست حساب بانکی خود را ارسال کرده و او قصد پرداخت پول را به حساب شما داشته باشد، یا برای خرید از یک وب‌سایت مجاب به پرداخت پول باشید (همان‌طور که می‌دانید از درگاه‌های بانک از گواهینامه SSL استفاده می‌کنند)، در این صورت با جعل کردن این گواهینامه اطلاعات شما به سرقت رفته و شما پیغامی مبنی بر خرید موفق/ناموفق را مشاهده می‌کنید.

اتفاقی که در مورد گوگل در ایران افتاد بدین شکل بود، که یک هکر نه چندان حرفه‌ای توانسته بود گواهینامه SSL را جعل کند که از این رو گذرواژه‌های کاربران به سرقت رفت. بر طبق گفته‌های گوگل مبنی بر حمله و جعل SSL توسط هکر، او توانسته گواهی SSL صادر شده توسط کومودو را جعل کند که هدف درجه اول او، کاربران واقع در ایران بودند. اطلاعات بیشتر در سایت کومودو.

همچنین این اتفاق چهار ماه بعد، یک بار دیگر هم رخ داد! و گوگل می‌گوید که این بار گواهی SSL صادر شده توسط DigiNotar جعل شد.

ssl جعلی

اولین اقدام گوگل بعد از این حمله این بود که اعلام کرد: کاربران گوگل کروم هیچ گونه آسیبی از این حمله ندیده‌اند زیرا این مرورگر قابلیت تشخیص گواهینامه‌ی جعلی را دارد و همچنین کابران موزیلا فایرفاکس هم آسیب چندانی را متحمل نشدند.

بر اساس یک مشاوره امنیتی مایکروسافت در این حمله سرویس‌هایی که SSL جعلی موجب آسیب رسیدن به امنیت کاربران آن‌ها شد به شرح ذیل هستند:

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com سه گواهینامه
  • login.skype.com
  • addons.mozilla.org
  • Global Trustee

در پی آن گوگل و موزیلا مرورگرهای خود را آپدیت کردند و همچنین مایکروسافت آپدیتی برای لیست سیاه مرورگر خود موسوم به اینترنت اکسپلورر ارائه داد.

های‌جک DNS

همانطور که پیش‌تر در مورد روند کار DNS توضیح داده شد، در حالت معمول کاربر آدرس سایت را درخواست کرده و سرور دی‌اِن‌اِس در دیتابیس یا کش خود آدرس آیپی موجود را به کاربر برگردانده و کاربر به سمت سایت هدایت می‌شود.

دی ان اس در حالت عادی

اقدامی که اخیراً صورت گرفته هدایت کابران به شکلی دیگر و استفاده از سرور دی‌اِن‌اِس به عنوان یک گذرگاه مانیتورینگ/فیلترینگ می‌باشد، بدین طریق که کاربر طبق حالت نرمال درخواست خود را ارائه می‌دهد، سپس بعد از رسیدن به سرور دی‌اِن‌اِس و چک شدن با لیست‌های سیاه و سفید، دیتابیس و مواردی دیگر آدرس سایت یا آدرس صفحه پیوندها به شما برگردانده می‌شود. تا اینجا مورد قابل بحثی نیست و همانند فیلترینگ است، اما مورد قابل بحث این است که پهنای باند کشور از درون دیتاسنترها عبور داده شده و سپس به سایت‌ها هدایت می‌گردند که این امر کندی فزاینده‌ای به دنبال دارد.

دیتاسنتردر تریس

همچنین با بررسی دی‌اِن‌اِس ها درمی‌یابیم که پاسخ اِس‌اِس‌اِل از جایی به غیر از سرور صادر کننده‌ی گواهینامه برگردانده می‌شود.

nslookuppic

همین طور ظاهراً لیست سفیدی هم برای درگاه بانک‌ها برای جاهایی که SSL دارند هم تعبیه شده است. در حال حاضر یک همچین حالتی که در شکل زیر مشاهده می‌کنید بر روی اینترنت حاکم است.

فیلتر کننده‌ی dns

در انتها باید دید این وضعیت تا کجا ادامه خواهد داشت؟ فیلترینگی که سال به سال هوشمندتر می‌شود و سایت‌ها و اپلیکیشن‌های بسیاری را قربانی می‌کند و هر روز ابزارهای دسترسی به اینترنت کمتر می‌شوند. به نظر می‌رسد فیلترینگ و ساماندهی به وضعیت اینترنت و وب‌سایت‌ها باعث توجه کمتر به بقیه‌ی بخش‌های دیگر موجود در شبکه‌های داخلی و خارجی شده است به طور مثال اِسپمر شدن دو ISP بزرگ ایران، شرکت مخابرات و پارس آنلاین، که از این وب‌سایت می‌توانید نتایج را به صورت لحظه‌ای مشاهده کنید. با دانستن این قضیه که هیچ ضد فیلتر محض و همینطور هیچ فیلترینگ محضی وجود ندارد این وضعیت تا زمان زیادی دنباله خواهد داشت، و نداشتن یک روال مشخص و تعریف شده و باعث کندی روند نفوذ اینترنت در میان مردم و همینطور محروم شدن بخشی از مردم از علم و دانشِ در جریان می‌شود. امیدواریم اینترنت روزی معنای واقعی ارتباط بین کامپیوترها در وسعت جهانی را پیدا کند.

همینطور امیدواریم سازمان‌های مربوطه طبق قوانین پیش بروند و با مسائل جدید پیش آمده درست و اصولی برخورد کنند، نه به صرف از بازی بیرون راندن حریف (نرم‌افزارهایی که از روی آن‌ها نمونه ایرانی ساخته شده است) فیلترینگ صورت گیرد. به طور مثال کارگروه تعیین مصادیق محتوای مجرمانه بر اساس ماده ۲۲ قانون جرائم رایانه‌ای تشکیل و مسئولیت نظارت بر فضای مجازی و پالایش تارنماهای حاوی محتوای مجرمانه و رسیدگی به شکایات مردمی را به عهده دارد. و انتظار می‌رود روند تشخیص، تصویب، نظارت و  اجرای قوانین هر کدام بر اساس آیین نامه‌ها و دستورالعمل‌های موجود صورت گیرد و یک نهاد به تنهایی تصمیم به همه‌ی این کارها نگیرد.

به هر حال فیلترینگ در همه جای دنیا صورت می‌گیرد، فیلترینگ در بعضی از کشورها مختص به سایت‌های مستهجن، در برخی از کشورها مختص به سایت‌های در اختیار قرار دهنده‌ی دانش و امکانات هکینک و کرکینگ و به همین منوال در کشورهای دیگر است. اما آنچه مهم تر از خود بحث فیلترینگ است؛ مصداق داشتن آن می‌باشد. اینکه وقتی آدرسی فیلتر می‌شود دلیل آن مشخص و طبق قانون شفاف و منطبق باشد. تنها پس از رسیدن به این مرحله است (یعنی مشخص شدن قانون و مجری قانون) که می‌توان انتظار تغییرات دیگر مثل عادلانه‌تر شدن، روشن بینانه‌تر شدن و سهل گیرانه‌تر شدن قوانین را داشت.

17 thoughts on “پرونده‌ای برای اینترنت ایران: فیلترینگ

  1. بسیار زیبا و کامل موفق باشید

    1. بهادر جهانی گفت:

      لطف دارید حسین عزیز :)

      1. علی گفت:

        سلام
        در صورت بستن پورت ssl امکان تعویض پورت هست؟

  2. رضا شالباف گفت:

    مطلب عالى بود
    به عنوان رفرنس ازش استفاده میکنم

    1. بهادر جهانی گفت:

      باعث خوشحالی ماست دوست عزیز :)

  3. حسین صفدری گفت:

    خیلی خوب بود..مرسی

    1. بهادر جهانی گفت:

      خواهش می‌کنم.

  4. حمید گفت:

    بسیار مطلب جامع و کاملی بود.

    1. بهادر جهانی گفت:

      نظر لطف شماست دوست عزیز.

  5. حسین گفت:

    استفاده کردیم. ممنون

    1. بهادر جهانی گفت:

      خواهش می‌کنم، متشکرم از همراهی شما.

  6. mahyad گفت:

    خیلی مفید بود

  7. علی گفت:

    با سلام و عرض خسته نباشید. تازه با این وب سایت آشنا شدم. به عنوان یک کارشناس فناوری اطلاعات که در یکی از نهادهای بزرگ شاغل هستم از مطالب جالب و آموزنده شما استفاده میکنم. امیدوارم همچنان از این دست موضوعات با محتوای علمی پربار و فنی و کاربردی در اختیار علاقمندان قرار دهید تا سطح معلومات و دانش تخصصی دانش پزوهان و دست اندرکاران حوزه IT ارتقاء یابد. برایتان آرزوی پیشرفت و موفقیت روزافزون را دارم.

  8. hosein گفت:

    متشکر واقعا مطلب مفیدی بود..

  9. رهگذر گفت:

    فاجعه بزرگتری که باهاش مواجه هستیم وجود انواع VPN و نرم‌افزار های دور زدن فیلترینگ هستند که عامدانه در داخل پایه‌گذاری و با هدف پرونده‌سازی، زیرنظر گرفتن و جاسوسی بیشتر روی مردم فروخته میشن! که بد نبود اگر بهش میپرداختید.
    سایتی رو در نظر بگیرید که اقدام به فروش VPN میکنه. طبق روال عادی شما هزینه VPN رو از طریق حساب بانکی خودتون پرداخت میکنید و بعد اون سایت آدرس و یوزرنیم و پسورد VPS رو در اختیارتون میذاره. البته VPS ای که در عمل جاسوس و log کننده گشت‌وگذار شماست! بعدها هروقت نهاد مربوطه خواست، میتونه لیست تراکنش‌های واریزی به حساب سایت رو مورد پیگرد قانونی (!) قرار بده و حالا به آدرس و مشخصات دیگر خریداران دسترسی داشته باشه!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *