راحتی یا امنیت کدام‌یک؟

روبات‌های پیام‌رسان؛ تهدید امنیتی بلندمدت

20/04/1395 - 12:23

روبات‌های پیام‌رسان؛ تهدید امنیتی بلندمدت

روبات‌ها بیش از آنچه تصور کنید در برنامه‌های پیام‌رسان استفاده می‌شوند. در کنفرانس طراحان F8 که چندی پیش برگزار شد، فیسبوک بنیان‌گذار بدعتی شد که در آن از نسل جدیدی از روبات‌های پیام‌رسان رونمایی کرد. این روبات‌ها در حقیقت برنامه‌های پاسخ‌گوی خودکاری هستند که از زبان طبیعی استفاده می‌کنند و به کاربران اجازه خرید، سفارش غذا، خواندن اخبار و پیش‌بینی آب‌وهوا را می‌دهند. همه این کارها بدون اینکه نیازی به خروج از برنامه پیام‌رسان ضروری باشد، امکان‌پذیر است.

اگر به برنامه‌های پیام‌سانی همچون کیک (Slack ،(Kik و تلگرام نگاهی بیندازیم، متوجه می‌شویم که هر یک از آن‌ها به روش خاص خود و در مقاطع زمانی مختلف از روبات‌ها استفاده و آن‌ها را آزمایش کرده‌اند. مایکروسافت نیز برنامه‌های بلندمدتی برای این منظور در نظر گرفته است. اگر به کنفرانس بیلد 2016 بازگردیم، مشاهده می‌کنیم که در آن کنفرانس مایکروسافت ابزارهای ویژه ساخت روبات‌ها برای اسکایپ و دیگر سرویس‌های مایکروسافت را در اختیار توسعه‌دهندگان قرار داد.

مطلب پیشنهادی

بدافزار جدید پژوهش‌گران شناسایی نقاط ضعف سیستم‌ها

سرقت اطلاعات از طریق فن کامپیوتر

اگر اخبار دنیای فناوری را دنبال کرده باشید، به‌خوبی از این موضوع اطلاع دارید که به‌تازگی، گروه تحقیق و توسعه هوش مصنوعی مایکروسافت موفق به توسعه چت روباتی شد که قابلیت گفت‌وگو و توییت کردن را داشت. روباتی که همانند نوجوانان پست‌هایی روی شبکه‌های اجتماعی قرار می‌داد. (شکل 1) این چت‌روبات که tay نامیده می‌شد، با هدف توسعه یادگیری ماشینی محاوره‌ای مایکروسافت طراحی شده بود. طراحی این روبات به گونه‌ای بود که در عمل و در مدت‌زمان گفت‌وگو با مردم نکات بیشتری از آن‌ها یاد می‌گرفت. مایکروسافت در توصیف این چت‌روبات گفته بود که tay بر اساس داده‌های عمومی مرتبط و با استفاده از هوش مصنوعی توأم با جملات بداهه طراحی شده است. منبع داده اصلی این چت‌روبات را اطلاعات عمومی ناشناس و بدون نامی که از موتور جست‌وجوی بینگ دریافت شده و به‌طور مرتب توسط گروه توسعه این چت‌روبات به‌روزرسانی می‌شد، تشکیل می‌داد.

شکل 1: نمایی از یک توییت چت‌روبات Tay

اما چرا مایکروسافت ناگهان این چت‌روبات را که توانایی بیان جوک و داستان داشت خاموش کرد؟ در پاسخ باید گفت که در دو مورد از پست‌هایی که این چت‌روبات ارسال کرده بود، tay عقاید نژادپرستانه و جملات خلاف ادب را به مخاطب خود منتقل کرده بود. این اقدام باعث شد مایکروسافت ضمن عذرخواهی رسمی از کاربران، به فعالیت این چت‌روبات پایان دهد. در حالی که جای هیچ‌گونه شکی نیست که این روزها در دنیای فناوری روبات‌ها نقش بسیار مهمی دارند، اما حوزه‌ای که درباره آن کمتر شنیده‌ایم، بحث امنیت آن‌ها است. اشتباه tay تنها نمونه بسیار کوچک و غیرتأثیرگذاری بود که نشان داد ضرورت توجه و رسیدگی به مبحث امنیت در حوزه روباتیک تا چه اندازه می‌تواند مهم باشد. حال اگر روبات‌ها در جریان‌های مهم و حیاتی زندگی ما چنین اشتباهاتی را مرتکب شوند چه اتفاقی رخ خواهد داد؟ در این مقاله به نقش امنیت به‌عنوان عنصری کلیدی در حوزه توسعه نرم‌افزارهای روباتی می‌پردازیم.

امنیت؛ حلقه گمشده چت‌روبات‌ها
به‌راستی چرا مبحث امنیت در حوزه چت‌روبات‌ها آن‌گونه که باید بررسی نمی‌شود؟ شاید بتوانیم دو دلیل عمده برای توضیح ندادن این مسئله از سوی شرکت‌های فناوری عنوان کنیم.
اول اینکه هنوز به‌طور دقیق نمی‌دانیم این پلتفرم چگونه ممکن است ما را تهدید کند و بررسی ابعاد مخاطره‌آمیز بودن آن همچنان در حد حدس و گمان قرار دارد.
دوم اینکه زمانی که صحبت از تهدید روباتیک به میان می‌آید، میزان خطر‌پذیر بودن آن در مقایسه با تهدیدات بدافزاری یا نرم‌افزارهای مخرب رایج به‌مراتب جدی‌تر و خطرناک‌تر است.
در حال حاضر، میزان تمرکز روبات‌ها کم است و می‌توانید سفارش غذا، دریافت سرفصل‌ها یا خرید یک جفت کفش جدید را انجام دهید؛ وظایفی که به‌راحتی از طریق سایت‌ها یا برنامه‌های کاربردی نیز می‌توانند مدیریت شوند. اما در اینجا یک نقطه تمایز وجود دارد: زمانی که از یک سایت اینترنتی استفاده می‌کنید، این شانس را دارید تا حداقل از تعداد کمی سیگنال روشنی‌بخش برای ایمن بودن تعاملات خود استفاده کنید.
برای مثال، آیکون قفلی که در مرورگر به نمایش درمی‌آید یا گواهی‌نامه‌های امنیتی یا حتی یک URL ایمن نمایانگر تعاملی ایمن است. اما زمانی که صحبت از روبات‌ها و تعامل با آن‌ها به میان می‌آید، دیگر هیچ‌گونه نشانه‌ای مشاهده نخواهید کرد. در نتیجه نمی‌توانیم با صراحت اعلام کنیم در حال برقراری تعامل با یک روبات‌ خوب هستید یا روبات بدی شما را نشانه رفته است.
آیا به نشانه بیشتری درباره خطرناک بودن این موضوع نیاز دارید؟ روبات‌ها به اندازه کافی و همانند کاربران زرنگ و دانا نیستند که بتوانند فرق میان منابع معتبر و قانونی و منابع غیرقانونی را از یکدیگر تشخیص دهند.
به عبارت دیگر، با هر دو منبع به یک شکل برخورد می‌کنند. کافی است درباره ایمیل‌های فیشینگ کلاهبرداری کمی تأمل کنید. در حالی که کلاهبرداران اینترنتی سعی می‌کنند ایمیل‌هایی به ظاهر معتبر از سوی مؤسسه مالی مطبوع کاربر برای او ارسال کنند، در نقطه مقابل بیشتر نرم‌‌افزارها به‌خوبی از عهده شناسایی ایمیل‌های کلاهبردارانه بر‌می‌آیند، درباره این پیام‌ها به کاربر هشدار می‌دهند و ایمیل‌های غیرضروری را به پوشه junk هدایت می‌کنند. اما در خصوص روبات‌ها هیچ مکانیزم مشابهی وجود ندارد تا روبات‌ها از چنین الگویی برای شناسایی ایمیل‌های کلاهبردارانه استفاده کنند. در این‌جا است که به‌سادگی هرچه تمام‌تر تعامل مستقیمی با روبات خریدکننده برقرار می‌کنید، اما هیچ ایده‌ای ندارید که این روبات جعلی بوده و با هدف سرقت اطلاعات کارت اعتباری و داده‌های شخصی شما ساخته شده است یا خیر. شبیه به برنامه‌ای کاربردی، یک روبات از سرویس‌های خاصی به‌منظور پاسخ‌گویی به درخواست‌ها و مدیریت تماس‌ها استفاده می‌کند. هر چند ممکن است شبیه به یک برنامه کاربردی منفرد، پیشرفته نباشد و حتی رابط کاربری و تجربه کاربری متفاوتی را عرضه کند، اما هنوز هم برنامه‌ای کاربردی است. با این تفاوت که تنها از یک منطق از راه دور که بر پایه خدمات کلاود قرار دارد، فعالیت‌های خود را انجام می‌دهد. (شکل 2) حال چگونه اطمینان حاصل کنیم این سرویس راه دور ایمن است؟

شکل 2: یک چت روبات نیز ممکن است هرزنامه ارسال کند.

آیا می‌توانی تعریف روشنی از مخاطره برای من بیان کنی؟
در حالی‌که گونه‌های مختلفی از روبات‌ها برای سالیان متمادی در صنعت امنیت استفاده شده‌اند، اما روبات‌هایی همچون روبات پیام‌رسان فیسبوک، کیک، اسلک (Slack)، تلگرام و دیگر برنامه‌های اجتماعی که در ارتباط با مصرف‌کنندگان قرار دارند، هنوز آن‌گونه که باید مطالعه و بررسی نشده‌اند.
همان‌گونه که برنامه‌‌های موبایل توانایی پنهان‌سازی بدافزارها را دارند، روبات‌ها نیز می‌توانند به ‌طرز چشمگیری برای کاربران خطرناک باشند. رامی اسید (Rami Essaid)، مدیرعامل شرکت «Distil Networks»، شرکتی که در زمینه حملات روباتیک فعالیت دارد، در این باره گفته است: «از آن‌جا که روبات‌ها به صورت توکار در برنامه‌های پیام‌رسان و برنامه‌های اجتماعی قرار می‌گیرند و ما به‌طور معمول از آن‌ها استفاده می‌کنیم، در نتیجه برای سوءاستفاده از اطلاعات شخصی کاربران، استخراج، برداشت غیرقانونی از حساب کاربران و حتی وارد شدن به حساب کاربران، در جایگا‌هی به‌مراتب بهتر از بدافزارها قرار دارند.» ظرفیت بالقوه‌ای که روبات‌ها را خطرناک می‌کند، در این عامل نهفته است که آن‌ها درون نرم‌افزارها قرار می‌‌گیرند. بدون نظارت‌های دقیق امنیتی، یک برنامه به‌راحتی میزبان اسب‌های تروجانی خواهد بود که به صورت ازپیش‌ساخته‌شده، درون نرم‌افزارها قرار می‌گیرند. این تروجا‌ن‌ها نیازی به اجرا از خارج ندارند، بلکه فعالیت خود را از قبل آغاز می‌کنند.

روبات‌ها به اندازه کافی و همانند کاربران زرنگ و دانا نیستند که بتوانند فرق میان منابع معتبر و قانونی و منابع غیرقانونی را از یکدیگر تشخیص دهند.

رامی اسید همچنین عنوان می‌کند: «هنوز خیلی زود است تا این‌چنین تهدیداتی را به عینه مشاهده کنیم، ما تنها اولین موج از روبات‌های محاوره‌‌ای را درون برنامه‌های اجتماعی مشاهده کرده‌ایم. اما زمانی که میزان استفاده از چنین روبات‌هایی همه‌گیر شود، آنگاه باید روبات‌های مخرب را شناسایی کرده و آن‌ها را حذف کنیم. زمانی که قطعه کدی را روی پلتفرم‌های مختلف اجرا می‌کنید، مشخص می‌شود صدف پنهان‌شده از عهده انجام چه کارهایی بر می‌آید. این درست زمانی است که باید به‌طور دقیق و موشکافانه‌ای فیسبوک و این مدل برنامه‌های پیام‌رسان را بازنگری کرده و اطمینان حاصل کنیم این برنامه‌ها عاری از هرگونه کد مخربی هستند.»

پلتفرم در کجای این داستان قرار دارد؟
پیچیده‌ترین بخش داستان این است که بر خلاف برنامه‌های فروشگاهی که به طور معمول اپل و گوگل آن‌ها را بررسی می‌کنند، در این مدل برنامه‌ها از سیاست‌های جامع و واحدی استفاده نمی‌شود و هر روبات بر اساس قوانین خاص خود روی پلتفرم‌های مختلف به اجرا در می‌آید. هر برنامه سیاست‌های متنوعی را استفاده خواهد کرد که توسط توسعه‌دهندگان آن‌ وضع شده است. تعدادی از برنامه‌ها شبیه به تلگرام و اسلک، تقریباً منبع‌باز هستند و هر طراحی بر مبنای سلیقه خود می‌تواند روبات مدنظر را بسازد و در ادامه آن را در اختیار کاربران قرار ‌دهد.
فیسبوک، در طرف دیگر کمی محتاط‌تر عمل می‌کند. روبات‌‌های پیام‌رسان این شرکت هنوز در وضعیت آزمایشی قرار دارند و هر یک به‌طور جداگانه و قبل از آنکه به دست کاربران فیسبوک برسند، بررسی می‌شوند. فیسبوک می‌گوید: «رعایت امنیت و حریم خصوصی کاربران یکی از اصلی‌ترین موضوعاتی است که ما را مجبور کرده رویکرد ملایم‌تر و آهسته‌تری در این زمینه داشته باشیم. ما از سیاست‌‌گذاری‌های امنیتی زیادی در این زمینه استفاده می‌‌کنیم و در واقع این موضوع یکی از اصلی‌ترین دلایلی است که باعث شده در این مسیر کُند عمل کنیم. فیسبوک در این راه از سیاست‌هایی که پیتر مارتینازی، مدیر محصول مسنجر فیسبوک، اتخاذ کرده است، پیروی می‌کند. ما کار خود را از وضعیت بتا آغاز کرده‌ایم، به دلیل اینکه مطمئن شویم همه چیز به بهترین شکل ممکن و بدون آنکه نقصی در این زمینه رخ دهد، به اجرا در می‌آید. پیتر تمایل دارد درباره جزئیاتی که در این خصوص وجود دارد و نحوه برخورد توسعه‌دهندگان با این جزئیات به تبادل نظر بپردازد. شرکت به طور مستمر و فعال از سیاست‌های مختلفی در خصوص پلتفرم‌های این شرکت تبعیت می‌کند تا در نهایت مخاطرات امنیتی کاربران را به حداقل برساند.

پیچیده‌ترین بخش داستان این است که بر خلاف برنامه‌های فروشگاهی که به طور معمول اپل و گوگل آن‌ها را بررسی می‌کنند، هر روبات بر اساس قوانین خاص خود روی پلتفرم‌های مختلف به اجرا در می‌آید.

شرکت دائماً تعامل کاربران و روبات‌ها را زیر نظر می‌گیرد. تاکنون سیگنال‌های مختلفی از کاربران دریافت شده است، برای مثال کاربری، موضوعی را به عنوان اسپم نشانه‌گذاری و در نتیجه اقدام به مسدود کردن روبات کرده است. همه این عوامل کمک می‌کنند تا همه چیز را زیر نظر قرار دهیم و رفتارهای خوبی که باعث می‌شود مردم تجربه کاربری مطلوبی را مشاهده کنند، آماده کنیم.»
بدون شک، بررسی دقیق ایده خوبی است، اما این رویکرد بدون خطا نیست. اگر به اپل نگاهی بیندازیم، درمی‌یابیم که این شرکت برای برنامه‌هایی که به درون فروشگاه این شرکت وارد می‌شوند از سیاست‌های سخت‌گیرانه‌ای استفاده می‌کند، اما باز هم شاهد این هستیم که ده‌ها برنامه مخرب در طول این سال‌ها موفق شده‌اند به درون فروشگاه این شرکت راه پیدا کنند. به نظر می‌رسد این موضوع اجتناب‌ناپذیر است. در انتها با وجود سخت‌گیرانه‌ترین سیاست‌های امنیتی، باز هم این احتمال وجود دارد که روبات مشکوکی در مقیاس گسترده به درون پلتفرمی راه پیدا ‌کند.

آیا راهکاری برای محافظت از خود در اختیار داریم؟
متأسفانه هیچ راهی وجود ندارد تا با اطمینان توضیح دهیم. روبات‌هایی که در برنامه‌های پیام‌رسان استفاده می‌کنید، دقیقاً همان کاری را انجام می‌دهند که به آن‌ها گفته‌اید. حداقل در مقطع فعلی نمی‌توانیم این جمله را به زبان آوریم. اسید در این باره می‌گوید: «به گذشته بازگردید، چه مدت طول کشید تا موفق شدیم به شناسایی بدافزارها روی دستگاه‌های همراه مسلط شویم؟ زمانی بسیار طولانی سپری شد تا پنجره بزرگی پیش روی نرم‌افزارهای آنتی‌ویروسی گشوده شود؛ به طوری که توانایی اجرا روی پلتفرم‌های مختلف را داشته باشند.»
در عین حال، او به کاربران توصیه می‌کند به همان شیوه‌‌ای عمل کنند که در دانلود برنامه‌های کاربردی ویژه تلفن‌های هوشمند یا برنامه‌های کاربردی از آن‌ها استفاده می‌کنند.
اول از همه، اطمینان حاصل کنید روبات‌هایی که از آن‌ها استفاده می‌کنید، از منبع قابل اطمینانی دریافت شده باشند.
دوم آنکه فراموش نکنید روبات‌هایی را که برای مدت طولانی از آن‌ها استفاده نمی‌کنید، از روی دستگاه خود حذف کنید. این کار امکان به وجود آمدن هر خطری را کم می‌کند. این راهکاری است که تهدیدات را کاهش داده، اما در مقابل امنیت را افزایش می‌دهد.
همچنین سعی کنید به طور هم‌زمان از روبات‌ها استفاده نکنید، البته این‌ کار باعث می‌شود از برخی قابلیت‌ها که روبات‌ها پیشنهاد می‌کنند، محروم شوید.
در پایان لازم است به این نکته اشاره کنیم که هنوز به صراحت نمی‌توانیم اعلام کنیم آیا این مدل روبات‌ها قرار است نقش مهمی در زندگی روزمره ما بازی کنند و آیا به آن‌ها وابسته خواهیم شد یا خیر. اما با توجه به سرمایه‌گذاری‌های شرکت‌هایی همچون مایکروسافت، فیسبوک و گوگل، به نظر می‌رسد نقش مهمی در زندگی دیجیتالی ما خواهند داشت.
امنیت همیشه به دنبال برقراری تعادل و توازن بین حفاظت و راحتی است. اما زمانی که صحبت از روبات‌ها به میان می‌آید و زمانی که درباره حفاظت صحبت می‌کنیم، این دو مفهوم همانند دو صفحه یک ترازو عمل می‌کنند. پایین آمدن یک طرف به‌منزله بالا رفتن نیمه دیگر است. همیشه با ظهور پلتفرم‌ جدید، مشکلات امنیتی ما نیز افزایش پیدا می‌کند. بدون شک در دنیای روبات‌ها و آغاز قیام آن‌ها، پاسخ‌گویی به این چنین پرسش‌هایی باید دیر یا زود انجام شود.

==============================

شاید به این مقالات هم علاقمند باشید: