RaazNet

رازنتبتا

دانشنامه
در این صفحه

ایمن‌سازی و بهداشت دستگاه

راهنمای جامع برای ایمن‌سازی دستگاه‌های موبایل و دسکتاپ در برابر توقیف فیزیکی، استخراج قضایی (forensic) و نظارت دیجیتال در فضای تهدیدات ایران.

Time20 minutes

مقاوم‌سازی و بهداشت امنیتی دستگاه

امنیت دیجیتال تنها به معنای جلوگیری از سرقت اطلاعات توسط هکرها نیست؛ بلکه به معنای محافظت از هویت، شبکه ارتباطی و آزادی فیزیکی شما در برابر دستگاه حاکمیتی است که قابلیت‌های نظارتی گسترده‌ای دارد.

مقاوم‌سازی دستگاه (Device Hardening) به فرآیند کاهش «سطح حمله» (Attack Surface) دستگاه‌های شما اشاره دارد؛ یعنی بستن درهایی که دشمنان ممکن است برای ورود از آن‌ها استفاده کنند. بهداشت دستگاه (Device Hygiene) به عادات روزانه‌ای اشاره دارد که این محافظت‌ها را موثر نگه می‌دارد.

این راهنما بهترین روش‌ها (Best Practices) را برای ایمن‌سازی دستگاه‌های اندروید، iOS، ویندوز، مک (macOS) و لینوکس در برابر تهدیدات رایج در ایران، مانند توقیف دستگاه در اعتراضات، ایست‌های بازرسی و بدافزارهای تحت حمایت دولت، گردآوری کرده است.

۱. امنیت فیزیکی: خط مقدم دفاع

در ایران، توقیف فیزیکی دستگاه‌ها (توسط سپاه، بسیج یا پلیس) یک تهدید اصلی محسوب می‌شود. اگر دشمن به دستگاه باز شده (Unlock) شما دسترسی فیزیکی داشته باشد، محافظت‌های دیجیتال اغلب شکست می‌خورند.

رمزنگاری کامل دیسک (FDE)

رمزنگاری، داده‌های شما را به هم می‌ریزد تا بدون داشتن رمز عبور غیرقابل خواندن باشند.

  • تلفن‌های هوشمند مدرن: اندروید و iOS به صورت پیش‌فرض رمزنگاری شده‌اند، به شرطی که روی آن‌ها رمز عبور (Passcode) گذاشته باشید.
  • دسکتاپ/لپ‌تاپ: باید این قابلیت را دستی فعال کنید.
    • ویندوز: قابلیت BitLocker (در نسخه‌های Pro) یا "Device Encryption" را فعال کنید.
    • مک (macOS): فوراً FileVault را فعال کنید (System Settings > Privacy & Security).
    • لینوکس: در هنگام نصب، رمزنگاری LUKS را فعال کنید.

"حالت طلایی": خاموش بودن کامل (BFU)

دستگاه‌ها دو حالت رمزنگاری دارند:

  1. AFU (بعد از اولین بازگشایی): دستگاه روشن است و شما یک بار رمز را وارد کرده‌اید. کلیدهای رمزنگاری در حافظه موقت (RAM) موجود هستند. ابزارهای جرم‌شناسی (مانند Cellebrite که توسط مقامات ایرانی استفاده می‌شود) اغلب می‌توانند در این حالت داده‌ها را استخراج کنند.
  2. BFU (قبل از اولین بازگشایی): دستگاه کاملاً خاموش است (یا ریستارت شده و هنوز رمز زده نشده). کلیدهای رمزنگاری از حافظه پاک شده‌اند. این امن‌ترین حالت ممکن است.

[توصیه حیاتی] اگر به ایست بازرسی نزدیک می‌شوید، در حال بازداشت هستید یا وارد منطقه اعتراضات می‌شوید، تلفن خود را کاملاً خاموش کنید (Power Off). فقط به قفل کردن صفحه اکتفا نکنید.

غیرفعال کردن بیومتریک (FaceID / اثر انگشت)

در ایران، ممکن است شما را با زور فیزیکی مجبور کنند انگشتتان را روی اسکنر بگذارید یا گوشی را جلوی صورتتان بگیرند. اما نمی‌توانند به سادگی شما را مجبور کنند رمزی که در ذهنتان است را فاش کنید.

  • توصیه: بازگشایی با FaceID و اثر انگشت را در تنظیمات غیرفعال کنید. فقط به یک رمز عبور الفبایی-عددی قوی تکیه کنید.
  • قفل اضطراری (Lockdown):
    • در iOS: دکمه پاور + یکی از دکمه‌های صدا را نگه دارید تا اسلایدر خاموش کردن ظاهر شود. این کار بلافاصله بیومتریک را غیرفعال می‌کند.
    • در اندروید: دکمه "Lockdown" را در تنظیمات فعال کنید. نگه داشتن دکمه پاور و زدن گزینه "Lockdown"، بیومتریک را غیرفعال می‌کند.

۲. احراز هویت و کنترل دسترسی

رمزهای عبور قوی (Passphrases)

پین‌کدهای ساده (۴ تا ۶ رقمی) می‌توانند توسط سخت‌افزارهای جرم‌شناسی در عرض چند دقیقه یا چند روز شکسته (Brute-force) شوند.

  • تغییر به حروف و اعداد: به جای پین عددی، از یک رمز عبور شامل ۱۲ کاراکتر یا بیشتر (ترکیبی از حروف و اعداد) استفاده کنید.
  • روش تاس‌واژه (Diceware): ۵ یا ۶ کلمه تصادفی را پشت سر هم قرار دهید (مثلاً: correct-horse-battery-staple). تایپ و به خاطر سپردن این نوع رمزها آسان‌تر است، اما شکستن آن‌ها از نظر ریاضی بسیار دشوار است.

احراز هویت دو مرحله‌ای (2FA)

هشدار در مورد پیامک (SMS): در ایران، اپراتورهای مخابراتی (همراه اول، ایرانسل، رایتل) به شدت تحت نظارت یا در مالکیت دولت هستند. کدهای دو مرحله‌ای پیامکی قابل رهگیری هستند.

  • از 2FA پیامکی استفاده نکنید.
  • استفاده از اپلیکیشن‌های احراز هویت: از برنامه‌هایی مانند Aegis (اندروید/F-Droid)، Raivo (آی‌او‌اس) یا Ente Auth استفاده کنید. این برنامه‌ها کدها را به صورت آفلاین روی دستگاه شما تولید می‌کنند.
  • کلیدهای سخت‌افزاری: برای کاربران در معرض خطر بالا، از کلید سخت‌افزاری (مانند YubiKey) برای حساب‌ها استفاده کنید. این کار فیشینگ را به طور کامل خنثی می‌کند.

۳. مقاوم‌سازی موبایل

تلفن‌های همراه، ابزار اصلی ردیابی توسط دولت هستند.

مقاوم‌سازی اندروید

  • سبک‌سازی (Debloating): برنامه‌هایی که استفاده نمی‌کنید را حذف یا غیرفعال کنید. هر اپلیکیشن یک حفره امنیتی بالقوه است.
  • منابع دریافت اپلیکیشن:
    • پرهیز از استورهای ایرانی: فروشگاه‌هایی مانند کافه بازار یا مایکت ممکن است میزبان برنامه‌های دستکاری‌شده دارای بک‌دور (Backdoor) باشند یا با درخواست‌های داده دولت همکاری کنند.
    • استفاده از F-Droid: برای نرم‌افزارهای متن‌باز و بدون ردیاب.
    • گوگل پلی: امن‌تر از استورهای محلی است، اما نیاز به VPN دارد.
    • Aurora Store: یک رابط ناشناس برای گوگل پلی.
  • محافظت پیشرفته گوگل: اگر دستگاه پیکسل پشتیبانی‌شده دارید (اندروید ۱۶ به بالا)، حالت Advanced Protection Mode را فعال کنید. این حالت انتقال داده از طریق USB را محدود و نصب برنامه‌های تایید نشده را مسدود می‌کند.
  • سیستم عامل جایگزین: برای حداکثر امنیت، GrapheneOS را روی گوگل پیکسل نصب کنید. این سیستم عامل گوگل را از گوشی حذف کرده و هسته (Kernel) را در برابر نفوذها مقاوم‌سازی می‌کند.

مقاوم‌سازی iOS

  • حالت قرنطینه (Lockdown Mode): این گزینه را در Settings > Privacy & Security > Lockdown Mode فعال کنید. این حالت تکنولوژی‌های وب و پیوست‌های پیام را به شدت محدود کرده و بسیاری از اکسپلویت‌های "بدون کلیک" (مانند پگاسوس) که توسط عوامل دولتی استفاده می‌شوند را مسدود می‌کند.
  • امنیت iCloud: قابلیت Advanced Data Protection را برای iCloud فعال کنید. این قابلیت از رمزنگاری سرتاسری (End-to-End) برای بک‌آپ‌های شما استفاده می‌کند، بنابراین حتی اپل هم نمی‌تواند در صورت احضاریه قضایی، داده‌های شما را به مقامات تحویل دهد.

امنیت سیم‌کارت

  • پین سیم‌کارت (SIM PIN): روی سیم‌کارت خود پین بگذارید (Settings > Cellular > SIM PIN). این کار مانع از آن می‌شود که دزد (یا مامور امنیتی) سیم‌کارت شما را در گوشی دیگری گذاشته و تماس‌ها/پیامک‌های شما را دریافت کند.
  • تعویض سیم‌کارت (SIM Swapping): آگاه باشید که دولت ایران می‌تواند بدون نیاز به مهندسی اجتماعی، سیم‌کارت‌ها را کلون کند. برای ارتباطات، به جای تماس معمولی/SMS، فقط به اپلیکیشن‌ها (مانند سیگنال) تکیه کنید.

۴. مقاوم‌سازی دسکتاپ

ویندوز

  • آپدیت‌ها: ویندوز هدفمندترین سیستم عامل برای حملات است. آپدیت خودکار را فعال کنید.
  • امنیت ویندوز: اطمینان حاصل کنید که Microsoft Defender فعال است. گزینه "Ransomware Protection" (دسترسی کنترل‌شده به پوشه‌ها) را فعال کنید.
  • سبک‌سازی: نرم‌افزارهای پیش‌فرض کارخانه را حذف کنید.
  • فایروال: از ابزاری مانند Simplewall استفاده کنید تا فقط برنامه‌هایی که می‌خواهید به اینترنت متصل شوند را در لیست سفید قرار دهید.

مک (macOS)

  • فایروال: فایروال داخلی را فعال کنید. نصب LuLu (متن‌باز) را برای مسدود کردن اتصالات خروجی غیرمجاز در نظر بگیرید.
  • Gatekeeper: مطمئن شوید که گزینه "Allow apps downloaded from" روی "App Store and identified developers" تنظیم شده باشد.

لینوکس (Ubuntu/Debian/Tails)

  • سیستم عامل Tails: برای فعالیت‌های با ریسک بسیار بالا (افشاگری)، از Tails OS روی فلش USB استفاده کنید. این سیستم همه چیز را از طریق تور (Tor) عبور داده و با خاموش شدن، حافظه را کاملاً پاک می‌کند.
  • سیستم عامل Qubes: برای کاربران حرفه‌ای، Qubes از روش "محفظه‌بندی" (Compartmentalization) استفاده می‌کند و هر برنامه را در یک ماشین مجازی جداگانه اجرا می‌کند. اگر یک فایل PDF مخرب باز کنید، نمی‌تواند مدیر رمز عبور شما را آلوده کند.

۵. بهداشت شبکه و ضد نظارت

اینترنت ایران (شبکه ملی/فیلترنت) از روش بازرسی عمیق بسته (DPI) استفاده می‌کند.

انضباط اتصال

  • غیرفعال کردن رادیوهای بدون استفاده: وای‌فای، بلوتوث و NFC را وقتی صریحاً استفاده نمی‌کنید، خاموش کنید. آن‌ها شناسه‌های منحصر‌به‌فرد (MAC Address) پخش می‌کنند که می‌تواند حرکت شما را در مناطق شلوغ (مانند تظاهرات) ردیابی کند.
  • مک آدرس تصادفی: مطمئن شوید گوشی شما هنگام اتصال به شبکه‌ها از "Private Wi-Fi Address" یا "Randomized MAC" استفاده می‌کند.
  • هوشیاری در وای‌فای عمومی: در ایران از وای‌فای عمومی دوری کنید. در صورت لزوم، هرگز بدون یک VPN مورد اعتماد (مانند Mullvad، IVPN یا سرور شخصی Shadowsocks/V2Ray) متصل نشوید.

ردیابی مکانی

  • GPS: دسترسی موقعیت مکانی را برای همه برنامه‌ها به جز نقشه‌ها لغو کنید.
  • متادیتا: از ابزارهایی مانند Scrambled Exif (اندروید) یا Metapho (آی‌او‌اس) استفاده کنید تا قبل از اشتراک‌گذاری عکس‌ها آنلاین، مختصات GPS را از آن‌ها حذف کنید.

۶. بدافزار و بهداشت اپلیکیشن

بدافزارهای دولتی (که اغلب در قالب فیلترشکن، تلگرام‌های "طلایی" یا اپلیکیشن‌های دوست‌یابی پنهان شده‌اند) بسیار رایج هستند.

علائم هشدار

  • برنامه‌هایی که درخواست دسترسی "Accessibility Services" دارند.
  • برنامه‌هایی که درخواست "Install Unknown Apps" دارند.
  • خالی شدن باتری سریع‌تر از معمول.

واکنش

  • بازگشت به تنظیمات کارخانه (Factory Reset): اگر مشکوک به آلودگی هستید، آنتی‌ویروس به ندرت کافی است. بازگشت به تنظیمات کارخانه امن‌ترین گزینه است.
  • بررسی دسترسی‌ها: مرتباً چک کنید کدام برنامه‌ها به میکروفون، دوربین و موقعیت مکانی دسترسی دارند. دسترسی هر برنامه‌ای که ضروری نیست را قطع کنید.

۷. سفر و عبور از مرز

عبور از مرزها (مثلاً فرودگاه امام خمینی) خطر بالای تفتیش دیجیتال را به همراه دارد.

  • پاکسازی دستگاه‌ها: برنامه‌های حساس (سیگنال، توییتر، اینستاگرام) را قبل از عبور حذف کنید. از حساب‌های کاربری خارج شوید.
  • استراتژی "گوشی امن/برنر": در صورت امکان، با یک دستگاه ثانویه "پاک" سفر کنید که هیچ داده حساسی ندارد.
  • سفر ابری: از داده‌ها در یک فضای ابری امن و رمزنگاری شده (مانند Proton Drive) نسخه پشتیبان بگیرید، دستگاه را وایپ (Wipe) کنید، از مرز رد شوید و سپس در جای امن با VPN داده‌ها را بازیابی کنید.

چک‌لیست خلاصه برای کاربران ایرانی

  1. رمزنگاری: رمزنگاری کامل دیسک (FDE) روی تمام دستگاه‌ها فعال باشد.
  2. وضعیت: خاموش کردن دستگاه (حالت BFU) هنگام عبور از ایست‌های بازرسی.
  3. قفل: تنظیم رمز عبور الفبایی-عددی (۱۲+ کاراکتر). غیرفعال کردن بیومتریک.
  4. سیم‌کارت: فعال‌سازی پین سیم‌کارت.
  5. اپلیکیشن‌ها: حذف برنامه‌های بی‌استفاده. بررسی دسترسی‌ها. پرهیز از استورهای ایرانی.
  6. شبکه: استفاده از VPN به صورت ۲۴/۷ (با قابلیت Kill switch). خاموش بودن بلوتوث/وای‌فای در هنگام حرکت.
  7. آپدیت‌ها: به‌روزرسانی فوری سیستم عامل و برنامه‌ها به آخرین نسخه.
  8. احراز هویت: استفاده از اپلیکیشن Authenticator؛ غیرفعال کردن پیامک برای 2FA تا حد امکان.

نکته: امنیت یک فرآیند است، نه یک محصول. هیچ دستگاهی غیرقابل هک نیست. این مراحل به طور قابل توجهی هزینه و تلاش مورد نیاز رژیم برای به خطر انداختن زندگی دیجیتال شما را افزایش می‌دهد.

منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.