من المستغرب جداً أن ترى السوريين الذين يستخدمون تقنيات الاتصالات والمعلومات في نشاطات حساسة جدا يلتصقون باستخدام تقنيات يعرف الجميع أنها غير آمنة. فعلى الرغم من التحذيرات الكثيرة التي ظهرت من برامج الاتصال عبر الإنترنت التي لا تقدم مزايا الأمان المطلوبة, لايزال الكثير مغرقا باسخدامها. أخبرني أحد الأصدقاء أن الشمال السوري بالكامل جعل من برنامج واتس آب قناة رئيسية للتواصل, وأن غرفا إعلامية وعسكرية بالكامل تدور نقاشاتها, وتضع خططها باستخدام هذا البرنامج. قد يقول البعض أن هذه المجموعات لا تستخدم الإنترنت الآتي من مناطق النظام وتعتمد على الإنترنت عبر الأقمار الصناعية, وهذا يعني أن عدوها الأول لا يستطيع التجسس عليها, لكن السؤال الذي يشغل بالي “من هم أعداء السوريين فعلا؟” هل هو النظام وحسب؟
عند استخدام تطبيقات التواصل (صوتاً أو كتابة أول بالفيديو) لا بد من النظر إلى مجموعة من الأمور. ليست قدرة السلطات على التجسس على هذه البرامج هو الأمر الوحيد الذي علينا النظر إليه. فهذه البرامج تديرها شركات, يعمل فيها أشخاص, تستخدم مخدمات وبروتوكولات معينة, تمر عبر أقنية معينه, وتخضع لقوانين الدول التي تعمل على أراضيها, وقد تحتقظ بسجلات اتصالاتك كاملة, وقد تسلمها إلى جهات أخرى.
ماهي الأمور التي علينا إذن أن ننظر إليها عند اختيار التطبيق الذي نستخدمه؟
هل يتم تشفير البيانات خلال نقلها؟
من الأساسي أن تكون اتصالات المستخدمين جميعها مشفرة خلال انتقالها في جميع القنوات أي بين المستخدم ومخدمات الشركة ثم إلى الطرف الآخر, تشفيرها على مخدمات الشركة نفسها.
هل يتم تشفير البيانات بمفتاح تشفير لا يستطيع مزود الخدمة الوصول إليه؟
يجب أن تكون جميع اتصالات المستخدم مشفرة بين الطرفين. هذا يعني أن المفاتيح المطلوبة لفك تشفير البيانات يجب أن يتم إنشاؤها وتخزينها في النقطة النهائية للاتصال (جهاز المستخدم وليس المخدّم الخاص بمزوّد الخدمة). هذا المفتاح لا يجب أبدا أن يتواجد خارج النقطة النهائية إلا في حال قيام المستخدم بذلك (مثل إجراء نسخة احتياطية للمفتاح أو مزامنة المفتاح في جهازين مختلفين). وبما يتعلق بالمفاتيح العامة، فلا بأس إن تم تبادلها من خلال مخدم مركزي للشركة المقدمة للخدمة.
هل يمكنكم التحقق من هوية جهات الاتصال؟
على التطبيق أن يوفر طريقة تتيح للمستخدمين التحقق من هوية الأطراف التي يتواصلون معهم والتحقق من أن القناة التي يتواصلون من خلالها مؤمنة، لضمان أمان بياناتهم في حال اختراق أو تسريب المعلومات من مزود الخدمة وهو ما يكون عادة على شكل آلية لتبادل مفاتيح التشفير بين طرفي الاتصال وبروتوكول آمن لهذا الأمر.
هل يتم تأمين المحادثات السابقة في حال تمت سرقة مفاتيح التشفير؟
يجب على التطبيق أن يوفر إمكانية حذف جميع المحادثات السابقة من أي مكان تم تخزينها عليه إذا ما رغب المستخدم بذلك لداعي الخصوصية أو الأمان.
هل هي مفتوحة المصدر؟
هذا المعيار يتطلب نشر قدر كاف من الرمز المصدر للتطبيق أو الخدمة (Source Code) حيث يمكن لأي أحد أن يقوم بإعادة بنائه يدوياً.
هل التصميم الأمني موثق بشكل صحيح؟
هذا المعيار يتطلب شرحاً مفصلا وواضحاً عن آلية التشفير المستخدمة في التطبيق. ويفضل أن يكون هذا الشرح على شكل تقرير موسع تمت كتابته بغرض المراجعة من قبل مجموعة من خبراء التشفير.
بنظرة سريعة على التطبيقات التي تنتشر بين السوريين نجد أن جلها لا يوفر جميع بل ومعظم هذه المزايا. وطبقا لمراجعة قام بها مركز الحدود الإلكترونية فإن أربعة تطبيقات تحقق المعايير الواردة إعلاه هي بيدجين, كربتوكات, سيغنال (سابقا تسكت سكيور و ريدفون) وسايلنت سيركل فيما تغيب بعذها أوكلها عن البقية. والملفت أن واتس آب وفايبر وسكايب المنتشران بكثرة يأتيان في قعر السلم من حيث تحقيق معايير الآمان!
مشروع سلامتك