در این صفحه
مبانی امنیت دستگاه و سختافزار
راهنمای جامع برای انتخاب سختافزار امن، درک وضعیتهای امنیت فیزیکی (BFU/AFU) و محافظت از دستگاهها در برابر توقیف فیزیکی و حملات زنجیره تأمین با تمرکز بر شرایط کاربران در ایران.
مبانی امنیت دستگاه و سختافزار
در سلسله مراتب امنیت دیجیتال، سختافزار پایه و اساس است. اگر دستگاه فیزیکی شما به خطر بیفتد—چه از طریق یک ایمپلنت سختافزاری، چه از طریق دستکاری در زنجیره تأمین، و چه با توقیف فیزیکی توسط مقامات—هیچ میزان از رمزنگاری نرمافزاری یا استفاده از مرورگر Tor نمیتواند به طور کامل از شما محافظت کند.
برای کاربران در ایران، امنیت سختافزار چالشهای منحصربهفردی را به همراه دارد؛ دلیل آن تحریمهای بینالمللی، وابستگی به واردات از طریق "بازار خاکستری" و ریسک بالای توقیف فیزیکی دستگاهها در ایستهای بازرسی یا اعتراضات است. این راهنما نحوه انتخاب سختافزار امن، حفاظت فیزیکی از آن و درک وضعیتهای حیاتی رمزنگاری دستگاه را پوشش میدهد.
۱. ریسک زنجیره تأمین در ایران
برخلاف کاربران در سایر مناطق که میتوانند مستقیماً از تولیدکنندگان سفارش دهند، کاربران ایرانی اغلب به واردکنندگان شخص ثالث، بازارچهها و بازارهای غیررسمی وابستهاند. این موضوع ریسک دستکاری در مسیر (Interdiction) را افزایش میدهد (تغییر در دستگاه قبل از اینکه به دست شما برسد).
کاهش ریسکهای زنجیره تأمین
- بررسی بستهبندی: هنگام خرید گوشی یا لپتاپ جدید (مثلاً از بازارهایی مانند چارسو یا علاءالدین)، اطمینان حاصل کنید که پلمپهای کارخانه دستنخورده هستند. به دنبال نشانههایی از چسبکاری مجدد یا دستکاری باشید.
- چک کردن شماره سریال: قبل از باز کردن جعبه، شماره سریال (IMEI برای گوشیها) را در وبسایت سازنده (در صورت نیاز با استفاده از VPN) چک کنید تا مطمئن شوید مشخصات دستگاه با اطلاعات روی جعبه مطابقت دارد.
- پاکسازی فوری (Wipe): هرگز به سیستمعامل پیشنصب شده روی لپتاپ یا خدمات "راهاندازی اولیه" که توسط فروشندگان ارائه میشود اعتماد نکنید. همیشه بلافاصله پس از خرید، بازگشت به تنظیمات کارخانه (Factory Reset) انجام دهید یا ترجیحاً درایو را فرمت کرده و سیستمعامل را شخصاً مجدداً نصب کنید.
- اجتناب از دستگاههای از پیش تنظیم شده: از پذیرش دستگاههایی که قبلاً توسط فروشنده "راهاندازی" یا "اکتیو" شدهاند تا برنامهها یا VPN نصب کنند، خودداری کنید. این موارد ممکن است حاوی روتکیت (Rootkit) یا جاسوسافزار باشند.
۲. انتخاب سختافزار امن
همه دستگاهها یکسان ساخته نمیشوند. برخی تولیدکنندگان ویژگیهای امنیتی مبتنی بر سختافزار را پیادهسازی میکنند که استخراج جرمشناسانه (Forensic Extraction) اطلاعات را به طور قابل توجهی دشوارتر میکند.
دستگاههای موبایل
- گوگل پیکسل (توصیه شده): دستگاههای پیکسل (سری ۶ و جدیدتر) دارای چیپ امنیتی Titan M2 هستند. آنها امکان Verified Boot (بوت تأیید شده) را با سیستمعاملهای سفارشی (مانند GrapheneOS) فراهم میکنند که آنها را به استاندارد طلایی برای کاربرانِ در معرضِ خطر تبدیل میکند.
- آیفون (Apple Silicon): آیفونها دارای امنیت سختافزاری قدرتمندی هستند (Secure Enclave). با این حال، اکوسیستم بستهٔ اپل، بازرسی کدها یا عدم استفاده از سرویسهای ابری اختصاصی اپل را غیرممکن میسازد.
- استاندارد Android Ready SE: به دنبال دستگاههایی باشید که با استانداردهای "Android Ready SE" سازگار باشند؛ این استاندارد تضمین میکند که دستگاه دارای حافظه مقاوم در برابر دستکاری برای نگهداری کلیدهای رمزنگاری است.
کامپیوترها (لپتاپ/دسکتاپ)
- اپل سیلیکون (M1/M2/M3): این دستگاهها دارای Secure Enclave داخلی مشابه آیفونها هستند. همچنین وقتی درب لپتاپ بسته میشود، میکروفون را به صورت سختافزاری قطع میکنند.
- رایانههای ویندوزی "Secured-core": این دستگاهها استانداردهای امنیتی خاص مایکروسافت را رعایت میکنند، از جمله محافظت در برابر حملات دسترسی مستقیم به حافظه (DMA).
- سختافزارهای قدیمی (ThinkPads/Latitudes): لپتاپهای سازمانی قدیمی در ایران محبوب هستند. اگرچه ارزان و قابل تعمیرند، اما اگر قصد استفاده از ویژگیهای امنیتی مدرن ویندوز یا رمزنگاری کامل دیسک در لینوکس را دارید، اطمینان حاصل کنید که دارای چیپ TPM 2.0 باشند.
هشدار در مورد بهروزرسانیهای فِرمور (Firmware): به دلیل تحریمها، بسیاری از تولیدکنندگان (مانند اینتل، لنوو یا اپل) آدرسهای IP ایران را از دانلود بهروزرسانیهای بایوس/فِرمور مسدود میکنند. هنگام بررسی و اعمال این بهروزرسانیها همیشه از یک VPN مطمئن استفاده کنید. اجرای فِرمورهای قدیمی، آسیبپذیریهای سختافزاری (مانند Spectre/Meltdown) را اصلاحنشده باقی میگذارد.
۳. وضعیتهای رمزنگاری دستگاه: BFU در مقابل AFU
درک تفاوت بین قبل از اولین قفلگشایی (BFU) و بعد از اولین قفلگشایی (AFU) برای هر کسی که با خطر دستگیری یا ضبط دستگاه مواجه است، حیاتی است.
BFU (Before First Unlock)
این وضعیتی است که دستگاه شما کاملاً خاموش شده یا بلافاصله پس از ریاستارت قرار دارد، قبل از اینکه پین یا رمز عبور خود را وارد کرده باشید.
- سطح امنیت: بالا.
- چرا: کلیدهای رمزنگاری در چیپ امنیتی سختافزار ذخیره شدهاند و هنوز در حافظه موقت (RAM) دستگاه بارگذاری نشدهاند. ابزارهای جرمشناسی (مانند Cellebrite که اغلب توسط مجریان قانون استفاده میشود) استخراج دادهها را در این حالت بسیار دشوار مییابند.
AFU (After First Unlock)
این وضعیتی است که پس از یک بار باز کردن قفل دستگاه ایجاد میشود. حتی اگر صفحه را دوباره قفل کنید، دستگاه همچنان در حالت AFU است.
- سطح امنیت: پایینتر.
- چرا: کلیدهای رمزنگاری در حافظه بارگذاری شدهاند تا برنامههای پسزمینه (نوتیفیکیشنها، تماسها) کار کنند. ابزارهای پیشرفته جرمشناسی میتوانند به طور بالقوه این کلیدها را از RAM استخراج کرده و قفل صفحه را دور بزنند.
توصیه کاربردی برای فعالان
اگر به ایست بازرسی، منطقه اعتراضات یا کنترل مرزی نزدیک میشوید:
۱. دستگاه خود را کاملاً خاموش کنید. فقط صفحه نمایش را خاموش نکنید. ۲. اگر نمیتوانید خاموش کنید، یک ریست اضطراری (Force Reboot) انجام دهید. - آیفون: دکمه پاور + ولوم پایین را نگه دارید (یا ۵ بار دکمه پاور را بزنید) تا وارد حالت SOS/BFU شوید. - اندروید: دستگاه را از طریق منوی پاور ریاستارت کنید.
۴. بیومتریک در مقابل کلمات عبور
استفاده از بیومتریک (اثر انگشت، تشخیص چهره) راحتی را به همراه دارد، اما امنیت را در سناریوهای پرخطر فیزیکی تضعیف میکند.
خطر ورود اجباری
مقامات میتوانند به زور انگشت شما را روی سنسور قرار دهند یا گوشی را جلوی صورتتان بگیرند تا باز شود. اما آنها نمیتوانند شما را مجبور کنند که رمز عبوری که در ذهنتان است را به یاد بیاورید (گرچه میتوانند از زور/تهدید استفاده کنند).
توصیهها
- محافظت اصلی: از یک عبارت عبور (Passphrase) قوی و ترکیبی (شامل حروف و اعداد و کلمات تصادفی) استفاده کنید، نه یک پین کد ۴ یا ۶ رقمی.
- غیرفعالسازی بیومتریک در شرایط پرخطر: اگر برای راحتی روزمره از بیومتریک استفاده میکنید، "دکمه وحشت" (Panic Button) برای غیرفعال کردن فوری آن را بشناسید (به بخش BFU در بالا مراجعه کنید).
- بیومتریک کلاس ۳: اگر مجبور به استفاده از بیومتریک در اندروید هستید، اطمینان حاصل کنید که دستگاهتان از بیومتریک "کلاس ۳" (قوی) پشتیبانی میکند. از بازگشایی چهره دوبعدی (رایج در گوشیهای ارزانقیمت سامسونگ/شیائومی) که با یک عکس قابل فریب دادن است، خودداری کنید.
۵. امنیت لوازم جانبی و فیزیکی
دوربین و میکروفون
بدافزارها یا RATها (تروجانهای دسترسی از راه دور) میتوانند دوربین و میکروفون را بدون اطلاع کاربر فعال کنند.
- دوربین: از یک برچسب فیزیکی یا کاور کشویی استفاده کنید. مطمئن شوید که به صفحه نمایش آسیب نمیزند (به ویژه در مکبوکها).
- میکروفون: قطعکنندههای سختافزاری کمیاب هستند.
- مکبوکها/آیپدها (۲۰۲۰+): وقتی درب دستگاه بسته است، میکروفون به طور فیزیکی قطع میشود.
- روش دستساز (DIY): میتوانید یک فیش هدفون "مصنوعی" (فیشی که مدار میکروفون آن قطع شده است) را به پورت صدا وصل کنید تا دستگاه را فریب دهید که از ورودی میکروفون خارجی (که وجود ندارد) استفاده کند.
محافظهای حریم خصوصی (Privacy Screens)
"سرک کشیدن" (افرادی که به صفحه شما نگاه میکنند) در فضاهای شلوغ مانند متروی تهران یا کافینتها یک تهدید است. یک فیلتر حریم خصوصی زاویه دید را محدود میکند تا فقط شخصی که مستقیماً جلوی صفحه است بتواند محتوا را ببیند.
ماژول پلتفرم قابل اعتماد (TPM)
مطمئن شوید که کامپیوتر شما دارای TPM فعال است. این چیپ کلیدهای رمزنگاری (مانند BitLocker یا هدرهای LUKS) را ذخیره میکند. اگر یک مهاجم هارد درایو شما را خارج کند تا کپی بگیرد، بدون چیپ TPM و عبارت عبور شما نمیتواند آن را رمزگشایی کند.
کلیدهای امنیتی سختافزاری (2FA)
دستگاههایی مانند YubiKey یا Nitrokey قویترین محافظت را در برابر فیشینگ ارائه میدهند.
- نحوه کار: برای ورود به سیستم باید کلید را به صورت فیزیکی وصل کنید یا آن را نزدیک دستگاه بگیرید (NFC).
- شرایط ایران: واردات اینها دشوار و گران است. اگر میتوانید تهیه کنید، برای ایمنسازی ایمیل و حسابهای ابری بسیار توصیه میشوند. از خرید این موارد به صورت دستدوم جداً خودداری کنید.
۶. سختافزار شبکه: روترها
روتر شما دروازه شبکه خانگی شماست. مودمهای ارائه شده توسط ISPها (مانند همراه اول، ایرانسل یا مخابرات) اغلب قدیمی هستند، دارای آسیبپذیریهای اصلاحنشده میباشند و یا ممکن است دارای درهای پشتی (Backdoors) قابل دسترسی برای ISP باشند.
مقاومسازی روتر
۱. جایگزینی دستگاه ISP: در صورت امکان، مودم ISP را در "حالت Bridge" قرار دهید و آن را به یک روتر باکیفیت شخصی وصل کنید. ۲. بهروزرسانی فِرمور: ماهانه بهروزرسانیهای روتر را بررسی کنید. ۳. فِرمور متنباز: برای کاربران حرفهای، جایگزینی فِرمور کارخانه با OpenWrt توصیه میشود. OpenWrt متنباز است، بهروزرسانیهای امنیتی مکرر دریافت میکند و امکانات پیشرفتهای مانند اجرای کلاینت VPN مستقیماً روی روتر را برای دور زدن سانسور کل خانه فراهم میکند.
۷. بررسی یکپارچگی دستگاه
چگونه بدانیم که دستگاه ما دستکاری شده است؟
بهداشت ریبوت (Reboot Hygiene)
جاسوسافزارهای پیچیده (مانند پگاسوس) اغلب بر اکسپلویتهای "غیرپایدار" (Non-persistent) تکیه دارند، به این معنی که در حافظه موقت دستگاه زندگی میکنند. ریبوت کردن گوشی به صورت روزانه حافظه را پاک میکند و میتواند عملکرد این آلودگیها را مختل کند.
ابزارهای تأیید
- Auditor (اندروید): اگر از GrapheneOS استفاده میکنید، اپلیکیشن Auditor از چیپ امنیتی سختافزاری استفاده میکند تا به صورت رمزنگاری شده تأیید کند که سیستمعامل دستکاری یا دانگرید (Downgrade) نشده است.
- MVT (جعبه ابزار تأیید موبایل): یک ابزار جرمشناسی توسط سازمان عفو بینالملل برای اسکن علائم جاسوسافزار. نکته: این ابزار نیاز به تخصص فنی دارد و واکنشی است، نه پیشگیرانه.
چکلیست خلاصه
| بخش | توصیه |
|---|---|
| خرید | بررسی پلمپها، چک کردن سریال، پاکسازی فوری (Wipe). اجتناب از دستگاههای راهاندازی شده. |
| موبایل | گوگل پیکسل (با GrapheneOS) یا آیفون (حالت Lockdown). |
| لپتاپ | اپل سیلیکون یا ویندوز Secured-core. فرمت و نصب مجدد سیستمعامل. |
| رمزنگاری | همیشه روشن. خاموش کردن (حالت BFU) هنگام عبور از ایستهای بازرسی. |
| دسترسی | عبارت عبور قوی شامل حروف و اعداد. غیرفعالسازی بیومتریک در مناطق پرخطر. |
| نگهداری | بهروزرسانی فوری فِرمور/سیستمعامل (با VPN). ریبوت روزانه. |
آیا این مقاله مفید بود؟
بازخورد شما به بهبود محتوای ویکی کمک میکند.